Hamburger Sparkasse schaltet HBCI ab ?

  • Ich wusste gar nicht, dass Buhl auch banking-software anbietet, sorry.


    Das StarMoney gab es damals extra von der Sparkasse, und ich dachte man könnte das nur mit diesem Programm nutzen oder eben online auf der Sparkassenwebsite.

  • Das geht auch mit der Software anderer Hersteller - da gibt es recht viele und fast alle bieten inzwischen HBCI chipKartenverfahren an. Und die Chipkarte und der Leser passen in jede Laptop-Tasche.

  • Ok, dann werde ich mal versuchen, ob mir die Haspa nach 33 Jahren, die ich dort Kunde bin wenigstens die nötige "Hardware" kostenfrei zur Verfügung stellt, und parallel mal rumgoogeln bei welcher Bank ich mein altes Verfahren evtl. weiternutzen könnte.


    Ich sehe es nämlich immer noch nicht ein, dass meine Bank mir aus einseitigem Interesse zugesagte Vereinbarungen einfach wegkündigt. X(

    • Offizieller Beitrag

    Ich sehe es nämlich immer noch nicht ein, dass meine Bank mir aus einseitigem Interesse zugesagte Vereinbarungen einfach wegkündigt.

    Das macht sie aber nicht aus lauter Jux und Dallerei, sondern nach allem, was ich von PSD2 gehört habe, hat sie gute Gründe dafür, denn die Anforderungen an Banken und auch die Softwarehersteller werden deutlich höher geschraubt.

    Verwendet man z.B. HBCI mit Schlüsseldatei, so könnte MG im Hintergrund nach der PIN-Eingabe beliebig viele Transaktionen an die Bank schicken, ohne daß Du es mitbekommst. Das passiert mit modernen TAN-Verfahren nicht.

    Etwas anderes ist es, wenn man Kartenleser ab Klasse 2 benutzt.

  • Ok, dann werde ich mal versuchen, ob mir die Haspa nach 33 Jahren, die ich dort Kunde bin wenigstens die nötige "Hardware" kostenfrei zur Verfügung stellt, und parallel mal rumgoogeln bei welcher Bank ich mein altes Verfahren evtl. weiternutzen könnte.

    Das muss jeder selbst wissen. Eine Änderung der Auftragsfreigabe wäre für mich kein ausschließlicher Grund die Bank zu wechseln, wenn ich sonst mit dieser zufrieden bin. Ein ganz sicher gibt es nicht. Manche Auftragsfreigaben sind sicherer als andere. Dennoch gibt es noch eine Reihe von Banken, die die "unsichereren" anbieten und mit dem höheren Risiko leben. Aber auch mit diesen scheint es keine großen Probleme zu geben, sonst hätte die Bank dieses schon längst abgeschaltet. Nimm z. B. die Diba, die immer noch iTAN anbietet und aktuell auch noch keine Veranlassung sieht dies zu ändern. Mir reicht das Sicherheitsversprechen und ich habe auch kein Problem damit Aufträge und Freigaben mit einer App durchzuführen, wenn dies so von der Bank angeboten wird, auch wenn ich für diese Aussage jetzt gesteinigt werde. ;)

  • Das macht sie aber nicht aus lauter Jux und Dallerei, sondern nach allem, was ich von PSD2 gehört habe, hat sie gute Gründe dafür, denn die Anforderungen an Banken und auch die Softwarehersteller werden deutlich höher geschraubt.

    Verwendet man z.B. HBCI mit Schlüsseldatei, so könnte MG im Hintergrund nach der PIN-Eingabe beliebig viele Transaktionen an die Bank schicken, ohne daß Du es mitbekommst. Das passiert mit modernen TAN-Verfahren nicht.

    Etwas anderes ist es, wenn man Kartenleser ab Klasse 2 benutzt.

    ...und da werden die Anbieter von HBCI nicht drauf reagieren und das Verfahren aktualisieren ?


    Muss man bei dem TAN-Verfahren dann jeden einzelnen Auftrag signieren,

    oder interpretiere ich das falsch aus der Antwort der Sparkasse ?


    Mir hat man mal gesagt, dass HBCI die Banken mehr kostet als die anderen Verfahren, und wenn dem so ist, ist das vermutlich der eigentliche Grund das Verfahren abzuschaffen.

    Wiegesagt, WENN dem so ist, und dann fände ich es nicht ok.


    Wenn aber HBCI tatsächlich ein Auslaufmodell sein sollte ist das natürlich was anderes, und genau das war ja hier meine Frage.;)

  • Das muss jeder selbst wissen. Eine Änderung der Auftragsfreigabe wäre für mich kein ausschließlicher Grund die Bank zu wechseln, wenn ich sonst mit dieser zufrieden bin. Ein ganz sicher gibt es nicht. Manche Auftragsfreigaben sind sicherer als andere. Dennoch gibt es noch eine Reihe von Banken, die die "unsichereren" anbieten und mit dem höheren Risiko leben. Aber auch mit diesen scheint es keine großen Probleme zu geben, sonst hätte die Bank dieses schon längst abgeschaltet. Nimm z. B. die Diba, die immer noch iTAN anbietet und aktuell auch noch keine Veranlassung sieht dies zu ändern. Mir reicht das Sicherheitsversprechen und ich habe auch kein Problem damit Aufträge und Freigaben mit einer App durchzuführen, wenn dies so von der Bank angeboten wird, auch wenn ich für diese Aussage jetzt gesteinigt werde. ;)

    ...ähm, wer trägt denn da das Risiko wenn was schief geht ?

  • Die Bank:

    Sie haben unser Wort:


    Falls Dritte Ihre Zugangsdaten zum Internetbanking + Brokerage missbrauchen, ersetzen wir Ihren finanziellen Schaden.

    Das ist ja praktisch, aber wer weiss ob die dann nicht doch irgendein Schlupfloch parat haben wenn es wirklich passiert. :fie:


    Bei der INGDiba hab ich auch ein Konto, nutze es aber nicht für Überweisungen, siehe oben.

    • Offizieller Beitrag

    Nimm z. B. die Diba, die immer noch iTAN anbietet und aktuell auch noch keine Veranlassung sieht dies zu ändern. Mir reicht das Sicherheitsversprechen und ich habe auch kein Problem damit Aufträge und Freigaben mit einer App durchzuführen, wenn dies so von der Bank angeboten wird, auch wenn ich für diese Aussage jetzt gesteinigt werde.

    Wenn die Bank ohne Wenn und Aber für Schaden gerade steht, der daraus erwächst, dann ist das das eine. Aber Du vergisst dabei den Ärger, den Du erst einmal hast. Früher fuhr man mit der DR = Dein Risiko ;)

    • Offizieller Beitrag

    ...und da werden die Anbieter von HBCI nicht drauf reagieren und das Verfahren aktualisieren ?

    Zur Zeit schreiben die Banken reihum die Kunden an mit Verweis auf den 13.01. Und wie oft in solchen Fällen ist das was, was die Banken aus den Papieren heraus lesen, von Fall zu Fall unterschiedlich bzw. auch die Risikobereitschaft unterschiedlich. Warum auch, wenn Milliardenstrafen aus der Kaffeekasse gezahlt werden und im Notfall der Steuerzahler retten darf. Aber das ist OT.

    Muss man bei dem TAN-Verfahren dann jeden einzelnen Auftrag signieren

    Ja, das kann eine Folge sein. Also auch Umsatzabfragen.

    Mir hat man mal gesagt, dass HBCI die Banken mehr kostet als die anderen Verfahren, und wenn dem so ist, ist das vermutlich der eigentliche Grund das Verfahren abzuschaffen.

    Banken sparen, wo sie können, das ist wahr. Aber in dem Fall dürfte das nicht der Grund sein.

    Wenn aber HBCI tatsächlich ein Auslaufmodell sein sollte ist das natürlich was anderes, und genau das war ja hier meine Frage.

    HBCI ist kein Auslaufmodell, sondern hier geht es meiner Ansicht nach offensichtlich um die Signierung mit Datei, sprich das konkrete Sicherheitsmedium.

  • Ok, was ist dann aber der konkrete Unterschied, ob ich mit meiner elektronischen Signaturdatei "unterschreibe" oder mit einer generierten TAN ?

    Weil die TAN sich pro Auftrag ändert, die elektronische Unterschrift aber immer die gleiche ist vermutlich.


    Das wird ja dann aber hölle aufwändig wenn man jeden einzelnen Vorgang extra signieren muss, es keine Sammelüberweisungen mehr gibt.

    Bislang kann ich soviele Überweisungen, Lastschriften, Umsatzabfragen, Dauerauftragsänderungen eingeben wie ich will, am Ende alles zusammen 1x signieren, fertig.


    Wie machen das denn dann große Firmen, die z.B. hunderte Transaktionen pro Tag ausführen müssen ?

    Die haben vermutlich andere, maßgeschneiderte Softwarelösungen, die die TAN`s automatisch generieren oder ähnliches.

  • Das wird ja dann aber hölle aufwändig wenn man jeden einzelnen Vorgang extra signieren muss, es keine Sammelüberweisungen mehr gibt.

    Eine Sammelüberweisung ist ein Geschäftsvorfall und wird daher nur einmal freigegeben.

    Bislang kann ich soviele Überweisungen, Lastschriften, Umsatzabfragen, Dauerauftragsänderungen eingeben wie ich will, am Ende alles zusammen 1x signieren, fertig.

    Das sind wiederum einzelne Geschäftsvorfälle.

    Wie machen das denn dann große Firmen, die z.B. hunderte Transaktionen pro Tag ausführen müssen ?

    Die erzeugen in den meisten Fällen eine sepa.xml-Datei mit allen Aufträgen und übergeben diese an die Bank. Für diese gibt es auch nur eine Freigabe, ggf. im 4-Augen-Prinzip.

  • Deshalb habe ich ja auch einen Chipkartenleser mit Tastatur (zur Eingabe dort und nicht am Rechner) der Klasse 2 und von jeder Bank eine Chipkarte. Die Kennwörter habe ich in einer gesondert gesicherten Passwortdatei. Alles kein Hexenwerk - nur der Kartenleser hat etwas Geld gekosten, hält aber auch einige Jährchen. Der TAN-Generator kostet auch Geld und die Bank zahlt hier nichts oder nur wenig dazu.

    • Offizieller Beitrag

    Die erzeugen in den meisten Fällen eine sepa.xml-Datei mit allen Aufträgen und übergeben diese an die Bank. Für diese gibt es auch nur eine Freigabe, ggf. im 4-Augen-Prinzip.

    Oder das Ganze mit Chipkarte via DATEV z.B. Mit TANs habe ich da noch niemanden hantieren sehen.

  • Du initiierst die Datenübertragung auch bei FinTS mit Chipkarte und gibst diese Datenübertragung mit der Eingabe der korrekten PIN am Chipkartenleser frei. Dann werden alle, im Bearbeitungsvorrat (Onlinecenter) liegenden und für die Übertragung vorgesehenen Transaktionen übermittelt. Bei MG siehst Du noch, welche Transaktionen dieses sind. Also: einmal quittieren, n Aufträge abarbeiten. Sammelüberweisung ist da nicht notwendig. Nach meiner eigenen Erfahrung für mich auch eher hinderlich, weil ich dann die Einzelbuchungen so nicht sehe.


    Großunternehmen übermitteln z.B. ebenso signierte XML-Dateien, wie schon von den anderen genannt.


    Falk

  • Du initiierst die Datenübertragung auch bei FinTS mit Chipkarte und gibst diese Datenübertragung mit der Eingabe der korrekten PIN am Chipkartenleser frei. Dann werden alle, im Bearbeitungsvorrat (Onlinecenter) liegenden und für die Übertragung vorgesehenen Transaktionen übermittelt. Bei MG siehst Du noch, welche Transaktionen dieses sind. Also: einmal quittieren, n Aufträge abarbeiten. Sammelüberweisung ist da nicht notwendig. Nach meiner eigenen Erfahrung für mich auch eher hinderlich, weil ich dann die Einzelbuchungen so nicht sehe.


    Großunternehmen übermitteln z.B. ebenso signierte XML-Dateien, wie schon von den anderen genannt.


    Falk

    FinTs wird es bei der Haspa nicht geben, ich zitiere mal von weiter oben:


    Diese Anforderung erfüllt unser altes HBCI-Verfahren

    nicht. Dessen technische Weiterentwicklung eines auf einer elektronischen

    Signatur basierten Sicherungsverfahren ist die so genannte Fortgeschrittene

    elektronische Signatur (FeS). Diese FeS ist allerdings hinsichtlich Bedienbarkeit

    und Aufwand unseres Erachtens nicht geeignet: Es werden hochwertige Chipkartenleser

    und spezielle Chipkarten benötigt, auf denen der Kunde per Download Zertifikate

    aufbringen und diese freischalten muss. Dieser Prozess ist zudem aufgrund

    der Gültigkeit der Zertifikate regelmäßig zu wiederholen. Neben den Kosten

    zieht dieses Verfahren somit sehr hohe Installations- und Folgeaufwände

    für unsere Kunden nach sich. Wir haben uns daher entschieden, die FeS nicht

    anzubieten.

    Und stimmt, die Firmen nutzen DATEV, war mir entfallen.

  • Mit TANs habe ich da noch niemanden hantieren sehen.

    Ich schon. ;) Unser ERP-System erzeugt Sepa.xml Dateien, die direkt über die Bundesbank abgewickelt werden. Bis letztes Jahr gab es noch einen Chipkartenleser mit Signaturkarte. Da der Zugriff mittels Browser erfolgte und hierfür Java erforderlich war, wurde es dann wohl zu unsicher und zu aufwendig. Nun hat die Bundesbank zunehmend auf eTAN umgestellt. Jetzt werden TANs mittels TAN-Generator und Signaturkarte für die Freigabe generiert.

  • Na ja. Das die HASPA auf OSPlus umstellt, kann man im Internet auf den Seiten der Finanz Informatik naclesen.

    In diesem Dokument der Finanz Informatik auf Seite 24 wird eine Migration im OSPlus Betriebssystem zwar erwähnt, aber etliche Sparkassen haben auf FinTS 3.0 umgestellt, ohne auf die Chipkarten der Vorgängerversionen zu verzichten. Es muss also doch funktionieren. Und das Chipkartensystem ist immer noch das sicherste Verfahren. Bei einem Online-Konto ist es sowieso egal, wo der Anbieter letzlich ansässig ist, solange die Ausfallsicherung ausreichend ist.