Auszug eines Schreibens der Saalesparkasse vom 28.06.2018:
Sehr geehrter...
im November 2016 hatten wir Ihnen ein neues Produkt "HBCI - die neue Generation" angekündigt. Zwischenzeitlich wurde in den Gremien entschieden, das Sicherheitsverfahren HBCI weder in der neuen Generation noch in der von Ihnen (HBCI-Chipkarte) genutzten alten Generation weiterzuentwickeln.
Wir kündigen die mit Ihnen geschlossene "Rahmenvereinbarung über die Teilnahme am Online-Banking" im Bezug auf das im Punkt 7 vereinbarte Signaturverfahren mit Chipkarte (HBCI) und die Bereitstellung von Chipkarten zum 31.12.2018.
Wir bitten Sie, sich mit den alternativen Sicherungsverfahren vertraut zu machen. … Die Saalesparkasse wird das HBCI-Verfahren generell zum 31.12.2018 einstellen.

Was bitte ist denn jetzt los? Stimmt etwas nicht mit HBCI? Betrifft das jetzt auch andere Banken? Oder stirbt das HBCI-Verfahren aus?

forum/topic.php?t=22013

Hintergrund dürfte die (EU) / PSD2 sein, die eine starke Kundenauthentifizierung fordert.
Die Datei sowie die Karte können dies nicht erfüllen.
siehe auch: forum/topic.php?t=21712 bzw. https://www.reiner-sct.com/upgrade

Hallo Zusammen,

zunächst mal muss man Wissen was mit HBCI gemeint ist. Es ist nicht das Übertragungsverfahren HBCI gemeint, welches heute korrekt FinTS heißt. Unter FinTS spricht man von HBCI, wenn man die signaturbasierten Verfahren meint (Schlüsseldatei und Chipkarte).

Die starke Kundenauthentifizierung ist bei der Chipkarte gegeben, bei der Schlüsseldatei in der heutigen Form nicht, da die Nichtkopierbarkeit nicht gegeben ist und damit der Faktor Besitz nicht erfüllt wird. Da die PSD/2 aber Ausnahmen zulässt, wenn ein vergleichbares Sicherheitsniveau erreicht wird, ist auch das Ende der Schlüsseldatei (noch) nicht besiegelt.

Die Sparkassen haben keine Schlüsseldateien, daher sind nur die Chipkarten von Interesse. Und hier greifen technische Anforderungen, die ab 2021 (glaube ich) greifen. Ab da ist das Verschlüsselungsverfahren DES wohl nicht mehr zulässig. Da die Chipkarten der Sparkassen auf DES aufsetzen, sind die damit ab da raus.

Wenn man dann noch die Pflicht zur Visualisierung hinzu nimmt, gibt es bei der Verwendung der Visualisieurng im Secoder und der Visualisierung bei ChipTAN USB für den Anwender keinen echten wahrnehmbaren Unterschied mehr. Damit stellt sich vermutlich die Frage, ob man unter diesen Rahmenbedingungen dann wirklich noch eine Chipkarte benötigt.Vielleicht ändert sich da noch mal was, wenn sich Rahmenbedingungen noch mal ändern (bzw. deren Auslegung).