HBCI mit Kartenleser Klasse 3 oder 2?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 6
Dabei seit: 09 / 2004
Betreff:

HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 29.09.2004 - 16:57 Uhr  ·  #1
Hallo,

ich versuche gerade mich über Online-Banking mit HBCI zu informieren. Wenn man dazu einen Kartenleser Klasse 3 mit Display verwendet, wird dann das Display nur für Geldkartenfunktionalität benutzt oder werden auch z.B. beim signieren von Überweisungen die jeweiligen Daten auf dem Display dargestellt?
Wenn man einen Klasse 2-Leser ohne Display verwendet und quasi blind seine PIN auf dem Leser eintippen muß, woher weiß man dann, daß man z.B. seine Überweisung aus Starmoney und nicht was ganz anderes signiert?

Jörg
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1221
Dabei seit: 02 / 2003
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 29.09.2004 - 19:35 Uhr  ·  #2
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 6
Dabei seit: 09 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 29.09.2004 - 20:56 Uhr  ·  #3
Das ist ja nicht sehr zufriedenstellend was dort geschrieben wurde. Dann frage ich mich wirklich warum HBCI mit Chipkarte überhaupt eingeführt wurde wenn das nicht konsequent zuende gedacht wurde.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 08:45 Uhr  ·  #4
Zitat geschrieben von joerg
Dann frage ich mich wirklich warum HBCI mit Chipkarte überhaupt eingeführt wurde...


Hm,
weil es trotzdem einen nicht zu unterschätzenden Sicherheitsvorteil bietet?

Zudem sind die über HBCI aufgebauten Kommunikationsverbindungen per Zertifikat authentifiziert, irgendwo schickt keine Software Ihre Daten hin.
Sollten die Daten inhaltlich gegen den Willen des Nutzers verändert worden sein (und dazu ist einiges an Aufwand erforderlich), handelt es sich um Betrug.
Betrug lässt sich durch die Bekanntheit des Zahlungsempfängers recht leicht aufklären, bzw. ist das ganze Geschäft von vorne rein völlig uninteressant.

Diebstahl und Betrug lohnen sich nur bei Bargeld, daher weg damit. Bargeld stinkt zudem :lol:
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 6
Dabei seit: 09 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 11:29 Uhr  ·  #5
OK aber wenn man so argumentiert, wozu braucht man dann Chipkarte oder Klasse2-Kartenleser? HBCI-Transaktionen mit Diskette sind auch per Zertifikat signiert, mit Chipkarte kommt der Schlüssel nicht in den PC, mit Klasse2-Leser auch die PIN nicht. In beiden Fällen wird es Trojanern nur etwas schwerer gemacht, gegen meinen Willen Transaktionen zu signieren.
Aber wenn so ein Betrug sowieso "leicht" aufklärbar ist, kann man sich den Aufwand mit Karte und Leser auch schenken?
Außerdem wie soll sich so ein Betrug aufklären lassen wenn die Bank z.B. sagt, die Daten waren korrekt signiert, das ist also das Problem des Nutzens?

Jörg
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 12:29 Uhr  ·  #6
Zitat geschrieben von joerg
HBCI-Transaktionen mit Diskette sind auch per Zertifikat signiert...
Jörg


Stop, das war anders gemeint.
Die Verbindung eines Homebanking-Programms zum Banksystem ist per Zertifikat signiert (und nebenbei verschlüsselt).
Ich meine damit das ein Programm bei Manipulation der Verbindung dieses erkennt und die Verbindung abbricht bzw. gar nicht erst aufbaut. Das betrifft alle HBCI Sicherheitsmedien.

Das die Daten an sich mit Chipkarte oder Sicherheitsdatei ebenfalls signiert sind, ist klar.

Der Klasse2 Leser bietet zwei entscheidende Vorteil. Die PIN wird im geschützten Modus eingegeben, also grundsätzlich gesichert gegen Trojaner. Somit kann die PIN nicht mitgelesen werden (wenn nicht gleichzeitig der Treiber angefasst wurde, siehe unten).
Obwohl man mit der PIN alleine nichts machen kann, ist der Diebstahl dennoch bedenklich. Der Dieb könnte ja zusätzlich die Karte erbeuten und somit missbräuchlich verfügen. Dabei sind wir aber schon wieder bei Betrug/Diebstahl -> Anzeige -> Ermittlung der Staatsanwaltschaft -> Prüfung der Empfängerdaten.
Das das ganze uninteressant ist, zeigt jede Kriminalstatistik.

Das Problem das ich auch bei deiner Klasse 3 Version mit Anzeige am Display usw. immer noch sehe ist der Treiber des Kartenlesers. Der Treiber lässt sich in der Theorie genauso wie bei Klasse2 durch einen Virus/Trojaner aushebeln (da dieser nicht gegen Veränderung geschützt ist) und damit ist die vermeintliche Sicherheit ebenfalls futsch. Der Homebanking PC ist die erste Angriffsstelle und wird es auch bleiben.
Ein unsicheres Basissystem kann nicht nachträglich durch irgendwelche besonderen Verfahren nachträglich abgesichert werden.
Solange ein gängiges Betriebssystem noch immer Standarduser mit Administrationsrechten ausstattet und keine Passwort verlangt, ist jeder weitere Versuch, Sicherheit zu erzeugen eh vergebens. Die Leute die sich gut genug mit der Materie auskennen, erlangen meiner Meinung nach auch durch Klasse2 mit Karte keinen bessen Schutz als würden Sie PIN/TAN verwenden.

Der technische Aufwand für so einen Missbrauch ist aber sehr hoch. Diskettenverfahren sind einfach auszuhebeln, Kopie der Schlüsseldiskette anlegen, Brute-Force Programm zum ermitteln der Passphrase und warten.

Was mich bei deiner Aussage stutzig macht:
Bei Verdachtsfällen auf Betrug die du gegenüber deiner Bank äusserst, wird keine Bank sagen die Daten waren korrekt signiert, geh nach Hause. Wie kommst du auf so eine Idee?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 6
Dabei seit: 09 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 13:43 Uhr  ·  #7
Zitat geschrieben von Captain FRAG

Das Problem das ich auch bei deiner Klasse 3 Version mit Anzeige am Display usw. immer noch sehe ist der Treiber des Kartenlesers. Der Treiber lässt sich in der Theorie genauso wie bei Klasse2 durch einen Virus/Trojaner aushebeln


Ja aber was soll er mit dem treiber machen? Entweder eigene/veränderte Daten zum signieren schicken - das würde man dann auf dem Display sehen (angenommen das Display läßt sich nur von der Chipkarte und nicht vom PC ansteuern) - oder bereits signierte Daten auf dem Rückweg abfangen. Die könnte er ohne weiteres nicht mehr verändern, so daß sie im schlimmsten Fall eben nicht bei der Bank ankommen.

Zitat
Die Leute die sich gut genug mit der Materie auskennen, erlangen meiner Meinung nach auch durch Klasse2 mit Karte keinen bessen Schutz als würden Sie PIN/TAN verwenden.


Eben, zu dem Schluß bin ich oben ja auch gekommen, so daß man sich den Klasse2-Leser sparen kann.

Zitat
Was mich bei deiner Aussage stutzig macht:
Bei Verdachtsfällen auf Betrug die du gegenüber deiner Bank äusserst, wird keine Bank sagen die Daten waren korrekt signiert, geh nach Hause. Wie kommst du auf so eine Idee?


Naja, in den Geschäftsbedingungen steht immer, der Nutzer ist verantwortlich für die Geheimhaltung seiner PIN/Schlüssel. D.h. wenn ein Angreifer doch irgendwie rankommt und die Bank das nicht mehr stornieren kann, übernimmt sie keine Verantwortung. Obwohl - wenn ein Angreifer mir wie oben beschrieben einen geänderten Datensatz zum signieren unterschiebt und ich das mangels Display nicht erkennen kann, konnte er ja weder die PIN noch den Schlüssel aus dem Kartenleser bekommen. D.h. in dem Fall hätte der Nutzer PIN und Schlüssel geheimgehalten und die Bank hätte ihre Verantwortung für das "mangelhafte" Sicherungsverfahren nicht ausgeschlossen?

Jörg
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 14:11 Uhr  ·  #8
Wenn man will wird man immer "Sicherheitslücken" finden, aber so lange die größte Sicherheitlücke der Anwender und sein privater Pc sind, ist alles andere vergebens.

Für dich wäre es vielleicht ein Sicherheitsplus, wenn die Daten im Display angezeigt würden, nun überlege mal wie viele dort einfach blind bestätigen würden und überlege weiter wie das dann bei einer Sammelüberweisung mit 100 Einzelposten aussieht. Es ist doch genauso wie mit dem Fingerprint beim Internetbanking, den man lt. Bedingungen kontrollieren muß, aber wer macht das ???

Die Verfahren an sich sind sicher, nur sollte man auch ein bißchen selber was für die Sicherheit tun, dann scheitert auch der Trojaner vor der Haustür.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 6
Dabei seit: 09 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 14:50 Uhr  ·  #9
Zitat geschrieben von Stoney
Wenn man will wird man immer "Sicherheitslücken" finden, aber so lange die größte Sicherheitlücke der Anwender und sein privater Pc sind, ist alles andere vergebens.
[...]
und überlege weiter wie das dann bei einer Sammelüberweisung mit 100 Einzelposten aussieht.


OK das wäre in der Tat ein Problem.

Meine Überlegung ist einfach, auch Firewall und Virenscanner können nicht garantieren, daß sie irgendwann mal überlistet werden. Und wenn ich vom Rechner aus Zugriff auf mein Konto bekomme, will ich auch die bestmögliche Sicherheit haben. Deswegen will ich eben wissen ob mir Chipkartenleser usw zusätzliche Sicherheit bringen oder ob ich mir die 60 oder sogar 120 Euro sparen kann.
Soweit ich das jetzt einschätze, ist ein Klasse 2-Leser zwar noch nicht optimal aber zumindest das beste was es gibt und einen Klasse 3-Leser kann man sich (noch) sparen.

Jörg
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 15:07 Uhr  ·  #10
Zitat geschrieben von joerg
Soweit ich das jetzt einschätze, ist ein Klasse 2-Leser zwar noch nicht optimal aber zumindest das beste was es gibt und einen Klasse 3-Leser kann man sich (noch) sparen.


Absolut richtig!

Klasse2 Leser (Reiner SCT cyberjack z.B.) fangen ca. bei 40 Euro an. Das ist das Modell mit Tastaturweiche, also alleine schon aus Sicherheitsgründen nicht für Funktastaturen geeignet. Der cyperjack pinpad USB liegt bei ca. 45-50 Euronen, der einfachste Klasse3 Leser mit seriellem Port (G&D CashMouse) liegt etwa bei 60 Euro.
Nur mal so als Preisübersicht, bei ebay gibts teilweise auch günstigere.
Soll übrigens keine Werbung sein, aber die angegebenen Klasse2 Leser haben sich meiner Meinung nach bewährt.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 15:40 Uhr  ·  #11
Zitat geschrieben von joerg

Meine Überlegung ist einfach, auch Firewall und Virenscanner können nicht garantieren, daß sie irgendwann mal überlistet werden.


Klar gibt es keine Garantie. Aber Firewall und Virenscanner, die regelmäßig aktualisiert werden + ein paar Verhaltensregeln machen das Surfen im Internet so sicher wie die Antibabypille ;-) Ein Restrisiko gibts immer.

Zitat geschrieben von Captain FRAG
Nur mal so als Preisübersicht, bei ebay gibts teilweise auch günstigere.


Obwohl ich mir, wenn es um Sicherheit geht, die Bezugsquelle genau anschauen würde. Wer weiß schon, was der Verkäufer bei ebay mit dem Kartenleser angestellt hat.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 50
Dabei seit: 08 / 2003
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 15:46 Uhr  ·  #12
moin !

ReinerSCT

die Leser Typ 2 USB setzen wir ein (Empfehlung ggü. Kd.). sind robust und halten ewig. kosten so um die 50 Euros für unsere kunden über die eigene Reiner Shoplösung.
(da kann der Kunde selbst entscheiden übrigens, ob er eventuell doch nen Typ 3 oder verschiedene schnittstellen etc. haben will)

Typ 3 ist aber ziemlich kostspielig ca. 90 Euros und in Anbetracht des Nutzens eher uninteressant. kann mich captfrag nur anschliessen, typ 2 hat sich einfach etabliert.

ps: der biometrische wechselt für läppische 375 Euronen den besitzer : ) hier der Link dazu .

tschö
madbeck :)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 6
Dabei seit: 09 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 30.09.2004 - 17:35 Uhr  ·  #13
Zitat geschrieben von Stoney
Wenn man will wird man immer "Sicherheitslücken" finden, aber so lange die größte Sicherheitlücke der Anwender und sein privater Pc sind, ist alles andere vergebens.

Nicht unbedingt, das Ziel ist ja, das ganze sicher zu machen selbst wenn der Rechner mit Trojanern/Viren verseucht ist. HBCI mit Karte und Klasse2-Leser geht da ja schon sehr weit, aber eben nicht bis zum Ende.

Zitat geschrieben von Stoney
Klar gibt es keine Garantie. Aber Firewall und Virenscanner, die regelmäßig aktualisiert werden + ein paar Verhaltensregeln machen das Surfen im Internet so sicher wie die Antibabypille ;-) Ein Restrisiko gibts immer.

Nur daß in den beiden Fällen die Konsequenzen beim Eintreten des Risikofalls sehr unterschiedlich sind. Da nehme ich das Restrisiko bei der Pille doch sehr viel lieber in Kauf ;-)

Jedenfalls vielen Dank für alle Antworten, das war mal sehr hilfreich.

Jörg
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 15
Dabei seit: 11 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 29.11.2004 - 10:55 Uhr  ·  #14
:!: Sorry Captain FRAG,
aber das möchte ich doch richtig stellen:
Zitat geschrieben von Captain FRAG
Somit kann die PIN nicht mitgelesen werden (wenn nicht gleichzeitig der Treiber angefasst wurde, siehe unten). ...
Die Leute die sich gut genug mit der Materie auskennen, erlangen meiner Meinung nach auch durch Klasse2 mit Karte keinen bessen Schutz als würden Sie PIN/TAN verwenden.

Zum Abfragen der PIN haben Leser mit Tastatur ein spezielles Kommando. Der Leser führt die PIN-Abfrage autark aus. Raus kommt nur der Status der Abfrage. Die Tastatur ist von der Software bei den mir bekannten Lesern nicht transparent ansprechbar. Ein Ausschleusen der PIN durch manipulierte Treiber ist somit unmöglich. Sofern der User seine PIN immer nur am Leser eingibt, ist er also immer besser geschützt als mit allen anderen Varianten.

Zu Klasse-3 Lesern ist zu sagen, dass für Signieranwendungen kein Visualisierungskonzept definiert ist, das das Display des Leser effizient nutzen würde. Konkret: Klasse-2 tuts auch. Wenn eine Signatur erstellt werden soll, blinkt ein Lämpchen und man gibt die PIN ein. Bei Klasse-3 erscheint zusätzlich der Spruch "Jetzt PIN eingeben".

Interessant wird Klasse-3 erst bei anderen Anwendungen, wie Bezahlen mit der Geldkarte im Internet.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 29.11.2004 - 12:05 Uhr  ·  #15
Zitat geschrieben von Janus
Zum Abfragen der PIN haben Leser mit Tastatur ein spezielles Kommando. Der Leser führt die PIN-Abfrage autark aus. Raus kommt nur der Status der Abfrage. Die Tastatur ist von der Software bei den mir bekannten Lesern nicht transparent ansprechbar. Ein Ausschleusen der PIN durch manipulierte Treiber ist somit unmöglich. Sofern der User seine PIN immer nur am Leser eingibt, ist er also immer besser geschützt als mit allen anderen Varianten.


Aber ich denke mal, dass sich der Normalanwender nicht viel dabei denken wird, wenn die PIN-Eingabe über die Tastatur gefordert wird, vielleicht findet er es sogar bedienerfreundlicher, dass es jetzt eben auch über die Tastatur funktioniert und nicht über diesen komischen Zahlenblock des Kartenlesers...
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 15
Dabei seit: 11 / 2004
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 29.11.2004 - 12:21 Uhr  ·  #16
Hallo Stoney, :lol:
Zitat geschrieben von Stoney
Aber ich denke mal, dass sich der Normalanwender nicht viel dabei denken wird, wenn die PIN-Eingabe über die Tastatur gefordert wird, vielleicht findet er es sogar bedienerfreundlicher, dass es jetzt eben auch über die Tastatur funktioniert und nicht über diesen komischen Zahlenblock des Kartenlesers...

Wenn der User den doppelten Preis :!: für einen Leser mit Tastatur hingelegt hat, und trotzdem nicht zögert, die PIN seiner Signaturkarte immer noch auf der PC-Tastatur einzugeben, dann wird er schon einen echt wichtigen Grund dazu haben.

Auf jeden Fall wäre ->grobe Fahrlässigkeit zu unterstellen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: HBCI mit Kartenleser Klasse 3 oder 2?

 · 
Gepostet: 29.11.2004 - 18:11 Uhr  ·  #17
Zitat geschrieben von Janus
dann wird er schon einen echt wichtigen Grund dazu haben.
:lol: :lol: :lol: gut formuliert!
Gewählte Zitate für Mehrfachzitierung:   0