HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 21
Dabei seit: 08 / 2016
Betreff:

HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 16.08.2016 - 08:12 Uhr  ·  #1
Hallo,

wir nutzen seit Jahren SFirm HBCI mit Chipkarte für vier Banken mit bis zu jeweils zwei Konten.

Im Zuge einer Überprüfung der Systemlandschaft haben wir uns nun auch Multicash angesehen und kamen zu der Erkenntnis, dass die Verarbeitung der Vorgänge in beiden Systemen (SFirm & Multicash) mit kleineren Abstrichen relativ gleich ablaufen.

Eine Frage ist uns aber aufgestoßen. Die Mitarbeiter der Bank, die uns Multicash vorgestellt haben, betonen immer wieder, dass EBICS sicherer ist als HBCI (mit Chipkarte).

Ist das tatsächlich so? Da wir dazu im Web nichts gefunden haben, dachte ich, eventuell könnte uns hier jemand eine Information dazu geben.

Cheers,
André
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 16.08.2016 - 08:39 Uhr  ·  #2
sicherer in Sachen Diebstahl (also Verschlüsselung) oder bezogen auf die Datenübertragung (große Datenmenge).
um wieviele Posten (und wie verteilt) handelt es sich?

dh. HBCI/FinTS soll unsicher sein? ;-) das hat glaub kein Banker gesagt oder?

zu EBICS siehe auch: http://www.siz.de/informatik/s…ausch.html
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 16.08.2016 - 09:20 Uhr  ·  #3
Hallo Andre,

die Frage ist immer wo man die Sicherheitsfrage ansetzt.
Was ist bei EBICS sicherer:
EBICS nutzt zum Transport der Daten eine Transportverschlüsselung via Https, so wie man das bei HBCI/FinTS bei PIN/TAN kennt
Dazu kennt EBICS einen Schlüssel um die eigentlichen Daten zu verschlüsseln, einen um den Anwender zu authentifizieren und einen mit dem man die eigentliche Unterschrift zur Freigabe erteilt.
Abstrakt gesehen ist das sicherer als FinTS.

Was ist bei FinTS sicherer:
Wenn Chipkarte "ordentlich" umgesetzt ist, kann man unter FinTS nicht über einen Schlüsselwechsel einfach von der Chipkarte auf die unsichere Datei wechseln. Da EBICS selber nicht erkennen kann, ob die Signaturen von der Chipkarte oder Datei kommt, hat hier EBICS eine Schwäche gegenüber FinTS.
FinTS bietet zudem die Möglichkeit (zumindest bei den Volksbanken Raiffeisenbanken und den Sparkassen), das man die Auftragsdaten im Kartenleser anzeigen lässt und diese signiert zur Kontrole an die Bank mit übermittelt. Hier ist FinTS also sicherer.

Diese Liste könnte man sicherlich noch weiter führen. Abgesehen von theoretischen Restrisiken, kann man beide Verfahren als sicher betrachten. Die echten Risiken liegen eher im Unternehmen, in dem die Anwendung eingesetzt wird. Hier sollte man schauen, wie die Abläufe im Detail sind um dann bewerten zu können, welche Risiken in welchem Prozessschritt sind und wie man diese technisch oder organisatorisch lösen kann. Hier anzusetzen ist viel sinnvoller. An dieser Stelle bietet Multi cash dann auch in der Tat über zusätzliche Module weitere Absicherungsmöglichkeiten. Ob das auch so oder ähnlich bei Sfirm gibt, kann ich nicht sagen, müßte man sich mal genauer anschauen.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 16.08.2016 - 19:38 Uhr  ·  #4
Man könnte auch vermuten, dass EBICS für Betrüger attraktiver ist, als FInTS/HBCI, weil häufig mehrere Banken mit einem Zugang bedient werden.
Wenn man es so betrachtet, wird aus einem Nachteil der HBCI-Karte(n) ein kleiner Sicherheitsvorteil. ;)
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 21
Dabei seit: 08 / 2016
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 17.08.2016 - 08:23 Uhr  ·  #5
Hallo,

vielen Dank für die Antworten. Wir überlegen uns jetzt, wie wir weiter verfahren.



Zitat geschrieben von infoman

sicherer in Sachen Diebstahl (also Verschlüsselung) oder bezogen auf die Datenübertragung (große Datenmenge).
um wieviele Posten (und wie verteilt) handelt es sich?

dh. HBCI/FinTS soll unsicher sein? ;-) das hat glaub kein Banker gesagt oder?


Ja, es ging um die Verschlüsselung.
Und die Banker haben gesagt, dass EBICS sicherer sei. Ob das in deren Augen bedeutet, dass HBCI unsicher ist...

Cheers
André
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 17.08.2016 - 18:25 Uhr  ·  #6
Das glaub ich eher nicht.
Man kann aber mit EBICS problemloser die verteilte Unterschrift nutzen, also gemeinsame Verfügung nach dem 4-Augen Prinzip.
Das wäre schon ein wesentlicher Sicherheitsgewinn.
Die größere Gefahr lauert nicht in einem Hack der Verschlüsselung selbst, sondern sie "kommt von innen", also sowas hier:
http://www.heise.de/newsticker…96847.html

Wenn man die hausinternen Prozesse auf solche und ähnliche Gefahren abstimmen kann und mag, verbessert sich die Sicherheit signifikant. Da hilft EBICS schon sehr.
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 21
Dabei seit: 08 / 2016
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 18.08.2016 - 08:53 Uhr  ·  #7
Zitat geschrieben von Raimund Sichmann

Das glaub ich eher nicht.
Man kann aber mit EBICS problemloser die verteilte Unterschrift nutzen, also gemeinsame Verfügung nach dem 4-Augen Prinzip.
Das wäre schon ein wesentlicher Sicherheitsgewinn.


Sicherheitsgewinn aber nur dann, wenn man das 4-Augen-Prinzip (und zwar lokal vor Ort bei jeder Zahlung) nicht auch schon bei HBCI implementiert hat. Oder?
Bei uns im Haus gilt die Grundsatzentscheidung, Datenbank im Haus (Net-Banking fällt damit aus) plus Unterschriften, jeweils zu zweit zusammen, im Haus.

Zitat geschrieben von Raimund Sichmann

Die größere Gefahr lauert nicht in einem Hack der Verschlüsselung selbst, sondern sie "kommt von innen", also sowas hier:
http://www.heise.de/newsticker…96847.html


Das ist heftig. Da haben wir schon früh einen Riegel vorgeschoben, indem wir die GL darüber informiert haben, dass wir grundsätzlich keine Aufträge per eMail oder per Brief für Zahlungen außerhalb des normalen Geschäftsverkehrs nur aufgrund der eMail bzw. des Briefes ausführen werden. Es müsste in solchen Fällen immer eine zusätzliche Kommunikation per Telefon bzw. im Büro geben.

Cheers,
André
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 18.08.2016 - 08:53 Uhr  ·  #8
Zitat geschrieben von Raimund Sichmann

Das glaub ich eher nicht.

Was nicht gleichbedeutend mit Wissen ist..... ;-)
Da es eine zusätzliche Transportverschlüsselung gibt, kann man das durchaus so sagen. Ist für die Praxis nur eben völlig Bedeutungslos, da die Gefahren eben - wie Du schon richtig geschrieben hast - an ganz anderer Stelle liegen

Zitat geschrieben von Raimund Sichmann

Man kann aber mit EBICS problemloser die verteilte Unterschrift nutzen, also gemeinsame Verfügung nach dem 4-Augen Prinzip.
Das wäre schon ein wesentlicher Sicherheitsgewinn.

Wie bei den modernen PIN/TAN Verfahren oder der Nutzung des Secoders auch nur, wenn man die VEU zur Einzelkontrolle der Aufträge nutzt. Wenn man die nur zur Freigabe auf Basis der Summen nutzt, gibt es auch hier keinen Sicherheitsgewinn.

Das aber zeigt eben worauf es wirklich ankommt: Mal die internen Abläufe auf echte Schwachstellen und Risiken untersuchen und dort als erstes ansetzen.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 18.08.2016 - 09:00 Uhr  ·  #9
Zitat geschrieben von apab

Zitat geschrieben von Raimund Sichmann

Das glaub ich eher nicht.
Man kann aber mit EBICS problemloser die verteilte Unterschrift nutzen, also gemeinsame Verfügung nach dem 4-Augen Prinzip.
Das wäre schon ein wesentlicher Sicherheitsgewinn.


Sicherheitsgewinn aber nur dann, wenn man das 4-Augen-Prinzip (und zwar lokal vor Ort bei jeder Zahlung) nicht auch schon bei HBCI implementiert hat. Oder?

Wenn man die Verteilte Elektronische Unterschrift konsequent umsetzt, ist der Ansatz wie er unter EBICS (und auch properitär unter HBCI möglich ist) läuft, sicherer.

Das 4-Augen-Prinzip lokal vor Ort bei jeder Zahlung bedeutet, dass Du die Zahlung im Zweifel in einem bereits kompromittierten System durchführst. Sprich wenn es einem Angreifer gelingt euer System zu manipulieren, unterschreiben beide Aufträge, die sie gar nicht sehen.

Das 4-Augen-Prinzip bei der VEU kann mehr. Aufträge werden mit der Anwendung A auf dem PC 1 an die Bank gesendet. Mit Anwendung B auf PC 2 werden die "Auftragsinformationen" abgerufen. Anschliessend auf PC 2 kontrolliert und dort durch Anwendung B unterschrieben.
In dem Konstrukt hast Du immer eine zweite Verteidigungslinie, falls die erste erfolgreich angegriffen wurde.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte vs EBICS - EBICS sicherer?

 · 
Gepostet: 18.08.2016 - 10:48 Uhr  ·  #10
Gewählte Zitate für Mehrfachzitierung:   0