Leider bist du gefährlich auf dem Holzweg.
Liberty hat geschrieben:Diese Begründung seitens der HASPA für die Abschaltung des HBCI ist nicht plausibel, weil man als Nutzer jeden Auftrag im StarMoney bereits während der manuellen Eingabe "kontrolliert" und nach der vollständigen Eingabe im StarMoney mit "FERTIG" einzeln freigibt. Es steht nirgends geschrieben, dass Aufträge doppelt, also noch einmal vor dem Versand, kontrolliert werden müssten. Meiner Ansicht nach greift diese Begründung somit nicht.
Darum geht es nicht, vor allem nicht um eine doppelte Kontrolle *vor* dem Versand, sondern *danach*. Es geht darum, dass du einen Auftrag unabhängig von dem Medium, mit dem du ihn los schickst, nochmal kontrollieren können musst. Sprich: In StarMoney erfasst du den Auftrag, DANACH musst du aber - unabhängig von StarMoney - mit dem genutzten Sicherheitsmedium in der Lage sein, die Auftragsdaten zu kontrollieren. Bei smsTAN z.B. geschieht das, in dem in der SMS Teile der Empfänger-IBAN und der Betrag angezeigt wird, damit du sicherstellen kannst, dass dein Auftrag auch genau dahin geht, wohin du ihn haben möchtest. Die alten Verfahren HBCI Chipkarte/Datei bieten das aber nicht. Du signierst quasi "blind", weil dir eben *nicht* nochmal extra die Auftragsdaten angezeigt werden. Dies ist nach neuer Rechtsprechung nicht mehr zulässig - und die Begründung der HASPA somit fachlich korrekt.
Liberty hat geschrieben:Die weiterhin genannten Chipkartenleser sind in anderen Sparkassen seit langem gängige Praxis...
Leider auch falsch. Die Kartenleser sind natürlich gängige Praxis, aber bei weitem nicht alle geeignet für die Fortgeschrittene Elektronische Signatur (FES). Viele Leute, die zum Teil mit wirklich alten HCBI-Geräten arbeiten (Sicherheitsklasse 1, hier sei z.B. der berühmte "Towitoko" genannt), müssten sich also neue, richtig teure Kartenleser anschaffen. Dazu kommen noch die Kosten für die Signatur selbst PLUS der Aufwand, diese überhaupt zu benutzen. Auch hier ist die HASPA fachlich korrekt, und die Begründung ist nachvollziehbar, weil niemand ernsthaft diesen finanziellen und technischen Aufwand betreiben möchte. Bei vielen Nutzern würde dies auch scheitern, weil es eben leider hochnotkompliziert ist, mit Signaturen zu hantieren.
Liberty hat geschrieben:..und gerade die alten TAN-Verfahren wurden mehrfach als anfällig kritisiert, da schon mehrfach Datenklau und Betrug nachgewiesen wurde, während das HBCI als gefahrlose und damit sicherste Form für die Übertragung nach wie vor gelobt wird...
Du machst es dir etwas sehr einfach. Simpel ausgedrückt ist der einzige Grund, warum HBCI mit Chipkarte/Datei als "sicher" gilt, ist, dass es sich für einen Betrüger nicht lohnt, eine Software anzugreifen. Es geht hier nicht um das Sicherheitsmedium - der Schlüssel ist StarMoney (oder JEDE andere Banking-Software).
Die Angriffe aufs Onlinebanking zielen ALLE auf Nutzer ab, die über das Internet arbeiten, weil Trojanische Pferde auf einem PC hier ansetzen können, um die Leute über den Tisch zu ziehen. Da werden "Sicherheitsprüfungen" oder "Rücküberweisungen" verlangt, um die Leute dazu zu überreden, TAN einzugeben und quasi fleissig dabei mitzuhelfen, ihre Konten leer zu räumen. Leichtgläubigkeit ist das absolut größte Problem, denn so lange Kunden und Nutzer ihre Zugangsdaten/TAN/persönliche Daten bereitwillig rausrücken, nur weil angeblich eine E-Mail von der Bank gekommen ist... sorry, so lange wird es auch Probleme geben. Und StarMoney in Verbindung mit chipTAN, pushTAN oder smsTAN ist genauso sicher - wenn nicht noch sicherer, wegen der unabhängigen Kontrolle der Auftragsdaten - wie mit den alten Verfahren Datei/Chipkarte.
Sorry Liberty, du liegst leider daneben.
