Diskussionsforum
Menü

HBCI hat leider keine Zukunft


19.01.2014 17:27 - Gestartet von LilaFox
Vor über 10 Jahren habe ich mal den Spass mit HBCI angefangen.

Hauptproblem war dabei... Ich brauchte eine extra Software, ausserhalb des Browsers.

Zwar war die Software an sich nicht schlecht, doch zum einen nutzte sie zur Darstellung der Kontobewegungen usw. den Internet Explorer im Embedded Modus.

Dann ging ein Jahr in die Welt. Und plötzlich ging die Software nicht mehr. Es stellte sich heraus, bitte kaufen sie sich das Update. Ich machte das einmal mit, dachte ok. vielleicht alle 3 Jahre eine neue Version. (Nebenbei auch weiter hier IE)

Doch denkste, jedes Jahr erneut: Zertifkat abgelaufen.

Ab da war für mich Schluss. Ich bezahle doch nicht jedes Jahr für eine Software die an sich nur die Schnittstelle zu meine Bank für ein paar Überweisungen zaubert soviel Geld jedes Jahr

Dann stieg ich auch noch auf Laptop um, welcher zwar noch die COM-Schnittstelle hatte, aber nicht mehr die Zusatzstromschnittelle, die der Leser damals brauchte.
Da wurde es auch mit der Hardware viel zu kompliziert. Einen USB-Kartenleser zu erwerben kam für mich auch nicht mehr in Frage, dieser kostete fast das dreifache der Software.

Letztendlich war HBCI viel zu teuer und zu umständlich.

Mit Komfort hat das nix mehr zu tun. Es hätte längst eine Wende eintreten müssen.

HBCI über eine Browserschnittstelle direkt auf der Bankenwebseite. Es wäre alles möglich gewesen. Doch es tat sich da nix.

Aus heutiger sicher müsste HBCI in einem speziellen USB-Stick eingebettet werden. Oder als NFC-Chip-Karte oder ähnliches.

Doch es hat sich hier nix getan.

Deshalb ist HBCI quasi längst gestorben.


Aber auch die TAN-Listen so leider so gut wie verschwunden. Kaum noch eine Bank bietet die eigentlich sicherste alternative heute noch an. Stattdessen werden SMS verschickt. Und wer kein Handy hat muss so ein komisches Lesegerät umständlich an den Bildschirm* halten oder Zahlenkolonnen in so ein Gerät eingeben.

* Microsoft hatte früher mal so eine Uhr, die auch über Streifen auf den Bildschirm programmiert werden konnte. Das Projekt wurde eingestellt. Nicht wohl ohne Grund.


Das allerschlimmste ist aber, die Banken verbieten Quasi das Mobile Onlinebanking in ihren AGBs. Dort steht immer drin, niemals auf dem selben Gerät diese SMS empfangen, auf dem man auch gerade die Transaktion durchführt.
Tolle Idee, nur mit zwei Haken:
- Man schleppt eigentlich nur ein Gerät mit sich
- Hätte man einen Laptop, muss der auch Online sein, und das geschieht auch meist über das Smartphone das auch die SMS empfängt.

LTE@home-Nutzer dürften quasi gar kein Onlinebanking mit SMS mehr machen.
Menü
[1] mikiscom antwortet auf LilaFox
20.01.2014 07:54
Danke für den Erfahrungsbericht über das HBCI. Jetzt hab ich mal ne Vorstellung davon.

Ich meine, ein richtig sicherer Weg wäre der folgende:
Die Banken betreiben Ihre Homebanking-Server unter einer festen IP-Adresse und geben Knoppix-CDs raus. Diese sind so angepasst, dass hier lediglich das Linux bootet und per IP-Adresse, statt Domain (Schutz gegen DNS-Manipulation) ausschließlich per Browser die Internet-Seite der Bank aufruft. Sonst kann man nix konfigurieren. Vielleicht das Aussehen ändern, aber nix technisches. Hier kann man dann mit normaler iTAN-Liste seine Bankgeschäfte erledigen. Da das Linux jedes mal von CD gebootet wird, kann es gar nicht mit Viren befallen werden, selbst wenn es zukünftig auch Viren für Linux geben sollte, da die CD-Version ja nicht verändert werden kann. Muss von Seiten der Bank mal was geändert werden, wie z. B. neue IP-Adresse, geben die halt mit Vorlauf-Zeit ne neue CD raus.

Nimmt man nach erledigter Bank-Geschäfte die CD aus dem Rechner und startet den neu, hat man wieder seine gewohnte Umgebung. Selbst wenn die Festplatte Virenverseucht ist, interessiert sich Linux nicht für die Festplatte und die Viren können keinen Schaden beim Online-Banking anrichten.

Und wer kein Optisches Laufwerk an seinem Mini-Laptop hat, nimmt vorübergehend halt ein USB-Laufwerk.
Menü
[1.1] tosho antwortet auf mikiscom
23.01.2014 02:00
Benutzer mikiscom schrieb:
Danke für den Erfahrungsbericht über das HBCI. Jetzt hab ich mal ne Vorstellung davon.

Ich meine, ein richtig sicherer Weg wäre der folgende: Die Banken betreiben Ihre Homebanking-Server unter einer festen IP-Adresse und geben Knoppix-CDs raus.

OK, sicher ist das schon. aber wer will denn für eine Überweisung seinen Rechner neu starten? Da kann ich ja fast schon persönlich zur Bank gehen. Ich starte normalerweise meinen Rechner nur ein mal pro Woche neu (wenn ein Kernel-Update kommt). Ansonsten wird der Rechner schlafen gelegt, und alle Programme laufen schön weiter.
Ich denke, mit mTAN und einem Banking-Programm auf meinem Linux-System ist das Risiko überschaubar.
Menü
[1.2] ures antwortet auf mikiscom
23.01.2014 14:19
Danke, das ist gute Idee! Nicht absolut, Benutzer TOSHO schrieb: "... aber wer will denn für eine Überweisung seinen Rechner neu starten?". Vielleicht wäre es möglich, eine ordentlich isolierte virtuelle Maschine zu benutzen?
Die Stadtsparkasse benutzt im Moment TAN-Generator mit dem Scanner. Nicht schlecht, aber alte Methode, mit iTAN, war wesentlich beim Reisen bequemer. Warum hat man die als Option nicht gelassen? TAN-Liste kann man kinderleicht (trotzdem sicher) chiffrieren und dann als Datei, oder auch im Papier-Format, benutzen.
Menü
[1.3] nebenbei (Off-topic): Linux-Viren
helmut-wk antwortet auf mikiscom
02.02.2014 21:18
Benutzer mikiscom schrieb:
Da das Linux jedes mal von CD gebootet wird, kann es gar nicht mit Viren befallen werden, selbst wenn es zukünftig auch Viren für Linux geben sollte

Äh, es gibt jetzt schon Viren "für" Linux. es gibt sogar einen Virus, der sowohl EXE-Dateien von Windoof und ELF-Dateien von Linux etc. befallen kann.

Die gute Nachricht ist, dass die wenig verbreitet sind, der oben erwähnte Virus ist sviw nie aus dem Labor ausgebrochen, das ihn zu Demonstrationszwecken ("proof of concept") entwickelt hatte. Es gibt eben viel mehr Linux-Versionen als Windows-Versionen ...

Und Viren, die eine Plattform auf "höherer Ebene" wie z.B. java oder javacsript haben (zuweilen "plattformübergreifend" genannt), können natürlich auch unter Linux laufen. Wenn die aber dann wieder gezielt auf Windows zugeschnitten sind (also z.B. ne Datei mit EXE-Format einschleusen wollen), ist Linux natürlich gegen den Angriff immun.

Deine Idee funktioniert natürlich. Allerdings wäre es ja unsicher, so eine CD als Abbild aus dem Netz zu laden. Was bedeutet, dass der Kunde die CD direkt bei der Bank seines es Vertrauens erwirbt. Und da frage ich mich schon, was so eine Scheibe kostet (bestimmt mehr, als sie Kosten für die Bank darstellt). Und wie oft es ein Update geben wird ...

Die Banken werden es schon schaffen, diese gute Idee zu verhunzen ;-(
Menü
[1.3.1] mikiscom antwortet auf helmut-wk
03.02.2014 12:51
Benutzer helmut-wk schrieb:
Äh, es gibt jetzt schon Viren "für" Linux. es gibt sogar einen Virus, der sowohl EXE-Dateien von Windoof und ELF-Dateien von Linux etc. befallen kann.

Aber eine saubere Linux-CD interessiert sich nicht für eine Festplatte mit einem Virenbefallenen Linux. Wäre bei Windows genau so, aber von denen gibbet glaube ich keine Boot-CDs.


Deine Idee funktioniert natürlich. Allerdings wäre es ja unsicher, so eine CD als Abbild aus dem Netz zu laden. Was bedeutet, dass der Kunde die CD direkt bei der Bank seines es Vertrauens erwirbt. Und da frage ich mich schon, was so eine Scheibe kostet (bestimmt mehr, als sie Kosten für die Bank darstellt). Und wie oft es ein Update geben wird ...

Die CD ist ja nur der Weg, die Internet-Seite der Bank mit einem auf der CD inkludierten Browser zu öffnen. Wenn die die Internet-Seite vom Inhalt her aktualisieren, brauchen die die CD nicht zu aktualisieren da die Seite ja aus dem Netz vom Server der Bank geladen wird. Nur wenn die sich ne neue IP zulegen ist ein CD-Update fällig, denn die IP ist in der CD festgebrannt.

Und dafür, die CD kostenlos raus zu bringen spricht, dass keiner mehr betrogen wird, und es somit keine finanziellen Schäden durch Gauner gibt. Da würde ich als Bank schon kostenlos eine CD rausbingen, die NICHT benutzerspezifisch ist, sondern ich nur einmal programmieren lassen muss, auch wenn ich 3 Milliarden Kunden habe.
Natürlich müssen die Kunden die CD in der Bank bekommen, damit keine gefälschten Versionen rum gehen.


Die Banken werden es schon schaffen, diese gute Idee zu verhunzen ;-(

Glaub auch.
Menü
[1.3.1.1] helmut-wk antwortet auf mikiscom
05.02.2014 13:05
Benutzer mikiscom schrieb:
Benutzer helmut-wk schrieb:
Äh, es gibt jetzt schon Viren "für" Linux.

Aber eine saubere Linux-CD interessiert sich nicht für eine Festplatte mit einem Virenbefallenen Linux. Wäre bei Windows genau so, aber von denen gibbet glaube ich keine Boot-CDs.

Schon klar, mir gings nur um die Aussage, dass es keine Linux-Viren geben würde. Es gibt ein paar .... Deine Idee ist davon nicht berührt.

Da würde ich als Bank schon kostenlos eine CD rausbingen, die NICHT benutzerspezifisch ist, sondern ich nur einmal programmieren lassen muss, auch wenn ich 3 Milliarden Kunden habe.

Du als Bank: ja. Nur bezweifle ich, dass Banken so denken.

Kurzfristig ist es günstiger, sich die CD bezahlen zu lassen, Schäden durch Betrug werden möglichst auf den ach so nachlässigen Kunden abgewälzt - dahinter steckt die gleiche Denke, die auch zur Finanzkrise geführt hat. Früher wurde mal der Mitarbeiter, der den meisten Profit rangebracht hatte, gerügt, weil so was ja nur mit erhöhtem Risiko möglich ist - welche Bank macht das heute noch so?

Die Banken werden es schon schaffen, diese gute Idee zu verhunzen ;-(

Glaub auch.

Wir sind und einig ;-)
Menü
[1.3.1.1.1] mikiscom antwortet auf helmut-wk
05.02.2014 13:27

einmal geändert am 05.02.2014 13:36
Benutzer helmut-wk schrieb:

Die Banken werden es schon schaffen, diese gute Idee zu verhunzen ;-(

Glaub auch.

Wir sind und einig ;-)

Mir kam da so die Idee mal ans BSI zu schreiben. Versuchen kann man's ja mal. Vielleicht noch ans Fernsehen.

Nachtrag: Hab grade gesehen, daraus wird wohl nix. Die hatten schon so ne allgemeine CD für alles mögliche Surfen und haben das Projekt still gelegt:
https://www.bsi.bund.de/DE/Themen/ProdukteTools/SecuritySurfCD/BSI_surfCD.html#download
Menü
[1.3.2] tommy0910 antwortet auf helmut-wk
27.06.2014 15:44
Benutzer helmut-wk schrieb:
Deine Idee funktioniert natürlich.

Die Idee ist natürlich gut. Sie hat leider nur einen Haken, und der buchstabiert sich W-L-A-N.
Menü
[1.3.2.1] helmut-wk antwortet auf tommy0910
28.06.2014 16:59
Benutzer tommy0910 schrieb:
Benutzer helmut-wk schrieb:
Deine Idee funktioniert natürlich.

Die Idee ist natürlich gut. Sie hat leider nur einen Haken, und der buchstabiert sich W-L-A-N.


Ich bin beispielsweise mit Kabel im Netz, ohne WLAN. Und für WLAN (also konkret: meine Frau) hab ich mir einen 63-Byte Schlüssel zufällig erzeugen lassen ... von Linux. ;)

Aber du hast schon recht: nicht jeder macht sich diese Mühe.
Menü
[2] Boom1 antwortet auf LilaFox
24.01.2014 13:18
Ich benutze das HBCI Verfahren schon einige Jahre un bin damit eigentlich sehr zufrieden.

Kartenlesegerät ist ein Kobil und die Software ist Moneyplex.

Ausser gelegentlichen " Softwareupdates " ( neue Version der Software ) fallen keine Kosten an und die halten sich noch in grenzen.

Einziger Nachteil des HBCI Verfahrens ist natürlich die Mobilität, aber damit kann ich leben.
Menü
[3] Christian_Wien antwortet auf LilaFox
02.07.2015 11:10
Benutzer LilaFox schrieb:


Das allerschlimmste ist aber, die Banken verbieten Quasi das Mobile Onlinebanking in ihren AGBs. Dort steht immer drin, niemals auf dem selben Gerät diese SMS empfangen, auf dem man auch gerade die Transaktion durchführt.
Tolle Idee, nur mit zwei Haken:
- Man schleppt eigentlich nur ein Gerät mit sich
- Hätte man einen Laptop, muss der auch Online sein, und das geschieht auch meist über das Smartphone das auch die SMS empfängt.

LTE@home-Nutzer dürften quasi gar kein Onlinebanking mit SMS mehr machen.

Da verwechselst und verallgemeinerst du aber einiges:

Viele Banken verbieten Onlinebanking am Smartphone nicht mehr, sondern bieten dafür sogar eigene Apps an.
Dabei wird üblicherweise auch eine zusätzliche Absicherung für den Empfang der mTAN über den gleichen Übertragungsweg implementiert.

Deine Annahme, daß Onlinebanking über einen mit Tethering verbundenen Laptop gleich unsicher wäre, wie beim Onlinebanking am Smartphone direkt, ist so leider falsch, denn dazu müßte neben dem Smartphone auch dein Laptop kompromittiert sein.
Das Gleiche gilt auch für die Nutzung von LTE@Home.

Auf einem PC/Laptop kann man aber immer besser für Sicherheit sorgen (und noch dazu das Betriebssystem seiner Wahl installieren und problemlos samt der installierten Programme aktuell halten) als auf Smartphones, wo man auf die Updates des Herstellers angewiesen ist.
Alternative Android-Versionen erfordern einerseits ein Vertrauen in den Ersteller und bergen andererseits das erhebliche Risiko, daß entweder manche Funktionen des Smartphones (z.B. Kamera, GPS, Dual-SIM Funktion, ...) danach nicht mehr funktionieren oder gar das ganze Smartphone zum teuren Briefbeschwerer wird, wenn dabei etwas schiefgeht.
Hier fehlt es an einem offenen Standard wie bei PCs, was aber von Google bzw. den Geräteherstellern nicht gewünscht wird.
Daher ist es am besten und sichersten, auf dem Smartphone so wenig persönliche Daten zu haben, als möglich, denn einerseits ist hier die Verlust- bzw. Diebstahlsgefahr besonders hoch und andererseits können persönliche Daten beim Verkauf / Weitergeben des Smartphones trotz Löschen und Zurücksetzen auf die Werkseinstellungen dennoch großteils wiederhergestellt werden, wenn jemand daran Interesse hat.
Daher ist es immer besser, sicherheitskritische Dinge auf einem Notebook oder noch besser via RDP auf dem heimischen PC zu machen.
So kann man Komfort und Sicherheit optimieren.