Da einige Forenmitglieder im Bereich der HBCI Entwicklung tätig sind bzw. einen guten Einblick in diese haben (was mich sehr freut) würde ich ein paar Fragen loswerden...

HBCI bei der SEB
So wie ich das mitbekommen habe, scheint HBCI bei der SEB ein Sorgenkind vieler Entwickler zu sein. Das fängt schon bei der Schnittstellenspezifikation der HBCI-Karten an und hört bei den Dialogabläufen auf. So gelingt es der OpenSource Gemeinde und kleineren Herstellern wohl nicht die SEB HBCI Karten auszulesen (nach meinen Infos ist die Schnittstellenspezifikation der Karten (im Gegensatz zum HBCI Standard) nicht öffentlich. Daran scheitert es dann. <a href='http://linuxwiki.de/OpenHBCI#head-4d3d7b63dfc2646fc05716ed2f27b376a4d93da2' target='_blank'>http://linuxwiki.de/OpenHBCI</a> Wie machen das dann die "großen" Hersteller von HBCI Lösungen?
Auch das Changelog von Datadesigns DDBAC spricht Bände:
<a href='http://www.datadesign.de/internet/ReleaseNotes-DDBAC.htm' target='_blank'>http://www.datadesign.de/internet/ReleaseN...Notes-DDBAC.htm</a>
Hält sich die SEB nicht an die HBCI Spezifikation oder kann man die HBCI Spezifikation weit auslegen oder ist die DDBAC nur unausgereift? Da wundert man sich das HBCI mit Programmen die auf der DDBAC aufsetzten überhaupt funktionieren... Und alle paar Wochen kommt eine neue (gefixte) DDBAC raus!

HBCI mit PIN/TAN Erweiterung
Bei HBCI mit Chipkarte oder Diskette wird entweder mit dem MAC (nur ZKA Chipkarte) oder dem RSA Verfahren gearbeitet. Hierbei kann bspw. TCP/IP oder T-Online als Übertragungsweg genutzt werden. Wie sieht es jedoch bei HBCI mit PIN/TAN Erweiterung i.V.m. einer Onlinebanking-Software aus? Die Verschlüsselung der Daten geschieht über TCP/IP mit 128 Bit SSL.
Fragen: Ist bei HBCI mit PIN/TAN Erweiterung die OB-Software auf Browsereinstellungen oder dessen Verschlüsselungsstärke angewiesen? Oder hängt dies von der Applikation ab? Wie sieht dies bei einem HBCI Online Client aus (HBCI Chipkarte/Disk und HBCI PIN/TAN)? Bringt der Online Client ggf. alle erforderlichen Verschlüsselungskomponenten mit (unabhängig von dem was der Browser unterstützt)?

HBCI mit PIN/TAN Erweiterung - wann flächendeckend?
Z.Z. wird dieses Verfahren nur von einer Hand voll Sparkassen angeboten. Wann ist damit zu rechnen das es flächendeckend eingesetzt wird? Wie sieht es mit anderen Kreditinstituten aus? Bei den Genossenschaftsbanken soll es auch bald losgehen... Aber von der Deutschen Bank, HVB oder Commerzbank hört man hierzu überhaupt nichts. Hat jemand diesbezüglich ein paar Infos aus dem Privatbankenbereich?

INI Brief generierte HBCI Karten - mit jeder Software nutzbar?
Bekanntlich kann man HBCI Disketten nicht uneingeschränkt mit jeder HBCI Software nutzen was an dem teilweise unterschiedlichen Dateiformaten die sich auf der Diskette befinden liegt.
Wie sieht dies jedoch bei INI Brief generierte HBCI Karten aus? Sind diese uneingeschränkt mit jeder Software nutzbar (egal mit welcher SW die Schlüssel generiert wurden)?

Abschließend hätte ich noch eine Frage zum HBCI Online Client der Bayerischen Landesbank. Dieser wurde i.V.m. dem SIZ entwickelt. Was kann man mit diesem machen was man mit einer OB Lösung nicht machen kann? Schließlich fällt einer der wichtigsten Vorteile von HBCI bei einem Online Client weg. Es ist nicht möglich die Daten offline einzusehen bzw. Auftrage vorzubereiten. Auch ist nicht jeder User gewillt sich erst mal die 8 MB großen Java Runtime von SUN zu installieren. Was macht für die KI's ein Online Client so interessant (außer der Kostenseite). Was mir spontan einfällt ist nur, dass der Client weitestgehend Plattformunabhängig ist.

Daniel

Hallo Daniel,

erst einmal das grundsätzliche Problem in diesem Zusammenhang. Außer der DES Karte der Sparkassen gibt es keine offizielle HBCI Chipkarte (Die ZKA Signatur Karte aus FinTS ignoriere ich hier mal mangels Verfügbarkeit). D.h. alle Chipkartenlösungen mit einer RSA Verschlüsselung sind properitäre Lösungen. Das einzige, was dem HBCI Standard entsprechen muss, ist der Schlüssel selber. Bei den unpersonalisierten RSA Chipkarten hat sich als "Quasistandard" die RSA-Chipkarte wie sie bei den Großbanken eingesetzt wird etabliert. Alle vorpersonalisierten RSA Chipkarten wie z.B. die VR-NetWorld Card, die WebSign 24 oder eben die SEB Karte sind "selbstgestrickte" Lösungen, die auf verschiedene Ansätze beruhen.

Die SEB Karte ist soweit ich informiert bin, eine vorpersonalisierte RSA Chipkarte. Dass die DDBAC damit Probleme haben soll, würde mich selber ganz stark wundern, da die SEB praktisch von Datadesign bei HBCI rundum versorgt wird.
Auf der Webseite von Datadesign wird die SEB als Referenzkunde hervorgehoben. Die SEB setzt sowohl Serverseitig wie auch beim Endkunden die Produkte der Datadesign ein. Wenn ich es noch richtig in Erinnerung habe, dann werden auch die Chipkarten durch eine Datadesignlösung vorpersonalisiert.
D.h. wenn die SEB Lösung in einer Software implementiert werden soll, gibt es eigentlich zwei Infromationsquellen: Datadesign und die SEB. Hier dürfte es aber relativ schwer sein, an entsprechende Know How Träger ran zu kommen.



Ich selber halte die DDBAC für einen sehr ausgereiften Kernel! Das Datadesign relativ häufig einen Fix raus bringt liegt wohl eher daran, das Sie sehr schnell auf Probleme und Anforderungen aus dem Markt reagieren. So hat Datadesign die Unterstützung von FinTS zum Ende des Jahres angekündigt.


Die Verschlüsselung und der Dialog ist Aufgabe des Kernels. Der bringt alle Komponenten mit.


Das würde mich auch sehr interessieren! Die letzte Meldung aus diesem Bereich war, dass die Großbanken den Standard mit verabschiedet haben. Das war es.


Nein, da diese Karten keine offizielle ZKA Chipkarte ist, unterstützen (noch) nicht alle Softwareprodukte diese Karten. Insbesondere unterstützen die Opensource Projekte diese Karte noch nicht. Wenn die Karte unterstützt wird, ist es eigentlich egal, unter welcher Software der Schlüssel aufgebracht wurde. Bei der Diskettenlösung kommen die unterschiedlichen Formate daher, dass der Schlüssel nicht ungesichert auf der Diskette liegen sollte und daher verpackt wird.




Der "Vorteil" liegt darin, dass ich damit HBCI auch mit Browserunterstützung nutzen kann. Und natürlich schon die von Dir genannte Plattformunabhängigkeit. Ob sich das durchsetzt? Keine Ahnung. Die Dresdner Bank hatte Ihre Lösung jedenfalls wieder eingestellt.


Gruß

Holger



<!--EDIT|Holger Fischer|30.05.2003-->

Hallo Holger,

danke für diesen kleinen Einblick.

Wenn Datadesign die SEB mit HBCI Produkten ausstattet, wundert es natürlich nicht, dass in der DDBAC viele Modifikationen bezüglich der SEB enthalten sind.



Da muß ich nochmal nachhaken. Und hierbei ist es egal mit welchem HBCI Verfahren bzw. Offline- oder Online-Client? Dann kommt rein theoretisch ein Online Client mit HBCI (PIN/TAN Erweiterung) auch ohne die 128 SSL Verschlüsselung des Browsers aus?

Gruß
Daniel

Hallo Daniel,

ich kann die etwas zu dem Client sagen Das weiß Du ja aber schon.



Wie Du schon selber erkannt hast, ist ein ganz großer Vorteil, daß man Plattform unabhängig ist.
Was der Client alles kann hängt von dem Rechenzentrum, was dieses alles mit HBCI unterstützt. Bei der Bayrischen Landesbank wurde HBCI halt komplett umgesetzt und der Client kann wesentlich mehr als zum Beispiel StarMoney oder das komplette Internet-Banking. Ein Produktabschluß ist realisiert genauso wie Auslandsüberweisungen und noch vieles mehr. Das Problem was wir zur Zeit haben ist, daß die S-Finanz-It nur teilweise HBCI umgesetzt hat und das noch nicht mal einheitlich.
Der Kunde muß eben nicht die 8 MB runterladen sondern es wird eine Start-Up CD auf dem die Java Runtime liegt.
Leider ist das mit der Datenbank wieder mal Rechenzentrum abhängig. Bei der BLB ist es so, daß dort Umsmo=36 ist. Außerdem haben dort die Kunden auf dem Bankrechner platz die eigenen Daten zu hinterlegen wie zum Beispiel Empfänger etc. Das ist bei der S-finanz-It (was für ein Scheißname) zur Zeit nicht möglich oder nur bedingt mit mächtigen Kosten verbunden möglich.
Eine echte Datenbank, wie zum Beispiel bei StarMoney, war eigentlich nicht angedacht, allerdings denken wir darüber nach.
Ein weiterer Vorteil sind die Kosten für den Client!

Solltest Du noch weitere Fragen zu dem Client haben, raus damit.

Gruß


Michael

Hallo Daniel,

ich kann Dir zu 3 Themen etwas sagen:

HBCI mit PIN/TAN Erweiterung in einer Onlinebankingsoftware:
Damit eine Onlinebankingsoftware mit dem HOST-System des jeweiligen Rechenzentrums unterhalten kann, ist es erfoderlich, dass auch beiden Seiten das Verschlüsselungszertifikat vorhanden ist. Dieses Zertifikat läuft ein Jahr und muss dann erneuert werden, damit weiterhin eine Kommunikation möglich ist. Hierbei ist der Brower völlig uninteressant!

HBCI mit PIN/TAN Erweiterung - wann flächendeckend?:
Eine Hand voll Sparkasse ist aber ein wenig untertrieben! Es sind alle Sparkasse, die an der Sparkassen Informatik angeschlossen sind. Weiterhin stellt das genossenschaftliche Rechenzentrum GAD meiner Meinung nach ebenfalls in den nächsten Wochen auf PIN/TAN erweitert um. Auch die anderen beiden Rechenzentren der Sparkasse denken wohl darüber nach.
Die Großbanken allerdings lehnen sich zurück und sagen, warum sollten wir das auch machen, wir haben unser Onlinebanking!

INI Brief generierte HBCI Karten - mit jeder Software nutzbar?:
Auch bei den HBCI-RSA Karten kann man den Schlüssel nicht mit irgendeiner Software erzeugen und dann mit einer anderen arbeiten. Auch wird programmspezifisch auf die Karte geschrieben.

Das soll es denn erst einmal von mir gewesen sein. Ich hoffe, ich konnte weiterhelfen!

Gruß,
Marco

Hallo Marco,

HBCI mit PIN/TAN Erweiterung:
"eine Hand voll" - Damit meine ich symbolisch die Anzahl dieser Sparkassen gemessen an der Anzahl aller Sparkassen im Bundesgebiet. Bei der Sparkasseninformatik sollen so ca. 250 SKen angeschlossen sein.

INI Brief generierte HBCI Chipkarten:
Also ist es durchausmöglich, dass eine mit der DDBAC erstellte RSA Karte unter SM nicht funktioniert. Mit den GENO-HBCI-Produkten sollte es hingegen keine Probleme geben, da diese großenteils auf den SF-HBCI Kernel aufsetzen. Richtig?

Gruß
Daniel

Hallo Daniel,

grundsätzlich würde ich sagen, eine Karte, die nicht mit SM erstellt wurde, kann auch nicht von SM gelesen werden, da der Kernel zwar den Befehl zum Beschreiben der Karte gibt, aber ein anderer Programmteil das letztendliche Schreiben übernimmt und dieser ist wieder programmspezifisch.

Marco

Hallo Marco,



Grundsätzlich würde ich dem widersprechen......
Da der Schlüssel auf der RSA Karte nicht vom Programm sondern vom Kartenprozessor generiert wird und dieser Schlüssel die Karte nicht verlässt, hat die Software erstmal keinen Einfluss auf die "Form" des Schlüssels.
Vereinfacht gesagt sprechen die Software Hersteller die Chipkarte über eine definierte Schnittstelle an und "sagen" der Chipkarte, was Sie tun soll.

Wo es Probleme geben kann: Die Schlüssel sind in bestimmten Verzeichnissen auf der Karte unter bestimmten Namen abgespeichert. Wenn die Chipkarte verschiedene Namen und Verzeichnisse zulässt, kann es sein, dass ein Hersteller die Ablage der Dateien anders wählt. Dann greifen Kommandos wie öffne Datei "xxxx" in "yyy" natürlich nicht.

Hier liegt z.B. zum Teil das Problem bei den properitären vorpersonalisierten RSA Chipkarten.

Gruß

Holger