Diskussionsforum
  • 19.01.2014 17:27
    LilaFox schreibt

    HBCI hat leider keine Zukunft

    Vor über 10 Jahren habe ich mal den Spass mit HBCI angefangen.

    Hauptproblem war dabei... Ich brauchte eine extra Software, ausserhalb des Browsers.

    Zwar war die Software an sich nicht schlecht, doch zum einen nutzte sie zur Darstellung der Kontobewegungen usw. den Internet Explorer im Embedded Modus.

    Dann ging ein Jahr in die Welt. Und plötzlich ging die Software nicht mehr. Es stellte sich heraus, bitte kaufen sie sich das Update. Ich machte das einmal mit, dachte ok. vielleicht alle 3 Jahre eine neue Version. (Nebenbei auch weiter hier IE)

    Doch denkste, jedes Jahr erneut: Zertifkat abgelaufen.

    Ab da war für mich Schluss. Ich bezahle doch nicht jedes Jahr für eine Software die an sich nur die Schnittstelle zu meine Bank für ein paar Überweisungen zaubert soviel Geld jedes Jahr

    Dann stieg ich auch noch auf Laptop um, welcher zwar noch die COM-Schnittstelle hatte, aber nicht mehr die Zusatzstromschnittelle, die der Leser damals brauchte.
    Da wurde es auch mit der Hardware viel zu kompliziert. Einen USB-Kartenleser zu erwerben kam für mich auch nicht mehr in Frage, dieser kostete fast das dreifache der Software.

    Letztendlich war HBCI viel zu teuer und zu umständlich.

    Mit Komfort hat das nix mehr zu tun. Es hätte längst eine Wende eintreten müssen.

    HBCI über eine Browserschnittstelle direkt auf der Bankenwebseite. Es wäre alles möglich gewesen. Doch es tat sich da nix.

    Aus heutiger sicher müsste HBCI in einem speziellen USB-Stick eingebettet werden. Oder als NFC-Chip-Karte oder ähnliches.

    Doch es hat sich hier nix getan.

    Deshalb ist HBCI quasi längst gestorben.


    Aber auch die TAN-Listen so leider so gut wie verschwunden. Kaum noch eine Bank bietet die eigentlich sicherste alternative heute noch an. Stattdessen werden SMS verschickt. Und wer kein Handy hat muss so ein komisches Lesegerät umständlich an den Bildschirm* halten oder Zahlenkolonnen in so ein Gerät eingeben.

    * Microsoft hatte früher mal so eine Uhr, die auch über Streifen auf den Bildschirm programmiert werden konnte. Das Projekt wurde eingestellt. Nicht wohl ohne Grund.


    Das allerschlimmste ist aber, die Banken verbieten Quasi das Mobile Onlinebanking in ihren AGBs. Dort steht immer drin, niemals auf dem selben Gerät diese SMS empfangen, auf dem man auch gerade die Transaktion durchführt.
    Tolle Idee, nur mit zwei Haken:
    - Man schleppt eigentlich nur ein Gerät mit sich
    - Hätte man einen Laptop, muss der auch Online sein, und das geschieht auch meist über das Smartphone das auch die SMS empfängt.

    LTE@home-Nutzer dürften quasi gar kein Onlinebanking mit SMS mehr machen.
  • 20.01.2014 07:54
    mikiscom antwortet auf LilaFox
    Danke für den Erfahrungsbericht über das HBCI. Jetzt hab ich mal ne Vorstellung davon.

    Ich meine, ein richtig sicherer Weg wäre der folgende:
    Die Banken betreiben Ihre Homebanking-Server unter einer festen IP-Adresse und geben Knoppix-CDs raus. Diese sind so angepasst, dass hier lediglich das Linux bootet und per IP-Adresse, statt Domain (Schutz gegen DNS-Manipulation) ausschließlich per Browser die Internet-Seite der Bank aufruft. Sonst kann man nix konfigurieren. Vielleicht das Aussehen ändern, aber nix technisches. Hier kann man dann mit normaler iTAN-Liste seine Bankgeschäfte erledigen. Da das Linux jedes mal von CD gebootet wird, kann es gar nicht mit Viren befallen werden, selbst wenn es zukünftig auch Viren für Linux geben sollte, da die CD-Version ja nicht verändert werden kann. Muss von Seiten der Bank mal was geändert werden, wie z. B. neue IP-Adresse, geben die halt mit Vorlauf-Zeit ne neue CD raus.

    Nimmt man nach erledigter Bank-Geschäfte die CD aus dem Rechner und startet den neu, hat man wieder seine gewohnte Umgebung. Selbst wenn die Festplatte Virenverseucht ist, interessiert sich Linux nicht für die Festplatte und die Viren können keinen Schaden beim Online-Banking anrichten.

    Und wer kein Optisches Laufwerk an seinem Mini-Laptop hat, nimmt vorübergehend halt ein USB-Laufwerk.
  • 23.01.2014 02:00
    tosho antwortet auf mikiscom
    Benutzer mikiscom schrieb:
    > Danke für den Erfahrungsbericht über das HBCI. Jetzt hab ich
    >
    mal ne Vorstellung davon.
    >
    > Ich meine, ein richtig sicherer Weg wäre der folgende:
    >
    Die Banken betreiben Ihre Homebanking-Server unter einer festen
    >
    IP-Adresse und geben Knoppix-CDs raus.

    OK, sicher ist das schon. aber wer will denn für eine Überweisung seinen Rechner neu starten? Da kann ich ja fast schon persönlich zur Bank gehen. Ich starte normalerweise meinen Rechner nur ein mal pro Woche neu (wenn ein Kernel-Update kommt). Ansonsten wird der Rechner schlafen gelegt, und alle Programme laufen schön weiter.
    Ich denke, mit mTAN und einem Banking-Programm auf meinem Linux-System ist das Risiko überschaubar.
  • 23.01.2014 14:19
    ures antwortet auf mikiscom
    Danke, das ist gute Idee! Nicht absolut, Benutzer TOSHO schrieb: "... aber wer will denn für eine Überweisung seinen Rechner neu starten?". Vielleicht wäre es möglich, eine ordentlich isolierte virtuelle Maschine zu benutzen?
    Die Stadtsparkasse benutzt im Moment TAN-Generator mit dem Scanner. Nicht schlecht, aber alte Methode, mit iTAN, war wesentlich beim Reisen bequemer. Warum hat man die als Option nicht gelassen? TAN-Liste kann man kinderleicht (trotzdem sicher) chiffrieren und dann als Datei, oder auch im Papier-Format, benutzen.
  • 02.02.2014 21:18
    helmut-wk antwortet auf mikiscom
    nebenbei (Off-topic): Linux-Viren
    Benutzer mikiscom schrieb:
    > Da das Linux jedes mal von CD gebootet
    >
    wird, kann es gar nicht mit Viren befallen werden, selbst wenn
    >
    es zukünftig auch Viren für Linux geben sollte
    >
    Äh, es gibt jetzt schon Viren "für" Linux. es gibt sogar einen Virus, der sowohl EXE-Dateien von Windoof und ELF-Dateien von Linux etc. befallen kann.

    Die gute Nachricht ist, dass die wenig verbreitet sind, der oben erwähnte Virus ist sviw nie aus dem Labor ausgebrochen, das ihn zu Demonstrationszwecken ("proof of concept") entwickelt hatte. Es gibt eben viel mehr Linux-Versionen als Windows-Versionen ...

    Und Viren, die eine Plattform auf "höherer Ebene" wie z.B. java oder javacsript haben (zuweilen "plattformübergreifend" genannt), können natürlich auch unter Linux laufen. Wenn die aber dann wieder gezielt auf Windows zugeschnitten sind (also z.B. ne Datei mit EXE-Format einschleusen wollen), ist Linux natürlich gegen den Angriff immun.

    Deine Idee funktioniert natürlich. Allerdings wäre es ja unsicher, so eine CD als Abbild aus dem Netz zu laden. Was bedeutet, dass der Kunde die CD direkt bei der Bank seines es Vertrauens erwirbt. Und da frage ich mich schon, was so eine Scheibe kostet (bestimmt mehr, als sie Kosten für die Bank darstellt). Und wie oft es ein Update geben wird ...

    Die Banken werden es schon schaffen, diese gute Idee zu verhunzen ;-(
  • 03.02.2014 12:51
    mikiscom antwortet auf helmut-wk
    Benutzer helmut-wk schrieb:
    > Äh, es gibt jetzt schon Viren "für" Linux. es gibt sogar einen
    >
    Virus, der sowohl EXE-Dateien von Windoof und ELF-Dateien von
    >
    Linux etc. befallen kann.

    Aber eine saubere Linux-CD interessiert sich nicht für eine Festplatte mit einem Virenbefallenen Linux. Wäre bei Windows genau so, aber von denen gibbet glaube ich keine Boot-CDs.


    > Deine Idee funktioniert natürlich. Allerdings wäre es ja
    >
    unsicher, so eine CD als Abbild aus dem Netz zu laden. Was
    >
    bedeutet, dass der Kunde die CD direkt bei der Bank seines es
    >
    Vertrauens erwirbt. Und da frage ich mich schon, was so eine
    >
    Scheibe kostet (bestimmt mehr, als sie Kosten für die Bank
    >
    darstellt). Und wie oft es ein Update geben wird ...

    Die CD ist ja nur der Weg, die Internet-Seite der Bank mit einem auf der CD inkludierten Browser zu öffnen. Wenn die die Internet-Seite vom Inhalt her aktualisieren, brauchen die die CD nicht zu aktualisieren da die Seite ja aus dem Netz vom Server der Bank geladen wird. Nur wenn die sich ne neue IP zulegen ist ein CD-Update fällig, denn die IP ist in der CD festgebrannt.

    Und dafür, die CD kostenlos raus zu bringen spricht, dass keiner mehr betrogen wird, und es somit keine finanziellen Schäden durch Gauner gibt. Da würde ich als Bank schon kostenlos eine CD rausbingen, die NICHT benutzerspezifisch ist, sondern ich nur einmal programmieren lassen muss, auch wenn ich 3 Milliarden Kunden habe.
    Natürlich müssen die Kunden die CD in der Bank bekommen, damit keine gefälschten Versionen rum gehen.


    > Die Banken werden es schon schaffen, diese gute Idee zu
    >
    verhunzen ;-(

    Glaub auch.
  • 05.02.2014 13:05
    helmut-wk antwortet auf mikiscom
    Benutzer mikiscom schrieb:
    > Benutzer helmut-wk schrieb:
    > > Äh, es gibt jetzt schon Viren "für" Linux.
    >
    > Aber eine saubere Linux-CD interessiert sich nicht für eine
    >
    Festplatte mit einem Virenbefallenen Linux. Wäre bei Windows
    >
    genau so, aber von denen gibbet glaube ich keine Boot-CDs.
    >
    Schon klar, mir gings nur um die Aussage, dass es keine Linux-Viren geben würde. Es gibt ein paar .... Deine Idee ist davon nicht berührt.

    > Da würde ich als Bank schon
    >
    kostenlos eine CD rausbingen, die NICHT benutzerspezifisch ist,
    >
    sondern ich nur einmal programmieren lassen muss, auch wenn ich
    >
    3 Milliarden Kunden habe.
    >
    Du als Bank: ja. Nur bezweifle ich, dass Banken so denken.

    Kurzfristig ist es günstiger, sich die CD bezahlen zu lassen, Schäden durch Betrug werden möglichst auf den ach so nachlässigen Kunden abgewälzt - dahinter steckt die gleiche Denke, die auch zur Finanzkrise geführt hat. Früher wurde mal der Mitarbeiter, der den meisten Profit rangebracht hatte, gerügt, weil so was ja nur mit erhöhtem Risiko möglich ist - welche Bank macht das heute noch so?

    > > Die Banken werden es schon schaffen, diese gute Idee zu
    > >
    verhunzen ;-(
    >
    > Glaub auch.
    >
    Wir sind und einig ;-)
  • 05.02.2014 13:27
    einmal geändert am 05.02.2014 13:36
    mikiscom antwortet auf helmut-wk
    Benutzer helmut-wk schrieb:

    > > > Die Banken werden es schon schaffen, diese gute Idee zu
    > > >
    verhunzen ;-(
    > >
    > > Glaub auch.
    > >
    > Wir sind und einig ;-)

    Mir kam da so die Idee mal ans BSI zu schreiben. Versuchen kann man's ja mal. Vielleicht noch ans Fernsehen.

    Nachtrag: Hab grade gesehen, daraus wird wohl nix. Die hatten schon so ne allgemeine CD für alles mögliche Surfen und haben das Projekt still gelegt:
    https://www.bsi.bund.de/DE/Themen/ProdukteTools/SecuritySurfCD/BSI_surfCD.html#download
  • 27.06.2014 15:44
    tommy0910 antwortet auf helmut-wk
    Benutzer helmut-wk schrieb:
    > Deine Idee funktioniert natürlich.

    Die Idee ist natürlich gut. Sie hat leider nur einen Haken, und der buchstabiert sich W-L-A-N.
  • 28.06.2014 16:59
    helmut-wk antwortet auf tommy0910
    Benutzer tommy0910 schrieb:
    > Benutzer helmut-wk schrieb:
    > > Deine Idee funktioniert natürlich.
    >
    > Die Idee ist natürlich gut. Sie hat leider nur einen Haken, und
    >
    der buchstabiert sich W-L-A-N.
    >

    Ich bin beispielsweise mit Kabel im Netz, ohne WLAN. Und für WLAN (also konkret: meine Frau) hab ich mir einen 63-Byte Schlüssel zufällig erzeugen lassen ... von Linux. ;)

    Aber du hast schon recht: nicht jeder macht sich diese Mühe.
  • 24.01.2014 13:18
    Boom1 antwortet auf LilaFox
    Ich benutze das HBCI Verfahren schon einige Jahre un bin damit eigentlich sehr zufrieden.

    Kartenlesegerät ist ein Kobil und die Software ist Moneyplex.

    Ausser gelegentlichen " Softwareupdates " ( neue Version der Software ) fallen keine Kosten an und die halten sich noch in grenzen.

    Einziger Nachteil des HBCI Verfahrens ist natürlich die Mobilität, aber damit kann ich leben.
  • 02.07.2015 11:10
    Christian_Wien antwortet auf LilaFox
    Benutzer LilaFox schrieb:

    >
    > Das allerschlimmste ist aber, die Banken verbieten Quasi das
    >
    Mobile Onlinebanking in ihren AGBs. Dort steht immer drin,
    >
    niemals auf dem selben Gerät diese SMS empfangen, auf dem man
    >
    auch gerade die Transaktion durchführt.
    > Tolle Idee, nur mit zwei Haken:
    > - Man schleppt eigentlich nur ein Gerät mit sich
    > - Hätte man einen Laptop, muss der auch Online sein, und das
    >
    geschieht auch meist über das Smartphone das auch die SMS
    >
    empfängt.
    >
    > LTE@home-Nutzer dürften quasi gar kein Onlinebanking mit SMS
    >
    mehr machen.

    Da verwechselst und verallgemeinerst du aber einiges:

    Viele Banken verbieten Onlinebanking am Smartphone nicht mehr, sondern bieten dafür sogar eigene Apps an.
    Dabei wird üblicherweise auch eine zusätzliche Absicherung für den Empfang der mTAN über den gleichen Übertragungsweg implementiert.

    Deine Annahme, daß Onlinebanking über einen mit Tethering verbundenen Laptop gleich unsicher wäre, wie beim Onlinebanking am Smartphone direkt, ist so leider falsch, denn dazu müßte neben dem Smartphone auch dein Laptop kompromittiert sein.
    Das Gleiche gilt auch für die Nutzung von LTE@Home.

    Auf einem PC/Laptop kann man aber immer besser für Sicherheit sorgen (und noch dazu das Betriebssystem seiner Wahl installieren und problemlos samt der installierten Programme aktuell halten) als auf Smartphones, wo man auf die Updates des Herstellers angewiesen ist.
    Alternative Android-Versionen erfordern einerseits ein Vertrauen in den Ersteller und bergen andererseits das erhebliche Risiko, daß entweder manche Funktionen des Smartphones (z.B. Kamera, GPS, Dual-SIM Funktion, ...) danach nicht mehr funktionieren oder gar das ganze Smartphone zum teuren Briefbeschwerer wird, wenn dabei etwas schiefgeht.
    Hier fehlt es an einem offenen Standard wie bei PCs, was aber von Google bzw. den Geräteherstellern nicht gewünscht wird.
    Daher ist es am besten und sichersten, auf dem Smartphone so wenig persönliche Daten zu haben, als möglich, denn einerseits ist hier die Verlust- bzw. Diebstahlsgefahr besonders hoch und andererseits können persönliche Daten beim Verkauf / Weitergeben des Smartphones trotz Löschen und Zurücksetzen auf die Werkseinstellungen dennoch großteils wiederhergestellt werden, wenn jemand daran Interesse hat.
    Daher ist es immer besser, sicherheitskritische Dinge auf einem Notebook oder noch besser via RDP auf dem heimischen PC zu machen.
    So kann man Komfort und Sicherheit optimieren.