Alternative

Wem ein einfaches HBCI-Kartenlesegerät reicht und nicht auf StarMoney umsteigen möchte, der kann sich für knapp 16 Euro ein solches Lesegerät bei pearl.de kaufen. Die Karten stellen manche Banken ja ohne Aufpreis zur Verfügung. Ich nutze ein solches Lesegerät zusammen mit Quicken für den HBCI-Zugang der 1822direkt.

HBCI-User schrieb:
-------------------------------------------------------
> Wem ein einfaches HBCI-Kartenlesegerät reicht und
> nicht auf StarMoney umsteigen möchte, der kann
> sich für knapp 16 Euro ein solches Lesegerät bei
> pearl.de kaufen. Die Karten stellen manche Banken
> ja ohne Aufpreis zur Verfügung. Ich nutze ein
> solches Lesegerät zusammen mit Quicken für den
> HBCI-Zugang der 1822direkt.


Tja, mit dem Lesegerät hast du aber spätestens dann ein Problem wenn von einer Bank ein Lesegerät der Sicherheitenklasse 2 vorrausgesetzt wird. Und das sind so ziemlich alle Banken wie z.B. Volks-/Raiffeisen, Sparkasse, Deuba...

Die 1822direkt gehört ja auch zum Sparkassenverband, da geht's jedenfalls noch. Ich hatte seit vielen Jahren einen seriellen HBCI-Kartenleser im Einsatz, aber da mein neuer Rechner diese Schnittstelle nicht mehr drin hat, bin ich halt auf diese günstige USB-Alternative ausgewichen.

derBänker schrieb:
>
> Tja, mit dem Lesegerät hast du aber spätestens
> dann ein Problem wenn von einer Bank ein Lesegerät
> der Sicherheitenklasse 2 vorrausgesetzt wird. Und
> das sind so ziemlich alle Banken wie z.B.
> Volks-/Raiffeisen, Sparkasse, Deuba...

Als Alternative würde auch ein Diskettenlaufwerk und eine Schlüsseldiskette reichen. Ist auch HBCI und machen wir hier schon seit Jahren problemlos.
Ich könnte mir sogar vorstellen das sowas auch günstiger ist.

Gruss,
Kord WOperswnow

Kord Wopersnow schrieb:
-------------------------------------------------------
> Als Alternative würde auch ein Diskettenlaufwerk
> und eine Schlüsseldiskette reichen. Ist auch HBCI
> und machen wir hier schon seit Jahren problemlos.
>
> Ich könnte mir sogar vorstellen das sowas auch
> günstiger ist.
>
> Gruss,
> Kord WOperswnow
>
>


Aha? ... aber kann denn ein Trojaner dann nicht einfach die zerifikate oder die key files von der diskette ziehen und zu seinem herrchen schicken?

oder ist es doch sicherer als ich denke?

schwupduwup schrieb:
-------------------------------------------------------
> Kord Wopersnow schrieb:
> --------------------------------------------------
> -----
> > Als Alternative würde auch ein
> Diskettenlaufwerk
> und eine Schlüsseldiskette
> reichen. Ist auch HBCI
> und machen wir hier
> schon seit Jahren problemlos.
>
> Ich
> könnte mir sogar vorstellen das sowas auch
>
> günstiger ist.
>
> Gruss,
> Kord
> WOperswnow
>
> Aha? ... aber kann denn ein Trojaner dann nicht
> einfach die zerifikate oder die key files von der
> diskette ziehen und zu seinem herrchen schicken?
>
> oder ist es doch sicherer als ich denke?
>
>


Diskette - nein Danke. :)

Und Klasse 1 oder 2 ebenso nicht - wenn schon Klasse 3

http://de.wikipedia.org/wiki/Homebanking_Computer_Interface

attac schrieb:
-------------------------------------------------------
> Diskette - nein Danke. :)
>
> Und Klasse 1 oder 2 ebenso nicht - wenn schon
> Klasse 3
>
> de.wikipedia.org

Aha... wenn Dein Rechner verwurmt ist (was gegen eine Diskette spricht), kannst Du einen Klasse 3-Leser ebenso in die Tonne treten. Das steht auch so in dem von Dir verlinkten Artikel.

Holzhacker schrieb:
-------------------------------------------------------
> attac schrieb:
> --------------------------------------------------
> -----
> > Diskette - nein Danke. :)
>
> Und
> Klasse 1 oder 2 ebenso nicht - wenn schon
>
> Klasse 3
>
> de.wikipedia.org
>
> Aha... wenn Dein Rechner verwurmt ist (was gegen
> eine Diskette spricht), kannst Du einen Klasse
> 3-Leser ebenso in die Tonne treten. Das steht auch
> so in dem von Dir verlinkten Artikel.

Ach ja?
**Bei diesem Verfahren kann weder der kryptographische Schlüssel der Karte ausgelesen werden, noch ist das Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner möglich. Phishing ist bei diesem Verfahren ebenfalls prinzipiell nicht möglich, da man zum erfolgreichen Ausführen einer Transaktion im Besitz der elektronischen Signatur sein muss, also die Chipkarte besitzen muss.**

WO - dann mach mal vor :)
http://www.matrica.de/produkte/produktreader1.html#ecom

**Trotzdem bestehen bei dieser Homebanking-Methode wie auch bei allen Homebanking-Methoden noch theoretische Risiken. Der Kartenleser ist nämlich nicht in die Verschlüsselung der eigentlichen Überweisung involviert, sondern verschlüsselt lediglich die vom Homebanking-Programm erzeugte Signatur der Überweisung. Falls nun das eigentliche Homebanking-Programm durch einen Angreifer manipuliert wurde, könnte dieses statt des angezeigten und erteilten Auftrags einen veränderten Auftrag signieren und an den Bankserver schicken. Genauso wie die meisten Homebanking-Methoden ist auch Homebanking per HBCI nur unter der Annahme möglich, dass das verwendete Homebanking-Programm auf dem PC nicht durch Angreifer manipuliert werden konnte.**

Mit dem Teil von oben - nada!

attac schrieb:
-------------------------------------------------------
> Ach ja?

Ja.

> **Bei diesem Verfahren kann weder der
> kryptographische Schlüssel der Karte ausgelesen
> werden, noch ist das Belauschen der PIN-Eingabe
> mit einem Keylogger oder Trojaner möglich.
> Phishing ist bei diesem Verfahren ebenfalls
> prinzipiell nicht möglich, da man zum
> erfolgreichen Ausführen einer Transaktion im
> Besitz der elektronischen Signatur sein muss, also
> die Chipkarte besitzen muss.**

> WO - dann mach mal vor :)

Siehe unten.

> www.matrica.de

> **Trotzdem bestehen bei dieser Homebanking-Methode
> wie auch bei allen Homebanking-Methoden noch
> theoretische Risiken. Der Kartenleser ist nämlich
> nicht in die Verschlüsselung der eigentlichen
> Überweisung involviert, sondern verschlüsselt
> lediglich die vom Homebanking-Programm erzeugte
> Signatur der Überweisung.

GENAU HIER:

> Falls nun das
> eigentliche Homebanking-Programm durch einen
> Angreifer manipuliert wurde, könnte dieses statt
> des angezeigten und erteilten Auftrags einen
> veränderten Auftrag signieren und an den
> Bankserver schicken. Genauso wie die meisten
> Homebanking-Methoden ist auch Homebanking per HBCI
> nur unter der Annahme möglich, dass das verwendete
> Homebanking-Programm auf dem PC nicht durch
> Angreifer manipuliert werden konnte.**

> Mit dem Teil von oben - nada!

Doch, genau mit dem Teil von oben. Es wird immer noch der PC verwendet. Nebst der - verwurmten - Software darauf.
Sicherheit davor hast Du erst, wenn Du den PC als Mittler rauskickst. Das ist aber mit einem Klasse 3-Leser nicht drin.

Holzhacker schrieb:
-------------------------------------------------------
[HBCI und Klasse 3]

Habe mal nachgewühlt, ich wußte doch, daß ich auch in Bezug auf Klasse 3 was im Hinterkopf hatte.

Bittesehr:

http://de.nntp2http.com/comp/security/misc/2007/02/450583c37f417a14360f089e9403c982.html

(Usenet-Archiv)

Was der Klasse 3-Leser anzeigt und was er tatsächlich signiert, können anscheinend zwei Paar Schuhe sein. Shice, das.

Klasse 3 ist nun aber mal die höchste Klasse.
Immerhin Tastatur und Bildschirm vom compie getrennt.

Mal sehen...dachte die soft läuft da auch auf dem leser.
so a la portable app.

wobei ich mir weder um würmer noch trojaner sorgen mache - die haben hier Hausverbot.

Werd mich da aber nochmal schlau machen[müssen].

Bisher war für mich online banking kein Thema,wird sich aber evtl. naechstes Jahr aendern muessen - und wenn dann dann so sicher wie es geht.

Holzhacker schrieb:
-------------------------------------------------------
> Holzhacker schrieb:
> --------------------------------------------------
> -----
>
> Habe mal nachgewühlt, ich wußte doch, daß ich auch
> in Bezug auf Klasse 3 was im Hinterkopf hatte.
>
> Bittesehr:
>
> de.nntp2http.com
>
> (Usenet-Archiv)
>
> Was der Klasse 3-Leser anzeigt und was er
> tatsächlich signiert, können anscheinend zwei Paar
> Schuhe sein. Shice, das.

HBCI-User schrieb:
-------------------------------------------------------
> Die 1822direkt gehört ja auch zum
> Sparkassenverband, da geht's jedenfalls noch. Ich
> hatte seit vielen Jahren einen seriellen
> HBCI-Kartenleser im Einsatz, aber da mein neuer
> Rechner diese Schnittstelle nicht mehr drin hat,
> bin ich halt auf diese günstige USB-Alternative
> ausgewichen.

So ging es mir auch, beim neuen Rechner habe ich dann einen seriell-USB Adapter gekauft. War billiger als ein neues Lesegerät. Und StarMoney 4 reicht für Onlinebanking mehr als aus.

Holzhacker schrieb:
-------------------------------------------------------
> Holzhacker schrieb:
> --------------------------------------------------
> -----
>
> Habe mal nachgewühlt, ich wußte doch, daß ich auch
> in Bezug auf Klasse 3 was im Hinterkopf hatte.
>
> Bittesehr:
>
> de.nntp2http.com
>
> (Usenet-Archiv)
>
> Was der Klasse 3-Leser anzeigt und was er
> tatsächlich signiert, können anscheinend zwei Paar
> Schuhe sein. Shice, das.


auch mal *nachgewühlt*
http://www.kobil.de/index.php?id=444&type=7&L=1

da ist nichts auf dem rechner - alles auf\in dem Gerät selber