Hi!
Ich bin neu hier im Forum.
Ich muss ein Referat über Onlinebanking PIN/TAN halten. Jetzt zu meiner Frage:
Wird beim Onlinebanking über den Internetbrowser auch der FinTS Standard verwendet? Oder reicht hier die ssl-Verschlüsselung.
Danke

Hi stekna,

du darfst dir FinTS bzw. HBCI nicht als ein Verschlüsselungsverfahren vorstellen. Das HBCI-Protokoll ist an und für sich nur ein Kommunikationsprotokoll, dass vorschreibt, wie die Nachrichten zwischen Bank und Kunde auszusehen haben. Dies lässt sich im Browserbanking nicht realisieren, denn dort gibt es ja schon ein Kommunikationsprotokoll (HTTP/HTTPS). Der Nachrichtenaustausch zwischen Kunden und Server passiert in jedem Fall per HTTPS-Requests und damit mit normaler SSL-Verschlüsselung. Was die Bank im Endeffekt auf Server-Seite damit macht, ist ihre Sache. Es ist durchaus vorstellbar, dass eine Bank die engegengenommenen Nachrichten als HBCI-Nachrichten aufbereitet und an ihren HBCI-Server weiterreicht, aber in der Regel sind Internetbanking und HBCI/FinTS zwei unterschiedliche Bereiche.
Btw. auch HBCI-Pin/Tan aus einem Client-Produkt arbeitet nur mit einfacher SSL-Verschlüsselung. Eine bessere Kryptographie ist bei PIN/TAN einfach nicht möglich, weil sonst auf der Kundenseite zwingend ein Schlüssel hinterlegt werden müsste (Diskette, Chipkarte...). Weil der Schlüssel vor jeder Verbindung neu ausgehandelt werden muss, ist das derzeitige HBCI-PIN/TAN daher auch nicht resistent gegen Man-In-The-Middle-Angriffe (das wird sich hoffentlich mit dem Zweischrittverfahren ändern).

Gruss, Marcel

Ich bin zwar kein Fan von Pin/Tan aber diese Aussage ist mir zu allgemein: Das Risiko einer Man-In-The-Middle-Attack laesst sich naemlich minimieren, wenn die Bank ein gueltiges Zertifikat vorweist, anhand dessen ich dann feststellen kann, ob ich tatsaechlich mit der Bank meines Vertrauens spreche oder mit einem Server in Osteuropa...

Jede Pin/Tan-Software sollte das auf jeden Fall ueberpruefen.

Das Sicherheits-Problem bei Pin/Tan liegt eher woanders: Hier reicht bereits das Wissen der Pin und einer Tan aus, um etwas mit einem Konto anzustellen, und wie die vielen Phishing-Attacken zeigen, scheint das fuer Verbrecher ein eher lohnender Ansatz zu sein


Gruss
Martin

danke für die antworten
was ich aber nicht verstehe ist, dass viele banken ihr PIN/TAN als FinTS PIN/TAN verkaufen. da wird ja dann auch kein schlüssel im programm hinterlegt

doch, das Homebanking-Programm kennt den Schlüssel der Bank (oder des Rechenzentrums) bereits und überprüft den und die Zertifikate natürlich jedes mal. Oft wird auch der Schlüssel vom Betriebssystem verwaltet.

Beim Browser ist es ja genauso, wenn du eine unbekannte verschlüsselte Seite aufrufst, sollte sich der Browser entsprechend melden.

Wichtig dabei ist: Wird die PIN an der Tastatur eingegeben und ist ein Keylogger aktiv, dann ist keine Sicherheit mehr vorhanden. Deshalb ist die Chipkarte für "Paranoiker" und erst recht für Leichtsinnige ohne Virenscanner zu empfehlen. (Die Bequemlichkeit lasse ich mal raus, TANs sind ja auch einfach lästig).

Gruß
Raimund