Hallo,

um einige Themen ist es in letzter Zeit recht ruhig geworden. Vielleicht hat jemand ein paar neuere Erkenntnisse.

Geldkarte aufladen
-------------------
Arbeiten einige Kreditinstitute z.Z. an der Umsetzung dieses Geschäftsvorfalls? Ich meine die Möglichkeit vom heimischen PC i.V.m. einem Klasse 3 Chipkartenleser.

TAN-Generator
-------------------
Trotz intensiver Gespräche auf der Cebit habe ich noch ein paar Fragen zu diesem Thema. Meines Wissens nutzen z.Z. nur einige (10?) VR-Banken im Bereich der GAD diese Möglichkeit des TAN Generators. Wann wird diese flächendeckend eingesetzt?
Die Funktion "Anwendungs-Transaktionszähler" (ATC) wird immer mit der Re-Synchronisation in Verbindung gebracht. Was hat es mit der "manuellen Synchronisation mit dem Banksystem" auf sich? Wann ist diese erforderlich? Wie läuft diese ab?

Was passiert eigentlich wenn man viele TANs erzeugt, diese jedoch nicht verbraucht? Mir wurde gesagt dann ist eine solche Re-Synchronisation erforderlich.

Ist ein am PC angeschlossen Chipkartenleser z.Z. die einzige Möglichkeit die TAN-Generator-Funktion mit einer PIN zu schützen? Ist anschließend eine Generierung mit einem Handgerät (z.B. Reiner SCT tanJack) unmöglich? Erhält man eine Fehlermeldung? Darf die PIN nur aus Zahlen bestehen?

Signaturkarte
------------------
Es wird (gerade i.V.m. FinTS) immer von einer einheitlichen Signaturkarte gesprochen. Mir wurde jedoch erklärt, dass eine Signaturkarte nichts mit einer HBCI-Chipkarte gemeinsam hat und beide Funktionen nicht auf einer Chipkarte zusammengepackt werden können. Dies seien zwei unterschiedliche Sachen. Ich persönlich kenne nur die "Deutsche Bank Signatur Card" - diese ist tatsächlich nicht HBCI fähig. Wie passt das mit der Aussage einer einheitlichen Signaturkarte bei FinTS zusammen?

Zunächst einmal OUPS!

Kannst Du nochmehr Fragen auf einmal stellen? Wäre es nicht sinnvoll gewesen jeweils eigene Beiträge zu schreiben?
Ich will versuchen zunächst Deine Fragen zum TAN-Generator zu klären:



Alle VR-Banken, die im letzten Jahr eine Kartenhauptausstattung gehabt haben, sind vom Grundsatz her "TAN-Generator-fähig".
Diese Karten haben den SECCOS-Chip integriert, der für den Sm@rt-TAN benötigt wird. Die 2. Voraussetzung ist die Verfügbarkeit der Rechenzentrum(=RZ)sumgebung, z.Zt. nur GAD.
Die Flächendeckung wird erreicht sein, wenn alle VR-Banken den SECCOS-Chip auf ihren Karten haben und "alle" RZ die entsprechende Systemvoraussetzung haben.



Der ATC wird bei jeder generierten (auf der Karte) und übertragenen TAN (im RZ) hochgezählt. Der Karteninhaber kann beliebig viele TAN´s im voraus genereieren. Sollten die ATC´s auf der Karte und im RZ eine Differenz von > 25 haben, muß eine RE-Synchronisation durchgeführt werden. Z.Zt. ist das nur über ein Bank-Terminal möglich. Dafür müssen wir den ATC-Stand der Kundenkarte und den dazugehörigen TAN in unser Sytem eingeben, damit werden die Zähler wieder auf den gleichen Stand gebracht.
Mit dem nächsten Internet-Banking- und Bank-Releasewechsel kann der Kunde diese Synchronisation im Internetbanking selbst durchführen, in dem er dort ATC-Stand und TAN eingibt.



Grundsätzlich passiert nichts, aber.....die Reihenfolge des Verbrauchs ist entscheidend. Werden z.B. 10 TAN´s generiert und dann zunächst die 1. genutzt sind die anderen 9 weiter gültig. Wird jedoch zuerst die 10. TAN verbraucht, werden die 9 davor automatisch ungültig. Ist auch klar, da der ATC-Zähler im RZ hochgesetzt wurde.



z.Zt. gibt es nur die Möglichkeit mit dem Handgerät (z.B. Reiner SCT tanJack). Für die Zukunft ist es geplant die HBCI-Kartenleser mit entsprechender Software zu versehen, damit auch dort TAN´s generiert werden können. Hier kann man dann auch noch vorgeben, das für die TAN-Generierung die Karten-PIN eingegeben werden muß. Bei den Handgeräten funzen diese Karten dann nicht mehr, bis in einem HBCI-Kartenleser die PINpflicht wieder aufgehoben wird.
Dies wird Deine Frage bzgl. numerischer PIN beantworten. Die Karten-PIN ist immer numerisch.

Ich hoffe Deine Fragen bzgl. des TAN-Generators beantwortet zu haben.
Vielleicht schreibt einer der Kollegen etwas zu den anderen Fragen.
@Holger, wie wäre es mit der Signaturkarte und der Geldkarte? Du bist da doch auch im Thema.

CU

Udo

Danke für deine Infos.
Ein solches Tool gibt es schon. siehe: www.chipcardmaster.de/tango Da man damit die Schutzpin per PC-Tastatur eingibt, war ich mir nicht sicher ob PIN nur mumerisch sein darf.

PS: Ich habe es so verstanden, dass die TAN-Generator-Schutzpin nichts mit der normalen Kartenpin gemeinsam hat, da man sich diese PIN selbst vergibt.

halo und einen schönen guten tag, ich möchte dieses Thema noch einmal aufrollen.

Ich habe mir nun auch online banking geholt.

nach meiner anmeldung komme ich ja zu diesen punkt wo ich meinen TAN-Generator benutzen muss und drunter den ATC ( TAN Zähler ) eingeben soll.

aber ich komm einfach nicht auf mein ATC.

was mach ich falsch ??
wie komme ich zu meiner ATC nummer.


wens was hilft bin bei der Sparkasse

du steckst deine karte in den leser, drückst 5 sekunden lang die "TAN" taste, anschließend aktiviert sich die ATC-Anzeige. Jetzt nur nochmal auf "TAN" klicken und du bekommst alle notwendigen daten für die syncronisation

wenn ich dich karte rein stecke und 5 sekunden lang die TAN taste drücke kommt auf dem bildschirm

"Start-Code" dan heißt es ich soll noch einmal auf die tan taste drücken
dan kommt

TAN
XXXXXX

da kommt dan keine ATC anzeige

Hallo DeathRazzer,

normalerweise sollte Dein Leser in etwas Pappe eingepackt gewesen sein. Wenn Du diese Pappe einmal ganz öffnest findest Du idR auf der Innenseite eine Bedienungsanleitung aufgedruckt.

Ansonsten findest Du in den Bedienungsanleitungen für alle Reiner-SCT Produkte auch Online vermutlich alles was Dein Herz in diesem Fall begehrt.

btw. Ich gehe davon aus, dass Du, als Sparkassenkunde, einen Reiner-SCT tanJack optic SE einsetzt.

Hier aber auch der entsprechende Abschnitt:

Guten Morgen, klopfer

Ich glaube das ich mich etwas undeutlich ausgedrückt habe ( sry mein fehler )
ich möchte zum 1 mal in mein online banking reinkommen.

Dazu muss ich meine Legitimations-ID und den Eröffnungs-PIN eingeben soweit habs ich ja noch aber danach kommt dieses fenster wo ich TAN und ATC eingeben muss.

Synchronisierung des TAN-Generators


und hir weiß ich nicht wo ich den ATC herbekomme, dort habe ich ja noch kein übertragungs feld.

Hallo,

es funktioniert eigentlich genau wie schon beschrieben (sollte auch so nach dem Login im Bankportal bei dem Schritt der Erstsyncronisation so auf dem Bildschirm stehen):

-Karte in den TAN-Generator einschieben
-TAN-Taste drücken und halten bis "ATC Anzeige aktiviert" erscheint
-unabhängig von der Anzeige (verm. Start-Code) nochmal kurz auf TAN drücken

Im Display erscheinen dann sowohl eine TAN als auch der ATC

Die Taste F ist erst nach der Syncronisation wirklich nutzbar, damit löst man das Lesen der Grafik auf dem Monitor aus.

soory wenn ich jetz erst antworte.

jep es hat alles supper funktiniert wenn man weiß das man auf der TAN taste 5-6 Sec, gedrückt halten muss

naja jetz funktioniert es ja, danke euch die sich die mühe gemacht haben mir des ihrgendwie beizubringen xD

stand auch schon oben... :mrgreen:
na gut die "6te sekunde" bis atc-anzeige aktiviert hat gefehlt

Belese mich gerade zum Thema TAN-Erzeugung mit EC-Karte.

Kann jemand etwas dazu sagen, was aus der hier im Thread erwähnten Möglichkeit geworden ist, die Erzeugung von TAN-Nummern mittels PIN zu schützen?

Warum ist die TAN-Erzeugung nicht prinzipiell mittels PIN geschützt und warum sollten die üblichen TAN-Generatoren keine PIN-Eingabe unterstützen?

erwin, was genau meinst du? Chiptan ist eines der PIN/TAN Verfahren, das heißt, bis man zur TAN Eingabe mit TAN-Generator und EC-Karte kommt braucht man seinen PIN zur Anmeldung. Von daher IST dieses Verfahren bereits PIN gesichert.

Hallo,

die Frage bezieht sich auf die aktuellen ChipTan- und ChipTan-Optik-Verfahren.

Mit PIN-Sicherung für die TAN-Generierung meinte ich nicht die Online-PIN des Kontos, sondern eine Karten-Pin, über die die Erzeugung der TAN-Nummern gesichert wird.
Also vergleichbar der PIN bei der HBCI-Karte.

Aus den ersten Beiträgen in diesem Thread meinte ich herausgelesen zu haben, dass eine Sicherung der Karte mittels PIN zumindest optional möglich sein soll.

Wegen des Alters der Beiträge wird davon auszugehen sein, dass sich diese Beiträge auf eine Vorgängerversion des ChipTan-Verfahrens bezogen, bei dem die mittels EC-Karte erzeugten TAN-Nummern einfach mittels Knopfdruck erzeugt wurden, d.h. die TAN-Nummern waren nicht wie bei ChipTAN direkt mit der Zielkontonummer und dem Betrag verknüpft.
Gleich geblieben ist aber die Tatsache, dass der Karten-Prozessor die TAN erzeugt.
Damit ist für mich auch der Wunsch naheliegend, dass es bei Verlust der Karte nicht einfach möglich sein soll, damit in einem beliebigen TAN-Generator gültige TAN-Nummern für mein Bankkonto zu erzeugen.

Edit: jetzt wo ich es selbst geschrieben habe, bin ich auf eine Ursache gekommen, warum eine PIN-Sicherung der Karte bei den alten TAN-Verfahren nicht zwingend sein konnte: Wenn ich mich richtig erinnere dann hat mir einmal jemand so einen frühen TAN-Generator gezeigt. Der hatte außer Kartenleseschlitz und Display nur einen einzigen Knopf zum Auslösen der TAN-Erzeugung. Damit kann keine PIN-Eingabe gehen. Bei allen aktuellen TAN-Generatoren kann ich aber nicht erkennen, warum keine PIN-Eingabe möglich sein sollte.

Erwin, das gibt es nicht. Die ersten beiden Beiträge sind aus dem Jahre 2004!! Vergiss die einfach.

Soll heißen, dass es das nie gegeben hat oder dass es das für die aktuellen EC-Karten nicht mehr gibt?

Sind Gründe bekannt, warum es das nicht gibt?
Als langjähriger Nutzer von HBCI-Chipkarten wundert es mich etwas, dass die EC-Karte ohne jede Sicherung TAN-Nummern erzeugt.

Für Chiptan kenne ich es garnicht. Ich weiß auch nicht wofür das gut sein sollte. Man braucht den Anmeldenamen, die PIN und die richtige EC-Karte. Wieso sollte man jetzt auch noch den Kartenpin brauchen? Das verkompliziert doch die Nutzung bis zur gänzlichen Inakzeptanz am Markt.

Zumindest generell vorgesehen ist es wohl, die TAN-Erzeugung mit einer weiteren PIN zu sichern. Es gibt in den ChipTAN-Geräten im Menü einen Menüpunkt, eine PIN für die TAN-Erzeugung zu ändern bzw. einzurichten. Ob das auch praktisch funktioniert und die Karten nur mit deaktivierter PIN ausgeliefert werden oder ob die ganze Funktion auf der Karte deaktiviert ist (mir ist noch nie eine Karte untergekommen, wo es aktiviert gewesen ist), weiß ich auch nicht. Ich habe mich auch nie getraut, die Aktivierung mit einer aktiven Karte auszuprobieren, und als die Karte ausgelaufen ist, habe ich nicht mehr dran gedacht. Aber als ich das erste Mal mit ChipTAN zu tun hatte, hatte ich mir die gleiche Frage gestellt. Hintergrund: Konto PIN schön und gut, diese rauszukriegen ist definitiv einfacher als eine spezielle Karten-PIN. Bei der guten alten TAN-Liste mußte man diese noch haben, bzw. wissen, wo sie aufbewahrt wird, ggf. einen Tresor- oder Kasettenschlüssel und den nötigen Zugang zu haben. Das reine "Rankommen" an eine ec-Karte - die die meisten Menschen immer in der Gesäß- oder Handtasche mit sich herumtragen (gerade Handtaschen stehen auch öfter mal irgendwo rum, was mit Gesäßtaschen seltener vorkommt ) - ist sicher sehr viel leichter...

Danke, das klingt ja interessant.

So weit ich eine ziemlich umfangreiche Geldkarten-Schnittstellenbeschreibung, die ich irgendwo beim ccc entdeckt habe, verstanden habe, soll es der Chip prinzipiell erlauben, für jede Applikation, die auf ihm läuft, ein eigenes Passwort/PIN zu vergeben.
Das würde dazu passen, dass man die TAN-Applikation mit einer PIN schützen kann, die eine andere ist als die Bezahlen- oder Geldabheben-PIN.

Von allen Sachen, die man online irgendwo eingibt, muss man als Normalbürger annehmen, dass die Angreifern früher oder später bekannt sind.

Hat also jemand eine Datenbank (erstellt oder gekauft) mit Kontonummern, Anmeldenamen und Online-PIN und hat gelegentlich Zugang zu EC-Karten (Hotels, modifziertes Kassenterminal) dann könnte er leicht Transaktionen abwickeln, wenn die Karte keine PIN für die TAN-Erzeugung verlangt. Wenn ich meine Karte dann noch nicht einmal als verloren gemeldet habe, weil ich sie noch habe, dann habe ich sicher etwas Erklärungsnot.

Interessant ist, dass es sogar einen Menüpunkt im TAN-Generator für das Setzen einer Karten-PIN gibt und dazu so wenig bekannt ist.

Erwin, was du dir da zusammenreimst, das gibt es nicht!
Erstens kann man keine Datenbank erstellen oder kaufen, in der Anmeldenamen und PINs drin sind (wo soll man die Daten her bekommen?) und zweitens hat man dann noch immer keine Zuordnung zu einer EC-Karte. Also selbst wenn man eine solche Karte findet kann man sie nur dann einer Anmeldename/PIN Kombination zuordnen, wenn zufällig der Anmeldename die Kontonummer ist, die auch auf der Karte steht. Das ist alles so unwahrscheinlich, dass es als Möglichkeit gänzlich ausscheidet. Die Gefahr, dass man deine Karte in einem Hotel oder einer zwielichtigen Spelunke dubliziert, und dich anschließend beim Geld abheben oder Bezahlen beobachtet, um die PIN zu erhalten, um weiteres Bargeld abzuheben ist sicherlich weitaus größer!