Hi,

vor kurzem wurden wir Opfer eines Bertrugsversuches beim Online-Banking (Pin&Tan Methode)

Jetzt hat unsere Hausbank uns das HBCI Verfahren nahe gelegt und da wollte ich mal unabhängige Meinungen (ausser der Bank) einholen wie sicher diese Methode ist und ob alle Kartenlesegeräte gleich sicher sind oder nicht...

Gibts bei dem Laden keine iTAN oder noch besser mobileTAN?

Hallo,

ich benutze seit ein paar Jahren schon HBCI mit Sicherheitsdiskette(USB-Stick) und hatte bis jetzt keine Probleme damit.

Bei den Kartenlesern gibt es unterschiedliche Klassen, wenn ich mich recht erinnere sind die neueren Klasse 2. Genaueres und sicherere Angaben dazu kann dir sicher deine Bank liefern + folgendes Forum: http://www.onlinebanking-forum.de/phpBB2/

Es scheint ja nicht "die" optimale Lösung zu geben.

Jetzt warte ich mal auf das Beratungsgespräch der Hausbank ab.

Alles klar, vielen Dank für die Infos und den Link.

Greetz

Es scheint ja nicht "die" optimale Lösung zu geben.

Jetzt warte ich mal auf das Beratungsgespräch der Hausbank ab.

Alles klar, vielen Dank für die Infos und den Link.

Greetz

die Pin&Tan Methode ist sehr sehr sicher, nichtmal wenn einer hier in haus einbrechen würde und meine tanliste hätte könnte er was damit anfangen.

es ist schon sehr unwarscheinlich das jemand an benutzer id, passowrt und passende tan für die überweisung ran kommt.

von daher ist HBCI eigentlich für normales onlinebanking sinlos

die Pin&Tan Methode ist sehr sehr sicher, nichtmal wenn einer hier in haus einbrechen würde und meine tanliste hätte könnte er was damit anfangen.

es ist schon sehr unwarscheinlich das jemand an benutzer id, passowrt und passende tan für die überweisung ran kommt.

von daher ist HBCI eigentlich für normales onlinebanking sinlos

Da kann ich nur von anderen Erfahrungen berichten.

Wir nutzen die Pin&Tan Methode bei mir auf der Arbeit.

Es ist weder jemand eingebrochen, noch wurden Unterlagen aus dem Büro entwendet.

Es hat sich jemand in unser Netzwerk eingehackt und irgendwie die Daten ausspioniert.

Benutzer ID und das Passwort. Die Kripo meinte, durch einen Trojaner oder ein anderes Backdoor-Programm.

Genau an dem Tag als wir Überweisungen getätigt haben, hat die Person vom Konto einen Betrag abgebucht.

Was mich auch wundert, die Überweisung folgte genau 1 Minute nachdem wir unsere Überweisungen gemacht haben und dazu komm noch, genau mit der Tan Nr., die wir für die lezte Überweisung genommen haben.

Naja, zum glück war es ein innländisches Konto und wir konnten das Geld wieder zurück holen.

Da kann ich nur von anderen Erfahrungen berichten.

Wir nutzen die Pin&Tan Methode bei mir auf der Arbeit.

Es ist weder jemand eingebrochen, noch wurden Unterlagen aus dem Büro entwendet.

Es hat sich jemand in unser Netzwerk eingehackt und irgendwie die Daten ausspioniert.

Benutzer ID und das Passwort. Die Kripo meinte, durch einen Trojaner oder ein anderes Backdoor-Programm.

Genau an dem Tag als wir Überweisungen getätigt haben, hat die Person vom Konto einen Betrag abgebucht.

Was mich auch wundert, die Überweisung folgte genau 1 Minute nachdem wir unsere Überweisungen gemacht haben und dazu komm noch, genau mit der Tan Nr., die wir für die lezte Überweisung genommen haben.

Naja, zum glück war es ein innländisches Konto und wir konnten das Geld wieder zurück holen.
Wurde denn die von euch gemacht Überweisung ausgeführt oder nur die von dem Betrüger 1min später ?
denn die Tan soll doch nur 1x verwendbar sein.
wenn eure Überweisung nicht ausgeführt wurde, würde ich sagen das ihr nicht auf der Seite von eurer Bank wart,
sondern auf einer gefälschten von dem Betrüger.

Gegen HBCI spricht auch der hohe Aufwand für die Hard- und Software.

Wurde denn die von euch gemacht Überweisung ausgeführt oder nur die von dem Betrüger 1min später ?
denn die Tan soll doch nur 1x verwendbar sein.
wenn eure Überweisung nicht ausgeführt wurde, würde ich sagen das ihr nicht auf der Seite von eurer Bank wart,
sondern auf einer gefälschten von dem Betrüger.

Ja, sie wurde ausgeführt und 1 Minute danch die Überweisung vom Betrüger mit der selben Tan-Nr.

Also waren die wohl auf der richtigen Seite, nur irgendwie hat er es geschafft, die Daten auszuspionieren.

Aber noch mal meine Frage, wie kann es sein, dass man mit ein und derselben Tan-Nr. 2 Überweisungen tätigen kann?!?

Nächste Woche haben wir einen Termin bei der Bank, bin mal auf deren Antwort gespannt.

Gegen HBCI spricht auch der hohe Aufwand für die Hard- und Software.

Hohe Aufwand???

Ich dachte man braucht nur ein Gerät, dass man via USB anschliesst und die dazugehörige Software installiert.

Richtig, das Gerät kostet zwischen 50 (Klasse 2) und 100€ (Klasse 3), die Software gibts auch nicht umsonst (OK, 60 Tage), eine 'Dauerlizenz' kostet von z.B. Star Money 7.0 50€.

PS: bei den Lesern musst auch noch drauf achten, das 64bit Treiber vorhanden sind.

Aber noch mal meine Frage, wie kann es sein, dass man mit ein und derselben Tan-Nr. 2 Überweisungen tätigen kann?!?
.

es ist garnicht möglich ausser ein fehler der bank und da haftet die bank für.
also sogesehn kein fehler durch Pin&Tan Methode

Gegen HBCI spricht realistisch gesehen ... nichts.

Ja, du brauchst einen Kartenleser und ja, du brauchst auch die Software. Das kostet ein paar Euro, ist aber nicht nur sicherer als klassisches Online-Banking, sondern auch komfortabler. Ich finde es seltsam, daß für Online-Banking mit den ganzen PIN+TAN-Abarten ein Verfahren etabliert und akzeptiert ist, das ein sicherheitstechnischer Alptraum ist, ganz zu schweigen davon, daß selbst HDCP, das dafür sorgt, daß niemand seine Blu-Rays auf dem Weg vom Player zum Fernseher kopieren kann, weitaus sicherer ist.

Insofern stellt sich mir die Frage, wie man irgendwas anderes als HBCI nutzen kann, wenn nicht gerade nur 50 Euro auf dem Konto liegen.
Und nun zu meinen Erfahrungen: HBCI-Kartenleser unterscheiden sich eigentlich hauptsächlich im Featureset und der Qualität der Hardware. Ich habe gute Erfahrungen mit den Geräten von Reiner Sct gemacht. An sich ist ein Klasse-3-Leser empfehlenswert (Klasse 1: Nur Kartenleser. Klasse 2: Kartenleser mit PIN-Pad. Klasse 3: Kartenleser, PIN-Pad, LCD für Statusmeldungen/Kontrolle), je nach Anspruch tut's aber auch ein Klasse-2-Gerät.
Es gibt eine kleine Schwachstelle des HBCI-Authentifizierungsablaufes (konkret: Die Daten werden an den Kartenleser zum Signieren geschickt, ohne daß du verifizieren kannst, daß die Daten auch korrekt sind. Ein Schadprogramm könnte die Daten zuvor also entsprechend abändern; soweit ich weiß, gibt's da aber noch nichts ITW), die allerdings mit dem neuen Standard Secoder beseitigt wurde. Das Problem: Viele Banken bieten das noch nicht an, wie's mit der Software aussieht, weiß ich im Moment auch nicht (frag nach!).

Vergleiche Preise. Deine Bank hat zwar oftmals ein Angbeot aus Kartenleser und Software, ab und an gibt's das aber bei anderen Banken oder Onlineshops wesentlich günstiger. Ich kann den Cyberjack Secoder (http://geizhals.at/deutschland/a362246.html) von Reiner Sct empfehlen, wenngleich man ihm natürlich den Preis anmerkt; das Tastenfeld ist manchmal etwas komisch zu bedienen, der Druckpunkt nicht gerade gut. Das läßt sich allerdings verschmerzen; die teureren Geräte sind natürlich besser, aber eben auch teurer. ;)

Ich kann's nur empfehlen. Kein lästiges Raussuchen von TANs, komfortable Bedienung per Software und Sicherheit, die den Namen auch verdient. Es ist mir ein Rätsel, warum nicht mehr Leute HBCI einsetzen, sinnvoll ist es aber auf jeden Fall.

-huha