kein HBCI mehr

[Franklin Schiftan]

Hallo miteinander,

nur zur Info, von der Kreissparkasse Ostalb erhalte ich einen Brief,
dass zum Jahresende HBCI abgeschafft wird, weil es angeblich die
künftig von der Kreditwirtschaft geforderten Sicherheitsbestimmungen
nicht mehr erfülle. Wenn man dann weiter online banken möchte, möge
man doch bitte auf das ChipTAN-Verfahren umswitchen.

Dummerweise hatte ich auf meiner HBCI-Karte auch die Berechtigung
für andere Konten (ETG), für die (bislang) gar keine Girocard
ausgegeben ist (weil auch nicht notwendig), die ich aber dank HBCI
trotzdem problemlos verwalten konnte.

Mal schauen, ob es dafür dann auch eine extra Girocard (nur fürs
Online-Banking) geben wird .... eine entsprechende Anfrage läuft.

--
..... und tschuess

Franklin

[Michael Kallweitt]

Franklin Schiftan <fraschi...@arcor.de> schrieb:

> nur zur Info, von der Kreissparkasse Ostalb erhalte ich einen Brief,
> dass zum Jahresende HBCI abgeschafft wird, weil es angeblich die
> künftig von der Kreditwirtschaft geforderten Sicherheitsbestimmungen
> nicht mehr erfülle. Wenn man dann weiter online banken möchte, möge
> man doch bitte auf das ChipTAN-Verfahren umswitchen.

Selbiges wurde mir von meiner Sparkasse auch im vergangenen Jahr
angetragen. Anstelle der bisherigen HBCI-Chipkarte bekam ich eine
kontoungebundene Geldkarte, Kostenpunkt 10 EUR.

Als ich dann tatsächlich die Umstellung von HBCI zu ChipTAN QR vollzog,
musste ich mich im Online-Banking entscheiden, ob ich zur TAN-Erzeugung
künftig die neue Geldkarte oder meine bisherige Girocard nutzen möchte.
Ich entschied mich für erstere, weil ich die Geldkarte nicht ständig bei
mir trage und damit die Gefahr eines Verlustes gefühlt geringer
ausfällt, finde es im Nachhinein allerdings ärgerlich, dass ich für
diesen Service Geld berappen musste, obwohl ich bei der Sparkasse nur
ein Girokonto habe und daher ohne weiteres auch die Girocard für diesen
Zweck nutzen könnte – so wie es bei meiner Hauptbankverbindung
(Genossenschaftsbank) für alle Konten und Depots unter meinem VR-Netkey
problemlos möglich ist.


--
michael.kallweitt.art
»Meine Stücke wachsen nicht von vorne nach hinten, sondern von innen nach
außen.« Pina Bausch https://de.wikipedia.org/wiki/Pina_Bausch#Inszenierung

[Franklin Schiftan]

Mittlerweile ist die sehr erfreuliche Antwort hier eingegangen:

"Der neue chipTAN Zugang wurde mit den Daten Ihres bestehenden
HBCI-Chipkarten Zugang erstellt, d.h. sie können weiterhin alle
Konten die seither über die Chipkarte verwaltet wurden mit Ihrer
SparkassenCard und den neuen Zugangsdaten verwalten."

Damit habe ich mit meiner normalen Girocard auch wieder die gleichen
Konten im Zugriff wie vorher bei HBCI auch und brauche keine weitere
Girocard für die anderen Konten.

Soweit zur Info.

[Volker Englisch]

Franklin Schiftan schrieb am Mo., 02 Aug. 2021 um 06:40 GMT:
> nur zur Info, von der Kreissparkasse Ostalb erhalte ich einen Brief,
> dass zum Jahresende HBCI abgeschafft wird, weil es angeblich die
> künftig von der Kreditwirtschaft geforderten Sicherheitsbestimmungen
> nicht mehr erfülle. Wenn man dann weiter online banken möchte, möge
> man doch bitte auf das ChipTAN-Verfahren umswitchen.

Das gleiche Schreiben bekam ich Anfang des Jahres von der Sparkasse
Memmingen-Lindau-Mindelheim. Die Sicherheitsbestimmungen scheinen bei den
Sparkassen wohl anders interpretiert zu werden als bei anderen Banken.

Für mich wars ein Grund, meine Hauptbank zu wechseln. Wenn man mehrere
Konten bei mehreren Banken unterhält, ist das Banking mittels HBCI (FinTS)
und Software IMO einfach angenehmer, statt bei jeder Bank mit dem Browser
und verschiedenen TAN-Systemen herumzufrickeln.

V.

[Michael Kallweitt]

Volker Englisch <eh...@rrzli.de> schrieb:

> Für mich wars ein Grund, meine Hauptbank zu wechseln. Wenn man mehrere
> Konten bei mehreren Banken unterhält, ist das Banking mittels HBCI (FinTS)
> und Software IMO einfach angenehmer, statt bei jeder Bank mit dem Browser
> und verschiedenen TAN-Systemen herumzufrickeln.

ChipTAN (QR), SmartTAN@photo, alternativ PushTAN oder wie auch immer
diese Verfahren bei einzelnen Banken heißen mögen, lassen sich auch mit
geeigneten Banking-Apps nutzen. Hier läuft z.B. MoneyMoney auf dem Mac,
aber auch meine Buchhaltungssoftware sevDesk ist damit kompatibel.

[Tobias Schuster]

Am 02.08.2021 um 23:41 schrieb Martin Gerdes:

> Erfreulicherweise komme ich ohne 2-Faktor-Authentifizierung in mein
> Girokonto, jedenfalls bei der Tätigkeit, die ich damit am häufigsten
> mache, nämlich Abrufen des Kontostandes und der neuesten Buchungen.

Mir scheint, als will man uns von Bankenseite ausschließlich zu
Bedienern von Mobiltelefonen machen und den PC besser weg lassen.

So ist die Salden- und Kontobewegungs-Abfrage bei der *Commerzbank*
mobil mit Teilnehmernummer und Pin sofort zugänglich.
Wähle ich den Zugang aber über einen PC ist immer zwingend noch ein
TAN-Verfahren (hier "photoTAN") nötig.
Hier ist also Aufwand und Sicherheit mobil geringer. Warum eigentlich?

Andere Banken wie jene *Hypo* lassen alle Aktionen in einer _einzigen_
App ohne weitere Geräteschaft erledigen.
Ich hoffe und glaube nicht, dass ein Außenstehender Herrschaft über mein
Mobiltelefon erlangen könnte, aber wo ist hier die
2-Faktor-Authentifizierung?
Auch da ist die mobile Nutzung "einfacher" und weniger sicher als am PC.

Erst will man uns weismachen, dass gut verwahrte TAN-Listen ausgespäht
werden könnten und jetzt setzt man alles auf diese "mobile
Unsicherheit"?! Alles nur modern und gaga?

2

[Marc Haber]

Tobias Schuster <7e0f...@gmx.de> wrote:
>Am 02.08.2021 um 23:41 schrieb Martin Gerdes:
>> Erfreulicherweise komme ich ohne 2-Faktor-Authentifizierung in mein
>> Girokonto, jedenfalls bei der Tätigkeit, die ich damit am häufigsten
>> mache, nämlich Abrufen des Kontostandes und der neuesten Buchungen.
>
>Mir scheint, als will man uns von Bankenseite ausschließlich zu
>Bedienern von Mobiltelefonen machen und den PC besser weg lassen.

Wir sind inzwischen auch so weit, dass ein Mobiltelefon sicherer ist
als ein PC: Apple hat die wirklich gut implementierte Secure Enclave
zur Ablage privater Schlüsse, und auf Android läuft immerhin schonmal
jede App mit einem eigenen User, so dass nicht jede App "auf alles"
Zugriff hat, wie es auf einem handelsüblchen Windows- oder Linux-PC
üblich ist...

Aber ja, irgendwann wird auf meinem Schreibtisch ein iOS-Gerät mit
Bluetooth-Tastatur stehen, um meine Bankgeschäfte zu machen, die man
aus Sicherheitsgründen auf dem PC nicht mehr erlaubt.

>So ist die Salden- und Kontobewegungs-Abfrage bei der *Commerzbank*
>mobil mit Teilnehmernummer und Pin sofort zugänglich.
>Wähle ich den Zugang aber über einen PC ist immer zwingend noch ein
>TAN-Verfahren (hier "photoTAN") nötig.
>Hier ist also Aufwand und Sicherheit mobil geringer. Warum eigentlich?

Weil das Mobilgerät die Sicherheit von Haus aus mitbringt.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Alexander Goetzenstein]

Hallo Marc,

Am 03.08.21 um 08:23 schrieb Marc Haber:

> Weil das Mobilgerät die Sicherheit von Haus aus mitbringt.

ich bin mir nicht ganz sicher: war das ernst oder satirisch gemeint?


--
Gruß
Alex

[Marc Haber]

Alexander Goetzenstein <alexander_g...@web.de> wrote:
>Am 03.08.21 um 08:23 schrieb Marc Haber:
>> Weil das Mobilgerät die Sicherheit von Haus aus mitbringt.
>
>ich bin mir nicht ganz sicher: war das ernst oder satirisch gemeint?

Das war im Vergleich zu einem handelsüblich konfigurierten Windows-PC
ganz sicher ernst gemeint und in dem von Dir nicht mit zitierten
Abschntit sogar fundiert begründet. Warum gibt es keine Cryptotrojaner
für Smartphones?

[Volker Englisch]

Michael Kallweitt schrieb am Mo., 02 Aug. 2021 um 16:48 GMT:
> Volker Englisch <eh...@rrzli.de> schrieb:
>
>> Für mich wars ein Grund, meine Hauptbank zu wechseln. Wenn man mehrere
>> Konten bei mehreren Banken unterhält, ist das Banking mittels HBCI (FinTS)
>> und Software IMO einfach angenehmer, statt bei jeder Bank mit dem Browser
>> und verschiedenen TAN-Systemen herumzufrickeln.
>
> ChipTAN (QR), SmartTAN@photo, alternativ PushTAN oder wie auch immer
> diese Verfahren bei einzelnen Banken heißen mögen, lassen sich auch mit
> geeigneten Banking-Apps nutzen. Hier läuft z.B. MoneyMoney auf dem Mac,
> aber auch meine Buchhaltungssoftware sevDesk ist damit kompatibel.

Das stimmt schon, trotzdem ist's IMO lästig, bei einem Kontenrundruf
verschiedene Verfahren bedienen zu müssen.

[Wendelin Uez]

> Mir scheint, als will man uns von Bankenseite ausschließlich zu
> Bedienern von Mobiltelefonen machen und den PC besser weg lassen.
>
> So ist die Salden- und Kontobewegungs-Abfrage bei der *Commerzbank* mobil
> mit Teilnehmernummer und Pin sofort zugänglich.
> Wähle ich den Zugang aber über einen PC ist immer zwingend noch ein
> TAN-Verfahren (hier "photoTAN") nötig.
> Hier ist also Aufwand und Sicherheit mobil geringer. Warum eigentlich?

Ganz einfach, weil Mobiltelephone aus Sicht der Bank sicherer sind als PCs.
Sie sind deswegen sicherer, weil die Bank eine eigene App für den Zugriff
aufs Konto durchsetzen kann und diese App Sicherheitsmechanismen
implementiert hat, die man bei PCs nicht garantieren kann. Das wiederum
hängt letztlich damit zusammen, daß bei Smartphones ein Gerät nicht nur
identifizierbar, sondern auch verifizierbar ist, während das bei
PC-Betriebssystemen nicht der Fall ist. Dort kann man den PC bestenfalls
identifizieren, aber nicht verifizieren, also nicht einer Person zuordnen.
Ein Telefon bzw. die darauf laufende personalisierte App ist dagegen
prinzipiell einer der Bank bekannten Person zugeordnet.

Die zur Kontonummer passende Zugangs-PIN ist das eine Sicherheitsmerkmal,
das Vorhandensein einer personalisierten und unveränderlichen Software, der
Banking-App, das zweite Merkmal. Letzteres ist bei PCs nicht vorhanden.
weshalb dort ein zusätzliches Verifizierungsmerkmal wie z.B. de TAN benötigt
wird.

[Wendelin Uez]

>> Weil das Mobilgerät die Sicherheit von Haus aus mitbringt.
>
> ich bin mir nicht ganz sicher: war das ernst oder satirisch gemeint?

Für die Bank ist das Mobilgerät sicherer als als ein PC. Für den Benutzer
gilt das meist nicht.

Die Banking-App koppelt sich an den Besitz des Smartphones. Wird damit
Kontakt zur Bank aufgenommen, weiß die Bank nicht nur, daß ihr Gegenüber die
richtige PIN kennt, sondern auch zusätzlich im Besitz des richtigen
Smartphones ist.

Es ist viel wahrscheinlicher, daß sich da kein Unbekannter einloggt, wie
wenn nur die PIN abgefragt worden wäre. Nichtsdestotrotz gibt es natürlich
keine Garantie dafür, daß Smartphone und PIN nicht einem Dritten zugänglich
wäre, aber es ist halt weit weniger wahrscheinlich. Weshalb es über kurz
oder lang auch zu einem dritten obligatorischen Sicherheitsmerkmal kommen
wird.

[Stefan Schmitz]

Wie kommt man denn auf die Idee, bei einem Smartphone sei es
wahrscheinlicher, dass da wirklich der Eigentümer dransitzt, als bei
einem PC? Handys schleppt man überall hin mit, die können viel leichter
gestohlen werden.

Wenn man schon mit Besitz als Sicherheitskriterium arbeitet, könnte man
doch auch den PC bei der Bank registrieren, um von diesem Gerät auf den
zweiten Faktor zu verzichten.

[Jonas Klein]

Stefan Schmitz hat am 03.08.2021 um 21:38 geschrieben:

> Wenn man schon mit Besitz als Sicherheitskriterium arbeitet, könnte man
> doch auch den PC bei der Bank registrieren, um von diesem Gerät auf den
> zweiten Faktor zu verzichten.

Und wie registriert man einen PC, wenn man keine statische IP hat?

Aber im Prinzip stimme ich mit dir überein.
Bank A: Smartphone mit einer bestimmten SIM-Karte, Bank-App, 5-stellige
Zahl (immer dieselbe) vor jedem Vorgang eintippen.
Bank B: beliebiger Computer, öffentlicher Internetzugang zur Bank,
Benutzername und Passwort für den Zugang zum Bankprogramm, dann eine
6-stellige Handy-TAN (jeweils eine andere) an die hinterlegte
Handynummer vor jedem Vorgang am PC eintippen.

Welches System ist sicherer? Die Antwort ist für mich offensichtlich.

[Matthias Hanft]

Stefan Schmitz schrieb:

>
> Wie kommt man denn auf die Idee, bei einem Smartphone sei es
> wahrscheinlicher, dass da wirklich der Eigentümer dransitzt, als bei
> einem PC? Handys schleppt man überall hin mit, die können viel leichter
> gestohlen werden.

Üblicherweise muss man Handys aus dem Ruhezustand heraus erst mit PIN,
Muster oder Fingerabdruck entsperren - odrrr?

Also wenn *meins* gestohlen würde, wäre das jedenfalls so. Überweisen
könnte da niemand was damit (abgesehen davon, dass man auch in jeder
Bank-App erst eine PIN oder einen Fingerabdruck eingeben müsste).

Gruß Matthias.

[Wendelin Uez]

> Wie kommt man denn auf die Idee, bei einem Smartphone sei es
> wahrscheinlicher, dass da wirklich der Eigentümer dransitzt, als bei einem
> PC? Handys schleppt man überall hin mit, die können viel leichter
> gestohlen werden.

Das ist richtig, deshalb sind ja auch Smartphones i.d.R. besser gegen
Mißbrauch geschützt, durch PIN, Fingerabdruck etc., aber wer tut sich das
schon am eigenen PC an?

Hinzu kommt, Windows ist von Hause aus so gebaut, daß man möglichst alles
mit der Hardware machen kann, bei Smartphones bremst die
Software-Akkreditierung durch Google ziemlich viel aus.

[Stefan Krieg]

Ludger Averborg <ludger_...@web.de> wrote:

> On Wed, 4 Aug 2021 17:38:21 +0200, "Wendelin Uez" <wu...@online.de> wrote:
>
>>> Wie kommt man denn auf die Idee, bei einem Smartphone sei es
>>> wahrscheinlicher, dass da wirklich der Eigentümer dransitzt, als bei einem
>>> PC? Handys schleppt man überall hin mit, die können viel leichter
>>> gestohlen werden.
>>
>> Das ist richtig, deshalb sind ja auch Smartphones i.d.R. besser gegen
>> Mißbrauch geschützt, durch PIN, Fingerabdruck etc., aber wer tut sich das
>> schon am eigenen PC an?
>>

> Meine Frau tut sich das am Smartphone auch nicht an

Und wird dann vermutlich ihre Banking-App nicht öffnen können?
Bei meiner App steht als Voraussetzung „Face-ID oder Touch-ID“ (ist halt
iOS). Wenn man eines der beiden am iPhone einrichtet (modellabhängig), muss
man das Smartphone nicht zwangsweise so entsperren (das lässt sich
ausschalten), hat aber beim Öffnen der Banking-App denselben Effekt wie ein
damit gesperrtes Smartphone.

Ich wäre nicht überrascht, wenn das bei anderen Banking-Apps und/oder
anderen Smartphone-Betriebssystemen auch so ist.


--
gruß aus berlin,
der stef

[Tobias Schuster]

Am 03.08.2021 um 08:23 schrieb Marc Haber:

>>> Erfreulicherweise komme ich ohne 2-Faktor-Authentifizierung in mein
>>> Girokonto, jedenfalls bei der Tätigkeit, die ich damit am häufigsten
>>> mache, nämlich Abrufen des Kontostandes und der neuesten Buchungen.
>>
>> Mir scheint, als will man uns von Bankenseite ausschließlich zu
>> Bedienern von Mobiltelefonen machen und den PC besser weg lassen.
>
> Wir sind inzwischen auch so weit, dass ein Mobiltelefon sicherer ist
> als ein PC: Apple hat die wirklich gut implementierte Secure Enclave
> zur Ablage privater Schlüsse, und auf Android läuft immerhin schonmal
> jede App mit einem eigenen User, so dass nicht jede App "auf alles"
> Zugriff hat, wie es auf einem handelsüblchen Windows- oder Linux-PC
> üblich ist...
>

Wenn dem so ist, dann hätte ich gerne an meinem Mobiltelefon den
Anschluss für einen Monitor, Maus und Tastatur.

Das Gefrickel mit dem Guckloch von Minidisplay und winzigen Softtasten
finde ich für Büroarbeiten unzumutbar und absolut untauglich.

Eine Adaption auf den PC wie bei Whatsapp sollte generell verfügbar und
Standard sein.

2

[Matthias Hanft]

Tobias Schuster schrieb:

>
> Wenn dem so ist, dann hätte ich gerne an meinem Mobiltelefon den
> Anschluss für einen Monitor, Maus und Tastatur.

Hat man eigentlich bei neueren/besseren Telefonen: Bildschirm geht
über USB-C, Rest per Bluetooth.

Gruß Matthias.

[Tobias Schuster]

Am 06.08.2021 um 21:31 schrieb Matthias Hanft:

>> Wenn dem so ist, dann hätte ich gerne an meinem Mobiltelefon den
>> Anschluss für einen Monitor, Maus und Tastatur.
>
> Hat man eigentlich bei neueren/besseren Telefonen: Bildschirm geht
> über USB-C, Rest per Bluetooth.

Och ne, schon wieder so ein neues Dingens kaufen?
Grenzt doch schon an Geldvernichtung.

Eine Kopplung per Wlan, Bluetooth mit dem PC wäre schön. Gibt es da eine
Softwarelösung?

2

[Wendelin Uez]

> Eine Kopplung per Wlan, Bluetooth mit dem PC wäre schön. Gibt es da eine
> Softwarelösung?

Wie wär's mit AnyDesk, Teamviewer & Co. ?
Funktioniert einwandfrei, damit kann man sich auch am PC erfolgreich über
ein grottenschlechtes UI ärgern :-)

[Florian Weimer]

* Marc Haber:

> Das war im Vergleich zu einem handelsüblich konfigurierten Windows-PC
> ganz sicher ernst gemeint und in dem von Dir nicht mit zitierten
> Abschntit sogar fundiert begründet. Warum gibt es keine Cryptotrojaner
> für Smartphones?

Das dürfte auch an der funktionierenden externen Datensicherung liegen.

[Tobias Schuster]

Tatsächlich, das kannte ich nur von PC zu PC, aber jetzt ist das Display
des Mobiltelefons auch im Verbund. Das UI, na ja, wie gewohnt. :-)

Bei den geforderten Berechtigungen ist jetzt aber das Tor für
Sicherheitslücken im Ausmaß einen Scheunentors?

2

[Marc Haber]

Bei Apple, ja. In der Android-Welt von funktionierender Datensicherung
zu sprechen löst eine gewisse, betroffene Heiterkeit aus.

[Alexander Goetzenstein]

Hallo,

Am 09.08.21 um 10:19 schrieb Marc Haber:

> Florian Weimer <f...@deneb.enyo.de> wrote:
>> * Marc Haber:
>>> Das war im Vergleich zu einem handelsüblich konfigurierten Windows-PC
>>> ganz sicher ernst gemeint und in dem von Dir nicht mit zitierten
>>> Abschntit sogar fundiert begründet. Warum gibt es keine Cryptotrojaner
>>> für Smartphones?
>>
>> Das dürfte auch an der funktionierenden externen Datensicherung liegen.
>
> Bei Apple, ja. In der Android-Welt von funktionierender Datensicherung
> zu sprechen löst eine gewisse, betroffene Heiterkeit aus.

zumal Apple sich zur Zeit einen Namen aufbaut, mehr zu sichern als der
Nutzer ahnt... <eg>


--
Gruß
Alex

[Wendelin Uez]

> Bei den geforderten Berechtigungen ist jetzt aber das Tor für
> Sicherheitslücken im Ausmaß einen Scheunentors?

Weiß gar nicht, was da alles gefordert wurde, aber so eine Fernsteuerung muß
natürlich alles dürfen incl. Mikro für Voice-Kommunikation (soll wohl auch
gehen, hab' ich noch nie probiert).

[Georg Schwarz]

Alexander Goetzenstein <alexander_g...@web.de> wrote:

> zumal Apple sich zur Zeit einen Namen aufbaut, mehr zu sichern als der
> Nutzer ahnt... <eg>

und zukünftig findet vor der Sicherung eine Legalitätsprüfung auf dfem
Telefon statt mit Hinweis an die Behörden bei Auffälligkeiten.