schließen

Loginbox

Trage bitte in die nachfolgenden Felder Deinen Benutzernamen und Kennwort ein, um Dich einzuloggen.


  • Username:
  • Passwort:
  •  
  • Bei jedem Besuch automatisch einloggen.


  •  
   

Informationen zum chipTAN USB Verfahren - Reiner SCT

kostenpflichtiges Upgrade für cyberJack secoder / cyberJack RFID standard + komfort

Kalle2012 offline
Benutzer
Avatar
Ort:   NRW
Beiträge: 763 seit: 11 / 2012
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: 02.01.2018 - 21:49 Uhr  -  
Die USB - Kommunikation zw. der Anwendung und dem Kartenleser wird vermutlich nicht standardisiert sein, und somit muss die Anbindung wahrscheinlich in jede Software erst noch eingebaut werden.
In Verbindung mit tanJack easy kann man das normale optische TAN - Verfahren verwenden.
Homebanking-Software mit Reiner SCT Chipkartenleser: Moneyplex 16 Business f. Windows & Linux (auch für Mac OS X verfügbar)
nach unten nach oben
B.N. offline
Benutzer
Avatar
Ort:  
Beiträge: 95 seit: 12 / 2006
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: 02.01.2018 - 22:03 Uhr  -  
Erstmal danke für die Ausführungen Holger, ich versuche das mal etwas abzukürzen damit wir nicht ganz den Rahmen sprengen. :)

Zitat geschrieben von Holger Fischer

RTS vom 27.11.2017:
Ganz so simpel ist das nicht. Wenn gefordert wird, das aktuelle Kryptologietechnologien verwendet werden müssen, muss man sich auf irgendwas beziehen. In Deutschland ist es eben dieser Katalog, der in der Regel als Referenz herhält (es gibt auch seitens der DK einen entsprechenden Katalog, der aber keine großen Abweichungen zum Katalog der Netzagentur enthält.). Die Regulatorik als hoheitliche Aufgabe wird das Rad nicht neu erfinden und vermutlich eher auf bestehende, akzeptierte Ausarbeitungen zurückgreifen. Möchte man diesen nicht folgen, muss man sich schon sehr gut positionieren, um das entsprechend argumentieren zu können.


Die Regulatorik kann sich bei EU-Richtlinien aber wohl auch kaum auf deutsche Standards beziehen die evtl. andere EU-Länder wesentlich weniger streng sehen. Wobei...gut...kommt auf die Prüfer an. Ich gehe aber davon aus, dass man durchaus wieder interne Sicherheitskataloge als Maßstab nehmen kann solang die nicht Anno sonstwas sind. Das ist mit Sicherheit ein Punkt, den wir erst in der Praxis sehen werden.

Zitat

Sorry, da ich keinen passenden Namen für die PIN kenne, habe ich die einfach so genannt. Gemeint ist die derzeit noch optionale PIN, für das ChipTAN Verfahren (egal welche Variante). Nach aktuellem Stand, sieht es so aus, dass die DK davon ausgeht, dass die PIN Eingabe beim ChipTAN Verfahren künftig aktiv sein wird. Würde ohne Session Pin bedeuten: Für jede Transaktion die PIN eingeben.


Uhhhh....wie soll da noch mTAN und Co funktionieren? Soweit ich das bisher verstanden habe, reicht die PIN um überhaupt ins Banking zu kommen, doch als Faktor "Wissen" völlig aus. Die Karte am chipTAN-Generator ist das der Faktor "Besitz". Wieso sollte die PIN bei jeder Transkation neu abgefragt werden? Damit würde man eine ganze Reihe an Verfahren über den Haufen werfen. Mein aktueller Stand ist bzw, das mTAN auch PSD2-konform ist wenn die entsprechenden Daten angezeigt werden. Das wäre nach deiner Auslegung ja nicht mehr der Fall.

Zitat

Die PSD /2 gilt 1:1 auch für EBICS. Wenn es keine Ausnahmeregelung gibt (Kapitel III Artikel 17 des RTS), gelten alle Vorgaben auch für EBICS (mit entsprechenden Auswirkungen für die Schlüsseldatei)
Das mit den vielen Buchungen ist bzgl. den Auswirkungen sehr relativ.
Die Visualisierung in ChipTAN USB bedeutet das (gemäß Spezifikation) mindestens drei Datenelemente je Auftrag (wobei ein Sammler als ein Auftrag zählt) angezeigt und bestätigt werden müssen.
Bei 3 Aufträgen bedeutet das, mindestens 3 x 3 Datenelemente anzeigen und mit OK bestätigen, sprich 9 x OK drücken.
Eine kleine Hausverwaltung mit 10 Mietkonten, würde an dieser Stelle für den monatlichen Einzug 10 x 3 = 30 x Daten kontrollieren und mit OK bestätigen.
Das 3 x bestätigen je Auftrag, ist übrigens als Mindestanzahl zu sehen. Aktuell müsste man bei ChipTAN USB in der Regel mindestens 5 x kontrollieren und bestätigen.
Das bedeutet, das für jeden Kunden, der bereits heute aus Praxisgründen kein TAN Verfahren verwendet, ist mit der PSD/2 FinTS ohne Signaturkarte und eine Visualisierung außerhalb des Kartenlesers unbrauchbar.
D.h. in dem Fall kommen auf die Banken in den kommenden 18 Monaten richtig Arbeit zu….


Das muss zwangsläufig einzeln bestätigt werden? Da muss ich mir die aktuelle RTS wohl nochmal geben. Ist das da so explizit definiert? Dann wäre ja PhotoTAN und Co auch nicht PSD2 konform. Oder geht es nur darum einmal alle relevante Daten zu sehen und zu bestätigen? Dann wäre natürlich die Frage, wieso man bei den Sparkassen da gerade auf chipTAN setzt. Das macht es aufgrund der kleinen Anzeige, ja noch komplizierter.
Dieser Post wurde 1 mal bearbeitet. Letzte Editierung: 02.01.2018 - 22:07 Uhr von B.N..
nach unten nach oben
Holger Fischer offline
Benutzer
Avatar
Ort:   Korschenbroich
Beiträge: 5299 seit: 02 / 2003
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: 03.01.2018 - 09:43 Uhr  -  
Zitat geschrieben von B.N.

ich versuche das mal etwas abzukürzen damit wir nicht ganz den Rahmen sprengen. :)

Gute Idee. Wenn ich später Zeit habe, wollte ich den Part hier mal von dem reinen Reiner SCT Thread trennen.
Zitat geschrieben von Holger Fischer

RTS vom 27.11.2017:
Wenn gefordert wird, das aktuelle Kryptologietechnologien verwendet werden müssen, muss man sich auf irgendwas beziehen…….


Zitat geschrieben von B.N.

Die Regulatorik kann sich bei EU-Richtlinien aber wohl auch kaum auf deutsche Standards beziehen

Bei deutschen Verfahren in Deutschland, durchaus (für die Auslegung durch die deutsche Aufsicht schon). Da wo es EU weite Verfahren geben soll, ist man in der Richtlinie auch durchaus konkreter geworden.
Das Problem ist ja, dass heute die Banken vermuten müssen, wie, was von einem Prüfer ausgelegt werden könnte. Dazu gibt es zwei mögliche Wege:
Klare Anforderungen werden so wie gefordert umgesetzt und alle anderen so wie man sie selber am besten braucht und man korrigiert dann, wenn der Prüfer das fordert oder
man geht hin und setzt die nicht klaren Anforderungen so um, dass kein Prüfer auch nur ein Zweifel haben könnte, dass das passt….. Rate mal wozu man in Deutschland tendiert…. ;-)
Zitat

Sorry, da ich keinen passenden Namen für die PIN kenne, habe ich die einfach so genannt. Gemeint ist die derzeit noch optionale PIN, für das ChipTAN Verfahren (egal welche Variante). Nach aktuellem Stand, sieht es so aus, dass die DK davon ausgeht, dass die PIN Eingabe beim ChipTAN Verfahren künftig aktiv sein wird. Würde ohne Session Pin bedeuten: Für jede Transaktion die PIN eingeben.

Zitat geschrieben von B.N.

Uhhhh....wie soll da noch mTAN und Co funktionieren?

Bei der mobilen TAN legitimierst Du dich vorher beim Handy
Zitat

Das mit den vielen Buchungen ist bzgl. den Auswirkungen sehr relativ.
Die Visualisierung in ChipTAN USB bedeutet das (gemäß Spezifikation) mindestens drei Datenelemente je Auftrag (wobei ein Sammler als ein Auftrag zählt) angezeigt und bestätigt werden müssen.
Bei 3 Aufträgen bedeutet das, mindestens 3 x 3 Datenelemente anzeigen und mit OK bestätigen, sprich 9 x OK drücken.
Eine kleine Hausverwaltung mit 10 Mietkonten, würde an dieser Stelle für den monatlichen Einzug 10 x 3 = 30 x Daten kontrollieren und mit OK bestätigen.
Das 3 x bestätigen je Auftrag, ist übrigens als Mindestanzahl zu sehen. Aktuell müsste man bei ChipTAN USB in der Regel mindestens 5 x kontrollieren und bestätigen.
Das bedeutet, das für jeden Kunden, der bereits heute aus Praxisgründen kein TAN Verfahren verwendet, ist mit der PSD/2 FinTS ohne Signaturkarte und eine Visualisierung außerhalb des Kartenlesers unbrauchbar.
D.h. in dem Fall kommen auf die Banken in den kommenden 18 Monaten richtig Arbeit zu….

Das muss zwangsläufig einzeln bestätigt werden? Da muss ich mir die aktuelle RTS wohl nochmal geben. Ist das da so explizit definiert? Dann wäre ja PhotoTAN und Co auch nicht PSD2 konform.
Das hat mit dem RTS nichts zu tun. ChipTAN funktioniert schlicht so, dass jeder Auftrag (oder jeder Sammler) einzeln im Display visualisiert wird und zu den einzelnen Aufträgen dann die TAN ermittelt wird. Ist auch völlig unproblematisch, für die, die heute bereits TAN Verfahren nutzen. Für die ist ChipTAN USB sogar ein deutlicher Komfortbeginn. Problematisch ist das für die Firmenkunden, die heute eine Chipkarte nutzen und einmal die PIN Eingeben und dann alle Aufträge signieren. Wenn bei denen die Chipkarte weg fällt und ChipTAN USB als Alternative gelten soll, bedeutet das eben die oben genannte Konsequenz. Das Handling ist übrigens das Gleiche, wie bei der Chipkarte (Signatur) und der Visualisierung im Secoder. Daher ist auch der Secoder und die Visualisierung der Daten dort für die meisten Firmenkunden keine Lösung.
Hat man aber die Chipkarte, könnte man die Aufträge auch anders anzeigen lassen – gibt der RTS nach aktueller Interpretation durchaus her.
Zitat geschrieben von B.N.

Dann wäre natürlich die Frage, wieso man bei den Sparkassen da gerade auf chipTAN setzt. Das macht es aufgrund der kleinen Anzeige, ja noch komplizierter.

Aus Sicht Firmenkunde mit mehreren Aufträgen/Sammlern ist die Frage -meiner Meinung nach- berechtigt……
nach unten nach oben
B.N. offline
Benutzer
Avatar
Ort:  
Beiträge: 95 seit: 12 / 2006
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: 04.01.2018 - 20:26 Uhr  -  
Zitat geschrieben von Holger Fischer
Das Problem ist ja, dass heute die Banken vermuten müssen, wie, was von einem Prüfer ausgelegt werden könnte. Dazu gibt es zwei mögliche Wege:
Klare Anforderungen werden so wie gefordert umgesetzt und alle anderen so wie man sie selber am besten braucht und man korrigiert dann, wenn der Prüfer das fordert oder
man geht hin und setzt die nicht klaren Anforderungen so um, dass kein Prüfer auch nur ein Zweifel haben könnte, dass das passt….. Rate mal wozu man in Deutschland tendiert…. ;-)


Ja natürlich. Es will ja auch niemand eine 44er Prüfung heraufbeschwören. ;)
Hatte mich bei der chipTAN verlesen ...dachte die 9x bestätigen waren auf ein Auftrag bezogen. Klar...bei so vielen Aufträgen ist das natürlich nervig. Schwierig, langfristig denke ich aber nicht das die Sache so bleiben wird. Es wäre auch ziemlich unfair, wenn wir hier durch die Prüfungen der BaFIN den Hardcore Modus fahren und andere EU-Länder sich da einfache Lösungen ausdenken die nicht angekreidet werden. Natürlich will da die BaFIN nicht ihre Stellung im deutschen Markt verlieren, aber das könnte ernsthafte Wettbewerbsprobleme verursachen.

/edit: narf Massenedit. Das Forum mag keine Ascii Smileys....musste das nochmal kürzer schreiben aber egal.
Dieser Post wurde 6 mal bearbeitet. Letzte Editierung: 04.01.2018 - 20:35 Uhr von B.N..
nach unten nach oben
infoman offline
Benutzer
Avatar
Ort:  
Beiträge: 3148 seit: 06 / 2008
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: 15.01.2018 - 12:47 Uhr  -  
Der Ablauf einer Online-Banking Transaktion ähnelt dem bekannten Ablauf beim HBCI, nur dass Sie nun etwas öfter zur Kontrolle und Bestätigung des Vorgangs aufgefordert werden. Bitte beachten Sie deshalb auch immer die Anzeige Ihres Chipkartenlesers
nach unten nach oben
Holger Fischer offline
Benutzer
Avatar
Ort:   Korschenbroich
Beiträge: 5299 seit: 02 / 2003
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: 15.01.2018 - 14:51 Uhr  -  
Zitat geschrieben von infoman

Der Ablauf einer Online-Banking Transaktion ähnelt dem bekannten Ablauf beim HBCI, nur dass Sie nun etwas öfter zur Kontrolle und Bestätigung des Vorgangs aufgefordert werden. Bitte beachten Sie deshalb auch immer die Anzeige Ihres Chipkartenlesers


Das ist der Ablauf bei HHD 1.3 und verkürzter IBAN Bei HHD 1.4 kommt noch was dazu
nach unten nach oben
ottoager offline
Benutzer
Avatar
Ort:   Saxony
Beiträge: 666 seit: 09 / 2003
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: 15.01.2018 - 16:20 Uhr  -  
Zitat geschrieben von Holger Fischer
Das ist der Ablauf bei HHD 1.3 und verkürzter IBAN


Also genau das, was die chipTAN USB einführenden Sparkassen praktizieren. 8-)

Otto
Des Mannes Lähbenseleggsiere
sin Weib, Gesang un
Reischnbrandor Biere.
E.S.
Dieser Post wurde 1 mal bearbeitet. Letzte Editierung: 15.01.2018 - 16:21 Uhr von ottoager.
nach unten nach oben
infoman offline
Benutzer
Avatar
Ort:  
Beiträge: 3148 seit: 06 / 2008
Private Nachricht
Betreff: Re: Informationen zum chipTAN USB Verfahren - Reiner SCT  -  Gepostet: Gestern um 20:46 Uhr  -  
nach unten nach oben
 



Registrierte in diesem Topic
Aktuell kein registrierter in diesem Bereich

Cookies von diesem Forum entfernen  •  FAQ / Hilfe  •  Teamseite  •  Impressum   |  Aktuelle Ortszeit: 23.01.2018 - 11:08