Drei Banken - Eine HBCI-Karte?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 03 / 2007
Betreff:

Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 04.03.2014 - 23:36 Uhr  ·  #1
Hallo zusammen,

ich habe dieser Tage Onlinebanking für meine Eltern beantragt. Und zwar bei der örtlichen Sparkasse, der HypoVereinsbank und der Commerzbank. Bei allen Banken werden wir HBCI/FinTS mit Chipkarte nutzen. Für die Hypo- und die Commerzbank habe ich jeweils eine Karte bei Reiner-SCT bestellt. Die Sparkasse sendet mir selbstständig eine Karte zu.

Nun meine Frage: Ist es möglich alle Schlüssel auf einer Karte zu speichern? Das fände ich praktisch :-)

Nun weiß ich garnicht, ob diese Informationen euch überhaupt genügen um meine Frage zu beantworten. Die einzigste Info, die ich noch habe ist die, dass die Karte der Hypo-Vereinsbank mit SECCOS läuft. Dies steht zumindest explizit auf der Rechnung. Um welche Kartentypen es sich handelt, welche Schlüssellängen benutzt werden, kann ich leider nicht sagen. Ich wüsste noch nicht einmal wo ich dies nachprüfen kann :(

Nun eine weitere Frage: Enthalten die Karten von Reiner-SCT bank- oder kontospezifische Informationen? Oder sind diese komplett unbefleckt? Bei der HBCI-Karte, die ich bei meinem Arbeitgeber für die dortige Sparkasse genutzt hatte, war ja bereits alles eingerichtet.

Für eure Hilfe besten Dank.

Grüße

Kai
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 00:55 Uhr  ·  #2
Die Sparkassen nutzen DDS-Chipkarten. Diese sind mit Schlüsseln ab Produktion und einer nicht änderbaren PIN versehen. Sie sind einer Sparkasse fest zugeordnet. Man kann mehrere Konten EINER Sparkasse darauf legen lassen (also Verknüpfung in der Sparkassen-EDV), nicht aber welche einer anderen Sparkasse oder gar anderen Bank. Man muß DIESE EINE verknüpfte Chipkarte nutzen. Wenn sie kaputt geht oder die PIN jemandem fremden bekannt wird oder man die PIN durch 3malige Falscheingabe sperrt, braucht man zwangsweise eine neue Karte von der entsprechenden Sparkasse, die dann mit dem Konto / den Konten verknüpft werden muß. Nachdem die Schlüssel bereits auf der Karte sind und die Karte vor der Aushändigung an den Kunden mit dem Konto verknüpft wird, muß der Kunde hier keinen "INI-Brief" an die Bank senden.

Die Privatbanken verwenden RSA-Schlüssel. Diese kann man entweder erzeugen und in einer Datei sichern (üblicherweise auf einem USB-Stick) und von da aus verwenden. Eine weitere Möglichkeit sind die RSA-Chipkarten, so wie Du eine bestellt hast. In diesem Fall wird der Schlüssel nicht im PC erzeugt und auf Datei gespeichert sondern auf der Chipkarte erzeugt. Er verläßt die Chipkarte nicht. Zumindestens der geheime Teil. Der öffentliche Teil des Schlüssels wird - sowohl bei der Datei- als auch bei der Chipkartenversion - nach der Erzeugung an die Bank gesendet und ein "INI-Brief" erzeugt. Auf diesem ist der öffentliche Schlüssel abgedruckt und dieser muß vom Kunden durch Unterschrift bestätigt werden und dieser Brief an die Bank gesendet werden. Diese gibt dann den öffentlichen Schlüssel frei und der HBCI-Zugang kann genutzt werden.

Bei der HypoVereinsbank ist es auch möglich, diesen Hash-Wert nicht über einen INI-Brief an die Bank freizugeben, es ist auch möglich diesen im WebBanking einzugeben und mit einer TAN zu bestätigen. Das geht schneller - HBCI ist dann sofort verwendbar - und macht natürlich der Bank weniger Aufwand. Ob dieser Weg auch bei der Commerzbank möglich ist, weiß ich aktuell nicht. Früher ging es mal, ob dem heute noch so ist weiß ich nicht.

Auf diesen RSA-Chipkarten sind üblicherweise 5 Schlüssel ablegbar - somit wäre es durchaus möglich, die beiden Schlüssel für HypoVereins- und Commerzbank auf einer Cipkarte zu verwenden. Nachdem die Sparkasse wie beschrieben ein völlig anderes System verwendet, muß hier zwangsweise die Original-Karte genutzt werden.
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 07:17 Uhr  ·  #3
Tippfehler bei msa: Es heißt DDV Karte, nicht DDS. Und ein Rat: Wer sich damit nicht wenigstens halb so gut wie msa auskennt sollte es nicht nutzen, das ist etwas für geübte. Es macht - vor allem bei drei Banken - einfach keinen Spaß, ständig die Karte zu wechseln und führt regelmäßig zur Sperrung einer oder mehrerer Karten.
Die neuen TAN-Verfahren Smstan und Chiptan sowie die elektr. Unterschrift in Datei sind genau so sicher. Zusammen mit einer Software (also nicht Browserbanking) kann einem damit nach heutigem Stand genau so wenig passieren wie bei Nutzung von Chipkarten. Von daher sind Chipkarten nach meiner persönlichen Meinung völlig unnötig. Das Drumherum wie z.B. Kartenleser kostet unnötig Geld, mobil ist man damit nur schwerlich, die Auswahl von Software ist eingeschränkt, Teilautomationen wie z.B. Umsatzabrufe sind unmöglich, die Handhabung ist besch..... und ein objektiver Sicherheitsgewinn existiert nicht. Denn im Grunde will man sich ja vor sich selbst schützen. Die Hauptgefahr geht ja nicht von den Sicherungsmedien aus sondern von der Schwäche der Menschen, auf Social Phishing hereinzufallen und unaufmerksam bei der Sache zu sein. Und da ist man durch Nutzung einer Software ausreichend vor geschützt. Meine Meinung.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 08:23 Uhr  ·  #4
Ganz dickes VETO, da bin ich völlig anderer Meinung. TAN-Verfahren sind nämlich umständlicher!

Ich habe einfach die Erfahrung gemacht, dass gerade ältere Menschen viel einfacher mit Karten und einer Oberfläche klar kommen. Das Stecken der passenden Karte ist kinderleicht und man kommt mit der PIN der Karte an alles, was gemacht werden muss. Ständig wechselnde TAN, möglicherweise das umständliche Hantieren mit Handy oder TAN-Leser entfällt.

Einer meiner letzten Kunden war über 80 Jahre alt, seitdem er die Chipkarte hat, gab es keine Probleme mehr. Eine Bank nutzte sogar noch den TAN Bogen. Übrigens ziemlich ähnlicher Fall, allerdings arbeiteten wir mit drei separaten Karten. Die Sparkassen-Kartenpin lässt sich ja leider nicht ändern, die beiden anderen Karten haben die Sparkassen-PIN und die letzte Ziffer wurde, wenn ich mich richtig erinnere, einfach wiederholt.

@Kai
Aber: Es braucht jemand, der sich vor Ort um Hard- und Software kümmert! Also wenn du dir das zutraust: Nimm ruhig die Chipkartenlösung.
zweite Bedingung: Das Gedächtnis muss mitspielen. Wenn das nicht mehr so richtig klappt, haben Chipkarten keinen Sinn mehr.

Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 11:13 Uhr  ·  #5
Was Raimund ergänzt hat ist eigentlich kein Widerspruch sondern eine Ergänzung aus seinem Erfahrungsschatz. Klar, wenn das Gedächtnis nicht mehr 1a ist fällt einem jedes Verfahren schwer. Denn bei jedem Verfahren muss man sich irgend einen Teil merken. Und wenn es nur der Ort des Zettels ist auf dem die PIN steht :)
Ich kenne auch Menschen, die in hohem Alter mit Chipkarte hantieren. Aber: Dafür ruft manch einer auch alle zwei Wochen an, weil wieder irgendwas zerdonnert ist. Und wenn es nur deshalb ist, weil man die Karte falsch herum in den Leser gesteckt hat.....
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 11:23 Uhr  ·  #6
Naja, die Karte falsch rum in den ChipTAN-Generator zu schieben ist genauso möglich. Somit hat da dann "ein modernes TAN-Verfahren" auch keinen Vorzug mehr :-)

Weiterhin darf ich anmerken, dass bei den Sparkassen die Chipkarte auf jeden Fall einen Vorteil bietet, wenn man "mehrere" bis "viele" Überweisungen tätigen will/muss. Da dann für jede einzelne eine TAN einzugeben käme für mich nicht wirklich in Frage. OK, man kann das inzwischen über Sammler mit Einzelverbuchung lösen, aber gerade das ist für einen älteren Menschen nicht wirklich nachvollziehbar. Und bei div. anderen Banken geht das so (leider) garnicht...

Ich selber mag auch HBCI mit einer Schüsseldatei lieber als mit einer Chipkarte. Allerdings weiss ich sehr genau was ich mache, wo die Schlüsseldatei liegt, was sie bedeutet, dass und wie ich sie zusätzlich verschlüssele bei Nichtnutzung. Gerade für einen älteren Menschen ist hier eine Chipkarte schon vorteilhafter, denn die "kann man in die Hand nehmen". Man muß nicht eine virtuelle Beziehung zwischen Konto und einer Datei herstellen, sondern hat was, was direkt sichbar auf dem Tisch liegt und - wichtig - nicht kopierbar ist.
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 11:27 Uhr  ·  #7
Full ack msa! War auch nur ein Beispiel zur Erheiterung von vor Urzeiten. Ich blaube, er macht mittlerweile garkein Onlinebanking mehr. Denn irgendwann bringts das auch einfach nicht mehr. Sich aus irgendeinem Grund selbst genötigt zu fühlen, Onlinebanking zu machen, um nicht "out" zu sein halte ich für völlig falsch. Man braucht 101 % Oberhand über die Materie sonst sollte man es lieber ganz lassen, finde ich. Die ganzen Bankgebühren zu sparen für Papierüberweisungen bringt ja nichts, wenn man am Ende einen fetten Schaden hat, den man womöglich aus Gedächtnisgründen auch noch grob fahrlässig verursacht hat.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 03 / 2007
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 15:16 Uhr  ·  #8
Euch allen vielen Dank! Etwas ist mir aber noch unklar.

Zitat geschrieben von msa
Die Privatbanken verwenden RSA-Schlüssel. ... Eine weitere Möglichkeit sind die RSA-Chipkarten, so wie Du eine bestellt hast.

Ich habe zwei bestellt! Eine von/für die Hypo und eine von/für die Commerzbank. War das überhaupt nötig? Oder kann ich die beiden Schlüssel auf einer Karte generieren und schicke die andere Karte an den Lieferanten zurück.

Zitat geschrieben von msa
Bei der HypoVereinsbank ist es auch möglich, diesen Hash-Wert nicht über einen INI-Brief an die Bank freizugeben, es ist auch möglich diesen im WebBanking einzugeben und mit einer TAN zu bestätigen. Das geht schneller - HBCI ist dann sofort verwendbar - und macht natürlich der Bank weniger Aufwand. Ob dieser Weg auch bei der Commerzbank möglich ist, weiß ich aktuell nicht. Früher ging es mal, ob dem heute noch so ist weiß ich nicht.

Ja es geht immer noch. Da wir allerdings einen reinen HBCI-Zugang haben, scheidet das aus.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Nürnberg
Beiträge: 679
Dabei seit: 12 / 2005
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 17:22 Uhr  ·  #9
Die neueren Karten der Hypo-/Commerzbank sind SECCOS-Karten, da geht das mit dem Schlüssel erzeugen nicht mehr so wie bei den alten STARCOS-Karten. Außerdem hängt es oft auch an der Kartennummer, ob eine Karte bei der Bank akzeptiert wird und nicht nur am Schlüssel. Wenn Du Karten für das Profil RDH-7/3 (Also mit Zertifikat, in dem Fall ist auch der INI-Brief nicht nötig) bekommen hast, erübrigt sich das doppelt verwenden eh. Also waren die zwei Karten kein rausgeschmissenes Geld.

Meiner Erfahrung: Das Verwenden einer RSA-Karte bei verschiedenen Banken ist eine theoretische Möglichkeit, bei deren Realisierung allerlei praktische Hürden lauern. Lass' es einfach.

schönen Gruß

Christian

Edit: Wenn Dir eine Bank heute noch eine RDH-1 Karte (also eine der alten RSA-Karten) anhängen will, lass es lieber und nimm' PIN/TAN. Die auf den alten Karten vorhandenen kryptographischen Verfahren und Schlüssellängen (teilweise nicht mal 768-Bit) gelten seit geraumer Zeit als obsolet. Das BSI rät dringend davon ab.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 05.03.2014 - 18:57 Uhr  ·  #10
Die HypoVereinsbank hat nur RDH-1 und RDH-3, die Commerzbank RDH-1 / 2 / 3 / 5 / 8 / 9 / 10
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 12 / 2015
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 28.12.2015 - 19:32 Uhr  ·  #11
HHaalllloo,,



Wegaß

Mein Bankberater hatte bzgl. HBCI erzählt, das bei einer Initialisierung über eine Banking-software drei Schl+Adel ewig der Karte erzeugt würde. Bei der Nutzung des Web-Interfaces würden dagegen nur zwei Schlüsselpaare erzeugt.

Da nach meiner Meinung auf einer Karte nur max. Drei Schlüssel gespeichert werden, könnte man die Karte nur für eine Bankverbindung benutzen.

HBCI mit Chipkarte hat nach meiner Meinung den großen Vorteil, dass man dieses Verfahren auch benutzen kann, wenn man Schwierigkeiten mit dem Sehen hat. Der Vorteil ist halt, dass das umständliche Abtippen irgendwelcher TANs entfällt. Die einzige Hürde bei HBCI ist halt der Einrichtungsprozess mit dem Init Brief. Wenn man aber diese Hürde genommen hat, ist HBCI recht komfortabel.

Mit freundlichen Grüßen

Jochen Schmitt  HH
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 28.12.2015 - 19:49 Uhr  ·  #12
Hallo Jochen,

das Thema ist etwas komplexer als es dein Bankberater dir -falsch- erklärt hat.
Aktuelle RSA Chipkarten haben die Schlüssel schon auf der Karte und alle Banken nutzen die gleichen Schlüssel.
Bei modernen Signaturkarten gibt es bis zu drei Schlüssel(paare). Einen Authentifikationsschlüssel, einen Verschlüsselungsschlüssel und einen Signaturschlüssel. In der Regel wird der Authetifikationsschlüssel auch als Verschlüsselungsschlüssel genutzt.
In FinTS wird "nur" der Authentifikationsschlüssel genutzt (es gibt Sicherheitsklassen, die mehr verlangen, aber derzeit kenne ich keine Bank die das nutzt).
in EBICS werden alle drei Schlüsselpaare benötigt. U.a. da der Signaturschlüssel aber mit einer zusätzlichen PIN gesichert ist, tricksen die meisten Anwendungen und nutzen den Authentifikationsschlüssel der Chipkarte als Signaturschlüssel und erzeugen für Authentifikation und Verschlüsselung Schlüsseldateien.

Da alle Bankenden gleichen Schlüssel nutzen, müssen alle beteiligten Banken auch diese Schlüssellänge akzeptieren. Dazu kennt FinTS noch unterschiedliche Methoden zur Hashwertberechnung und zur Signaturerzeugung, die die Chipkarte auch unterstützen muss. Abschliessend kommt noch die Frage, ob die Schlüssel mit einem Zertifikat bestätigt sind oder nicht. Das alles wird über die sogenannten RDH Profile (RDH1 - RDH 10) bzw. RAH Profile in FinTS gemanagt.
Ob also mehrere Bankverbindungen mit unterschiedlichen Verfahren genutzt werden können hängt also von recht vielen Rahmenbedingungen ab und ob die einzelnen Anwendungen und Banken die Vorgaben sauber umgesetzt haben.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Drei Banken - Eine HBCI-Karte?

 · 
Gepostet: 31.12.2015 - 17:45 Uhr  ·  #13
praktisch sieht das so aus, wenn alle deine Banken den gleichen RDH Standard können (RDH9 meist): Die Karte hat mehrere Speicherstellen für die Benutzerkennung, die meisten mit bekannten haben hier 5 Speicherstellen.
Man erhält also von der jeweiligen Bank seine Benutzerkennung und initialisiert=überträgt den von Holger genannten öffentlichen Schlüssel bei der jeweiligen Bank. Da die Bank ja prüfen muss, ob das rechtens war, also von wem die Karte initialisiert wurde, wird dabei der INI-Brief ausgedruckt, den man unterschrieben an die Bank senden muss. Die prüft Unterschrift und den Hash des öffentlichen Schlüssels und fertig.
Bei VR-Banken an der ex-GAD (RZ in Münster) muss man der Bank vorher die Kartenseriennummer mitteilen und die Bank muss auch diese Art von Karten in ihrem System aktiviert haben. Die Bank legt die Kartenseriennummer dann zusammen mit der Benutzerkennung an. Der im Genobereich übliche Begriff für diese "Kartensorte" ist "HBCI-basic Karte".
Gruß
Raimund
Gewählte Zitate für Mehrfachzitierung:   0