Die Atruvia beginnt chargenweise am 07. Mai mit dem Austausch der öffentlichen Bankschlüssel (RDH-7, RDH-9 und RDH-10, also Chipkarten und Signaturdateien). Man folgt damit den Sicherheitsempfehlungen des BSI.
In den meisten Programmen muss man den neuen Schlüssel der Bank einmal bestätigen, danach kann die Verbindung wieder genutzt werden.

Je nach Bank wurden unterschiedliche Termine vergeben, drei Wochen vor den Termin werden Banknachrichten über HBCI verschickt.

Die Kundenschlüssel sind frühestens irgendwann in 2026 dran.

PIN und TAN-Verfahren sind nicht betroffen!

Gruß
Raimund

Hallo Raimund, was ist genau mit diesem Satz gemeint?

Schlüssel und damit auch Karten mit 1984 Bit Schlüsselstärke müssen dann gewechselt werden.
Bei EBICS wird es demnächst akut, das genaue Datum habe ich gerade nicht im Kopf.

Wäre super, wenn die Atruvia eine komplette Liste der neuen Bankschlüssel-Hashwerte zur Verfügung stellen würde, dann könnte man die Umstellung automatisieren ohne den Anwender damit belästigen zu müssen.

Du hast doch sicherlich den Newsletter für Entwickler, sprich doch den Autor mal an, ob das eine Möglichkeit ist.

Ich frag mich auch, warum der Schlüsselwechsel nicht per se automatisierbar ist, der Profilwechsel auf RDH10 war ja seinerzeit aus Anwendersicht ja auch online möglich, alte Unterschrift unterschreibt neue Signatur. Das ist im Verfahren wohl nicht vorgesehen, nehme ich an.

Hatte ich vergessen, es ist möglich, dass der neue Bankschlüssel mit dem alten Bankschlüssel signiert wird und somit automatisch übernommen wird. Nur wenn der alte Bankzugang nicht mehr vorhanden ist, oder der Kunde einen neuen Bankzugang einrichtet geht das nicht.

Die Atruvia verschickt pünktlich seit heute (drei Wochen vor dem Tausch) die ersten Infos per Institutsnachricht bei den betroffenen Banken und Zugängen.

Da Chipkarten in jedem Fall eine Bestätigung benötigen, wird dies bei den meisten Banken lediglich bei RDH-7 (personalisierte Karte) oder RDH-9 (sogenannte basic-Karte ohne Namensaufdruck) erfolgen.

Gerade von meiner Voba bekommen

Wie sieht es denn bei denn bei bestehenden "Basic" Karten aus. Können die auch längere (2048) Schlüssel speichern?

Die Schlüssel des Kunden werden bei den Chipkarten bereits bei der Produktion auf die Karte aufgebracht und sind nicht änderbar. Bei den Bankschlüsseln wird "nur" der Hash auf der Karte gespeichert
.

Hallo Holger,
danke, ich war der irrigen Annahme der Schlüssel selbst würde auf der Karte gespeichert. Dann sind nächstes Jahr wohl neue Karten fällig.

Ja.
Kann mir jemand den Hash-Wert (Prüfsumme) des neuen Bank-Schlüssels, der seit 14.05.2025 für fints2.atruvia.de:3000 FinTS 3.0 BLZ51390000 verwendet wird sagen?
Ich soll den Hashwert vergleichen oder den Vorgang aus Sicherheitsgründen abbrechen.
Die Experten von der Bank wussten den nicht.

ja genau, glücklicherweise unterstützen viele verbreitete Programme diese Methode.
Es ist wohl so, dass der neue Bankschlüssel nicht nur bei der Sicherheitsdatei, sondern auch bei der Chipkarte von der Software automatisch eingetragen werden kann, sofern der Schlüsselwechsel unterstützt wird. Die Testmöglichkeiten des Rechenzentrums waren sicherlich mangels Hardware eingeschränkt, deshalb war die Info zur Chipkarte nicht perfekt, sondern entsprach einer Neueinrichtung.

oha, warst du da wirklich in der richtigen Abteilung? Die neuen Schlüssel sind ja vorbildlich vom Rechenzentrum Wochen vorher bereits den Banken zugänglich gemacht worden.
BLZ51390000, das ist die Voolksbank Mittelhessen eG, richtig?

Für RDH 9 (unpersonalisierte Chipkarte) lautet der neue 2048bit Hash:
99A93C75E4C922EB70A8AE37314B71EA25F1BB9C3C67E8638DC517F669F73DD9

Für RDH 7 (personalisierte Chipkarte mit Namensdruck):
04963AB7DD407C72A3AFE156DE2A6CB73EEDF9F472404D8A895BDC06E0ADC0F2

Für RDH 10 (Dateiverfahren):
1A52E5D86DC24A56F085AE73B2745B72397D4606F0EAFA1EAB229EF951FCA7F0

Selbst wenn ich "einfach so" den neuen Schlüssel bestätige, halte ich das Sicherheitsrisiko bei einem Bankschlüsselwechsel für extrem gering. Was kann passieren, wenn die richtige Serveradresse eingetragen ist?
Wäre die Bank oder der Weg dahin gehackt, könnte man z.B. Aufträge an die Hacker senden, aber was hätten die davon, außer ein paar ZV-Daten, die man auf anderem Wege wesentlich einfacher bekommen könnte.

Aus "echtem akademischem Interesse": Kennt jemand ein theoretisches Szenario, bei dem ein untergeschobener falscher Bankschlüssel zu einem echten Schaden beim Zahlungsverkehr führen könnte?

Gruß
Raimund

Vielen Dank. Der Hashwert für RDH 10 stimmte überein.
Die Abteilung hatte nur die Mitteilung gefunden, dass es neue Schlüssel gibt. Angeblich ohne Hashwerte.
Das würde mich auch interessieren. Ein paar Daten werden im Klartext übertragenen.
Gruß
Daniel

Hallo Daniel,
der Full-Quote ist nicht nötig, den habe ich deshalb gelöscht. Worauf bezieht sich deine Frage genau?

Als Man-In-The-Middle kann man praktisch alles machen, z.B. das Ziel einer Überweisung ändern oder dem Nutzer anzeigen, dass eine TAN für den Login gebraucht wird, während sie tatsächlich zur Bestätigung einer Überweisung genutzt wird. Aber das Risiko, dass man von soetwas betroffen ist, dürfte bei einem normalen, deutschen Internetzugang zuhause tatsächlich sehr gering sein, da ein Hacker dafür Zugriff auf bedeutende Teile der Infrastruktur haben müsste. Vorsichtig wäre ich nur, wenn ich über irgendeinen dubiosen Zugang im Ausland oder z.B ein unverschlüsseltes Flughafen-WLAN verbunden wäre, aber VPN regelt in solchen Fällen.

Wie sollte das gehen, mit der Zugangs-TAN für eine Überweisung? Bei chipTAN wird im Leser angezeigt, für was die TAN ist. Außerdem müßte die ja die Empfängerkontonummer und Betrag eingerechnet haben - geht so nicht. Und bei pushTAN geht's sowieso nicht weil der Man sicher nicht auch noch in der pushTAN-Verbindung sitzt und kryptografisch gesichert einen Datensatz an die App sendet, der eine Zugangs-TAN vorgibt und in Wirklichkeit eine mit IBAN und Betrag für die Überweisung ergibt.

Die Überweisung im RDH-Verfahren durch die Kundensignatur geschützt, da kann auch ein Man-in-the-Middle nichts dran rütteln. Ein Man-in-the-Middle kann beim Abrufen der Bankschlüssel nur diese durch eigene Bankschlüssel ersetzen. Die Bankschlüssel werden ausschließlich zur Verschüsselung der Daten bei der Übertragung vom Kunden zur Bank genutzt. Diesen Datenstrom könnte man anschließend mithören, aber nicht verändern.

So etwas gibt es im RDH-Verfahren nicht, da wird mir RSA Signaturen gearbeitet.

Wenn ein Hacker der Herausgeber eines als vertrauenswürdig markierten Schlüssels ist, kann er natürlich Daten verändern. Es käme dann ja gar keine Verbindung des Kunden zur Bank mehr zustande, sondern aus Sicht des Kunden ist der Hacker die Bank und aus Sicht der Bank ist der Hacker der Kunde. Dazwischen könnte alles passieren. Wenn ich das richtig verstehe, läuft all das aber auch noch innerhalb einer TLS-Verbindung ab, die ein Hacker natürlich ebenfalls unterbrechen müsste, wofür er dann ein weiteres, gefälschtes Zertifikat benötigen würde.


Deswegen gibt es ja diese Sicherheitsmerkmale. Wenn man auf die Anzeige achtet, macht das einen erfolgreichen Angriff natürlich unwahrscheinlicher.


Wenn du hier vom Homebanking mittels Chipkarte redest, hast du Recht. Eine Smartcard-Signatur lässt sich nicht fälschen, und ist deshalb tatsächlich sehr sicher. Aber wer nutzt das heutzutage noch und welche Bank bietet das überhaupt an? Ich muss sagen, ich bin da recht standardmäßig unterwegs, mit Secure-App auf dem Handy.