Hallo,

ich muss ehrlich sagen, dass ich ein wenig verwirrt bin. Ich habe mir einen HBCI Kartenleser besorgt und hatte auch mit dem Sparkassen-Support gesprochen, dass ich das Homebanking zusammen mit HBCI verwenden möchte. Darauf hin erwähnte ich - blöder weise - chipTAN und der freundliche Mensch am Telefon klärte mich dann auch auf, dass ich nur noch die Sparkassen-Karte bräuchte. Super, also habe ich die Umstellung beantragt, den Chipkarten-Leser habe ich ja schon, also wollte ich nun (nach der Umstellung) das Ganze mal testen. Unter Windows habe ich nun in der Systemsteuerung versucht, mein Homebanking Kontakt entsprechend auf HBCI, Zugangsart Chipkarte umzustellen, wobei ich angezeigt bekomme, dass das Sicherheitsmedium nicht zum gewählten Kontakt passt.
Tjaaa, echt spitze, denn nun kann ich mein Online-Banking nicht nutzen. Soweit ich das jetzt verstanden habe, ist chipTAN auch ein Verfaren zur Generierung der TANs.

Fragen an Euch:
1) Kann jemand ein wenig Licht ins Chaos bringen? Hunderttausend Begriffe, auf einer Sparkassen-Seite habe ich HBCI auch in Verbindung mit chipTAN gesehen. Mir ist eigentlich klar, dass HBCI ein Überbegriff ist und beispielsweise das Übertragungsprotokoll bezeichnet, aber die Sparkassen-Seiten haben mich echt verwirrt. Wozu chipTAN, wenn HBCI in aller Munde ist?

2) Was kann ich nun mit meinem HBCI-Chipkartenleser anstellen? Kann ich die Umstellung bei der Sparkasse wieder rückgängig machen?

3) Können die Sparkassen denn HBCI mit Chipkarte?


Blöde Begriffsvielfalt und beklopptes chipTAN :evil:


Vielen Dank schon mal für Eure Infos.

Hallo Hypersound,

ja, das Thema Sicherheitsmedien ist komplex, dass kann schon mal zu Verwirrung führen.

Zunächst: HBCI ist ein Übertragungsprotokoll, das man mit verschiedenen Sicherheitsmedien kombinieren kann. Das HBCI = Chipkarte oder Sicherheitsdatei bedeutet, war im Jahr 2001 mal richtig - jedenfalls zeitlich so in etwa.

Heute bedeutet HBCI (oder FinTS) den Zugriff mittels Bankingsoftware und einem beliebigen Sicherheitsmedium, z.B.
1) die DES-Chipkarte der Sparkassen mit einem passenden Kartenlesegerät wie deines
2) oder eines der vielen TAN-Verfahren, z.B. iTAN, chipTAN, smsTAN.

chipTAN und smsTAN sind neuer und nach heutiger Einschätzung dem System mit der "alten" HBCI-Chipkarte überlegen, da dort vor Absenden des Auftrags bereits die wesentlichen Daten des Auftrags kontrolliert werden können. Ich will jetzt nicht zu weit gehen, da es auch noch andere System gibt, die für dich in dem Fall aber uninteressant, weil nicht verfügbar sind.

Um das ganze perfekt zu machen: Auch die chipTAN ist ein kartengestütztes Sicherheitsverfahren, dort wird mittels Bankkarte und einen kleinen Handkartenleser ohne Bindung an den PC eine zu einem bestimmten Auftrag passende TAN erzeugt. Das ist ein recht einfacher Leser, den man für max. 15 Euro überall bekommen sollte.

Was du wann wie umtauschen kannst, musst du mit dem Versender/Lieferanten klären. Bei Fernabsatz hast du immer 14 Tage Rückgaberecht.

chipTAN läuft jedenfalls als HBCI/PIN-TAN Verfahren, nicht als HBCI-Chipkarte und ist mit deinem vorhandenen Leser nur sehr eingeschränkt nutzbar.

Und HBCI ist nicht mehr in aller Munde, das stimmt so nicht mehr. Es ist kein schlechtes und bequemes Verfahren, aus Sicherheitsgesichtpunkten sehr gut aber nicht perfekt. Wesentlich ist, das du dort blind signierst - ein Angriff auf das System wäre aber schon sehr speziell und hat nach meinem Wissen bisher nicht stattgefunden. Trotzdem würde so etwas mit chipTAN oder smsTAN dem aufmerksamen Nutzer sofort auffallen.

Sparkassen können sowohl HBCI-Chipkarte, als auch iTAN, chipTAN (comfort) und smsTAN. Das Angebot mag hier und da aber ein wenig eingeschränkt sein - ab besten direkt nachfragen.

Hallo Captain FRAG,

vielen Dank für Deine sehr gute und ausführliche Erklärung. Es ist nicht so, dass ich auf HBCI (mit Chipkarte) beharre. Jedoch dachte ich, dass eben gerade dort die Möglichkeit der Überprüfung der Transaktionsdaten auf dem Display des Lesegeräts möglich ist.
Meine hauptsächlichen Anforderungen sind eben der Aspekt Sicherheit (dachte HBCI mit Chipkarte wäre da das Non-Plus-Ultra) und gute Unterstützung für Homebanking.
Würdest Du in diesem Falle beim bereits beantragten chipTAN bleiben? Ich sehe das doch richtig, dass, wenn auf chipTAN umgestellt wurde, ich nicht mehr HBCI mit Chipkarte einsetzen kann?

Den direkten Transaktionsbezug hast du nur bei Chip-Tan.
Nutzen kannst du beides paralell. Chiptan hat nebenbei den Vorteil, dass du nicht zwingend eine zusätzliche Bankingsoftware brauchst. Durch den Medienbruch und den Transaktionsbezug darf es auch das Internetportal der Sparkasse sein. Nur damit keine Missverständnisse aufkommen: Die Internetportale der allermeisten Banken sind so weit wie möglich abgesichert. Der Schwachpunkt ist immer der Browser des Users.

Hallo Fellini,

danke für die Antwort. Bei nem HBCI-Secoder müsste der Transaktionsbezug doch aber auch da sein? Ich werde mir nun aber in jedem Fall einen chipTAN Generator kaufen müssen, da ich, laut Meldung, zuerst eine Synchronisation des Generators und der Bank durchführen muss. Nur blöd, dass der Versandt 4-5 Tage dauert. Gibt es schnellere Bezugsmöglichkeiten als der Sparkassen Onlineshop oder der Reiner SCT Shop?
Als Homebanking-Software setze ich Quicken 2010 ein. Ist mir lieber als eine, nur auf die jeweilge Bank zugeschnittene, Browser-Lösung.

die TAN-Verfahren sind meiner Meinung nach angreifbarer durch social-Engineering als HBCI mit Chipkarte, aber ich denke mal, dass Hypersound wirklich nicht zur Zielgruppe gehört, wenn er sich schon solche intensiven Gedanken zur Sicherheit macht

Gruß
Raimund

Hallo Raimund,

ich denke nicht, dass ich dafür anfällig bin (neben bei erwähnt, ich studiere Informatik ) Ich hätte mich echt ausführlicher mit dem Ganzen Thema beschäftigen sollen, aber ich habe aktuell nicht die Zeit, mich da tief einzuarbeiten. Ich hätte vorerst bei HBCI / FinTS bleiben sollen, aber da ich den Secoder bereits gekauft hatte, dachte ich, warum soll er nur so rumstehen und wenn das einfach beantragt ist, warum nicht. Nur blöd, dass chipTAN nicht das ist, was ich eigentlich gedacht habe, nämlich HBCI mit Chipkarte

Ausreichend sicher bei deinem Wissen sind sicherlich beide Verfahren, aber warum nicht beides verwenden/ausprobieren, das teuerste Teil hast du ja schon...

Gruß
Raimund

Dagegen spricht natürlich nichts, mich stört nur die Wartezeit auf das neue Gerät (jaja die alles jetzt sofort haben woller Generation ), da ich nun ja keinen Zugang mehr habe, bevor die Synchronisation mit dem Tangenerator nicht abgeschlossen ist, aber nun ja, daran bin ich selbst schuld.
Jedenfalls vielen Dank für Eure Antworten. :thup:

Theoretisch ja, praktisch nein - in deinem Fall.

Damit das funktioniert, muss jedes Glied der Kette die Secoder Funktionen benutzen. Derzeit (und vermutlich auch zukünftig) wird es das bei den Sparkassen aber wohl nicht geben. Wir haben schon eine hochwertige Signaturkarten Lösung auf Basis des Signaturgesetzes, die aber bisher auch noch nicht erwähnt wurde.

Alles gleichzeitig anzubieten ist zwar auch eine Strategie, aber keine die Kosteneffizient ist. Und am Ende zahlt sowas ja doch immer der Nutzer. Auch von den vorhandenen Sicherheitsverfahren wird auf Dauer schon nicht alles übrig bleiben.