Der ReinerSCT ecom hat ein Display. In diesem koennten manipulationssicher Betrag, Zielkonto oder Schuhgroesse eingeblendet werden, die dann per Pinpad signiert wird.

So werde ich zur Eingabe der Pin aufgefordert und wenn die Software manipuliert ist merke ich das nicht.

Stattdessen wird im Display bei mir nur "Bitte Geheimzahl eingeben:" eingeblendet.

Habe ich die falsche Software oder die falsche Bank?

du meinst die secoder-funktionalität. hierbei werden dir die transaktionsdaten vorm unterzeichnen nochmals im display des lesers angezeigt. leider funktioniert das ganze nur bei banken, die das verfahren bereits unterstützen und das sind meines wissens nach nur volksbanken die der GAD angeschlossen sind.

Weder noch.
Die aktuelle Spezifikation sieht die (auf jeden Fall sinnvolle) Angabe der Transaktionsdaten nicht vor. Der Sicherheitsstandard von FinTS mit Chipkarte ist trotzdem nicht schlecht, weil für einen (theoretisch natürlich möglichen) Angriff deine Software das Ziel sein müsste. Hier können die Hersteller viel mehr tun als bei einem Browser, um ihre Software abzuschotten. Außerdem haben die bösen Buben mittlerweile BWL studiert. Wegen der vergleichsweise geringen Verbreitung einzelner Bankingprogramme und des Chipkartenverfahrens an sich ist ein Angriff schlicht nicht wirtschaftlich.

ok, bin fiducia, träum noch davon... :mrgreen:

Ok,

alle falsch )
Erstmal muss man unterscheiden, in welchem Modus der Leser betrieben wird. Beim Klasse 3 Leser ist es durchaus möglich, Texte in das Display einzustellen und nicht im gesicherten Modus zu laufen. So könnte z.B. durchaus eine Aufforderung zur Eingabe der PIN ind as Display eingespielt werden und die PIN vom PC ausgelesen werden. Erkennbar ist das Ganze über die entsprechenden LEDs.

Dieser Modus wird im Bankensektor nicht genutzt. Einer der Vorteile der Klasse 3 Leser ist aber deren Flexibilität. So kann der Leser als SECODER genutzt werden. In diesem Fall läuft die Anzeige der Daten, deren Absicherung und die Unterschrift völlig autonom im SECODER selbst, ohne jede Möglichkeit hier einzugreifen.

Diese SEOCDER Funktion nutzen im Internetbanking derzeit, wie hier schon geschrieben wurde (ok alle falsch war übertrieben ), bisher nur die Volksbanken und Raiffeisenbanken am rechenzentrum GAD.

Für die Nutzung in Kundenprodukten über FInTS gibt es sehr wohl eine Spezifikation. Allerdings ist diese so "frisch", dass es weder eine Bank, noch eine Software gibt, die dies unterstützt.
Aber alles eine Frage der Zeit.

Viele Grüße

Holger

genau so war das! also lag ich doch nicht ganz falsch! :mrgreen: