Hallo zusammen,

ich hätte heute auch ein paar Fragen.

VRNetWorldCard
-------------
1. Was passiert eigentlich wenn ich den Bankkontakt von einer vorpersonalisierten HBCI Karte lösche? Sind die Schlüssel, welche bei der Produktion aufgebracht wurden ebenfalls verloren? Falls ja, was muss in einem solchen Fall der Kunde einer VB machen? Bekommt er eine neue VRNetWorldCard?

2. Angenommen ich hätte eine VRNetWorldCard und die ursprüngliche Benutzerkennung der VB ist nicht mehr freigeschaltet. Kann ich diese dann als "normale" INI-Brief taugliche RSA Karte für eine andere Bank (z.B. Commerzbank) einsetzten? Würde es rein technisch funktionieren sogar eine VB Benutzerkennung (wo die Schlüssel bei der Produktion schon aufgebracht wurden) und eine INI-Brief generierte Benutzerkennung einer anderen Bank zugleich zu betreiben? Ich frage deshalb nach, da die VRNetWorldCard ein Art "Signaturkarte" ist.

TANs speichern (bei HBCI mit PIN/TAN)
--------------------
Ist es laut HBCI Spezifikation statthaft PIN und TANs in einer HBCI Software zu speichern? In manchen Foren ließt man, dass dies nicht erlaubt sei... Oder handelt es sich hierbei um eine unverbindliche Empfehlung? Ich habe hierzu nicht finden können. In SM ist es (wenn die Datenbank passwortgeschützt ist) möglich.

Gruß
Daniel

Hallo Daniel,

ich werde mal schauen, ob ich Deine Fragen beantwortet bekomme.


Nein, die Schlüssel des Anwenders bleiben erhalten. Nur die Schlüssel der Bank werden gelöscht.


Eigentlich gibt es zwei Möglichkeiten.

1. Der Kunde erhält eine neue Benutzerkennung, die er dann –wenn die Software dies unterstützt – auf die VR-NetWorld Card aufbringen kann.

2. Der Kunde erhält eine neue VR-NetWorld Card (dürfte die Regel sein, da die erste Möglichkeit nicht zu den wirklich bekannten Möglichkeiten gehört)



Wenn ein paar Vorraussetzungen erfüllt sind rein prinzipiell schon.



Auch hier gilt, wenn ein paar Vorraussetzungen erfüllt sind schon.
Im Groben wären das:

- die Software unterstützt mehrere Kennungen auf der VR-NetWorld Card
- die Software ist in der Lage die Versendung des Zertifikates bei der Erstinitialisierung zu unterdrücken, oder die neue Bank akzeptiert das Zertifikat (zur Zeit eher unwahrscheinlich)

Im Zweifel funktioniert die Aufbringung der Bankdaten und die Erstinitialisierung mit dem Datadesign Kernel problemlos.




Zitat aus der FinTS 3. Spec Sicherheitsverfahren PIN/TAN Seite 15:



Die meisten Produkte ermöglichen eine verschlüsselte Speicherung einer PIN und teilweise auch der TANs. In den Fällen wird aber in der Regel auch auf das potentielle Sicherheitsrisiko hingewiesen.

Gruß

Holger

Hallo Holger,

Danke für deine Ausführungen.

Noch eine Frage zur TAN-Speicherung in Kundenprodukten. Ist der §7 nun eine "Empfehlung" oder verbindlich? Es ist richtig, dass bspw. in SM eine Sicherheitswarung kommt, falls man TANs speichern will. Jedoch steht in der Spezifikation nichts davon, dass man PIN bzw. TANs speichern darf wenn die Datenbank verschlüsselt ist.

Oder ist dem §7 genüge getan, wenn ein Sicherheitshinweis erscheint?

Gruß
Daniel

Hallo Daniel,

meine persönliche Einschätzung zu dieser Problematik:

Der § 7 dürfte Bestandteil in der Vereinbahrung Bank <> Kunde sein.

Wenn ein Softwareanbieter die Möglichkeit schafft, die PIN und oder TAN zu speichern, bleibt es immer noch dem Kunden selber überlassen, ob er dies tut oder nicht. (Und damit gegen die Vereinbahrung verstößt).

Damit im Schadensfall sich der Kunde nicht "rausreden" kann, werden die meisten Produkte einen Warnhinweis ausgeben. (Sonst wäre es ja eventuell denkbar, dass hier eine Mitschuld entstehen könnte).

Ich selber denke, dass die Softwarehersteller, mit den Warnhinweisen und der verschlüsselten Ablage der Daten Ihren Teil getan haben, um den Kunden bezüglich der Sicherheitsprobleme etwas zu sensibiliesieren und auch zu schützen, ohne ihn zu entmündigen.

Wenn der Kunde gegen die Vereinbahrung vesrtößt, dann ist es seine Sache.

Ein Automobilhersteller, wird ja auch nicht zur Verantwortung gezogen nur weil jemand entgegen der StVO über die rote Ampel fährt.

Gruß

Holger

Hallo Daniel,

in PROFIcash (und damit auch in Homecash) ist es NICHT möglich die TAN´s für PIN/TAN HBCI zu speichern.

Wir (die Pilotbanken) haben diese Einschränkung sehr begrüßt. Zur Zeit ist nur möglich unter dem alten T-Online-Verfahren die TAN´s zu speichern und das erledigt sich mit der Zeit von selbst....

CU

Udo

.. und noch etwas weiter gedacht: mit der SmartTan erledigt sich auch das Speichern von selbst...