Hamburger Sparkasse schaltet HBCI ab ?

[Stella]

Hallo,

ich habe ein Schreiben von der Hamburger Sparkasse bekommen, in dem angekündigt wird, dass das HBCI-Verfahren im online-banking zum 01.07.2018 abgeschaltet wird.

Als Grund wird genannt, dass dieses Verfahren künftige gesetzlichen Anforderungen nicht mehr erfüllt.

Stimmt das ?

Oder ist das der (wiederholte) Versuch, Kunden vom für die Bank kostenintensiveren HBCI zu günstigeren Verfahren wie PIn/TAN, chipTan, pushTan oder smsTAN wechseln zu lassen ?

Ich nutze StarMoney für HBCI mit USB-stick seit jeher und war immer damit zufrieden.

Sehe auch gar nicht ein, mir einen Chipkartenleser oder ähnliches anzuschaffen, und dafür auch noch zu bezahlen, wenn es die Möglichkeit gibt, das alte Verfahren weiter zu nutzen.

Vielleicht weiss jemand ob etwas an der Sache dran ist mit den gesetzlichen Anforderungen ?

Ich habe HBCI bislang für das sicherste Verfahren gehalten und denke eigentlich immer noch, dass es das ist.

Auf eine entsprechende Rückfrage von mir bei der Haspa erhielt ich folgende Antwort:

...vielen Dank für Ihre E-Mail vom 08.11.2017,
die uns als zuständiger Fachbereich zur Beantwortung übergeben wurde. Zu
unserer Abschaltung des HBCI-Verfahrens geben wir Ihnen gern folgende Hintergrundinformationen:

Der Grund für die HBCI-Abschaltung ist eine

neue EU-Richtlinie für Banken (PSD II), die in ihrer technischen Ausgestaltung
vorsieht, dass jeder Auftrag vom Kunden vor Freigabe zu kontrollieren ist.
Dieses ist bei unseren aktuellen TAN-Verfahren gewährleistet, bei denen
der Kunde vor Freigabe immer die Auftragsdaten, bei einer Überweisung beispielsweise
Betrag und Kontonummer, kontrollieren muss.

Diese Anforderung erfüllt unser altes HBCI-Verfahren
nicht. Dessen technische Weiterentwicklung eines auf einer elektronischen
Signatur basierten Sicherungsverfahren ist die so genannte Fortgeschrittene
elektronische Signatur (FeS). Diese FeS ist allerdings hinsichtlich Bedienbarkeit
und Aufwand unseres Erachtens nicht geeignet: Es werden hochwertige Chipkartenleser
und spezielle Chipkarten benötigt, auf denen der Kunde per Download Zertifikate
aufbringen und diese freischalten muss. Dieser Prozess ist zudem aufgrund
der Gültigkeit der Zertifikate regelmäßig zu wiederholen. Neben den Kosten
zieht dieses Verfahren somit sehr hohe Installations- und Folgeaufwände
für unsere Kunden nach sich. Wir haben uns daher entschieden, die FeS nicht
anzubieten.

Bezüglicher der Sicherheit unserer TAN-Verfahren
weisen wir darauf hin, dass diese den aktuellen gesetzlichen bzw. aufsichtsrechtlichen
Anforderungen an Authorisierungsverfahren für sicheres OnlineBanking entsprechen.

Nun wird die technische Ausgestaltung wahrscheinlich
erst im Frühjahr/Sommer 2019 wirksam. Um unsere Kunden aber schon frühzeitig
über unsere Maßnahme und Lösungsmöglichkeiten zu informieren, haben wir
Sie schon heute auf das Thema angesprochen.


Ich habe jetzt überhaupt keinen Plan ob ich, wenn ich mich darauf einlasse das Sicherungsverfahren zu ändern, die StarMoney Software überhaupt noch nutzen kann ? Jeder Auftrag soll dann einzeln signiert werden ? Das ist doch megaumständlich und viel aufwendiger als bisher.

Direktes Online-banking, PushTAN und smsTAN kommen für mich nicht in Frage, bleibt ChipTan, wie geht das, und geht das mit StarMoney ?

Vielen Dank für Tipps und Anregungen wie ich meine Bankgeschäfte weiterhin abwickeln kann wie bisher, notfalls mit einem Bankwechsel (nach 33 Jahren Haspa )

[info]

das würde als heißen, nur noch

- Webbanking - chipTAN, smsTAN und pushTAN - https://www.haspa.de/faq/tan-verfahren/
oder
- EBICS https://www.haspa.de/electronic-banking ... -business/

wobei Datei/USB-Stick ja wirklich nicht sicher ist, insbesondere im Hinblick auf

...dass jeder Auftrag vom Kunden vor Freigabe zu kontrollieren ist.
Dieses ist bei unseren aktuellen TAN-Verfahren gewährleistet, bei denen der Kunde vor Freigabe immer die Auftragsdaten, bei einer Überweisung beispielsweise Betrag und Kontonummer, kontrollieren muss.

Haspa verlinkt ja selbst https://www.chipkartenleser-shop.de/haspa_tan wo jedoch die neuen Kartenleser (ua. mit Bluetooth) nicht aufgeführt sind:
https://shop.reiner-sct.com/tan-generat ... ck-express video: https://www.youtube.com/watch?v=LpBYXh7YiOo
https://shop.reiner-sct.com/chipkartenl ... erjack-one video: https://www.youtube.com/watch?v=vi2VkXCYn2k

[Stella]

Ja, die drei Alternativen bieten sie an, und ich will eben kein Webbanking, ich will mein StarMoney weiter benutzen !
Frage: geht das, oder muss ich die Bank wechseln ?

Und wenn das mit StarMoney geht, dann wie ?

[Stella]

wobei Datei/USB-Stick ja wirklich nicht sicher ist

War es nicht immer so bei HBCI, dass die Daten und die Signatur in zwei getrennten Verbindungen gesendet, also die Verbindung nach dem Senden der Daten beendet und danach zum Senden der Signatur neu aufgebaut wurde ?
Somit wäre es kaum möglich genau diese zwei Datenpakete abzufangen und auch noch zu erkennen, dass sie zusammengehören.
So wurde das jedenfalls damals beworben.

USB-Stick war halt immer praktisch, kann man überall mit hinnehmen, und wenn er mal nicht mehr funktioniert oder verlorengegangen wäre (ist mir nie passiert), dann halt Sicherungskopie der Signatur auf einen neuen Stick, weitermachen.

Jetzt soll also jede Transaktion einzeln eingegeben und abgearbeitet werden, nicht wie vorher alle Aufträge eingeben, signieren, absenden, fertig ?

Dazu brauche ich dann meine EC-Karte und muss mir zusätzlich auf eigene Kosten so einen Chipkartenleser anschaffen....und weiss noch immer nicht, wie das dann mit StarMoney zusammen funktionieren soll.

Hört sich für mich nicht komfortabler an als vorher....

[info]

ich kann dir nicht beantworten, wie hier SM verfährt - dh. bitte mal SM direkt kontaktieren mit deiner Anfrage.

in Sachen Datei (USB-Stick) bringt eine Diskussion auch nicht viel, denn die Haspa stellt das Verfahren ein und da werden die nicht mit sich diskutieren lassen. Dh. nicht in die Vergangenheit, sondern in die Zukunft schauen und somit eines der benannten Verfahren einsetzen oder Bank wechseln.

[audiolet]

Hallo!
Zur konkreten Frage/Diskussion kann ich zwar nichts beitragen. Aber der Haspa-Mitarbeiter bringt da meiner Meinung nach zwei Begriffe durcheinander:

Dieses ist bei unseren aktuellen TAN-Verfahren gewährleistet, [...]

Diese Anforderung erfüllt unser altes HBCI-Verfahren nicht.

HBCI = Zugangsweg/Schnittstelle zum Bankserver
TAN (müsste eigentlich PIN/TAN sein) = Sicherheitsmedium für die Auftragsfreigabe

Wobei es dann noch unterschiedliche TAN-Medien gibt, z.B. chipTAN, smsTAN, iTAN.
Und die Kombination aus Schnittstelle und Sicherheitsmedium ist dann "HBCI mit PIN/TAN" als Reiter, mit Auswahl der freigeschalteten TAN-Medien.

Ich würde daher vermuten, dass es auch in Zukunft HBCI bei der Haspa geben könnte. Nur eben kein HBCI-Datei mehr als Sicherheitsmedium. Und HBCI-Chipkarte bieten sie wohl nicht an. So dass es auf HBCI mit PIN/TAN rauslaufen würde.

Jeder Auftrag soll dann einzeln signiert werden ? Das ist doch megaumständlich und viel aufwendiger als bisher.

Das ließe sich bei mehreren Einzelüberweisungen gleichzeitig vielleicht durch automatische Sammelüberweisungen vereinfachen, die dann aber als Einzelposten zurück gemeldet werden sollen.

Direktes Online-banking, PushTAN und smsTAN kommen für mich nicht in Frage, bleibt ChipTan, wie geht das, und geht das mit StarMoney ?

Für chipTAN musst Du das zuerst bei der Bank beantragen und freischalten lassen. Danach musst Du das Konto öffnen, auf den Reiter "Kontodetails" wechseln, und das neue Sicherheitsmedium hinzufügen. Dadurch bekommst Du den neuen Reiter "HBCI mit PIN/TAN", den Du dann als "bevorzugtes Sicherheitsmedium" markieren kannst.
Alternativ sollte das aber auch mit pushTAN oder smsTAN funktionieren - sofern die Bank das für Nutzung über HBCI anbietet/freischaltet.

[Stella]

Vielen Dank Audiolet,

ich habe kein Smartphone und will auch keins, also fällt pushTAN schon mal weg.
smsTAN möchte ich auch nicht weil ich auf dem Land wohne und hier oft kein Netzempfang ist, das nervt dann, wenn man den Code nicht zeitnah bekommt.
Ich glaube ich lass die Bank mir das erstmal erklären und wenn die mir nix eindeutiges sagen können frage ich hier im Support nochmal nach.
Zur Not muss ich mir (nach 33 Jahren bei der Haspa ) halt ne andere Bank suchen, die das mit Chipkarte anbietet.

[audiolet]

ich habe kein Smartphone und will auch keins, also fällt pushTAN schon mal weg.
smsTAN möchte ich auch nicht weil ich auf dem Land wohne und hier oft kein Netzempfang ist,

OK, das ist verständlich, dann bleibt wohl wirklich nur noch chipTAN.

Ich glaube ich lass die Bank mir das erstmal erklären

Dann lass Dir am Besten 'nen Termin mit dem Online-/Home-Banking-Spezialisten geben. Und nicht nur den "normalen" Berater fragen.
PS: Ich hoffe mal, dass das eingangs zitierte Schreiben nicht vom Spezialisten stammt

[Angel]

PS: Ich hoffe mal, dass das eingangs zitierte Schreiben nicht vom Spezialisten stammt

Warum? Ist inhaltlich völlig korrekt.

[info]

@Angel
du bist also der Meinung wie viewtopic.php?f=156&t=38879&p=155222#p155196 angeführt, dass dann nur noch Webbanking (eigene Apps) und EBICS geht?
das wäre ja aber ein gravierender Rückschritt.
chipTAN, smsTAN und pushTAN würde ja auch über HBCI gehen - also warum abschalten?
.. und nur durch die Schnittstelle wäre Software-Einsatz fehlerfrei möglich (sonst bleibt ja nur screenscraper)

[Angel]

@Angel du bist also der Meinung ... dass dann nur noch Webbanking (eigene Apps) und EBICS geht?

Nein, und ich finde in den FAQ der Haspa auch keinen Hinweis, dass *KEINE* Online-Banking-Software eingesetzt werden kann. Warum auch nicht? Überseh ich was?

Für mich stellt sich das so dar:
- EBICS für Firmenkunden per Software
- sms/chip/pushTAN für Privatkunden, egal ob per Web oder StarMoney (oder sonstige Software)
- Abgeschaltet wird HBCI mit Datei wegen der o.g. PSD/gesetzlichen Anforderungen
- HCBI Chipkarte hatten/haben die offenbar gar nicht, also kein Thema

Dazu passt auch der Hinweis bezüglich der FES; das ist nämlich genau das, was man als Nachfolger für HBCI Chipkarte/Datei vorgesehen hat. Ob sich das durchsetzt oder auch andere Banken darauf verzichten - wie die Haspa, und zwar genau wegen der genannten Voraussetzungen - wird man innerhalb der nächsten 2-3 Jahre sehen. Bleibt spannend.

Ich glaube, der Autor des "Antwortschreibens" hat ein wenig ungünstig mit dem Begriff "HBCI" hantiert. Die meisten Leute denken, dass es sich bei HBCI nur um "HBCI mit Chipkarte oder Datei" handelt, was natürlich Blödsinn ist. Die TAN-Verfahren laufen ja auch "unter HBCI", insofern bleibt das erhalten... und die Haspa ist - meine ich - ohnehin auf dem Weg in die OSPlus-Welt der anderen Sparkassen, bisher hat man ja seine eigene Suppe gekocht.

Falls ich auf dem Holzweg bin, möge man mich bitte erhellen...

[Angel]

Ich will hier auch nochmal ein paar Sachen ansprechen.

ich habe ein Schreiben von der Hamburger Sparkasse bekommen, in dem angekündigt wird, dass das HBCI-Verfahren im online-banking zum 01.07.2018 abgeschaltet wird.

Abgeschaltet wird HBCI mit Datei. Das HBCI-Verfahren wird nicht *grundsätzlich* abgeschaltet, da auch die TAN-Verfahren (smsTAN, pushTAN, chipTAN) technisch gesehen HBCI-Verfahren sind.

Als Grund wird genannt, dass dieses Verfahren künftige gesetzlichen Anforderungen nicht mehr erfüllt. Stimmt das ?

Ja. Auch die Begründung, die dir in dem Schreiben genannt wurde, ist korrekt.

Oder ist das der (wiederholte) Versuch, Kunden vom für die Bank kostenintensiveren HBCI zu günstigeren Verfahren wie PIn/TAN, chipTan, pushTan oder smsTAN wechseln zu lassen ?

Nein, es sind gesetzliche Anforderungen. HBCI mit Datei ist ein uraltes Verfahren, und vom Sicherheitsstandard her nicht mehr haltbar. Abgesehen davon sind die von dir genannten TAN-Verfahren nicht kostengünstiger für die Bank, da es sich *ebenfalls* um HBCI-Verfahren handelt. Das macht keinen Unterschied.

Ich habe HBCI bislang für das sicherste Verfahren gehalten und denke eigentlich immer noch, dass es das ist.

HBCI *ist* sicher. Das war auch im Online-Banking noch nie das Problem. Alle Verfahren, die in Verbindung mit einer Online-Banking-Software eingesetzt werden, gelten als *bombensicher* - der Grund ist aber die Software. Wenn es zu Online-Banking-Schadensfällen kommt, dann bei Leuten die über Internetbanking arbeiten. Trojanische Pferde/Betrüger greifen Internetseiten und die Leichtgläubigkeit des Nutzers an, nicht das Banking-Verfahren an sich.

Auf eine entsprechende Rückfrage von mir bei der Haspa erhielt ich folgende Antwort:

Die Antwort ist zwar inhaltlich korrekt, aber blöd formuliert wegen des Begriffs "HBCI". Er redet konkret von "HBCI mit Datei".

Ich habe jetzt überhaupt keinen Plan ob ich, wenn ich mich darauf einlasse das Sicherungsverfahren zu ändern, die StarMoney Software überhaupt noch nutzen kann ?

Ich wüsste nicht, was dagegen spricht. Die anderen Verfahren (chip/push/sms) sollten auch mit StarMoney klappen. Theoretisch musst du jeden Auftrag einzeln "signieren" - also eine TAN dafür eingeben - aber da würden sich z.B. Sammelüberweisungen anbieten. Abgesehen davon kommt es sicherlich auf dein persönliches Mengengerüst an. Hast du mehrere Dutzend Überweisungen am Tag? Wenn nicht, dann ist es nicht "megaumständlich".

[Stella]

Wie schön, dass nicht nur ich verwirrt bin bei diesem HBCI Thema

Ich habe jetzt die Haspa angeschrieben, die sollen mich mal aufklären wie das weiter funktioniert mit StarMoney,
von denen hab ich die Software ja damals bekommen, die sollten das also wissen.

Und nen Kartenleser möchte ich kostenlos haben nach 33 Jahren, wozu zahlt man sonst eigentlich Kontoführungsgebühren wenn man die enthaltenen Services nur nutzen kann indem man neue Hardware anschafft ?

Wenn nicht wechsel ich die Bank und stell`wieder Papierüberweisungsträger aus.

[Angel]

Und nen Kartenleser möchte ich kostenlos haben nach 33 Jahren, wozu zahlt man sonst eigentlich Kontoführungsgebühren wenn man die enthaltenen Services nur nutzen kann indem man neue Hardware anschafft ?

Bitte keine Preisdiskussionen. Bitte nicht. Das wird unschön und gehört hier auch nicht hin. Diskutier das bitte mit der Haspa.

[erftwalk]

Hallo Stella,

mit Angels gütiger Erlaubnis möchte ich dich warnen: 10 Papierüberweisungen kosten bei manchen Banken mehr als ein Kartenleser.

Klaus