Hallo,

Hibiscus prüft m.W. die Plausibilität von Kontonummern anhand der Prüfziffer.
Es gibt über 100 Methoden der Prüfziffernberechnung. Ein Verzeichnis darüber, welche Bank welche Methode verwendet, gibt die Deutsche Bundesbank heraus.
Siehe http://www.bundesbank.de/Navig…hnung.html

Doch leider schützt die Plausibilitätskontrolle nicht immer vor Fehlern. Ausgerechnet die Bundesbank verwendet offensichtlich die Methode Nr. 9, d.h. es wird keine Prüfziffer verwendet! :thdown:
Das mußte ich ausgerechnet bei der Zahlung von Einkommensteuern feststellen (und mit Säumniszuschlägen bezahlen). Steuern rechtzeitig überwiesen, aber leider eine Null zuviel in der Kontonummer, Überweisung wurde trotzdem ausgeführt (Hibiscus kann die Plausibilität der Kontonummer ja nicht feststellen), aber ein paar Tage später war das Geld wieder auf dem Konto mit dem Hinweis: Fehlerhafte Kto-Nr. / BLZ. Da ich nicht täglich Kontoauszüge erhalte / abrufe, ist mir das leider erst aufgefallen, als das Finanzamt mahnte. Ich fiel aus allen Wolken!

Also Vorsicht bei Zahlung auf Konten bei der Bundesbank.
Vielleicht könnte Olaf ja noch einen Warnhinweis einbauen, wenn die Plausibilität der Kontonummer nicht geprüft werden kann - für die älteren Herrschaften wie mich, die sich
gelegentlich etwas schwer tun mit der Erkennung einer Serie von gleichen Zahlen am Bildschirm. (Sind das jetzt 6 oder 7 Nullen? Nochmal zählen!)

Aber wahrscheinlich lohnt sich das nicht mehr. Im nächsten Jahr wird sowieso alles anders. Ob's aber besser wird?

Du hast den sachlichen Teil sehr gut und völlig korrekt beschrieben.
Aber ich finde es unfair, das als Verbesserungsvorschlag hier bei Hibiscus zu platzieren. Denn Hibiscus kann ja am allerwenigsten dafür
Es gibt am Markt keine einzige Software, die eine Unterscheidung zwischen den PZ Methoden macht und dann Hinweise ausgibt.
Und mit Warnhinweisen ist das immer so eine Sache. Benutzer fordern das häufig aber ebenso häufig werden diese Hinweise nicht mit einer sinnvollen Reaktion quittiert, um es einfach zu sagen: ignoriert.

Wie du schon sagtest: Mit der IBAN wird sich das ändern, dann wird es einerseits besser, denn die Stellenzahl ist pro Land fest, andererseits schlechter, weil die Prüfziffer auf der gesamten IBAN das einzige Kriterium sein wird, etwas prüfen zu können.

Darf ich mal fragen, mit welchem Sicherungsmedium du arbeitest? Bei mTan und chipTan wird ja die Kontonummer extra nochmal zur Prüfung angezeigt bei der Generierung der TAN.

Ich wollte keinesfalls Hibiscus angreifen (s.o., Hibiscus kann nicht prüfen..), dafür schätze ich die Arbeit von Olaf Willhuhn viel zu sehr.

Ich benutze übrigens eine Chip-Karte in Verbindung mit einem cyber-jack Kartenleser. Klappt unter Linux einwandfrei.

Tja, dann sieht man bei Freigabe die Kontonummer nicht mehr. Selbst Schuld kann man da nur sagen :twisted:

Im Hibiscus Forum sehe ich das nach wie vor völlig Fehl am Platz.
Es ist nun mal so und Hibiscus kann Fehler des Benutzers auch nicht kompensieren.

Ich habe mich an keiner Stelle negativ über Hibiscus geäußert, im Gegenteil.

Selber schuld, wenn ich das bisher sicherste Verfahren benutze?? Seltsame Argumentation.
Abgesehen davon zeigt mir Hibiscus ja auch hier die Überweisungsdaten noch einmal an. Fehler können passieren, aber wenn man sie abfangen kann, sollte man das auch tun. Nicht jeder ist 16 Jahre alt und hat Adleraugen.

Was nützt das subjektiv als sicherstes empfundenes Verfahren, wenn du mit Open Source arbeitest?
Das ist ungefähr wie ein dickes Vorhängeschloss vor einer Tür aus dünnen Holzlatten durch die man hindurchschauen kann.
Seltsame Auffassung :idea:
Sei froh, dass Hibiscus aufgrund der geringen Anwenderzahl kein lohnendes Trojaner-Ziel ist....

Du verwechselst "subjektiv" und "objektiv".

Im übrigen erübrigt bei deiner Denkweise jede weitere Kommentierung. Ich geb dir einen Fisch.

Mitnichten. Denn das ganze Onlinebanking ist nur so sicher wie das unsicherste Glied in der Kette. Meistens ist das der Benutzer. Wenn man den mal ausnimmt ist es der PC bzw. das Handy und direkt danach kommt die verwendete Software. Erst ganz am Ende kommt das Sicherungsmedium. Und das ist nicht subjektiv betrachtet sondern Realität.
Es nützt also nichts, beim unwichtigsten anzufangen und das besonders sicher zu machen und sich in diesem vermeintlichen Schutz zu betten.
Oder hast du schon mal von einem geknackten Sicherungsmedium gehört oder gelesen?

Also Open Source = potentielles Sicherheitsrisiko?
Gewagte These

Bis zu diesem letzten Posting hätte ich wenig bis nichts zu Deinen Standpunkten hier im Thread hinzufügen gehabt.

Ich stimme Dir grundsätzlich auch vollkommen zu, dass HBCI per Chipkarte ein Restrisiko darin hat, daß Du der die Karte ansteuernden Software vertrauen musst, da Du auf dem Kartenleser nicht siehst, was Du freigibst.
Das liegt aber nicht am Medium Chipkarte oder den Lesern (ab Klasse 3), sondern an HBCI. Wenn hier von den Banken endlich SECODER 2 flächendeckend angeboten/unterstützt würde, wo man im Display eines Lesers die Transaktion erneut komplett angezeigt bekommt, wäre die Frage "Was ist der sicherste Weg" eine gewisse Zeit zumindest beantwortet.

Bis dahin ist es "Geschmacksache" bzw. persönliches Vertrauen. Und ich persönlich "vertraue" dem Stand heute nicht angreifbaren Kartenleser mehr als einem weiteren, angreifbaren Device in Form eines Smartphones.

Wobei wir dann zum eigentlichen Thema zurückkommen: Notwendiges Vertrauen und Open Source = potentielles Sicherheitsrisiko?

Ich will hier keine generelle akademische Diskussion über Open Source in Vergleich zu kommerzieller Software anfangen, aber ich denke GERADE in sicherheitsrelevanten Themen kann Open Source durchhaus einen Sicherheitsvorteil bringen.
Gerade bei dem wie oben beschrieben notwendigen Vertrauen in die Integrität der Banking Software. Einer kommerziellen Software, egal welcher, muss ich "blind" vertrauen, bei einer Open Source Variante könnte ich mir über den Source meine Exceutables/Binaries selber bauen und meinem "Vertrauen" eine wesentlich fundiertere Basis geben als bei jeder kommerziellen Software.

Kann man einwenden a) "macht ja keiner" bzw. b) "würde 90% der User" überfordern. (b) stimmt sicher und (a) nahezu auch, aber sie KÖNNTEN, und das allein ist entscheidend.

Zum Punkt a) "macht ja keiner", also alle (inkl. mehr oder weniger mir selber) laden fertige Builds runter und nutzen diese sollte noch ergänzt werden, dass Olaf auch hier extrem sauber arbeitet und zu allen (releasten) Downloads PGP bzw. SHA1 Signaturen anbietet, mit denen man die Integrität der heruntergelandenen Dateiarchive verifizieren kann.

Also ich persönlich finde, das sind überhaupt keine "dünnen Holzlatten durch die man hindurchschauen kann", sondern im Gegenteil ziemlich dicke Bretter

@Michael: Gebe dir Recht. Alles korrekt.

Es ging mir auch weniger um die These "Open Source = potentielles Sicherheitsrisiko" sondern um den Vergleich von "Sicherheit" zwischen einer Software und einem Sicherungsmedium.

Zu behaupten, man sei mit dem sichersten Medium unterwegs und gleichzeitig eine potentiell "einfacher" (weil Sourcen offen) zu manipulierende Software zu verwenden passt nicht zusammen.

Umgekehrt würde ein Schuh draus: Wenn ich als Nutzer weiß, dass ich für Fehler anfällig bin wähle ich das Verfahren, dass sich für mich besser eignet. Und in diesem Fall wäre das mobileTan oder chipTan, weil die Kontonummer zur Bestätigung nochmal angezeigt wird. Und das war ja das Thema hier.
Dies nicht zu tun, weil es angeblich nicht das sicherste Medium ist und stattdessen eine Änderung in der Software zu erwarten ist für mich nicht schlüssig argumentiert.
Das war schon alles, was ich schlussfolgern wollte.

Die Verwendung von HBCI-Software an sich ist schon per se sicher weil exotisch, dass hier die einfachsten TAN-Verfahren noch gute Chancen auf einen Siegerplatz im Statistikvergleich hätten. Und die Kombination Linux und Chipkarte wäre erstmal zu schlagen.

Ja, mal wieder doch eine rein akademische Diskussion.

Um zum eigentlich Thema zurückzukommen, die Erfassungs-Sicherheit der Buchungsdaten: Hier müsste man beim Thema HBCI und auch an anderere Stelle die Verbuchung von Sammelaufträgen verhindern, wollte man die TAN-Verfahren hier als Kriterium einbringen.

Eigentlich kann ich Kittekatzes Wunsch tatsächlich nachvollziehen, dass bei einer fehlenden Prüfziffernprüfung ein Hinweis erscheint. Wäre tatsächlich eine Idee, die man auch bei anderen Programmen keine schlechte wäre.
Aber mit SEPA ändert sich alles. Da der Thread eh durcheinander ist:Wie meinst du das genau? Immerhin ist die Prüfziffer ja zweistellig.

Gruß
Raimund

Damit meine ich, dass man bisher noch die BLZ über den BB-Bestand prüfen konnte.
Ich denke mir, dass dieser separate nationale Bestand ggf. auf Dauer entfallen wird und damit auch die Prüfmöglichkeit.
Dann bleibt nur noch die rein rechnerische Prüfziffer.

Auf Dauer würde man doch sinnvollerweise Kontonummer und BLZ im Inland auch durch IBAN und BIC ersetzen und zwar nicht nur im ZV, oder?

Achso, ja. Die zweistellige Prüfziffer ist meines Erachtens soweit ausreichend, dass eine zusätzliche Prüfung gegen Listen wegfallen kann. Hier könnte es für die Programmierer etwas einfacher werden.

Ob ein BIC sich komplett durchsetzen wird, wird die Zukunft zeigen. Da die BLZ notwendiger Bestandteil der IBAN ist, bleiben uns die BLZ zumindest indirekt immer erhalten. National würde eine IBAN ja auch weiterhin völlig ausreichen.

Gruß
Raimund

http://www.heise.de/security/m…846618.htm


Klar kann man sagen, daß das Problem vor der Tastatur sitzt. Aber damit macht man es sich etwas zu leicht.

Hinten fehlt ein l, dann funktioniert der Link auch:
http://www.heise.de/security/m…46618.html


Nein, macht man nicht. Es ist leider ebenso trivial wie einfach. Wer zu leichtgläubig ist fällt eben drauf rein.
Wenn ich an deine Haustür komme und möchte von dir Geld für Stromlieferung haben ist das die selbe Situation. Wer oder was will dich dagegen schützen, darauf reinzufallen, wenn nicht dein Verstand und deine Intelligenz? Du kannst beim Stromlieferant nachfragen, ob die einen geschickt haben.
Wieso tut das bei einer solchen Mail niemand? Wieso ist in solchen Situationen das Hirn plötzlich ausgeschaltet?

Und eine App für ein Zertifikat? Und dann auch noch durch eine E-Mail veranlasst und nicht durch mich selbst? Ich bitte dich. Wie leichtgläubig muss man denn sein, um das zu installieren?
Es bestätigt einmal mehr meine immer währende Forderung: Mehr Bildung braucht das Land! Internetführerschein sowie eine Schutzversicherung gegen Onlinebetrug für Privatleute halte ich nach wie vor für dringend notwendig.



Anmerkung von klopfer: obnutzer: Achte bitte auf Deine Wortwahl! Doof ist beleidigend und so etwas wollen wir hier vermeiden. Ich habe das Wort ersetzt!