Hamburger Sparkasse schaltet HBCI ab ?

Moderatoren: Star Finanz Support, Star Finanz GmbH, StarMoney Team1

ottoager
Beiträge: 8815
Registriert: Mi., 17. Mär 2004 08:45
Wohnort: Saxony

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von ottoager »

Liberty hat geschrieben:Es steht nirgends geschrieben, dass Aufträge doppelt, also noch einmal vor dem Versand, kontrolliert werden müssten. Meiner Ansicht nach greift diese Begründung somit nicht.
Es geht darum, dass Du die Aufträge auf einem separaten System kontrollierst, damit Dir eine eventuelle Manipulation des Systems, mit dem Du den Auftrag einreichst (z.B. durch Trojaner), rechtzeitig auffällt. Bei HBCI-Datei oder -Chipkarte siehst Du (i.d.R.) nirgends - auf einem unabhängigen Gerät - was Du gerade unterschreibst. Das ist so wie wenn Du der Autoindustrie aufgibst, sich selbst zu überwachen und erwartest, dass schon alles seinen Gang gehen wird. Bei pushTAN, chipTAN und smsTAN hingegen kannst Du auf einem unabhängigen Endgerät die Kontrolle vornehmen (Smartphone / TAN-Generator), da würde Dir eine Manipulation des Einreichungssystems auffallen.
Liberty hat geschrieben:Die weiterhin genannten Chipkartenleser sind in anderen Sparkassen seit langem gängige Praxis
Das die Chipkartenleser in Sparkassen gängig sind, mag sein, ansonsten wirfst Du aber einiges durcheinander. Das in den Sparkassen noch verbreitete DDV-HBCI-Chipkartensystem hat wenig mit der von der Haspa genannten theoretischen Alternative FeS zu tun. Die FeS hat sich - was m.E. von vornherein absehbar war - nicht durchgesetzt (aus den von der Haspa trefflich beschriebenen Gründen), und DDV-HBCI krankt u.a. daran, dass Du nie wirklich sicher sein kannst, was Du gerade unterschreibst - und da ist es auch Wurscht, ob Du einen Kartenleser mit oder ohne Display hast, weil der systembedingt keine Auftragsdaten anzeigt.

Otto



Häufig gefragt - nützliche Links:

Dieses Forum hat eine "Suchen"-Funktion.
So wird StarMoney lizenziert.
So funktioniert die Datenbanksicherung/-wiederherstellung.
So kann bei Bedarf eine vorhandene Installation repariert werden.
Abhilfe bei "Zertifikat ungültig".

Angel
Beiträge: 3309
Registriert: Mi., 13. Jul 2005 10:06

Re: Gründe nicht nachvollziehbar - Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Angel »

Leider bist du gefährlich auf dem Holzweg.
Liberty hat geschrieben:Diese Begründung seitens der HASPA für die Abschaltung des HBCI ist nicht plausibel, weil man als Nutzer jeden Auftrag im StarMoney bereits während der manuellen Eingabe "kontrolliert" und nach der vollständigen Eingabe im StarMoney mit "FERTIG" einzeln freigibt. Es steht nirgends geschrieben, dass Aufträge doppelt, also noch einmal vor dem Versand, kontrolliert werden müssten. Meiner Ansicht nach greift diese Begründung somit nicht.
Darum geht es nicht, vor allem nicht um eine doppelte Kontrolle *vor* dem Versand, sondern *danach*. Es geht darum, dass du einen Auftrag unabhängig von dem Medium, mit dem du ihn los schickst, nochmal kontrollieren können musst. Sprich: In StarMoney erfasst du den Auftrag, DANACH musst du aber - unabhängig von StarMoney - mit dem genutzten Sicherheitsmedium in der Lage sein, die Auftragsdaten zu kontrollieren. Bei smsTAN z.B. geschieht das, in dem in der SMS Teile der Empfänger-IBAN und der Betrag angezeigt wird, damit du sicherstellen kannst, dass dein Auftrag auch genau dahin geht, wohin du ihn haben möchtest. Die alten Verfahren HBCI Chipkarte/Datei bieten das aber nicht. Du signierst quasi "blind", weil dir eben *nicht* nochmal extra die Auftragsdaten angezeigt werden. Dies ist nach neuer Rechtsprechung nicht mehr zulässig - und die Begründung der HASPA somit fachlich korrekt.
Liberty hat geschrieben:Die weiterhin genannten Chipkartenleser sind in anderen Sparkassen seit langem gängige Praxis...
Leider auch falsch. Die Kartenleser sind natürlich gängige Praxis, aber bei weitem nicht alle geeignet für die Fortgeschrittene Elektronische Signatur (FES). Viele Leute, die zum Teil mit wirklich alten HCBI-Geräten arbeiten (Sicherheitsklasse 1, hier sei z.B. der berühmte "Towitoko" genannt), müssten sich also neue, richtig teure Kartenleser anschaffen. Dazu kommen noch die Kosten für die Signatur selbst PLUS der Aufwand, diese überhaupt zu benutzen. Auch hier ist die HASPA fachlich korrekt, und die Begründung ist nachvollziehbar, weil niemand ernsthaft diesen finanziellen und technischen Aufwand betreiben möchte. Bei vielen Nutzern würde dies auch scheitern, weil es eben leider hochnotkompliziert ist, mit Signaturen zu hantieren.
Liberty hat geschrieben:..und gerade die alten TAN-Verfahren wurden mehrfach als anfällig kritisiert, da schon mehrfach Datenklau und Betrug nachgewiesen wurde, während das HBCI als gefahrlose und damit sicherste Form für die Übertragung nach wie vor gelobt wird...
Du machst es dir etwas sehr einfach. Simpel ausgedrückt ist der einzige Grund, warum HBCI mit Chipkarte/Datei als "sicher" gilt, ist, dass es sich für einen Betrüger nicht lohnt, eine Software anzugreifen. Es geht hier nicht um das Sicherheitsmedium - der Schlüssel ist StarMoney (oder JEDE andere Banking-Software).

Die Angriffe aufs Onlinebanking zielen ALLE auf Nutzer ab, die über das Internet arbeiten, weil Trojanische Pferde auf einem PC hier ansetzen können, um die Leute über den Tisch zu ziehen. Da werden "Sicherheitsprüfungen" oder "Rücküberweisungen" verlangt, um die Leute dazu zu überreden, TAN einzugeben und quasi fleissig dabei mitzuhelfen, ihre Konten leer zu räumen. Leichtgläubigkeit ist das absolut größte Problem, denn so lange Kunden und Nutzer ihre Zugangsdaten/TAN/persönliche Daten bereitwillig rausrücken, nur weil angeblich eine E-Mail von der Bank gekommen ist... sorry, so lange wird es auch Probleme geben. Und StarMoney in Verbindung mit chipTAN, pushTAN oder smsTAN ist genauso sicher - wenn nicht noch sicherer, wegen der unabhängigen Kontrolle der Auftragsdaten - wie mit den alten Verfahren Datei/Chipkarte.

Sorry Liberty, du liegst leider daneben.
lg, Angel

Erst lesen, dann schreiben!
Aktuelle Meldungen und Fehler zu StarMoney!
Jedes Forum hat eine Suchen-Funktion!
Liberty
Beiträge: 2
Registriert: Di., 21. Nov 2017 12:02
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Liberty »

--> "ottoager"

Im HBCI-Banking per StarMoney "unterschreibe" ich im Moment der Freigabe des Auftrags. Zu diesem Zeitpunkt kontrolliere ich die Kontonummer, den Betrag und die Daten. Weil HBCI keine Gefahren birgt, muss es auch nicht extra kontrolliert werden.

Das beworbene TAN-Verfahren ist dahingegen umständlich und veraltet und vor allem anfällig für Manipulationen, sogar die "sicherste" Variante, das chip-TAN wurde nicht nur einmal gehackt.

https://www.youtube.com/watch?v=REXXcSIw3Uo

Es gibt somit mehrere Gründe, die für das sichere und gefahrlose HBCI-Verfahren sprechen und dafür, es weiterhin zu unterstützen und beizubehalten.

Gruß
Liberty
ottoager
Beiträge: 8815
Registriert: Mi., 17. Mär 2004 08:45
Wohnort: Saxony

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von ottoager »

Liberty hat geschrieben:--> "ottoager"

Im HBCI-Banking per StarMoney "unterschreibe" ich im Moment der Freigabe des Auftrags. Zu diesem Zeitpunkt kontrolliere ich die Kontonummer, den Betrag und die Daten.
Und wo kontrollierst Du das? Auf demselben Computer, wo Du den Auftrag erfasst hast. Die Kontrolle in StarMoney's Ausgangskorb bewahrt Dich vor Tippfehlern, mehr nicht.

Wenn ein System einmal durch Trojaner o.ä. manipuliert sein sollte, dann ist es nicht mehr vertrauenswürdig. Woher willst Du denn auf einem kompromittierten System wissen, dass das, was Dir auf demselben System zur vermeintlichen Kontrolle angezeigt wird, auch tatsächlich an die Bank geschickt wird?
Liberty hat geschrieben:Weil HBCI keine Gefahren birgt, muss es auch nicht extra kontrolliert werden.
Das hat Angel schön erklärt
Angel hat geschrieben:Du machst es dir etwas sehr einfach. Simpel ausgedrückt ist der einzige Grund, warum HBCI mit Chipkarte/Datei als "sicher" gilt, ist, dass es sich für einen Betrüger nicht lohnt, eine Software anzugreifen. Es geht hier nicht um das Sicherheitsmedium - der Schlüssel ist StarMoney (oder JEDE andere Banking-Software).
Liberty hat geschrieben:Das beworbene TAN-Verfahren ist dahingegen umständlich und veraltet und vor allem anfällig für Manipulationen, sogar die "sicherste" Variante, das chip-TAN wurde nicht nur einmal gehackt.
Auch falsch, das wurde nicht "gehackt". Die von "Angel" skizzierten, bekannten Social-Engineering-Angriffe versuchen, die Sicherungsmechanismen zu umgehen, indem sie den Browser manipulieren, aber selbst dort fällt eine Manipulation bei richtiger Anwendung des Verfahrens rechtzeitig auf - im Gegensatz zu herkömmlichem HBCI-Datei/-Chipkarte.
Liberty hat geschrieben:Es gibt somit mehrere Gründe, die für das sichere und gefahrlose HBCI-Verfahren sprechen und dafür, es weiterhin zu unterstützen und beizubehalten.
Wie Du siehst, ist diese Aussage nicht zutreffend und wird auch durch ständiges Wiederholen nicht besser. :!:

Otto



Häufig gefragt - nützliche Links:

Dieses Forum hat eine "Suchen"-Funktion.
So wird StarMoney lizenziert.
So funktioniert die Datenbanksicherung/-wiederherstellung.
So kann bei Bedarf eine vorhandene Installation repariert werden.
Abhilfe bei "Zertifikat ungültig".

Stella
Beiträge: 22
Registriert: So., 12. Nov 2017 17:18
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Stella »

Ähm ok, beim bisherigen StarMoney + Datei kann man also nicht sicher sein, ob die Aufträge, z.B. Überweisungen im Ausgangskorb bei Übertragung korrekt ausgeführt werden, auch WENN man die Möglichkeit hat im Ausgangskorb nochmal alle einzeln untereinander aufgeführten Aufträge zu kontrollieren vor dem Signieren ?
Das wusste ich bislang noch nicht. :?

Bei den neuen Verfahren kann man demnach VOR dem singieren nochmal gegenchecken und so feststellen ob alles richtig ist und nicht evtl. ein Trojaner mein Geld woanders hinschickt, korrekt ?

Ok, das würde Sinn machen. :)
Angel
Beiträge: 3309
Registriert: Mi., 13. Jul 2005 10:06

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Angel »

Stella hat geschrieben:Ähm ok, beim bisherigen StarMoney + Datei kann man also nicht sicher sein, ob die Aufträge, z.B. Überweisungen im Ausgangskorb bei Übertragung korrekt ausgeführt werden, auch WENN man die Möglichkeit hat im Ausgangskorb nochmal alle einzeln untereinander aufgeführten Aufträge zu kontrollieren vor dem Signieren ?
Korrekt. Aber siehe oben - kein Grund zur Sorge.
Stella hat geschrieben:Bei den neuen Verfahren kann man demnach VOR dem singieren nochmal gegenchecken und so feststellen ob alles richtig ist und nicht evtl. ein Trojaner mein Geld woanders hinschickt, korrekt ?
Genau. Und das hätte der Gesetzgeber auch gern, und darum auch das ganze Drama mit den Änderungen bei den Banken.
lg, Angel

Erst lesen, dann schreiben!
Aktuelle Meldungen und Fehler zu StarMoney!
Jedes Forum hat eine Suchen-Funktion!
Stella
Beiträge: 22
Registriert: So., 12. Nov 2017 17:18
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Stella »

Danke Angel, jetzt hab ich`s kapiert.
Das die Bank das aber nicht für normal Sterbliche ausformulieren kann ist echt ein Armutszeugnis.

Euch allen Vielen Dank :D
Stella
Beiträge: 22
Registriert: So., 12. Nov 2017 17:18
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Stella »

Bin wieder da.

Habe mich jetzt für SMStan entschieden, da ich mangels Smartphone kein pushTan nutzen kann und mir dieser Flickerkram mit dem Kartenleser zu kompliziert ist.

Die Bank hat meinen online-web-zugang freigeschaltet, dort wiederum sollte ich SMStan freischalten, hab ich gemacht.
Im Internet kann ich jetzt also Bankgeschäfte erledigen.

Will ich ja aber gar nicht, soll ja mit StarMoney laufen.

Ich dachte jetzt, wenn die Bank smsTan freigeschaltet hat würde in der Kontenverwaltung ein neuer Reiter auftauchen wo ich auf das neue Verfahren umstellen kann ? So war es ja bislang, z.B. wenn neue Konten dazu kamen o.ä.

Da ist aber immer noch nur der HBCI-Reiter, wie vorher. Aktualisiert habe ich schon, keine Änderung.

Muss die Bank da noch was machen oder muss ich die Konten komplett löschen und neu einrichten ??? :shock:
info
Beiträge: 3760
Registriert: Fr., 21. Jan 2011 14:29
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von info »

Umstellung des TAN-Verfahrens auf smsTAN in StarMoney
In dieser Anleitung möchten wir Ihnen die Umstellung des TAN-Verfahrens bei einem bestehenden Konto auf das TAN-Verfahren "smsTAN" erläutern.

Anleitung (PDF)
Stella
Beiträge: 22
Registriert: So., 12. Nov 2017 17:18
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Stella »

Danke ! :D

Leider bin ich bei der Eingabe der PIN hängen geblieben, weil ich wohl die ursprüngliche PIN auf der Website zum Freischalten von smsTAN verwendet habe und diese nun offensichtlich hier nicht mehr funktioniert. :roll:

Nun sind die Konten erstmal gesperrt wegen zu vielen Fehlversuchen und ich muss morgen mit der Bank telefonieren. :cry:
Stella
Beiträge: 22
Registriert: So., 12. Nov 2017 17:18
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Stella »

Auf der Website kann ich mich auch nicht mehr einloggen, toll. :roll:
info
Beiträge: 3760
Registriert: Fr., 21. Jan 2011 14:29
Antispam-Schutz: Anmeldung bestätigen

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von info »

Für Fragen rund ums OnlineBanking 040 3579-7426*
Montag bis Samstag 8:00 bis 20:00 Uhr
:mrgreen:

bitten in so kurzer Zeit keine neu postings durchführen, sondern den Beitrag editieren
McDow
Beiträge: 5
Registriert: Sa., 03. Feb 2007 15:08

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von McDow »

ich bin gerade dabei mein SM-10 auf chip-Tan bzw Pin-Tan umzustellen. Mein Girokonto bei der Haspa ist seit Jahren für Pin-Tan freigeschaltet und ich besitze einen einfachen Tan-Generator mit dem ich auf der Haspa-Homepage Überweisungen ausführen kann. Dazu lese ich den Flickercode mit dem Generator ab und die errechnete Tan gebe ich im entsprechenden Feld ein. Soweit bin ich aber in SM noch nicht (Nur dass wir hier nicht aneinander vorbeireden)

Nun wollte ich gerade eine Testüberweisung mit SM ausführen und scheitere wie Stella (TE) an der Pin. Die Pin die ich vorher mit der Sicherheitsdatei verwendet habe, wird nicht akzeptiert. Welche Pin ist denn nun gemeint. Kann ich das irgendwo festlegen?

Bild

Nächster Punkt
hier mal ein Screenshot meiner "HBCI mit Pin-Tan" Registerkarte
Ist das alles richtig so ?

Bild

Andreas
Potzblitz9
Beiträge: 288
Registriert: Mo., 26. Apr 2004 17:42
Wohnort: Hamburg

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von Potzblitz9 »

Moin,

du musst für "HBCI mit PIN/TAN" die gleiche PIN und den gleichen Anmeldenamen (Legitimitionskontonummer) verwenden wie im OnlineBanking auf der Homepage.

Anschließend wird dir dann, ebenfalls wie auf der Homepage, die Flickergrafik angezeigt nur eben innerhalb von StarMoney.
McDow
Beiträge: 5
Registriert: Sa., 03. Feb 2007 15:08

Re: Hamburger Sparkasse schaltet HBCI ab ?

Beitrag von McDow »

Hallo Potzblitz9,

Danke für den Tipp, aber es funtioniert leider immernoch nicht. Ich bekomme div. Fehlermeldungen u.a. dass die Legitimationskontonummer nicht mit der Pin übereinstimmt. Auf der Homepage kann ich mich aber damit einloggen. Ich werde mich morgen mit der Haspa unterhalten.

Danke und schönen Sonntag noch

Andreas
Antworten

Zurück zu „StarMoney 10 und Institute“