Hallo, ich habe bisher bei einer Umsatzabfrage nie (!) die PIN der Chipkarte (HBCI Banking)eingeben müssen (bei jedem einzelnen Vorgang), da sie im Datentresor dauerhaft hinterlegt war.

Jetzt habe ich aus Sicherheitsgründen die Pin der Chipkarte gewechselt.

Plötzlich frägt aber WISO MG 5 bei jeder einzelnen Kontenabfrage nach der PIN, das war bisher nicht so.

Wenn ich die PIN manuell eingebe, funktioniert zwar die Abfrage problemlos, ich möchte aber wieder den alten Zustand ("im Datentresor dauerhaft hinterlegt") wieder haben.

Kann mir jemand helfen ? danke schon mal

Hallo Uli,
das du damit das wichtigste Sicherheitsmerkmal der Chipkarte aufgibst, zumindest wenn du einen Klasse 2 Leser einsetzt, ist dir schon klar?

Gruß
Raimund

Ich will unbedingt einen Gurt im Auto haben!
Aber benutzen werde ich ihn nicht.........

@matrica: Ist es das, was Du als endgültige Lösung im HBCI-Verfahren siehst (im anderen Thread)?

Ich habe keinen Chipkartenleser der Klasse 2, nur einen ganz einfachen.
Trotzdem mache ich schon seit 1990 onlinebanking, mit der "hinterlegten"
PIN (Im Datentresor, mit Passwort) und habe noch nie Probleme gehabt.

Ich würde es gerne wieder im alten Zustand haben ...

ohhh bitte nicht die Aussage, da geht mir der Hut hoch: "Ich hab noch nie Probleme gehabt". Das haben genau 100 Prozent aller Betrugsopfer auch nie gehabt, weil ein zweites Mal passiert einem Opfer das nicht, es lernt nämlich dazu! Beim Angurten und Abstand-halten beim Autofahren ist meist genauso, wenn man noch eine zweite Chance hat und nach dem "Problem" noch lebt.

Aber ich will dich nicht fertig machen, ich halte selbst deine unsichere Verwendung der Chipkarte für sicherer als einige andere Verfahren. Aber dir ist schon klar, dass sich die Bedrohung seit 1990 und den goldenden BTX-Zeiten schon etwas geändert hat?

Zurück zum Thema: Ich kenne Wiso kaum. Hast du Wiso 2005? Heute stehen ja Jahreszahlen dahinter. Dann hättest Wiso noch die klassische ddbac als HBCI-Kernel.
Eventuell kann man das einfach nicht mehr einstellen, wenn z.B. ein Update dies verhindert. Du könntest mal in der Systemsteuerung von Windows kontrollieren, ob der Chipkartenleser evtl. auf sichere PIN-Eingabe steht. Ansonsten wäre ich ziemlich ratlos.

Gruß
Raimund

@Raimund: Finde ich ein ganz klein wenig enttäuschend, dass Du trotzdem Tipps für einen solchen Unsinn gibst.

Die ganze Frage erinnert mich eigentlich 1:1 an den anderen Thread und insbesondere die Aussage "Hirn einschalten" *grins*
Da hätten wir es dann wieder live und in Farbe.......

Also selbst hier im Expertenforum wird es kaum besser gelebt...
Sehr sehr schade.

ich vertrete immer die Meinung - und dazu stehe ich auch hier: Wenn jemand aufgeklärt wurde und seine Risiken kennt und sie dann in vollem Bewusstsein trotzdem eingeht: Dann soll er das sogar mit meinem Segen tun!

Ich bin einfach gegen die Bevormundung!
Alles andere wäre "seurity by obscurity".

Schon erstaunlich, was man da alles lesen kann ...

Zwischenzeitlich bin ich selbst auf die Lösung gekommen: man muss nur die DDBAC nochmals neu initieren, dann ist der alte Zustand "wie vom Programm ursprünglich vorgesehen = Chipkartenpin dauerhaft im Datentresor gespeichert" wieder hergestellt.

Und für diejenigen, die sich anscheinend mit einem Chipkartenleser nicht so gut auskennen:

Ich will meine Kontenumsätze abfragen- wie gehe ich vor ?

a) ich öffne mit einem Passwort Wiso.
b) ich starte die Umsatzabfrage.
dabei werde ich aufgefordert, die Chipkarte einzulegen (die ich vorher sicher verwahrt habe!)
c)das Programm holt sich jetzt automatisch aus dem Datentresor des Programms (in den ein Fremder widerum nur mit einem gesonderten Passwort kommen würde) die auch auf der Chipkarte vermerkte PIN und vergleicht beide.
d) nur wenn diese korrekt übereinstimmt, werden Umsätze geholt (oder Überweisungen getätigt ...)

Ist das jetzt sicher genug ???

Zum besseren Verständnis:
bei Punkt c) hätte ich die PIN jedesmal von Hand eingeben müssen (keine automatische Abholung aus dem Programm heraus-aber dafür habe ich ja die Chipkarte sicher verwahrt, ohne die garnix geht !

Das ist das Paradebeispiel für "Risiken einschätzen und entscheiden".

Das Sicherheitsmerkmal der Chipkarte ist nicht nur der Chip, sondern das externe Medium Karte/Kartenleser. Damals war es das große Sicherheitsplus, dass man die Karte einlegen und AM LESER die Pin eingeben muss. Dabei geht man vom Normalfall aus. Also alle Passörter, von denen du sprichst nicht vorhanden.
Mit der sicher verwahrten Karte hast und den anderen Maßnahmen hast du das auch erreicht. Gegen den noch theoretischen und wohl auch irgendwann praktisch auftretenden Trojaner für Bankingsoftware mit hast du aber keine Chance, weil du nicht sehen kannst, welche Transaktion du signierst.

Der Beweis für den (hoffentlich nicht) Normalfall lag lange in meiner Schreibtischschublade: Eine Sparkassen-HBCI-Karte, halb mittelblau und halb strahlend weiß. Jibbet nit?? Doch!! Der Firmenkunde wollte seinerzeit das sicherste Onlinebanking. Seine Buchhaltungsoftware bekam eine (damals) schweinsteure HBCI-Schnittstelle. Die Karte steckte dann 4 Jahre lang im Kartenleser, der in der prallen Sonne auf der Fensterbank lag. Die Pin war natürlich hinterlegt. Ist ja das sichere Verfahren. *lol* Ich hab mit der Karte dann Azubis verwirrt *gg*

@ulib
So wie Du die HBCI Karte verwendest könntest du auch eine HBCI Diskette nehmen. Da wäre günstiger gewesen und hätte den identischen (niedrigen) Sicherheitslevel.
Gruß,
Vader

Ich bin der ganz klaren Meinung, Tipps zur Nicht-Verwendung von Sicherheitsmerkmalen im Onlinebanking und Verstoß gegen Onlinebanking-Bedingungen der Banken/Sparkassen (PIN elektr. speichern) gehören insbesondere in einem Fachforum zensiert in Form von Löschung des Beitrags und Verwarnung/Aufklärung des Schreibers!

Nein, das sehe ich anders. Du willst doch auch so den mündigen Kunden, warum nicht hier?

Weil sich auch ein mündiger Kunde an bestehende Vereinbarungen zu halten hat. Und in der Regel ist es nicht zulässig den PIN zu speichern.

Michael, wann bist zu zuletzt im Schritttempo durch eine Spielstraße gefahren? Gib sofort deinen Führerschein ab! :nono:

Zu einer mündigen Entscheidung gehört auch, sich über mehr oder weniger sinnlose Regeln hinwegzusetzen. Besonders dann, wenn keine Sanktionen daraus folgen. Oder hast du schon mal einen Zugang gesperrt, weil der Kunde gesagt, hat, er hätte seinen Pin gespeichert. BTW: Mein SFirm macht auch vollautomatisch einen Rundruf.

@Fellini: Das ist ja alles korrekt.
Aber muss man das auch noch fördern, indem man es in aller epischen Breite öffentlich beschreiben läßt? Ich finde, das muss nicht sein, wenigstens hier sollte man mit gutem Beispiel voran gehen und nicht auf Biegen und Brechen Liberalität bis zum Vertragsbruch ausleben.
Und beim nächsten Schadenfall (den übrigens dann wer bearbeitet?) ist das Geschrei wieder groß.

Ich freue mich auf den ersten Trojaner für diesen tollen Datentresor oder andere Software.

Schönes WE!

Das Programm holt die PIN aus der Chipkarte? Das will ich mal bezweifeln. Welchen Sinn haette wohl eine PIN, wenn sie einfach aus der Chipkarte gelesen werden koennte?