Ich habe heute einen Newsletter der Commerzbank erhalten, dem man folgende Informationen entnehmen kann:


Online-Banking - jetzt noch sicherer
Im Internet sind viele Betrüger unterwegs. Technisch bestens ausgerüstet, arbeiten sie mit allen Tricks. Die Banken haben ihre Sicherheitsstandards deshalb wieder erhöht - allen voran die Commerzbank. mehr ...Infos zu iTAN der Commerzbank

Das nur zur Info, falls Ihr diese Info noch nicht hattet oder Fragen bei Euch aufschlagen...

Hallo Udo,

ist die Info nicht besser bei den allgemeinen Infos aufeghoben? Dass die CoBa die iTAN für HBCI oder FinTS anbietet, ist auf deren Seiten nirgends zu sehen!?

Gruß

Holger

Ich habe dann mal verschoben - hast Recht.

@Holger: danke für den Hinweis

Bislang bietet die CoBa HBCI+ mit PIN/TAN noch gar nicht an, nur HBCI mit RDH (Schlüsseldatei oder Chipkarte). Ich hoffe sehr, dass sich das bald ändert...

Dem kann ich mich nur anschließen....die Nachfrage auf Kundenseite ist diesbezüglich sehr gross!
Gruss
Tobias
www.OutBank.de

Ich hoffe doch nicht! Wenn die ohne PIN/TAN bisher zurecht kamen, würde ich den Schritt zurück auf ein sterbendes Verfahren nicht mehr gehen.

Gruß

Holger

Wieso "sterbendes Verfahren"?
AFAIK arbeiten einige andere Banken daran (endlich) HBCI/PinTan einzuführen und
es kommen auch immer wieder neue Institute hinzu (s. Comdirect).
Gruss
Tobias

Hallo,

ich würde HBCI+ mit PIN/TAN nicht als sterbendes Verfahren sehen. Im Gegenteil, es findet immer mehr Verwendung. Und meiner Meinung nach ist es auch sicherer als RDH mit Schlüsseldiskette wo meine einzige verbleibende Sicherheit das Passwort der Schlüsseldiskette ist.

Aber richtig wichtig ist es für Tobias und mich wegen unserer Kundschaft: Mobile Banking geht halt nicht nicht Chipkartenleser und auch mit Schlüsseldatei ist es nicht immer möglich.

Hallo Andreas,

klar PIN/TAN in der "alten" Form ist einfach und bequem und für euch als Anbieter von Mobilen Lösungen wahrscheinlich interessanter als Diskette oder Chipkarte. Aber PIN/TAN ist für mich am sterben. Die ganzen Neuerungen mTAN eTAN und iTAN und wie sie alle heissen, sind für mich nur noch künstliche Beatmungsmethoden um das Sterben eines weit verbreitenden Verfahren künstlich hinaus zu zögern.

Bei der RDH Diskette sehe ich das nicht ganz so pauschal wie Du! Die Frage ist immer wo für mich die Sicherheit liegt, beim Verfahren, oder beim Medium. Bei letzteren, hast Du recht, wenn es um das unbemerkte Kopieren geht, in anderen Szenarien (MiM) ist die Diskette dem HBCI oder FinTS mit PIN/TAN (HBCI + gibt es nicht!) immer noch überlegen.

Gruß

Holger

Als Ergänzung:
Warum sterbend?
Ganz einfach. Ich bekomme das Verfahren PIN/TAN gegen Angriffe nicht sicher, ohne das das Verfahren deutlich komplizierter wird und damit seinen größten Vorteil gegenüber anderen Verfahren verliert. (Bereits an der iTAN, die ja relativ einfach zu verstehen ist, scheitern bereits viele Anwender ! Und die iTAN ist sicher nur ein Zwischenschritt! Spätestens wenn die ersten Trojanischen Pferde sich auf den Angriff auf die iTAN spezialisert haben, wird die nächste Runde eibgeleitet! Schaut euch einfach die neue ZKA Spec FinTS 3.0 Zweischrittverfahren an.) Klar wird das Aussterben nicht in den nächsten ein oder zwei Jahren erfolgen, aber der Totengesang ist bereits angestimmt!

Gruß

Holger

Hallo,

worauf ich hinaus wollte: Es ist nahezu trivial einen Trojaner zu schreiben der neben dem Passwort auch gleich die Schlüsseldatei zum Hacker schickt. Mich wundert nur, dass es bislang noch keiner gemacht hat.

PS: Ja, HBCI+ ist kein offizieller Begriff aber im Sprachgebrauch doch wesentlich handlicher als die Wortungetüme des ZKA. Im Wiki ist der Begriff "HBCI+" erwähnt, aber die wenigsten wissen wer diesen Begriff erstmals eingeführt und geprägt hat Ich jedenfalls verwende ihn gern

Übrigens, mit der Einführung des iTAN-Verfahrens funktioniert das Screenscraping auch nicht mehr (zuverlässig) und langfristig werden Kunden nur noch die Internetseite oder das HBCI-Verfahren verwenden können. Was die StarMoney-CoBa-Edition in Zukunft unterstützen wird, werden wir dann sehen.

Hi Andreas,

das in dieser Form noch kein Angriff auf eine Schlüsseldatei erfolgt ist, dürfte verschiedene Gründe haben. Der Hauptgrund ist wohl, dass mehr als 80 Prozent der Anwender PIN/TAN verwenden (Ansonsten würde wohl auch nicht soviel Aufwand betrieben werden, um das Verfahren am Leben zu halten ). Dann lohnt es sich auch mehr, einen Browser mit gleichen Marktanteilen anzugreifen, als verschiedene Kundenprodukte, die nicht im Ansatz auf diese Verbreitung kommen. Alles eine Frage von Aufwand und Nutzen.
Die Mühe mit dem Passwort mitschreiben würde ich übrigens erst gar nicht machen! In Zeiten schneller Rechner, bekomme ich dass Passwort auch mit eienr Brute Force Attacke raus....

Gruß

Holger

nicht wirklich, das dauert zu lange. Wenn man eh auf dem Rechner ist und die Maschine unter Kontrolle hat, dann ist der Keylogger sicherlich weniger Aufwand - und dazu noch schneller.

Sicher ist das der Hauptgrund, aber als Sicherheitsvorteil gegenüber PIN/TAN/iTAN würde ich das auf gar keinen Fall sehen, denn Zeiten ändern sich und willst du bei Nutzung von 80% Schlüsseldatei dann sagen:"Hey, jetzt ist PIN/iTAN wieder sicherer!", weil es kaum einer nutzt?

PIN/TAN wird erst zurückgehen, wenn sich andere Medien wie z.B. digitale Signatur aufgrund eines Mehrwertes im Markt durchsetzen, aber dann wird die praktisch nicht vorhandene Schlüsseldatei noch schneller in der Versenkung verschwinden...

Ich glaube nicht das es einen Nachfolger von PIN/TAN geben wird.
Man darf aus den Sicherheitsüberlegungen nicht den Kunden streichen, der erwartet und braucht noch immer ein kostengünstiges, (relativ) einfaches und mobiles Sicherungsmittel. Ein großer Teil des PIN/TAN nutzenden Kundensegmentes macht das Banking eben nicht zuhause.....

Und es gibt Mittel und Wege das PIN/TAN System auch gegen Man-in-the-Middle zu schützen, dazu muss nicht mal was wirklich neues erfunden werden.