Hallo,

ich nutze derzeit StarMoney 7 mit HBCI Chip auf cyberJack e-com.
Sollte demnächst wirklich die SECODER Technik eingeführt werden,wäre der Sicherheitsvorteil gegenüber dem HBCI Chip von heute evident.

Wo aber läge der Sicherheitsgewinn des SECODER gegenüber StarMoney mit HBCI PIN/TAN mit Chip/TAN Optik Generator?

Beide Verfahren übermitteln schließlich die Auftragsdaten vor der Signatur bzw. der TAN Eingabe.

kragenbär

ich halte ein TAN-Verfahren für eine Winzigkeit anfälliger durch Social Engineering z.B. durch Telefonanrufe. Bankmitarbeiter in der Hotline können ein Lied davon singen, wie schnell sie teilweise unaufgefordert an PIN&TAN der Kunden kämen. Sollte dich also nicht tangieren, sonst würdest du dir diese Gedanken gar nicht machen

Gruß
Raimund

Hi Kragenbär,

von der Methodik sichern beide gegen die gleichen Angriffe ab. Wenn es also darum geht Manipulationen zu erkennen, tun sich Beide nicht viel (hängt ein wenig davon ab, wie und welche Informationen die Bank zum Auftrag einsteuert).

Aber, kryptologisch greifen beim Secoder jetzt diese Vorteile der Chipkarte und der Signaturbasierten Verfahren. Sprich, jeder Dialog ist nicht nur auf der Transportebene verschlüsselt, sondern die Aufträge werden eben auch noch elektronisch signiert.

Da die aktuellen Angriffe aber auf die Ansichten abzielen, ist dieser "Gewinn" eher theoretischer Natur.

Viele Grüße

Holger

Hallo,
danke für die Antworten an Raimund und Holger,

die theoretische Anfälligkeit des Chip/TAN Verfahrens für Social Engineering scheint mir durch die Auftragsbezogene TAN eher gering.Selbst wenn der Nutzer eine mit korrekten Auftragsdaten erzeugte TAN an unautorisierte Personen weitergibt, kann ich mir nur schwer Mißbrauchsmöglichkeiten vorstellen.
Mir gefällt an beiden Verfahren die Bindung der Auftragslegitimation an Hardware;also HBCI- oder Girocard.
Von der Praktikabilität in der Praxis gefällt mir jedoch der Umgang mit dem cyberJack e-com weit besser als mit dem Chip/TAN Generator und dem Einlesen des Flickercodes.
Warum implementiert man eigentlich nicht die HBCI Funktionalität auf Kundenwunsch einfach mit auf den Chip der Girocard?
Meines Wissens läuft auf dem Prozessor das SECCOS Betriebssystem.
Neben Anwendungen wie Chip/TAN,Geldkarte,EMV,Ticketing müsste doch auch eine HBCI Signatur möglich sein.

Ich hoffe mal,dass Reiner SCT durch Firmwareupgrade den e-com SECODER tauglich macht.(Wenn er es nicht schon ist)

Gruß
kragenbär

Hi,
mein uralter (DM Zeiten) eCOM kann per Firmwareupdate bereits den SECODER Mode.

Leider hat sich immer noch nicht wirklich was in Sachen SECODER via HBCI (Bankingsoftware) getan.
Hat jemand ein paar Neuigkeiten zu diesem Thema ??

Falls dein eCOM noch eine 2.x Firmware hat (und auch nichts anderes über das Reiner SCT Tool gefunden wird) must Du ein manuelles Upgrade machen. siehe http://www.reiner-sct.com/content/view/146

Gruß,
Vader

Das ist bereits heute gängige Praxis. Meines Wissens nutzen die Sparkassen diese Möglichkeit und Volksbanken und Raiffeisenbanken, die dem Rechenzentrum GAD angeschlossen sind haben ebenfalls die Möglichkeit. Bei Letzteren kann man auf der Rückseite am FinTS Logo erkennen, ob die Karten entsprechend vorbereitet sind.

Viele Grüße

Holger

Um Holgers Ausführungen noch zu ergänzen: Der Grund, warum das nicht einfach alle machen, ist ganz einfach und wenig überraschend: Der Preis.

Eine GiroCard wird schlicht etwas teurer, wenn eine zusätzliche Anwendung auf den Chip geschrieben wird. Da die Verbreitung der Chipkarte zur (HBCI-) Signatur deutlich geringer ist als PIN/TAN, lohnt der Aufwand schlicht nicht.
Dazu kommt noch, dass HBCI mit Chipkarte eben etwas erklärungsbedürftiger ist als PIN/TAN. Damit müssen Bankmitarbeiter und Bankkunden geschult werden, was dann weitere Kosten nach sich zieht.

Hi Bratwurst,
wenn man flächendeckend und generell HBCI auf die Girocard implementiert obwohl der Kunde nichts damit anfangen kann, wird es freilich teuer.
Ich dachte auch mehr daran dies nur auf Antrag zu tun.
Könnte es sein,dass die Banken,sobald sichere, auftragsbezogene Legitimationsmedien wie ChipTan und SMS TAN flächendeckend eingeführt worden sind, ganz den Nutzen und die Wirtschaftlichkeit eines zusätzlichen Verfahrens wie HBCI Chip/Secoder in Zweifel ziehen?
Hat HBCI Chip/Secoder eine Zukunft?
Ich hoffe,dass es so ist...
kragenbär

Hi Kragenbär

Es klingt zwar seltsam, aber genau das Gegenteil ist der Fall. Nur so, bekommt man die Funktion kostengünstig drauf.
Dazu muss man wissen, das die Girocard nicht einzeln hergestellt wird, sondern zum Teil Millionen hintereinander.
Wollte man das individuell machen, wäre die Karte jedesmal ein Einzelstück.

Viele Grüße

Holger

Ich denke das der gleiche Chip als für ChipTAN genutzt wird, oder irre ich mich da ?
Somit gäbe es 2 Gründe für die Verbreitung (Seccoder und ChipTAN)
TAN/iTAN stirbt ja scheinbar endlich langsam aus und Schlüsseldisketten sind auch nicht mehr so ganz verbreited, bleibt alternativ also nur noch mTAN wo kein Chip auf der Karte benötigt würde. (nPA lass ich erst mal aussen vor)

Gruß,
Vader