GAD Banken erkennen für Transaktionsdaten

Guten Abend euch erst einmal,

ich habe einige Fragen bzgl. dem Thema FinTS/HBCI mit Chipkarte und vor allem Secoderfunktion.

Ich habe mich schon so weit es ging selber schlau gemacht, da ich hier eigentlich niemanden nerven wollte, aber ich stoße gerade etwas an meine Grenzen.

Obwohl der Standard steht, unterstützen aktuell nur die Genossenschaftsbanken die Funktion Transaktionsdaten anzuzeigen und genauer gesagt die GAD angebundenen Banken. Richtig? Nix mit Sparkassen, oder irgendeiner Privatbank?
Die ursprüngliche GAD scheint aber 2015 in der Fiducia & GAD IT aufgegangen zu sein und woran kann ich nun erkennen, welche Genossenschaftsbanken an dieses Unternehmen angeschlossen ist? Vorher gab es ja zwei Unternehmen.
Oder sind nun alle an die Fiducia & GAD IT angebunden? Zählt dies auch für Sparda-Banken, PSD, etc. Banken - also für den gesamten BVR Verband?
Ich konnte auf der Internetseite der Fiducia & GAD IT leider keine Liste mit den angeschlossenen Banken finden, aber so eine Übersicht würde mich schon interessieren, damit ich weiß woraus ich wählen könnte.

Mit einem Homebanking Programm erhalte ich doch die Funktion elektronische Kontoauszüge zu nutzen, aber muss ich diese dann auch nutzen, oder kann ich einfach den Finanzstatus abrufen, wie beim Onlinebanking und weiterhin Kontoauszüge ausdrucken?

Ich bin auch bereit etwas für das Konto zu bezahlen, da ich einfach nur die volle Funktionsbreite nutzen möchte - leider hatte die Beraterin bzw. Servicemitarbeiterin vor Ort in einer großen deutschen Volksbank (ich will jetzt keine Namen nennen) keine Lust und behauptete zuerst, dass HBCI nur für Geschäftskunden ist und nach dem Hinweis, dass ich nicht von EBICS spreche, meinte sie nur, dass sie jetzt keinen Fachmann holen wird, da ich kein Kunde bin - aber dies wäre die Voraussetzung für mich Kunde zu werden^^.
Ich will jetzt nicht über Banken urteilen, aber dies war dann der Ausschlag mich etwas damit zu beschäftigen - vorher wusste ich noch nichts von GAD etc. Eventuell würde ich auch nochmals hingehen, aber ich werde bei solchen Erfahrungen immer recht lustlos. Wahrscheinlich hatte die Mitarbeiterin auch keine nur keine Lust. Hauptstadt müsste ausreichen, oder Ich habe heute erst erfahren, dass es bei mir in der Stadt auch eine Filiale der GLS Bank gibt. Könnte es hier dann funktionieren, wie ich es mir vorstelle?

Vom Übertragungsweg mal abgesehen, wie sicher sind eigentlich die Programme? Ich weiß, dass der PC auch angreifbar ist, aber sind die Datenbanken der großen Programme wie Starmoney, VR Net eigentlich verschlüsselt?

Die letzte Frage ist mir fast etwas peinlich, aber hat sich in den letzten Jahren irgendetwas am Standard geändert? Ich habe nämlich als der neue Personalausweis herauskam und ich noch Abonnent einer Technikzeitung war, automatisch an einer Verlosung teilgenommen und einen cyberJack® RFID Standard gewonnen, aber der ist mittlwerile von 2010.
Besteht da irgendein Unterschied zu den heutigen Klasse 3 Geräten, oder kann ich den hierfür nutzen?

Danke euch

EDIT: Etwas habe ich noch vergessen. An Nutzer von Homebankingsoftware. Könnt ihr euch dann noch ins Onlinebanking einloggen bzw. müsst ihr dies überhaupt noch? Daueraufträge, Freistellungsaufträge etc. läuft dies dann auch alles über die Software oder muss man dies dann mit Papierformularen machen?

Hallo und danke für deine Antwort und den Willkommensgruß



Dort habe ich mal schnell nachgesehen und bin auch fündig geworden. Also bei Banken, bei denen "Fiducia & GAD IT AG" und eine "hbci.gad.de" Adresse steht dürfte alles klargehen.
Mal von den Werbesprüchen abgesehen, Papier ist ja bekanntlich geduldig, gibt es irgendwelche bekannten Probleme bei den anderen Produkten bzgl. der Secoderfunktion? Du hast ja geschrieben, dass nur Genoprodukte diese Funktion implementiert haben, aber das Programm mit dem Stern wirbt doch auch damit?



Natürlich wäre die Technik nicht mein einziger Grund , die Informationen auf der Internetseite sind zum großen Teil schon überzeugend für mich, paar Fragen habe ich noch, aber die kläre ich dann evtl. in der Filiale, aber ich möchte dieses System jetzt wirklich gern nutzen und dies war auch mit meinem Ausdruck "Konto muss nicht kostenlos sein" gemeint.
Zweigstellen machen aber keinen Unterschied, oder? Also GLS Bochum, GLS Berlin etc. GLS "Online" Köln - ich könnte überall in Deutschland den Secoderstandard nutzen? Für den Falls, dass ich mal umziehe. Mich wunderte es nur, da du geschrieben hast, dass die andere Bank Fiducia sei, aber bei dieser Bankenliste von hbci-zka wurde sie als Fiducia-GAD angezeigt, oder hast du einfach nur abgekürzt?^^


Also müsste ich jede Genobank einzeln prüfen, die evtl. in Frage kommen könnte - auch wenn es nicht wirklich viel mehr, als die aufgezählten sind, aber der Fall ist es trotzdem?


Ja habe mich selber damals über den Gewinn gewundert, aber da der neue Ausweis nicht wirklich genutzt wird, lag er auch oft nur rum. Okay. Gibt es denn hier irgendwelche Dinge, auf die ich in den nächsten Jahren achten muss. Secoder 2 Zertifikat dachte ich reicht aus.


Zu deinem letzten Punkt. Beantrage ich dann zusätzlich den Zugang zum normalen Internetbanking und ein Zugangskennwort, oder erhalte ich den Zugang automatisch und die Authentifizierung läuft dann auch über die Chipkarte/ Signaturdatei?

Wenn ich mich nicht irre, war es doch so, dass bei aktivierten elektronischen Kontoauszügen keine Drucker der Banken mehr genutzt werden können. Ich möchte mir eigentlich den Papierkram vermeiden, aber ich hatte schon einmal das Pech und einen Ausfall - glücklicherweise hatte ich zwar ein Backup, aber irgendwie würde ich trotzdem ungern drauf verzichten.
Die Umsatzfunktion etc. funktioniert über das Programm aber trotzdem, da die eigentlich unabhängig davon sein müsste, oder?

Bisschen merkwürdig finde ich diesen einen Umweg übers Webinterface schon - da muss man die Sicherheit, die man eigentlich gewählt hat ja doch wieder verlassen - okay nicht so oft, aber irgendwie wäre es schöner, wenn alles übers Programm laufen würde.

Die Frage zum Webzugang kam nur deshalb auf, da ich im Internet widersprüchliche Informationen bekommen habe und gerade die angesprochene GLS Bank hat auf Ihrer Internetseite ein Weblogin für Kennung/ Tan und Chipkarte - jedenfalls steht es dort so.


Kann man die nicht für die gesamte Nutzungsdauer stecken lassen und nur immer wieder neuquitieren?



Wäre für mich kein großes Problem, da ich in Deutschland Lastschrift und Rechnung nutze und fürs Ausland meine Kreditkarte sowie PayPal habe und falls die ersten zwei mal nicht nutzbar sind, habe ich ja doch noch meine KK und PayPal - also so großes Verlangen habe ich nach den Diensten nicht und Datenschutz hmm durch die KK kommen meine Daten eh schon in die USA - also vor NSA schützen ist da nichts mehr durch PayPal-Verzicht.


Die Hardware vielleicht, aber was mir an HBCI so gefällt, ist die Loslösung vom Webinterface durch das Homebanking und die eigenen Anwahladressen.


Die Verwirrung kam wahrscheinlich vom BVR, der bei der Sicherung damit wirbt, dass alle "genossenschaftlichen FinanzGruppe " Institute angeschlossen sind. Komische Formulierung dann.

t

Stimmt. Ich meinte natürlich nicht, dass man das Programm stundenlang anlässt und die Karte dabei drin lässt, während man bei YouTube oder ebay ist, aber dein Satz weiter oben hat sich so gelesen als ob es so abläuft
"Klick auf Umsätze" --> Karte einführen und Pin --> Karte entfernen ---> "Klick auf Überweisung" ---> "Karte einführen und Pin" ---> Karte entfernen "Überweisung bestätigen"... und so weiter. Man wird doch mal zwei Schritte nacheinander machen können.



Ich dachte du sprichst vom Chiptan und Webinterface, aber auch bei HBCI/Tan ist für mich keine wirkliche Loslösung zu erkennen, da es die gleichen Zugangsdaten nutzen und außerdem habe ich hier mal die Spezifikationen nachgesehen und dort steht

"Im PIN/TAN-Verfahren ist eine Verschlüsselung nach kryptographischen Verfahren aus [HBCI] nicht möglich. Stattdessen ist zwischen Benutzer und Kreditinstitut beim Nachrichtentransport eine Transportverschlüsselung einzusetzen, um so den Inhalt der Nachrichten gegenüber Dritten zu schützen"

Bei der Chipkartenversion bzw. Signaturdatei sieht es wieder ganz anders aus. Der gesamte Dialog und deren Daten ist verschlüsselt und zusätzlich noch die elektronische Signatur.

http://www.hbci-zka.de/spec/4_1.htm

Um welche Nutzungsart geht es eigentlich? privat/Verein/geschäftlich
wie viele Überweisungen werden getätigt?
wie viele Lastschriften werden selbst durchgeführt? bspw. wegen Mandat-Verwaltung usw.
Anzahl der Bankverbindungen oder Konten

Bankenwechsel: wo bisher, warum soll dieser erfolgen, was hat einen gestört usw.
Software: ist diese vorhanden, wenn ja welche bzw. für die Zukunft welche ist angedacht?

Ich hatte die letzten Tage leider keine Zeit - von daher jetzt nochmal die Frage. Ich habe im Post über mir ja die Fragen, die an mich gestellt wurden beantwortet. Erst mal zur Software. Ist eine Homebanking Software für diesen Zweck nicht dienlich? Zu dem Verfahren habe ich ja bereits etwas geschrieben, wenn ich mir die Software holen würde, wüsste ich keinen wirklichen Grund, warum ich nicht auch HBCI/ Chipkarte nutzen sollte - vor allem da ich ja eh schon einen Leser habe.

Aber wie gesagt- vielleicht habt ihr ja auch noch andere Hinweise. Wenn ich den Tenor hier richtig verstanden habe, würdet ihr eher zum Chiptan verfahren über TLS bzw. HBCI Pin/Tan tendieren. Dürfte ich fragen warum?

Ich wollte natürlich niemanden etwas unterstellen - vielleicht verstehe ich auch etwas falsch - hey kein Problem, ich lese mich auch erst seit kurzem in die Thematik ein.

Ich habe mir die Standards auf der Seite hbcizka durchgelesen und es dadurch so verstanden, dass HBCI/Chipkarte eine sicherere Übertragung darstellt (es geht jetzt mal noch nicht ums ganze System) und zwar verstehe ich es halt so, dass bei Pin/Tan der Übertragungsweg verschlüsselt ist, allerdings die Daten im Klartext vorliegen und bei der Chipkartenvariante der ganze Dialog verschlüsselt wird.
Im Prinzip wie bei der E-Mail - es gibt einmal die "normale" verschlüsselte Übertragung über TLS und zusätzlich noch Verschlüsselung der Nutzungsdaten (z.B. PGP). Oder versteh ich die Verschlüsselung hinter der Chipkarte falsch?
"Die Verschlüsselung der FinTS-Nutzdaten erfolgt mittels AES-256 gemäß [AES]."


Okay kann ich mir gerade schlecht vorstellen, da ich beim Chiptansystem ja auch mit einem Gerät rumhantieren muss, ob nun per Karte oder Flickercode - da kann ich auch gleich die HBCI Karte nutzen, oder muss ich jeden Klick (wie oben schonmal beschrieben) neu signieren?


Stimmt darum hatte ich ja auch explizit nach Genobanken und GAD gefragt.


Hier muss ich jetzt aber sagen, dass ich dies nochmals im Thread gefragt hatte. Oben wurde zwar mal kurz erwähnt, dass Genoprodukte dies nur können, aber ich habe gefragt, was der Werbespruch bei Starmoney bedeutet. Auf der Seite steht nämlich auch das Secoder unterstützt wird und ich wollte dann wissen, ob es Vorteile bringt Genoprodukte zu nutzen bzw. ob GAD nur mit Genoprodukten zusammenarbeiten.


Stimmt. Wenn wollte ich aber auch nur mit Anzeige.

@MK19
die Banken hab doch die Verschlüsselungen usw. abgewogen und deren Risiken. (zumal die idR bei den Banken liegen)
Der Kunde ist hier in der komfortablen Situation, dass dieser sich lediglich um die Basis-Sicherheit kümmern muss, nämlich ein sauberes Betriebssystem vorzuhalten.

Die Nutzung der Zugangsmöglichkeiten richtet sich ua. nach dem Einsatz, wie oe. nach Umfang/Nutzung sowie die Endgeräte (PC, Tablett, Smartphone).
zum reinen Kontoabruf usw. ist PIN/TAN auf allen Endgeräten eine einfache Möglichkeit
parallel kann für die Verarbeitung, also Einreichung von Aufträgen, sodann auf Alternativen (Chipkarten) zurück gegriffen werden, da hier teilweise dann das handling leichter ist.
wobei bei 5 Freigaben pro Monaten, hier kann auch schnell einen TAN generiert werden, insbesondere wenn diese als Sammelüberweisung bspw. eingereicht werden.

[quote]Bei HBCI mit Chipkarte braucht man zu JEDER Transaktion - also auch zum Abholen von Daten die Chipkarte, muß sie einstecken und dann am Leser die PIN eintippen. Wenn die PIN am Leser eingetippt wird kann die Software diese auch nicht bei 5 Überweisungen zwischenspeichern, sie muß für jede einzelne Transaktion wieder manuell eingetippt werden. Also wenn du erst Umsätze liest und dann 5 Überweisungen sendest, dann heißt das Karte auspacken, Karte einstecken, 6mal PIN eintippen, Karte rausnehmen und verstauen. Bei einzelnen Transaktionen, die man direkt nacheinander macht, kann die Karte natürlich im Leser stecken bleiben. [/quote]

Es muss für jede Transaktion die PIN am Leser eingegeben werden, keine Frage. So wie ich es hier lese, könnte aber der Eindruck entstehen, eine Überweisung/ein Umsatzlesen sei eine Transaktion. Dem ist nicht so. Ich kenne die Fachbegriffe hier nicht, und bezeichne deshalb eine Überweisung/ein Umsatzlesen als einen Auftrag. Ein Bankprogramm kann mehrere Aufträge als eine Transaktion verarbeiten. Im praktischen Gebrauch heißt das, man kann mit einer einzigen PIN-Eingabe Umsätze von mehreren Konten holen und mehrere Überweisungen machen.

"normaler" HBCI-Chipkarte-Betrieb, SECODER-Betrieb habe ich noch nicht gesehen, meine Bank bietet es auch nicht an, vermute ich. Aber auch im SECODER-Betrieb sollte man doch mehrere Umsatzabfragen zu einer Transaktion zusammenfassen können. OK, meine Vermutung.