Hallo,

Wie ist das bei einer HBCI-Schlüssel-Datei Auf zum Beispiel einem USB Stick, Wenn man diesen verliert?

Ich rede in diesem Fall von einer Schlüssel Datei mit Passwort.

Wenn diesen USB Stick nun jemand finden würde und vielleicht auch IBAN und BIC des betreffenden Kontos kennen würde:

Könnte ohne Kenntnis des Passworts der Schlüssel-Datei und ohne Zugang zum Rechner mit der Banking-Software irgendein Schaden angerichtet werden?

Zum Beispiel an einem anderen Rechner?

Danke!
H.

solange er kein PW hat, kann er damit nichts anfangen

auf der anderen Seite, warum wird die Datei nicht gesperrt/gelöscht?

//edit: https://vrkennung.de/hbci-mit-…r-sperren/

Wie kann man sie denn löschen, wenn sie auf dem Stick ist, der verloren wurde?
Sorry: bin Neuling.
Und: ist das ein generelles Verfahren oder geht es nur bei bestimmten Banking-Programmen?

geht es um einen aktuellen Fall?

evtl. bei welcher Bank - bitte dort auch schauen
zentral wäre bspw. die Sperrrufnummer 116116 - https://www.sperr-notruf.de/ - idR behilflich

über das webbanking kann man auch div. Sperren durchführen

Aktueller Fall, ja. Aber die Datei hat ein vernünftiges Passwort.
Wenn ich eine neue Schlüsseldatei mit INI-Brief erzeuge, sollte das Problem doch ebenso behoben sein, oder?

Der Rechner, mit den das Banking gemacht wird, ist unzugänglich für dritte.

die Datei wird ja dann ersetzt - somit wüsste ich nicht was dagegen spricht.

Datei(en) wird es jedoch nicht mehr lange geben. (PSD2 - aber das ist ein anderes Thema)


naja - so sicher gibt es kaum

Sehe ich es denn richtig, dass jemand auch Zugriff zu dem Rechner haben müsste, der den USB Stick findet?

Nein. Wenn er herausfindet, zu welchem Bankingprogramm die Schluesseldatei gehoert, kann er es sich installieren und die Datei dort importieren - insofern er das Passwort der Datei kennt. Der Schluessel nuetzt aber nur dann etwas, wenn dessen Hash noch bei der Bank hinterlegt ist. Wenn du fuer die Benutzerkennung jedoch einen neuen INI-Brief erstellst und bei der Bank einreichst, wird die verlorene Datei wertlos. Das ist dann wie ein Schluessel, zu dem das Schloss gar nicht mehr existiert. Wenn eine HBCI-Schluesseldatei nicht sperrbar waere, dann waere das ja auch ohne die neuen PSD2-Anforderungen ein ziemlich unsicheres Verfahren.

Also: Lass den Schluessel bei der Bank loeschen/zuruecksetzen und erstelle dir einen neuen INI-Brief. Problem geloest.

Anmerkungen:
1) Einen neuen Schlüssel einreichen geht bei allen mir bekannten Banken erst dann, wenn man den aktuellen Schlüssel hat löschen lassen.

2) In den meisten Banking-Programmen ist ein sog. "Schlüsselwechsel" möglich. Dabei wird ein neuer Schlüssel erzeugt, dieser eingereicht und die Einreichung mit dem alten Schnlüssel signiert. Der alte Schlüssel ist dann sofort ungültig und der neue gültig. Dies sollte der schnellste und einfachste Weg sein, wenn man noch eine Sicherungskopie des alten (verlorenen) Schlüssels hat. Sollte man sowieso immer haben, da auch der usb-Stick nichts ewiges ist und die Sticks mitunter kaputtgehen.

3) Zum Thema "Schlüsseldatei gibt es sowieso nicht mehr lang" - das kann man so pauschal nicht sagen. Ich habe mich unlängst bei einer meiner vier Banken erkundigt, bei denen ich Schlüsseldateien im Einsatz habe, eine Bank aus dem VR-Lager. Dort hieß es, man habe den Privatkunden die Schlüsseldateien zum 1.12.2018 bereits gesperrt. Für Firmenkunden bleibt allerdings alles beim Alten, es wird weiterhin der Zugang mit Schlüsseldatei erhalten bleiben. Allerdings werden auch für Firmenkunden keine neuen Schlüsseldateien mehr ausgegeben. Und auch bei einem Vereinskonto bei der HVB habe ich bis heute noch keine Abkündigung der Schlüsseldatei erhalten. Zumal bei der HVB auch keinerlei sinnvoller Ersatz existiert. Außer Schlüsseldatei gibt es dort für HBCI nur iTANs von der Liste...

Das hat sich nach aktueller Auslegung erledigt. U.a. Aufgrund des Passwortschutz der Datei

Auslegung hin oder her. Schlüsseldateien sind zwar praktisch, aber das mir großem Abstand unsicherste Verfahren. Schlüsseldatei plus Passwort reicht für einen unbegrenzten Zugriff auf alle Konten des Nutzers. Für einen Trojaner ist es beinahe trivial an beides zu kommen, ohne dass der Anwender das auch nur merkt. Selbst die alten TAN-Listen boten da eine höhere Sicherheit.

ja, aber nicht in der realen Welt - denn TAN am Telefon oder online weiter zu geben ist möglich und das passiert leider regelmäßig.
Von der Signaturdatei habe ich das noch nicht gehört. Zeigt gut, wie Theorie und Praxis auseinandergehen.
Auf die Signaturdatei setzen würde ich aussrücklich nur noch in sehr gut abgesicherten Systemen.
Zum eigentlichen Thema:
Das "Zurücksetzen" der alten Benutzerkennung und neue Einreichung ist nicht bei allen Banken möglich. Hier ist eine neue Kennung nötig.

Das kenne ich eigentlich nur vom Ex-GAD-System - und das ist ja bald Geschichte.
Gibt's noch andere?