HBCI Kartenleser

  • Hallo zusammen,


    zwar alt an Jahren - aber jung im Forum. Bitte um Verzeihung, wenn schon mehrfach beantwortet - ich habe aber nicht das entsprechende gefunden.


    Meine Frage: Gibt es eine Aufstellung, welche Kartenleser MG 2010/2011 unterstützt? - Wo finde ich sie?


    Welche Kartenleser werden von der Forumgemeinschaft empfohlen?


    Danke für die Unterstüzung, viele Grüße - DHK_01

  • Guckst Du hier:
    http://www.reiner-sct.com/content/view/197/144/
    http://www.reiner-sct.com/content/view/212
    http://www.kobil.com/de/produk…terminal-technologie.html
    http://www.cherry.de/deutsch/produkte/kartenlesegeraete.htm
    http://www.scmmicro.com/de/pro…ipdriveR/kartenleser.html


    Wobei ich persönlich die Geräte von Reiner SCT bevorzuge. Und wenn es nicht gerade im Geldbeutel klemmt, ist der cyberJack RFID Komfort derzeit der komfortabelste am Markt, weil er für alles mögliche (nPA und HBCI und Secoder und QeS etc.) zugelassen ist. Er wird aber erst Anfang Mai ausgeliefert. (1) Danach kommt für mich der cyber Jack Plus.
    Aber auch die anderen Hersteller haben keine schlechten Geräte. Beachte aber die Qualität der Tastatur! Du solltest aber mindestens ein Gerät der Klasse 2, besser aber 3 wählen. Klasse 2 ist mit eigener Tastatur, Klasse 3 mit Tastatur und Display.


    Falk


    (1) Nach neuseten Erkenntnissen erst Anfang bis Mitte Juni in Stückzahlen im Handel.

  • Ich bin auch gerade am überlegen, ob ich mir solch ein Teil anschaffen soll. Wie siehts mit der Sicherheit aus, ist die dadurch wirklich so viel gesteigert, als wenn ich meine Pins und Tans im Datentresor hinterlege und MG mit einem guten Kennwort verschlüsselt ist? Hat hier vllt jmd einen Link dazu?


    Ich nutze derzeit folgende Banken:


    DKB (Giro + Kredit)
    Volksbank Giro
    Dresdner Bank
    Norisbank Giro


    würde bei diesen überall das HBCI Lesegerät funktionieren?
    Könnte ich z.B. für die Norisbank weiterhin ohne HBCI arbeiten (weil ich hierfür keine EC-Karte besitze bzw. nicht aktiv verwende)?
    Danke!

  • Guckst Du hier: http://www.hbci-zka.de/dokumen…1.1%20final%20version.pdf Seite 2
    und hier: http://www.hbci-zka.de/institute/institut_auswahl.htm


    PIN/TAN im Datentresor kann man zwar machen, aber die Banken erlauben dieses an sich nicht. Die PIN/s für die HBCI Karte/n solltest Du Dir natürlich merken können. Das hinterlegt man nicht. Gilt übrigens später auch für den nPA (neuer Personalausweis)


    Und selbstverständlich kannst Du für jede Bank das Dir genehme Verfahren wählen.

  • Ach echt? Das wusste ich nicht. Auch obwohl das ganze verschlüsselt ist? Ist dies nur im Zusammenhang mit Onlinebanking nicht erlaubt oder ist es im Prinzip garnicht erlaubt, also auch nicht in einem Keepass Tresor?

    Zitat

    Die PIN/s für die HBCI Karte/n solltest Du Dir natürlich merken können

    Das sind doch die ganz normalen EC-Karten PINs oder?



    Edit: Aus dem Link werde ich nicht ganz schlau, was nun so das beste Verfahren ist bzgl Sicherheit... Da ich gerade erst anfange, mich damit zu beschäftigen und bisher kein Kartenlesegerät oder ähnliches besitze, kann ich auch gleich beim besten Einsteigen. Beim HBCI verstehe ich nicht ganz, ob ich von unterwegs aus auch das Lesegerät und die HBCI Karte (ist das die EC Karte oder nochmal eine neue, die ich beantragen muss?) nutzen muss, oder ob dafür ein 'normaler' Login direkt auf der Onlinebanking-Seite der Bank reicht!?

    Edit2:
    Oh je, Dresdner Bank hat dann wieder ein eigenes Verfahren :( Kennt sich da jmd aus? Bin aus deren Dokumentationsseite dazu nicht schlau geworden...
    Bringt es eig. was, einen Reader zu kaufen, der den neuen Perso lesen kann?

  • Ach echt? Das wusste ich nicht. Auch obwohl das ganze verschlüsselt ist? Ist dies nur im Zusammenhang mit Onlinebanking nicht erlaubt oder ist es im Prinzip garnicht erlaubt, also auch nicht in einem Keepass Tresor?

    Hallo peterMeter,
    schaue dazu am besten in die jeweiligen AGB für Deinen Zugang!

    Zitat

    Die PIN/s für die HBCI Karte/n solltest Du Dir natürlich merken können
    > Das sind doch die ganz normalen EC-Karten PINs oder?

    NEIN, m.W. sind die Zugangsdaten für HBCI ganz andere. = andere Karte.

    Zitat


    Edit: Aus dem Link werde ich nicht ganz schlau, was nun so das beste Verfahren ist bzgl Sicherheit... Da ich gerade erst anfange, mich damit zu beschäftigen und bisher kein Kartenlesegerät oder ähnliches besitze, kann ich auch gleich beim besten Einsteigen. Beim HBCI verstehe ich nicht ganz, ob ich von unterwegs aus auch das Lesegerät und die HBCI Karte (ist das die EC Karte oder nochmal eine neue, die ich beantragen muss?) nutzen muss, oder ob dafür ein 'normaler' Login direkt auf der Onlinebanking-Seite der Bank reicht!?

    NEIN. Die HBCI Karte ist NICHT die EC Karte. Falls Du keine hast, mußt Du sie beantragen.
    Es gibt aber auch HBCI Zugang über Datei. Diese könnte auf einem USB Stick liegen.
    Ich selbst benutze dieses Verfahren.
    Login über Online Banking Seite stellt aber einen ANDEREN Zugriff dar.

    Zitat


    Edit2:
    Oh je, Dresdner Bank hat dann wieder ein eigenes Verfahren :( Kennt sich da jmd aus? Bin aus deren Dokumentationsseite dazu nicht schlau geworden...
    Bringt es eig. was, einen Reader zu kaufen, der den neuen Perso lesen kann?


    Zu Dresdner Bank kann ich nichts sagen, ohne Deinen Link zu kennen.
    Das Thema "neuer PA" ist noch sehr neu. Hat aber nichts mit HBCI Zugang zu tun.


    Die neuesten Kartenleser sind
    Klasse 3 = mit Display und Tastatur.
    Klasse 2 = ohne Display, aber mit Tastatur.
    Klasse 1 = PIN muß über PC Tastatur eingegeben werden.
    Gruß Horst


  • Du darfst (siehe AGBs) die deshalb nicht speichern, weil prinzipiell ein Angreifer von aussen die Datei mit den PINs knacken könnte und damit Transaktionen legitimieren könnte. Es ist im Grunde genommen zum Schutz der Bank vor Regressforderungen verboten. Wenn Du es doch machst, verstößt Du gegen die Regelung der AGB und kannst die Bank nicht in Regress nehmen.


    Das Verfahren mit HBCI Chipkarte und Lesegerät gilt, neben SECODER (nur wenige Banken) als das sicherste, da hier die Übertragung signiert (und damit gegen Manipulation geschützt) und auch verschlüsselt wird. Die zugehörige Funktion erledigt der Prozessor auf der Chipkarte, die Du ja dann bei Dir hast.


    Ein Gerät benötigst Du fast immer. Entweder für Chip/TAN oder für mobile TAN (Handy) oder HBCI

  • Okay danke Euch beiden schonmal.
    Und zwecks Commerzbank: Da hatte ich wohl was falsch gelesen, scheint doch zu funktionieren:
    https://www.commerzbanking.de/P-Portal0/XML/IFILPortal/pgf.html?tab=102&doc=/de/GB/hauptnavigation/hbci/bereichsgabelseite_hbci.htm
    und
    Commerzbank vormals Dresdner Bank: Einstellung des Zugangs FinTS (HBCI) PIN/TAN zum Frühjahr 2011


    Edit: Sagt mal, wenn ich den Zugang über HBCI bestelle, kann ich dann garnicht mehr über PIN/TAN über die Weboberfläche rein?

    • Offizieller Beitrag

    Edit: Sagt mal, wenn ich den Zugang über HBCI bestelle, kann ich dann garnicht mehr über PIN/TAN über die Weboberfläche rein?

    Ich gehe mal davon aus, daß das bei der CoBa nicht anders ist als bei anderen Banken und dann kannst Du natürlich beide Zugänge parallel nutzen. Zumal ja die Banken normalerweise daran interessiert sind, daß Du über das Web reinkommst, damit sie Dir Angebote unterbreiten können usw.

  • Ich gehe mal davon aus, daß das bei der CoBa nicht anders ist als bei anderen Banken und dann kannst Du natürlich beide Zugänge parallel nutzen. Zumal ja die Banken normalerweise daran interessiert sind, daß Du über das Web reinkommst, damit sie Dir Angebote unterbreiten können usw.

    Jetzt muss ich nochmal explizit nachfragen: In wiefern ist dann Onlinebanking durch Verwendung eines HBCI Kartenlesers sicherer, wenn weiterhin ein relativ 'unsicherer' Zugang über die Kontonummer mit einer 4-6 stelligen PIN (eine 6 stellige PIN ergibt max. 10^6=1mio mögliche Kombinationen, was heutzutage innerhalb Sekunden geknackt werden könnte) weiter bestehen bleibt?! Das einzige, was mir dazu einfällt wäre noch: Man muss sich ja über die Bankhomepage einloggen und dort wird das sicherlich bemerkt, wenn man mehr als eine geringe Anzahl an Fehlversuchen tätigt und somit der Zugang geschützt. Die einzige Sicherheit durch Verwendung von HBCI wäre folglich, dass durch Eingabe der PIN am Gerät niemand meine PIN durch einen Keylogger oder ähnlichem am PC abgreifen und damit 'legitim' in mein Konto kommen kann... !?
    Danke im voraus!

  • Hallo peterMeter,


    die Sicherheit von HBCI liegt weniger in der geschützten Eingabe der PIN begründet, als vielmehr in der Verschlüsselung der gesamten Datenübertragung mittels zweier voneinander unabhängiger Schlüssel mit jeweils 56 Bit Länge, wodurch sich eine Gesamtschlüssellänge von 112 Bit ergibt. Die Verschlüsselung wird nach dem Triple-DES-Verfahren durchgeführt, vereinfacht gesagt bedeutet dies, dass der Datenstrom zwei Mal mit einer Schlüssellänge von jeweils 112 Bit verschlüsselt wird. Genaueres kannst Du unter http://de.wikipedia.org/wiki/HBCI nachlesen.


    Damit ist erstmal der Datenstrom extrem gut gesichert, sowohl in die eine als auch genauso in die andere Richtung. Es ist auch praktisch noch kein einziger Fall bekannt geworden, dass ein Datenstrom im HBCI-Verfahren von außen her entschlüsselt worden wäre.


    Zu dieser Sicherheit bei der eigentlichen Datenübertragung kommt noch die physikalische Sicherheit, stichpunktartig hier mal aufgelistet:
    1. Die Datenübertragung kann nur unter Verwendung des Schlüsselmediums durchgeführt werden - im sichersten Fall mittels Chipkarte, die
    2. in den entsprechenden Kartenleser eingeführt sein muss. Die Aktivierung der Karte erfolgt
    3. durch eine vor Keyloggern gesicherte PIN-Eingabe am Kartenleser der ggf.
    4. bei Verwendung eines Lesers der Klasse 3 die Eingabe der PIN völlig unabhängig vom Computer durchführt.


    Du siehst also: Die PIN alleine macht noch lange nicht die Sicherheit von HBCI aus, sondern schützt nur vor unbefugter Benutzung der Chipkarte. Das A und O ist das Verschlüsselungssystem zwischen Bank und Kunde (siehe Wikipedia).


    Jetzt könnte natürlich von Dir der Einwand kommen: Bei Verlust der Chipkarte ist ja dann deren PIN möglicherweise in Sekunden geknackt, dann könnte ja jemand mit meiner Chipkarte... und die schöne Sicherheit der Datenübertragung wäre dahin.


    Dagegen spricht: Verlust der Chipkarte liegt immer in der Verantwortung des Nutzers der Chipkarte, hier also des Bankkunden. Also: selber schuld! Außerdem wird die Chipkarte nach dreimalig falsch eingegebener PIN gesperrt. Ein Durchprobieren von 10^5 oder 10^6 PIN-Varianten, ohne eine Sperrung der Karte zu provozieren ist also weder manuell noch technisch trivial zu realisieren.

    Gruß Uwe
    ___________________________________________________________________________________________
    WISO Mein Geld Professional 365 .Net / REINER SCT cyberJack RFID comfort / Windows 10 Pro 64 bit

    Einmal editiert, zuletzt von Homer/T ()

  • Okay danke, ja das habe ich bisher alles auch so verstanden. Aber wieso sollte jmd sich überhaupt die Mühe mit der Karte machen? Genau darauf zielte meine Frage nämlich ab: Ich muss ja nicht über HBCI, sondern kann auch weiterhin über die Weboberfläche der Bank in mein Konto kommen und dafür brauche ich ja kein HBCI, sondern nur meine 'normale' PIN. Und genau das müsste doch ein Sicherheitsmangel sein!? Eigentlich müsste es doch so sein, dass sofern HBCI aktiviert, auch nur noch das verwendet werden kann. Doof wäre dabei dann nur, dass ich auch nicht mehr mein Konto verwalten könnte (Adressänderung, Freistellungsauftrag etc)...

    • Offizieller Beitrag

    Die Sicherheit des HBCI-Zugangs hat doch nichts mit der weitaus geringeren Sicherheit des Webbankings zu tun. Solange Du dieses nicht benutzt, kann da auch niemand dazwischenfunken. Und wie Du schon richtig anmerkst: für manche Aktionen ist das Webportal die einzige Möglichkeit. Also packe einfach Deine TAN-Liste gut weg und hole sie nur hervor, wenn Du mal eine brauchst, wenn Du z.B. die Änderung des Freitstellungsauftrages mit einer TAN bestätigen mußt.
    Durch den Einsatz des HBCI-Bankings an den Stellen, wo es geht (für die tägliche Routine in Form von Umsatzabfragen, Überweisungen etc.) minimierst Du das Risiko Onlinebanking insgesamt.

  • Ich weiß, dass es damit nichts zu tun hat. Aber da eben dieser 'normale' Bankinzugriff weiterhin besteht, hat sich eben die Frage für mich ergeben, inwiefern HBCI mich sicherer macht, da dieser unsichere Zugang ja weiterhin besteht. Für mich wäre es viel sinnvoller, nur noch HBCI zu besitzen, das wäre eine WIRKLICHE sicherheitsmaßnahme... Und ggf. die anderen Dinge wie Freistellungsaufträge noch mittels iTan und Weboberfläche, worüber man dann aber nicht mehr Dinge wie Überweisungen tätigen könnte :) Aber gut, dann werde ich eben meine Tanliste gut verstauen und gut sollte es sein!

    • Offizieller Beitrag

    Ich weiß, dass es damit nichts zu tun hat. Aber da eben dieser 'normale' Bankinzugriff weiterhin besteht, hat sich eben die Frage für mich ergeben, inwiefern HBCI mich sicherer macht, da dieser unsichere Zugang ja weiterhin besteht.

    Wenn Du den unsicheren Zugang nicht benutzt, dann hast Du einen Zugewinn an Sicherheit, und zwar einen Wirklichen.
    Auf HBCI zu verzichten, weil es keine 100% Sicherheit dadurch in Bezug auf PIN/TAN gibt wäre falsch und unklug. So wie Du da rangehst, dürftest Du auch die Chipkarte nebst Reader nur im Panzerschrank eingeschlossen benutzen ;)

  • Tja, so bin ich eben ;) Ich mags lieber zu sicher als zu wenig sicher und ich finde es auch wichtig, über genau diese Dinge zu diskutieren. Aber gut, das mit der 'kurzen' PIN und den Tans ist wohl wirklich sicher, da ich sie ja nicht mehr am Computer eingebe und somit kein Keylogger oder Trojaner an diese kommen könnte -> Und Bruteforcen ist wohl wirklich keine Möglichkeit, einzubrechen, da die Bankserver wohl kaum 100e bis 1000e von Versuchen von einer (oder auch mehreren) IPs auf ein Konto innerhalb kürzester Zeit zulassen; dieser Fall wird wohl automatisch zu einer Art 'Sperrung' oder 'Alarmierung' eines Mitarbeiters führen.

    • Offizieller Beitrag

    Ich mags lieber zu sicher als zu wenig sicher und ich finde es auch wichtig, über genau diese Dinge zu diskutieren.


    Richtig. Das Thema Sicherheit gehört dazu. Die einzige Sicherheitlücke sitzt nämlich meist direkt vor dem Bildschirm. Aber so wie du dich für das Thema interessierst, mache ich mir weniger Sorgen.


    Gruß
    Jürgen