Hallo!

Ich hatte mich hier im Onlinebanking-Forum angemeldet, ohne zu wissen, dass es mittlerweile Onlinebanking-Hilfe ist.

Ich hoffe, meine Frage geht nicht zu allg. ueber das eig. Onlinebanking hinaus - falls doch, vllt. kennt jmd ein Forum, in dem mir besser geholfen werden koennte.

Also:

Bei mir steht eh grad ein Bankenwechsel an.
Derzeit bin ich bei der Deutschen.
Dort sind mir allerdings die Gebuehren zu hoch.

Ich suchte zuerst nach gehaltsunabh. kostenlosen Girokonten bei anderen Banken.
Die 1822direct und die DKB fand ich nur - diese bieten aber HBCI mit DDV1.
Da ich auf moeglichst hohe Sicherheit setze, moechte ich wenigstens RDH5 oder noch besser gleich Signaturkarte nutzen (werde mir den Reiner e-com Kl. 3 holen).

Habe zwar die Listen im Netz gefunden, auf denen RDH5-Banken stehen, aber das sind wirklich viele!

Bevor ich von allen die Bank-Websites finde und mich erstmal ueberall durchklicke:
vllt. hatte hier jmd gl. Anford. und kennt mittlerweile eine Bank fuer wenigverdienende Nichtstudenten mit obiger Vor., bei denen EU-Ueberweisungen und Dauerauftraege etc. kostenlos sind und monatlich keine 4 EUR zu berappen sind.

Bei den ueblichen Bankvergleichsseiten stehen leider nie die techn. Details!

Danke!

Gruss,
der Uli

Hallo Uli,

hier im Forum gibt es keine Preisvergleiche oder Bankempfehlungen.





wie bitte? Du widersprichst Dir selbst, denn IMO ist das doch ein fairer Preis (und nein, ich arbeite nicht bei der Dt. Bank).



HBCI mit DDV-Chipkarte ist *nicht* weniger sicher als HBCI mit RDH-Chipkarte. Und ein Klasse-3-Leser bringt Dir zumindest derzeit keinerlei Sicherheitsvorteile beim Online-Banking im Vergleich zu einem preiswerteren Klasse-2-Leser.

Ich versteh' Dich nicht: einerseits nimmst Du eigentlich unnötige Mehrkosten für einen Klasse-3-Chipkartenleser in Kauf, dessen Display Dir zumindest derzeit beim Online-Banking nichts nützt, aber andererseits wegen der paar Euro Kontoführungsgebühren die Bank wechseln wollen... :roll:

Otto

Hallo Ulli,

welchen Sicherheitsvorteil hat den deiner Meinung nach das RDH5 Profil im Vergleich zu DDV (3DES)?

Hallo,

danke schonmal fuer die Anworten.

@ottoager:

Also bei der Deutschen sind es mehr, so an die 5,50 EUR oder so - die 4 EUR sind fuer das VR-Net Konto, welches das bisher guenstigste fuer RDH5 war, das ich so gesehen hatte (aber muesste ja noch zig andere anschauen).

Den Kl. 3 Leser kaufe ich auch aus and. Gruenden - will allg. mal mit eig. Signaturkarten spielen, wenn ich "schon eh irgendnen Leser kaufen muss".

@Captain:

RDH5 ist das einzige mit 2048 bit Schluessellaenge, wenn ich das richtig gel. hatte.
Gut, 1024 wuerden es wohl auch erstmal tun fuer sowas wie Privatkundenbanking - in der Liste von hbci-zka.de scheinen die meisten nicht-DDV-Banken aber eh auch RDH5 machen zu koennen - also nehm ich gleich, was ich kriegen kann, denke ich mir. Noch besser waeren wie gesagt Signaturkarten gleich beim Banking.
Wenn ich das richtig verstanden hab, machen das nur 1-2 Banken in D? (Vorsicht, hier nur Halbwissen)

Danke!

Nicht nur hier!!
Länge ist nicht alles. Aufgrund des vollkommen unterschiedlichen Ansatzes ist ein kurzer DDV-Schlüssel genauso sicher wie ein langer RDH.

Meine ganz persönliche Einschätzung:
Bevor du mit Sinaturkarten rumspielst und Geld für eine Kl3-Leser rauswirfst (Die Kohle gibst du dann besser für Bankgebühren aus ...), solltest du ein wenig Zeit für das Sammeln von Grundwissen investieren.

CU

Frank

Ich weiss, was du meinst - bei mir kommt aber auch noch dazu, dass es ich mich bei der sinnvolleren Mischung von symm. und asymm. Verfahren, wie z.B. auch bei SSL, schlicht sicherer fuehle, da ich mich auf eine Sache weniger verlassen muss. Beim rein symm. DDV bin ich nunmal gezwungen, anzunehmen (im Sinne von: darauf vertrauen), dass das Schluesselexemplar der Bank immer nur dort bleibt, wo es zu sein hat.
Faellt im RDH-Fall der Schutz des privaten Bankschluessels, schadet mir das immerhin noch weniger (in weitaus weniger Szenarien), als wenn zusaetzlich mein privater entkaeme.

Soviel Vertrauen musst du in die IT der Bank schon haben, völlig losgelöst davon ob du überhaupt mit Online-Banking arbeitest oder nicht. Das Problem des Beweises wer es war ist bei DDV nicht ganz klar, da es zwei anstatt nur einen möglichen Partner wie bei RSA gibt. Das Problem ist aber rein theoretischer Natur.

Wenn die Geheimhaltung der Schlüssel bei DDV in Gefahr ist, hast du weniger ein Problem als dein Bank. Das ist ein mögliches Todesurteil...

Nur so als Denkansatz:
Bankkarte schon vernichtet? E-Mail Konten gelöscht? Online-Shopping aufgegeben? Jede PIN ist im übertragenen Sinn ein symetrischer Schlüssel...
Und nirgends mehr manuell unterschreiben, eine nachgemachte Unterschrift ist wesentlich einfacher zu erzeugen und führt relativ leicht zu Schäden, je nach Qualität.

@ Ulli:
Das mit dem Halbwissen nehme ich dann hiermit zurück. Ich hatte dich für jemand auf Computerbild-Niveau gehalten, der nur die Schlüssellängen gesehen hat. Sorry!

In der Sache hat Cap alles gesagt. Ich hab noch einen dazu: Der Hersteller des Schließzylinders kann jederzeit deinen Haustürschlüssel nachmachen und in deine Wohnung marschieren. Hast du die Haustür schon zugemauert ? Hoffentlich hast du nie einen alten Fiat Panda oder einen Golf 1 gefahren. Für beide gab es seinerzeit nämlich genau 2 (in Worten zwei) unterschiedliche Schlösser. Das war sehr praktisch, wenn man seinen Schlüssel im Auto eingeschlossen hatte. :thup:

CU
Frank

OT: Ne, oder?

Ich dachte beim Golf wäre der einfachste Weg immer der halbe Tennisball gewesen

Hallo Captain



das mit dem halben Tennisball kannte ich nur vom Mercedes.

Gruß

Holger

@Captain:

> Bankkarte schon vernichtet? E-Mail Konten gelöscht? Online-Shopping aufgegeben?

Nein. Zusammenhang?
Sehe ich so spontan nur bei Online-Shopping im Fall von Lastschrift. Oder was soll hier gemeint sein?
Fuer E-Mail gibt es PGP/GPG.
Bei der Bankkarte komm grad nicht auf den Trichter - oder werden PINs bei der Bank-IT etwa im Klartext gespeichert?

@Fellini:

K.T., kann schnell mal passieren - ich haette ja auch mehr zur Motivation schreiben koennen.

@all:
Eig. geht es hier aber mehr um konkrete Banken.
Eine Empfehlung fuer RDH habe ich bereits per PN erhalten.
Ich verstehe, dass im Thread nicht so viele Empfehlungen gerne stehen - PNs also weiterhin willkommen.

Bisher wurden Signaturkarten-Banken hier noch gar nicht angesprochen ausser von mir. Da kann mir also nun aber wirklich keiner sagen, dass da nur ein theoretischer Vorteil entsteht - immerhin kann ich da die Bankingsoftware eher noch auf der Platte lassen.

Lese also weiterhin noch gerne zu Banken, die tats. Signaturkarten f. meine obigen Zwecke nutzen.
(aber nat. auch zu RDH-Banken mit obigen Bed.)

Danke schonmal und nochmal allen, die sich hier im Thread und/oder PN beteiligen!

EDIT: typos

Nein, aber überall wird symetrisch verschlüsselt bzw. besser authentifiziert. Das Passwort ist also auch hier beiden Seiten bekannt. Somit ist auch hier das Problem der Beweiskraft "wer hat eine Aktion ausgelöst" vorhanden.

zu den Banken mit Signaturkarten:
Von welcher Signatur sprichst du genau? Alle heutigen Lösungen mittels HBCI (im engeren Sinn nicht PIN/TAN) basieren auf Signaturen. Nichts anderes wird von dir z.B. mittels Chipkarte erzeugt. Die Signaturen sind allerdings nicht die, die im Signaturgesetz beschrieben sind. Es handelt sich um bilaterale Verfahren zwischen dir und der Bank auf Basis der HBCI/FinTS Spezifikationen der Gemeinschaft der Bankenverbände (ZKA). Man nennt sie daher auch Bankensignatur(karten).

Eine fortgeschrittene oder qualifizierte Signatur nach Signaturgesetz kann Stand heute nicht mit der einheitlichen Schnittstelle HBCI/FinTS genutzt werden. Dafür ist IMHO nie bzw. besser bisher keine Spezifikation erschienen.

Allenfalls kann eine solche Lösung über ein System genutzt werden, dass nicht auf HBCI/FinTS basiert, somit scheidet jede Online-Banking Software aus. Angedachte Lösungen bzw. welche die sich aktuell tatsächlich in der Umsetzung befinden, werden daher zunächst nur über die Web-Portale der Banken nutzbar sein.

Und nicht vergessen:
Eine nach SigG qualifiziert signiertes Dokument ist nicht ganz unkritisch für dich. Eine qualifizierte Signatur hat aus dem Gedächnis den Nachteil der Beweislastumkehr zur Folge. Bei Streitigkeiten musst du also nachweisen, das die Signatur eben nicht von dir geleistet wurde.

zu den Banken:
In meinem Kopf schwebt als fertige Lösung mit fortgeschrittener Signatur nach SigG bisher nur die Lösung über das Banking-Portal der Deutschen Bank herum. Andere -fertige- kenne ich derzeit nicht.

Hallo Zusammen,

soweit ich die Diskussion verfolgt habe, mischt ihr diverse Informationen, die eigentlich für sich stehen sollten.

Sicherheit:
Vom Algorithmus her gilt die DES Verschlüsselung (bei entsprechender Schlüssellänge) vom Verfahren her nicht hackbar.
Beim RSA Verfahren, weiß man hingegen sehr genau, wie man das Verfahren hacken kann. Hier reicht aber die Erhöhung der Schlüssellänge aus, um den Aufwand für das hacken so hoch zu schrauben, dass es nachweisbar nicht möglich ist, die Daten mit vorhandenen Mitteln zu hacken.

Der Vorteil am RSA Verfahren ist:
1 Die Möglichkeit eine elektronische Unterschrift eindeutig einem Partner zuzuordnen. Das geht beim DES Verfah-ren nicht! (Natürlich geht es beim DES Verfahren im 1:1 Verhältnis Bank Kunde, da die Bank salopp gesagt weiß, Sie hat nicht unterschrieben, also war es der Kunde. Nur in 10 Jahren kann ein Außenstehender das nur anhand von Beweisketten nach verfolgen)

2. Die Möglichkeit zusätzliche Partner für den Austausch von Nachrichten aufzunehmen ist durch die unproblematische Weitergabe der öffentlichen Schlüssel deutlich einfacher.

3. In dem Fall, das ein Schlüssel kompromittiert wurde, ist der Austausch dieser Schlüssel wesentlich einfacher als beim DES Verfahren.



Die Aussage, dass überall symetrisch authentifiziert wird halte ich für gewagt! Verschlüsselt : sehr wahrscheinlich



Auch das ist nicht so ganz richtig, allerdings auch nicht so ganz falsch.
Prinzipiell könnte man theoretisch die Schlüssel einer qualifizierte Signaturkarte, bzw. eine fortgeschrittene Signaturkarte durchaus für HBCI nutzen, da die dahinter liegenden Verfahren/Methoden identisch sind. Scheitern tut das im Moment daran, dass in den Softwareprodukten bisher nur der Authentifizierungsschlüssel angesprochen wird und nicht der Signierschlüssel (aus gutem Grund).

Das eigentliche Problem warum eine Bankensignaturkarte nicht als offene fortgeschrittene Signatur, oder als qualifizierte Signatur genutzt werden kann, liegt aber nicht an den Schlüsseln direkt, oder daran dass es in HBCI nicht geht (in FinTS ist neben dem Sicherheitsprofil auch die Sicherheitsklasse definiert, die durchaus eine fortgeschrittene bzw. eine qualifizierte Signatur vorsieht), sondern an der fehlenden policity die für offene Signaturen vorgeschrieben sind. Das fängt mit so etwas trivialem an, dass ein anderer die Möglichkeit haben muss, zu prüfen, ob die Signatur gültig ist. Das ist in HBCI/FinTS nicht vorgesehen.



Ja, den Aspekt vergessen fast alle, oder kennen ihn nicht!
Gruß

Holger

Das war schlecht formuliert von mir.
Das überall passt hier nicht, ich bezog mich eigentlich auf meine Beispiele oben, auch wenn sie nicht ganz treffend sind. So Sachen wie ein allgemeines Passwort eben, eine Karten-PIN einer Bankkarte und ähnliches. faktisch ist hier die PIN/das Passwort ebenfalls beiden Parteien bekannt und somit haben wir die gleiche Problematik der Beweisführung wer Signiert hat wie beim DDV Verfahren auch.

Was ich sagen will:
Das DDV Verfahren setzt auf Vertrauen in den Partner,klar. Nur kann ich ohne dieses Vertrauen die gesamte Geschäftsbeziehung vergessen, da sie aus mehr als nur dem Signatur- und Authentifikationsverfahren der Chipkarte für Online-Banking besteht.

Hi Captain



daher fand ich die Mischung der vielen Argumente und Basisinformationen auch nicht so zielführend. So ist die eigentliche Aussage nämlich untergegangen:
Egal ob RSA oder DDV beide Verfahren sind nach aktuellem Stand der Technik als sicher einzustufen.

Bei DDV gibt es vom Verfahren her das Problem, das eine eindeutige Authentifizierung über die Schlüsselzuordnung nur Möglich ist, wenn die Prozesse eine 1:1 Zuordnung gewährleisten und es sichergestellt ist, dass die Schlüssel nicht kopiert werden können. Und das wird bei den Banken, die auf das DDV Verfahren setzen so sein, da sie sonst sicherlich ihre Zulassungen und Zertifikate schneller loswerden würden als man gucken kann.

Beim RSA Verfahren ist das Problem, das die Schlüssellänge beim aktuellen Anstieg der Rechenleistung immer weiter erhöht werden muss, damit die verwendeten Schlüssel an sich sicher bleiben. Daher arbeiten derzeit die meisten Banken an einer Einführung von FinTS 3.0 damit die größeren Schlüssellängen genutzt werden können.

(Bei RDH 5 sind Schlüssellängen von 1024 - 2048 Bit erlaubt. Genutzt werden nach meinem Kenntnisstand derzeit Längen von 1024 - 1536 Bit. Angeblich sollen auch Kartten mit 19xx Bit im Umlauf sein. Mehr als 19XX Bit gehen mit der aktuellen Chipkarten auf Basis SECCOS 5.0 nicht)

Gruß

Holger

Kommando zurück: Ich ab VW unrecht getan. Es war neben dem Panda der Renault5.
Quelle: Mein Sohn, seineszeichens KFZ-Mechatroniker (so heißen die jetzt).

zurück OnTopic: Wir driften hier gerade in eine hochgradig fachchinesiche Diskussion ab. Für mich ist und bleibt fürs Banking Fakt: HBCI mit Karte ist - egal mit welchem Verfahren - das Beste, was die Bank und der Kunde Stand heute mit vertretbarem Aufwand an Sicherheit einbringen können. Macht gedanklich den Vergleich mit der Unterschrift auf Papier und füttert nicht die Paranoiker (Anwesende sind damit ausdrücklich nicht gemeint!). 100% sicher ist nur der Tod.

CU
Frank

Off-Topic und nur der Vollständigkeit halber: Passwörter, PINs etc. werden i.d.R. nicht im Klartext gespeichert, sondern mit einem Einweg-Hash-Verfahren verschlüsselt. Eine Rückgewinnung des Passworts aus diesem Hash ist nicht möglich (zumindest ist der Ansatz der, dass eine Rückgewinnung seehr teuer ist). Der Vergleich mit dem vom Nutzer gelieferten Passwort funktioniert einfach so, dass auch das eingegebene Passwort mit dem gleichen Algorithmus (Einweg-Hash) verschlüsselt wird und geprüft wird, ob dieses Ergebnis mit dem serverseitig gespeicherten Wert übereinstimmt. Ein Verlust der serverseitig gespeicherten (verschlüsselten) Passwörter wäre also nicht soo schlimm, vor allem "kennt" die Server-Seite ein Passwort nicht (zumindest nicht, wenn die entsprechenden Richtlinien richtig umgesetzt wurden).

Anders bei DDV: Die Kartenschlüssel selbst können natürlich auf Server-Seite nicht mit einem solchen Einweg-Hash-Verfahren verschlüsselt abgespeichert werden, denn sonst könnte man sie ja nicht mehr verwenden. Natürlich könnten diese Schlüssel ebenfalls "irgendwie" verschlüsselt auf dem Server liegen, aber es muss eine mathematische Methode der Entschlüsselung geben, denn sonst wären die Schlüsseldaten nutzlos.

(In Wirklichkeit ist es sogar noch "gefährlicher", wenn ich nicht irre: es gibt eigentlich nur EINEN Master-Key auf Bankseite, aus dem anhand einer ID, die auf der Chipkarte steht und die im HBCI-Protokoll mit übertragen wird, der individuelle Kartenschlüssel errechnet werden kann)...

-stefan-

Hallo Leute,

danke fuer die interessanten Beitraege - jetzt weiss ich wieder mehr als ich aus dem Forenlesen ein paar Tage vor dem ersten Posting raus hatte.

bzgl. Vgl. mit Online-Shopping:

@Captain:

> Das Passwort ist also auch hier beiden Seiten bekannt. Somit ist auch hier das Problem der Beweiskraft "wer hat eine Aktion ausgelöst" vorhanden.

Klar, da haette ich mich schon immer ueber ein Public/Private Prinzip gefreut - nur wie will man einen Standard in die Web-Bestellschnittstellen aller Firmen integrieren? Auf lange Sicht ist sowas bestimmt machbar - bisherige Ansaetze haben anscheinend bisher nicht gefruchtet.
Und keine Firma laesst jede Bestellung individuell per PGP-Mail von einem Mitarbeiter einlesen und verarbeiten.
Die an dieser Stelle denkbaren Kombinationen per E-Mail sind nur krumme Kompromisse (vllt. eine HTML-Ergebnisseite am Ende des Bestellvorgangs als Anhang der Mail? - ist auch doof) - aber jetzt entfuehr ich ja meinen eigenen Thread...

Es geht aber ja nicht darum, dem Geschaeftspartner in seiner Ehrlichkeit zu vertrauen, sondern dass Passwort / PIN / Schluessel nicht kompromittiert wird.

@Holger:
> ...und es sichergestellt ist, dass die Schlüssel nicht kopiert werden können. Und das wird bei den Banken, die auf das DDV Verfahren setzen so sein

Ja, aber genau _darauf_ muss man ja vertrauen - und an dieser Stelle kann die Bank ja auch ungewollt Mist bauen! Bei RDH besteht dieses Risiko halt nicht, da gibt es insgesamt weniger gefaehrndende Szenarien (hab ich schonmal was zu geschrieben, aber sieher auch unten).

@kleiner77:

Exakt!
Deswegen moechte ich auch kein DDV (s.o. und in oberen Postings von mir).
Klar, man muesste auch den Online-Bestellseiten vertrauen, dass die keine Klartext-Passwoerter speichern - aber das normale PIN/Passwort-Ding ist ja eben eh nicht so toll (s.o.).
Wenigstens im Bankingbereich moechte ich daher die Moeglichkeit von privaten Schluessseln nutzen.
Vielleicht ist das jetzt einigen klarer (haette allerdings nicht gedacht, dass man durch meine eig. kleine Anfrage hier erstmal ueber all sowas reden muss - aber so lernen wir ja alle dazu, dazu gibt es ja Foren).

bzgl.: Signaturkarten:
Genau, ich mein die nach SigG - hatte bisher im Forum den Eindruck, dass das bei dem Begriff klar ist, dass man nicht die Chipkarten fuer DDV oder RDH nach HBCI/FinTS meint, daher schrieb ich das nicht extra.
Ausserdem "verlangte" ich ja immer RDH _oder_ SIgnaturkarte, IIRC - jedenfalls behauptete ich nie, Signaturkarten im Rahmen von HCBI/FinTS nutzen zu wollen (dass das nicht geht, war mir auch klar - warum schrieb ich sonst, dass mein Halbwissen ist, dass es erst 1-2 Banken mit sowas gibt?), aber nen Kl. 3 Leser brauch ich doch dann trotzdem.

Es gibt da also was von der Deutschen Bank dafuer, das ist interessant und mal was Konkretes. Dass die versch. Onlinebanking-Softwares damit nicht klar kommen, wusste ich allerdings nicht.
Da frage ich mich aber, wie die das denn machen, dass der Webbrowser mit dem Kartenleser bzw. der Prozessorkarte ueberhaupt komm.! Liefern die nen Browser-Plugin? Hoffentlich kein Java-Applet...

Gruss,
der Uli

PS: Danke nochmal bei allen fuers Mitmachen, ihr seid klasse!

EDIT:
Bei den Webseiten der deutschen Bank steht wohl, dass man fuer die SignaturCard ne extra Software braucht, basierend auf der Java-Laufzeitumgebung - damit waere es wenigstens multiplatform-faehig. Zusaetzlich benoetigt man wohl aber Java im Browser.
Damit hat sich das fuer mich erledigt bei der Deutschen. Kennt jmd ne andere Bank mit Signaturkarte nach SigG, die komplett ohne Java auskommt?

Was steckt denn hinter Onlinebanking-hilfe.de? Weiß es jemand?

g.h.

Laut Denic:

Domaininhaber: Peter G...

Edit von Raimund:
Adressdaten des Inhabers aus Datenschutzbedenken entfernt (bin nicht sicher, ob eine Veröffentlichung hier so ok wäre)
Daten kann jeder bei der www.denic.de abrufen.