Jump to content
Wolfgang-12

Den Leser habe ich, doch welche Software?

Empfohlene Beiträge

Einen wunderschönen guten Tag

 

Ich bin Endandwender und habe mir das Gerät eigentlich gekauft, weil mich die Beschreibung überzeugte. Im Grunde war es das, was ich im Bereich des Homebankings immer gesucht habe. Es war ein Gerät mit eingener Tastatur und eigener Anzeige, dass mir auf einem 2. Kanal helfen sollte, einen Bankauftrag zu bestätigen. Ich weiß, das hat man mit dem Tan-Generator im Grunde auch, doch der funktioniert auf meinem Rechner einfach nur sehr frickelig. Ich war seinerzeit bei der Bank A und ich war zunehmend unzufrieden auch mit der Hotline und wollte ohnehin wechseln.

 

Nachdem ich dann gelesen habe, dass HBCI offenbar das Format war, dass unterstützt werden sollte, habe ich mir eine Bank gesucht, die HBCI kann, und wollte dann Homebanking mit HBCI machen. Nun habe ich erst nach dem Wechsel der Bank erfahren, dass HBCI nicht mit dem Browser zusammen läuft, sondern dass noch eine Zusatzsoftware nötig ist. Das Problem dieser Zusatzsoftware ist weniger der Preis (unter 100 Euro), sondern mehr das die wirklich spartanische Dokumentation, die ständigen Abstürze und der ungepflegte Zustand. So ist diese Software noch nicht umgestellt auf SEPA.

 

Darüber hinaus habe ich den Verdacht, dass mein Secoder nicht mit der Bank kommuniziert, sondern mit dieser frickeligen Software, was im Grunde ein unterlaufen des Sicherheitsstandards ist. Im Zusammenhang mit dieser Software liegt also eher die Sicherheitsklasse 0 vor, als die Sicherheitsklasse 3.

 

Mit anderen Worten: Den Leser habe ich nun, doch wo ist die Homebankingsoftware, die der Sicherheitsklasse 3 genügt? Wie kommt man daran?

 

Herzliche Grüße

Wolfgang Uhr

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Wolfgang,

 

es ist eine vernünftige Entscheidung auf einen HBCI-Kartenleser für das Onlinebanking zu setzen, aber leider sind da auch die ein oder anderen Hürden zu nehmen.

 

Konkret zu Deiner Frage: Günstig, gut, sicher und kompatibel mit allen ReinerSCT Kartenlesern ist die Software Banking4W von Subsembly 

Wenn es mehr ins Gewerbliche geht, ist auch StarMoney eine gute Wahl, allerdings für private Zwecke in der Regel überladen.

 

Für Mac kann ich MoneyMoney empfehlen. Auch hier gilt: gut, günstig und kompatibel mit den ReinerSCT-Lesern. 

 

Alle genannten Programme bieten voll funktionsfähige Demoversionen an, sodass Du hier erstmal testen kannst, bevor Du Geld ausgibst.

 

Viele Grüsse

Isoleucin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Isoleucin

 

Also erst mal Danke für die Tipps. Inzwischen habe ich mir mal die Banking4W-Software angesehen und hier praktisch das gleiche Problem festgestellt wie bei der anderen Software. Nur ist hier das Problem noch viel offenkundiger.

 

Also: Die Idee ist ein Gerät, dass über Tastatur verfügt und ein Display mit dem man einen Auftrag über einen 2. Weg absichern kann. Bei dieser Software allerdings findet eine Überweisung mit dem hier genannten Gerät in folgender Weise statt.

 

  1. Ich gebe die Daten für den Überweisungsauftrag auf klassische Art am Rechner ein.
  2. Ich werde aufgefordert am Kartenleser die Pin einzugeben.
  3. Dann wird ohne weiteres Zutun die Überweisung vorgenommen.

 

Normalerweise würd ich annehmen:

 

  1. Ich fülle das Überweisungsformular am Rechner aus.
  2. Ich bekomme am Kartenleser die Aussage gezeigt "Überweisung von <Betrag> auf <Konto> der <Bank>?" und gebe dann erst die PIN ein. Und dann erst wird die Zahlung/Überweisung ausgeführt.

 

Diese besagte Software jedenfalls nutzt den Chipkartenleser nur als erweiterte Tastatur. Eine wirkliche zusätzliche Sicherheit jedenfalls wird hier nicht geboten. Im Grunde hätte ich hier auch einen Leser der Klasse 0 kaufen oder einfach das Zertifikat auf meinem Rechner installieren und die Pin per Tastatur eingeben können.

 

Herzliche Grüße

Wolfgang

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo!

 

Zu 2.: Das ist aber nicht der Sinn. Der Sinn besteht meiner Kenntnis nach lediglich darin, die PIN geschützt und "angriffsfrei" eingeben zu können. http://de.wikipedia.org/wiki/Homebanking_Computer_Interface#Verbesserungen_der_Sicherheit_durch_Nutzung_von_Chipkartenlesern Wenn Du "echte Sicherheit" haben möchtest dann lass Dein Homebanking-Programm in einer Sandbox laufen.

 

Gruß, René

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Wolfgang,

 

der Wunsch nach der Anzeige der Überweisungsdaten kann theoretisch schon erfüllt werden - allerdings muss das Deine Bank über ihr Rechenzentrum zur Verfügung stellen. Hier kann Nachfragen u.U. weiterhelfen. Es ist nämlich so, dass der Secoder2-Standard das Verfahren vorsieht, aber es aus vielerlei Gründen nicht flächendeckend genutzt wird. Ein Grund: Es gibt keine Möglichkeit Sammelüberweisungen abzuzeichnen - und wenn ich als gewerblicher Nutzer 200 Buchungen legitimieren möchte und jedes Mal auch noch die Daten auf dem Display des Kartenlesers bestätigen muss, vergeht mir die Lust an diesem Plus an Sicherheit.

 

Viele Grüsse

Isoleucin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

HBCI liegt ohnehin im Sterben. Nur wenige Banken nutzen HBCI. M.E. wäre Online-Banking in Verbindung mit der eID-Funktion des ePA derzeit die sicherste Methode. Aber auch bei dieser Technologie halten sich die Banken vornehm zurück. Die meisten Banken setzen weiterhin auf das browsergestützte Online-Banking mit verschiedenen "Sicherheitsmechanismen". Zudem sind nicht alle Banken Ziel eines Angriffs=>woran das wohl liegen mag?!

 

Und für die erwähnten Sammelüberweisungen gibt/gab es das Datenträger-Austauschverfahren (DTAUS), heute über SEPA.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

HBCI wird bestimmt noch ne Weile laufen, da das PA Zeugs nach wie vor Mist ist und sehr viele noch keinen neuen PA haben.

 

Als Software nutze ich seit fast Anfang an Starmoney (inzw. in Version 9) und bin sehr zufrieden.

 

Ich nutze Starmoney mit 2 Banken und die Liste der unterstützen Banken ist lang. Schau einfach mal bei Starmoney vorbei: www.starmoney.de

 

Meine Lizenzen (bei jeder neuen Version) hole ich mir meist etwas günstiger über diverse Banken, die es billiger anbieten. Das letzte Update z.B. gabs von der DKB Bank und war mit der Vollversion von Starmoney identisch, nur halt mit deren Logo. Man konnte aber die originale Version herunterladen und mit dem Key der DKB Bank aktivieren, da eben identische Software. War einiges günstiger und man musste kein Kunde der Bank sein.

 

Du kannst auch mal bei Deiner Bank schauen, ob die das nicht sogar in deren Shop haben. Sparkassen z.B. bieten oft Hardware und Software vergünstigt an, wie eben die Reader und Starmoney. Allerdings gibt/gab es bei den Sparkassen eine spezielle Sparkassenversion. Ob das noch so ist, weiß ich nicht, kann sein, dass die inzwischen auch nur noch die Vollversion anbieten.

 

Ich jedenfalls brauche Offlinebanking (Online nur zur Übertragung) und meide diesen Browserquatsch und diesen TAN Käse so gut es geht, selbst wenn so ein Flimmerleser die Tans am Bildschirm erzeugt ....

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo

 

Also gut, vielleicht sollte ich einfach mal damit beginnen, worum es mir ging. Ich selbst brauche im Grunde kein „besonders sicheres Banking“, mein Rechner ist gesichert, die Verbindung ist stabil, ich betreibe mein Homebanking nur von meinem Rechner zu Hause aus und mir ist es im Grunde gleich, welches Verfahren ich verwende.

 

Nur: In meinem Verwandtenkreis gibt es einige ältere Leute und wenn die Krank sind oder vielleicht dauerhaft krank werden, dann haben die ggf. Probleme Ihre Bankgeschäfte noch per Internet zu machen. Meinen Eltern zum Beispiel haben ich und mein Bruder mit viel Zeit nun den Zugang zum Internet eingerichtet und erklärt und die haben sich auch schon ans Homebanking rangetraut. Aber da diese wegen Sehschwächen auch gerne die Vergrößerung des Bildschirms verändern ist zum Beispiel der Tan-Generator einfach nur eine Frickelslösung, die sie dann irgendwann genervt wieder aufgegeben haben.

 

Wenn man eine Lösung sucht für Leute, die bereits viel Mühe darin verwenden, sich selbst zu helfen, dann – so war meine Auffassung – könnte ein solcher Chipkartenleser eine Möglichkeit sein. Da ich selbst aber ungerne etwas empfehle, was ich nicht selbst nutze, habe ich mir das Gerät gekauft und sogar die Bank gewechselt (nicht nur deswegen).

 

Was ist das Hauptproblem bei diesen Dingen? Personen, die über 80 Jahre alt sind, das Internetten mit viel Mühe selbst erlernt haben oder eben beigebracht bekamen, die sind an einer Stelle verwundbar. Mit einem falschen Klick an die falsche Stelle, kann schnell eine Schadsoftware eingeschleust werden. Und dann können schnell Überweisungen trojanergesteuert umgelenkt werden. Ich brauche also ein Homebanking, das auch bei MitM-Angriffen zuverlässig arbeitet. Das sind im Grunde alle echten Zweigwegsysteme. Zu diesem gehören die SMS-Tan (Absicherung geht über die Handy-Verbindung) und genau besehen auch der Tan-Generator (Hier ist es eine Verbindung zur Kontokarte, die im Generator steckt).

 

Chipkartenleser sind im Grunde ungeschützt gegen MitM-Atacken  mit einer möglichen Ausnahme und das sind Geräte der Sicherheitsklasse 3. Es ist keine zwingenden Ausnahme, sondern nur eine mögliche Ausnahme. Damit die Geräte wirklich gegen MitM-Angriffe schützen, ist es wichtig, dass diese eine eigene https-Verbindung zum Bankrechner aufbauen. Sie dürfen also nicht von der wie auch immer aussehenden Software auf dem Rechner Vorgaben bekommen für das Display oder sogar die PIN-Antwort an diese Software senden.

 

Ganz gleich, ob die Software auf dem PC nun der Browser ist oder die Banking-Software, wenn ich eine Überweisung tätigen will, dann endet das immer in der Aussage „Überweisung von <betrag> an <Empfänger> - <iban> - <bic>“. Diese Anfrage muss dann von der PC-Software an den Bankrechner gesendet werden und dann auf dem zweiten Kanal (mit einen anderen Schlüssel verschlüsselt!) an den am gleichen PC angeschlossenen Chipkartenleser. Die Antwort ist dann vom Chipkartenleser zu verschlüsseln und (ohne das der angeschlossene Rechner diese entschlüsseln kann) dann an den Bankrechner zu senden. Das ist wieder die klassische zwei Wege Meldung eines Auftrages.

 

Geschieht die Verschlüsselung nicht auf dem Chipkartenleser, sondern auf der Banksoftware, dann braucht ein Angreifer nur das auf der Verschlüsselungskarte gespeicherte Zertifikat zu kopieren und die PIN abzufangen um volle Kontrolle aller angeschlossenen Konten zu bekommen. Gibt man die PIN in den Kartenleser ein, dann braucht man vielleicht keinen Keylogger-Standard, sondern einen Keylogger-Komfort, doch das war es dann auch.

 

Bei der VR-Net-World-Software hatte ich nur den Verdacht, dass die angeschlossene Software, diesen zweiten Weg „abkürzt“ und das damit im Grunde nur eine geringere Sicherheitsklasse tatsächlich  vorliegt. Nachdem ich Banking4W installiert hatte, war ich mir allerdings absolut sicher. Hier wurde bei einer Überweisung das Display des Kartenlesers überhaupt nicht genutzt. Hier war also offenkundig, dass diese Transaktion maximal mit der Sicherheitsklasse 1 durchgeführt war.

 

Mit anderen Worten: Die Software, die man sich auf dem Rechner installiert, die entscheidet über die verwendete Sicherheitsklasse und das ist inakzeptabel. Damit kann keine der Geräte eine ernste MitM-Attacke abwehren.

Wichtig wäre hier ein Abschalten, aller abwärtskompatiblen Funktionen. Beim Einlegen einer Signaturkarte kann und darf es zum Beispiel für den Anwender nicht möglich sein mit einer Softwarefunktion wie Chipcardmaster offengelegt das Zertifikat auszulesen und auf den Rechner zu kopieren. Die Möglichkeit bietet nur zweifachen Missbrauch.

  1. Sie ermöglicht der angeschlossenen Software einen  auffälligen oder auch unauffälligen Betrieb in einer niedrigeren Sicherheitsklasse
  2. Sie ermöglicht dem MitM das Auslesen des Zertifikates.

Es wäre Aufgabe eines Workshops, die Funktionenliste eines Chipkartenlesers durchzugehen um herauszufinden, welche Funktionen sinnvoll sind und bleiben sollten und welche eben nicht sinnvoll sind. Wer eine Signaturkarte inhaltlich lesen oder gar erstellen will, der kann ja einen Leser nehmen der Sicherheitsklasse 0. Wer aber sichere Transaktionen im Sinn hat, für den ist weniger mehr.

 

Ich stufe daher nicht HBCI als „alten Hut“ ein, für mich ist der Kartenleser selbst sehr problematisch. Er offensichtlich ist nicht in der Lage, die Angriffe abzuwehren, für dessen Abwehr er gebaut  wurde.

 

Von daher gehe ich aktuell den Weg, dass ich mich wieder aus dem allem zurückziehe. Auch die eID-Funktion meines Personalausweises habe ich wieder gekündigt.

 

Wie sagte es mir ein Banker? Dies sei zurzeit nicht deren aktuelles Tätigkeitsfeld, weil hier die Kriminellen nicht aktiv sind. Ich lese diese Antwort so: „Wenn die bei Ihnen eingebrochen haben, dann bessern wir schon nach.“ – Er hat mir allerdings nicht beantwortet, wer für den Schaden aufkommt.

 

Damit ist die Sache für mich einfach. Ich ziehe mich zurück und warte auf die Einbruchswelle. Und ein bis zwei Jahre danach schaue ich dann mal wieder vorbei.

 

Herzliche Grüße

Wolfgang

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du musst Dir keine Gedanken machen dass Hacker den RFID-Komfort angreifen, oder die HBCI-Software. Derzeit beschäftigen sich die Angreifer mit Telefon-Trick-Anrufen (beliebt sind der Enkel-Trick und die "Microsoft-Service-Anrufe"), Phishing und Co. Kartenlesegeräte sind derzeit so uninteressant wie Mac-OS und Linux. Was sich nicht lohnt interessiert Angreifer nicht. Den PC vernünftig absichern, die älteren Mitmenschen für die derzeitgen Tricks der Betrüger "schulen", dann sind sie auch sicher.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich empfehle einfach mal die Lektüre der aktuellen c't zu diesem Thema.

 

Und wie René schon richtig sagt - Chipkartenleser sind keine Angriffsziele, da es praktisch unmöglich ist, hier ein Szenario praktikabel umzusetzen. Deine Überlegungen zu einem MitM-Angriff zeigen, dass Du mit den Sicherheitsmerkmalen von Chipkartenlesern nicht allzu vertraut bist - es ist nahezu unmöglich einen Chipkartenleser entsprechend zu manipulieren, da intern sehr viele kryptographische Verfahren zum Einsatz kommen, die das sicher verhindern.

 

P.S: Sobald die Eingabe der PIN auf einem separaten Tastenfeld erfolgt, bist Du schon bei Sicherheitsklasse 2. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 17.11.2014 um 11:25 schrieb Isoleucin:

P.S: Sobald die Eingabe der PIN auf einem separaten Tastenfeld erfolgt, bist Du schon bei Sicherheitsklasse 2. 

sicher aber du hast trotzdem das gleiche Problem wie bei iTAN, dass du nicht zu sehen bekommst wofür du die TAN eingibst. eine manipulierte banksoftware könnte sicher reichen indem diese dem Kartenleser falsche daten sendet und der kartenleser sieht vlt was dieser signieren soll, aber der fakt dass dieser es nicht dem user zeigt, ist hier das problem.

 

anders als Wolfgang sagt wäre nicht mal eine große verschlüsselung nötig wenn es nicht geheim ist was man überweisen will könnte man alles ruhig im Klartext senden, sondern nur eine Anzeige der überweisungsdaten, die dann eben mit dem Key auf der chipkarte Signiert werden, würde komplett reichen, denn egal ob jemand die daten sehen kann oder nicht, eine manipulation würde die signatur zerstören.

das ist wie wenn ein Blinder von einem "Verkäufer" einen Vertrag in schwarzschrift bekommt und gebeten wird, diesen zu unterschreiben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


×
×
  • Neu erstellen...