Nachtgedacht (7)

"I used to think that the brain was the most wonderful organ in my body. Then I realized who was telling me this."

Emo Philips

Ein TAN-Generator für mehrere Banken

Jetzt hat man erfolgreich sein Onlinebanking auf das neue ChipTAN/SmartTAN-Verfahren umgestellt und fragt sich als Kunde mit mehreren Bankverbindungen, ob man den erworbenen TAN-Generator wohl auch für andere Banken nutzen kann. Kommt drauf an.

Die Spezifikation ist wichtig

Die TAN-Generatoren arbeiten nach bestimmten Sicherheitsspezifikationen. Die neueste Spezifikation nennt sich "HDD 1.4" und wird zum Beispiel von Volks- und Raiffeisenbanken ausschließlich für das SmartTAN-Verfahren zugelassen. Ältere Geräte mit der Spezifikation "HDD 1.3" oder älter, können bei diesen Kreditinstituten nicht eingesetzt werden. Wenn man sich also einen TAN-Generator kauft, sollte man immer darauf achten, einen 1.4er zu bekommen. Erkennen kann man diese Geräte in der Regel an einer Kennzeichnung mit "1.4" oder "HDD 1.4" auf der Rückseite. Fehlt diese Kennzeichnung, dürfte es sich wahrscheinlich um ein älteres Modell handeln.

Gerätetyp abfragen

Bei einigen Instituten muss man für die Umstellung auf das ChipTAN/SmartTAN-Verfahren den Gerätetyp angeben. Dieser lässt sich wie folgt abfragen. Nach dem Einstecken der zugehörigen Bankkarte drückt man die Taste "TAN" und gibt dann die "09" und "OK" ein. Der Gerätetyp wird dann auf dem Display angezeigt.

Tipps für Blackberry-Anfänger

Joe von BBGeeks.com macht Urlaub. Nach eigenen Angaben zum ersten Mal seit 6 Jahren. Das Blog, dass sich mit allem rund um den Blackberry von RIM beschäftigt, ist seit 4 Jahren online. Und um die Urlaubswoche nicht ganz ohne Artikel verstreichen zu lassen, hat Joe tief in den Archiven des Blogs gestöbert und einige essentielle Tipps für Blackberry-Anfänger gefunden, die in dieser Woche in der "Tip-Week" nochmal erscheinen.

In celebration of BBGeeks’ four-year anniversary, and in celebration of my first real vacation in six years, we’re reaching into our archives and hoisting some quick tips that we haven’t revisited in a while. These are the bare bones essentials, so if you’re a long-time geek you’ll probably know these. If you’re new, take notes. They can make your life easier.

Bis jetzt gibt es Artikel zur schnelleren Texteingabe und zum Auffinden der Blackberry-PIN. Vielleicht ist ja auch für jahrelange Blackberry-Nutzer wie mich noch was neues dabei. Ich kannte zum Beispiel noch nicht den Trick, dass ein doppeltes Space im Text einen "." erzeugt. Bin also auf den Rest der Woche gespannt.

Keine Panik

Morgen ist es wieder soweit - Handtuch nicht vergessen.

Towel Day - Keine Panik

Ein Handtuch ist so ungefähr das Nützlichste, was der interstellare Anhalter besitzen kann. Einmal ist es von großem praktischem Wert - man kann sich zum Wärmen darin einwickeln, wenn man über die kalten Monde von Jaglan Beta hüpft; man kann an den leuchtenden Marmorsandstränden von Santraginus V darauf liegen, wenn man die berauschenden Dämpfe des Meeres einatmet; man kann unter den so rot glühenden Sternen in den Wüsten von Kakrafoon darunter schlafen; man kann es als Segel an einem Minifloß verwenden, wenn man den trägen, bedächtig strömenden Moth-Fluss hinuntersegelt, und nass ist es eine ausgezeichnete Nahkampfwaffe; man kann es sich vors Gesicht binden, um sich gegen schädliche Gase zu schützen oder dem Blick des Gefräßigen Plapperkäfers von Traal zu entgehen (ein zum Verrücktwerden dämliches Vieh, es nimmt an, wenn du es nicht siehst, kann es dich auch nicht sehen - bescheuert wie eine Bürste, aber sehr, sehr gefräßig); bei Gefahr kann man sein Handtuch als Notsignal schwenken und sich natürlich damit abtrocknen, wenn es dann noch sauber genug ist.

Was jedoch noch wichtiger ist: ein Handtuch hat einen immensen psychologischen Wert. Wenn zum Beispiel ein Strag (Strag = Nicht-Anhalter) dahinter kommt, dass ein Anhalter sein Handtuch bei sich hat, wird er automatisch annehmen. er besäße auch Zahnbürste, Waschlappen, Seife, Keksdose, Trinkflasche, Kompass, Landkarte, Bindfadenrolle, Insektenspray, Regenausrüstung, Raumanzug usw, usw. Und der Strag wird dann dem Anhalter diese oder ein Dutzend andere Dinge bereitwilligst leihen, die der Anhalter zufällig gerade "verloren" hat. Der Strag denkt natürlich, dass ein Mann, der kreuz und quer durch die Galaxis trampt, ein hartes Leben führt, in die dreckigsten Winkel kommt, gegen schreckliche Übermächte kämpft, sich schließlich an sein Ziel durchschlägt und trotzdem noch weiß, wo sein Handtuch ist, eben ein Mann sein muss, auf den man sich verlassen kann.

- Douglas Adams: Per Anhalter durch die Galaxis

Nachtgedacht (6)

BOY: On a hot summer night, would you offer your throat to the wolf with the red roses?
GIRL: Will he offer me his mouth?
BOY: Yes.
GIRL: Will he offer me his teeth?
BOY: Yes.
GIRL: Will he offer me his jaws?
BOY: Yes.
GIRL: Will he offer me his hunger?
BOY: Yes.
GIRL: Again, will he offer me his hunger?
BOY: Yes.
GIRL: And will he starve without me?
BOY: Yes.
GIRL: And does he love me?
BOY: Yes.
GIRL: Yes.

BOY: On a hot summer night, would you offer your throat to the wolf with the red roses?
GIRL: Yes.
BOY: I bet you say that to all the boys.

Jim Steinman

Kaputt installiert

Und auf Empfehlung des zuständigen Mitarbeiters der Kundenbetreuung unseres Rechenzentrums stelle ich hiermit folgendes Mantra auf:

Wenn du bei Selbstbedienungsterminals - welche seit Jahren problemlos ihren Dienst versehen - die Software neu installierst, geht bei mindestens einem davon bei der Intallation ein Stück Hardware kaputt. Ehrlich. Immer.

Sweet Child of Mine

Heute möchte ich euch mal diese Version von "Sweet Child Of Mine" ans Herz legen. Viel Spass!

Onlinebanking-Sicherungsverfahren: HBCI-Chipkarte

Weiter geht es mit meiner Serie zu den Onlinebanking-Sicherungsverfahren. Die ersten drei Teile sind unten im Artikel verlinkt. Diesmal schreibe ich über die HBCI-Chipkarte.

Funktionsweise

Wie bei der HBCI-Kennung kommt bei der HBCI-Chipkarte ein asymmetrisches Verschlüsselungsverfahren zum Einsatz. Hier werden die Schlüsseldaten auf einer Chipkarte gespeichert. Zum Teil geben die Kreditinstitute personalisierte Chipkarten aus, auf denen die Bankverbindung und die Schlüsselpaare bereits gespeichert sind, andere Institute benutzen Blanko-Chips, auf denen die Bankverbindung und die Schlüssel noch gespeichert werden müssen. Auf beide Chiptypen können mehrere Bankverbindungen und Schlüsselpaare gespeichert werden. Die Daten auf dem Chip werden durch eine vom Kunden änderbare PIN geschützt.

Zum Auslesen des Chips wird ein Chipkarten-Lesegerät benötigt. Diese werden in 3 Klassen eingeteilt. Klasse I - Leser lesen den Chip, die PIN muss an der PC-Tastatur eingetippt werden und wird dann an den Kartenleser gesendet. Klasse II - Leser besitzen eine Tastatur, auf der die PIN eingegeben werden kann. Die Klasse III - Leser besitzen zusätzlich noch ein Display, auf dem Transaktionsdaten angezeigt werden können. Der Kartenleser wird heutzutage meist über USB angeschlossen und benötigt eine Treiberinstallation. Treiber gibt es für eigentlich für alle gängigen Betriebssysteme.

Hier sei noch erwähnt, dass die neue Lesergeneration inzwischen auch zum (kontaktlosen) Auslesen des neuen Personalausweises genutzt werden kann, so dass man dann kein zusätzliches Gerät mehr benötigt.

Teilweise kann dieses Verfahren nur in Verbindung mit einer Banking-Software genutzt werden, einige Banken bieten dieses Verfahren auch im Internetbanking an, doch auch in diesem Fall wird eine zusätzliche Softwarekomponente für die HBCI-Schnittstelle benötigt (z.B. DDBAC).

Bei allen Transaktionen fordert die Software die HBCI-Karte an und fragt die PIN ab. Diese wird an der PC-Tastatur oder direkt am Kartenleser eingegeben, danach wird die Transaktion verschlüsselt und an das Kreditinstitut übertragen. Weitere Sicherheitsmedien, wie z.B. TAN werden nicht benötigt.

Sicherheit

Durch das asymmetrische Verschlüsselungsverfahren ist eine sehr hohe Sicherheit beim Transport der Daten gewährleistet. Die Schlüssel sind sicher auf der HBCI-Karte abgelegt und können nur mit Eingabe der PIN genutzt werden. Es empfiehlt sich, mindestens einen Klasse II - Leser zu benutzen, damit die PIN-Eingabe nicht auf der PC-Tastatur erfolgen muss, wo sie über Keylogger mitgeschnitten werden könnte.

Es besteht ein Restrisiko für Man-In-The-Middle-Attacken. Eine Schadsoftware könnte die Transaktionsdaten vor dem Verschlüsseln mit der Chipkarte im Hintergrund manipulieren und dann die gefälschten Daten an das Kreditinstitut senden. Theoretisch funktioniert das, allerdings existiert wohl keine Schadsoftware "in the wild". Das Restrisiko wird durch Leser und Software eliminiert, die die Transaktionsdaten vor dem Verschlüsseln auf dem Display des Kartenlesers anzeigen, so dass sie durch den Kunden vor dem Senden geprüft werden können. Dieses Verfahren wird aber bisher von fast keinem Institut unterstützt. Wenn jemand ein KI kennt, ab in die Kommentare damit :-).

Kosten

Dieses Verfahren verursacht die höchsten Kosten für den Kunden. Ein Klasse II - Leser schlägt mit ungefähr 40 Euro zu Buche. Die HBCI-Chipkarte hat eine begrenzte Laufzeit und wird vom Kreditinstitut teilweise mit 5-10 Euro pro Jahr berechnet. Das ist aber bei den verschiedenen Banken ziemlich unterschiedlich.

Einsatzmöglichkeiten

Hier gilt das, was ich schon bei der HBCI-Kennung schrieb: Für das Verfahren wird immer ein speziell konfigurierter PC mit bestimmter Sofware benötigt. Für den Kartenleser muss ein Treiber eingerichtet sein. Die Kartenleser sind auch nicht gerade klein, bei Nutzung von mehreren Rechnern ist eventuell die Anschaffung von weiteren Lesegeräten sinnvoll, was aber auch weitere Kosten bedeutet. Das Verfahren eignet sich natürlich gut für Kunden mit vielen Transaktionen, da keine zusätzlichen TANs benötigt werden, was den Zahlungsverkehr schlank und schnell macht.

Fazit

Die HBCI-Chipkarte erfordert den höchsten Aufwand bei der Einrichtung und verursacht zusätzliche Kosten. Nach der Einrichtung ist es ein sicheres und professionelles Verfahren, das gerade bei hohem Transaktionsaufkommen seine Stärken ausspielt.

Wie immer können in den Kommentaren gerne noch weitere Aspekte beigesteuert werden, die ich vielleicht vergessen oder nicht vollständig dargestellt haben.

Hier noch die bisherigen Teile der Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

Nachtgedacht (5)

"Ein seltsames Spiel, Professor Falken.

Der einzig gewinnbringende Zug ist, nicht zu spielen."

Joshua

Onlinebanking-Sicherungsverfahren: HBCI-Kennung

Hier kommt der nächste Teil der Serie über die verschiedenen Sicherungsverfahren beim Onlinebanking. Die ersten beiden Teile sind unten im Artikel verlinkt. Heute geht es um die HBCI-Kennung, die auf einem Datenträger gespeichert ist, nicht auf einer HBCI-Chipkarte, das kommt dann das nächste Mal dran.

Funktionsweise

Das Homebanking Computer Interface (HBCI) ist ein Verfahren, das auf asymmetrischer Verschlüsselung basiert. Man benötigt dazu für jeden Teilnehmer ein Schlüsselpaar, dass auf einem privaten und einem öffentlichen Schlüsselteil besteht. Der private Teil des Schlüssels verbleibt beim jeweiligen Inhaber, die öffentlichen Teile werden dem jeweiligen Partner bekannt gemacht.

Daten, die mit dem öffentlichen Teil des Schlüssels verschlüsselt wurden, können nur mit dem dazugehörigen privaten Teil wieder entschlüsselt werden. Der private Teil des Schlüssels kann verwendet werden, um Daten zu signieren, die Echtheit der Signatur kann wiederum mit dem öffentlichen Teil des Schlüssels überprüft werden.

Um dieses Verfahren zu nutzen, erhält der Kunde von seiner Bank im Vorfeld eine Benutzerkennung und/oder Kundennummer sowie die Hashwerte des öffentlichen Schlüsselteils der Bank. Mit dem Hashwert kann die Echtheit des öffentlichen Schlüssels geprüft werden.

Mit diesen Daten ausgerüstet erstellt sich der Kunde mit einer Homebanking-Software einen eigenen Schlüssel, der mit einem Passwort gesichert wird. Die Schlüsseldatei wird auf einem mobilen Datenträger abgespeichert. Während der Generierung erhält der Kunde den öffentlichen Schlüssel der Bank über die Internetverbindung, der mittels des vorher erhaltenen Hashwertes zu prüfen ist. Gleichzeitig wird der öffentliche Teil des Kundenschlüssels an die Bank übermittelt und dessen Hashwert kann auf einem sogenannten "INI-Brief" ausgedruckt werden.

Der Ausdruck wird vom Kunden unterschrieben und an die Bank weitergeleitet. Mittels des Hashwertes auf dem INI-Brief prüft die Bank die Echtheit des Kundenschlüssels und schaltet den Zugang frei.

Erst jetzt kann der Kunde Kontodaten abfragen und Transaktionen tätigen. Bei jeder Abfrage und jeder Transaktion wird die Schlüsseldatei auf dem Datenträger und das Passwort abgefragt. Es gibt keine zusätzlichen TAN-Nummern.

Teilweise kann dieses Verfahren nur in Verbindung mit einer Banking-Software genutzt werden, einige Banken bieten dieses Verfahren auch im Internetbanking an, doch auch in diesem Fall wird eine zusätzliche Softwarekomponente für die HBCI-Schnittstelle benötigt (z.B. DDBAC).

Sicherheit

Durch das asymmetrische Verschlüsselungsverfahren ist bei ordnungsgemäßer Prüfung der Echtheit der Schlüssel eine sehr hohe Sicherheit beim Transport der Daten gewährleistet. Allerdings liegt die Schlüsseldatei während der Transaktionen im Zugriff im Dateisystem des Rechners vor und das Passwort wird über die PC-Tastatur eingegeben. Ein Schadprogramm hat also Zugriff auf die Schlüsseldatei und kann über einen Keylogger das zugehörige Passwort ausspionieren. 

Ein Vorteil ist die eher geringe Verbreitung des Verfahrens, die Nutzung erfolgt meist über Softwareprodukte. Hierdurch entsteht eine sehr kleine und heterogene Basis von Benutzern, die bisher die Entwicklung entsprechender Schadsoftware nicht wirtschaftlich erscheinen lässt. Etwas erhöhen kann man die Sicherheit noch dadurch, dass man den Datenträger mit der Schlüsseldatei wirklich nur für die kurze Dauer der Transaktion an den Rechner anschließt/einlegt.

Kosten

Eventuell enstehen geringe Kosten für die Anschaffung eines geeigneten Datenträgers (z.B. USB-Stick).

Einsatzmöglichkeiten

Für dieses Verfahren wird immer ein speziell konfigurierter PC mit bestimmter Sofware benötigt. Insofern ist spontanes Banking von Unterwegs nur bei Einsatz eines entsprechenden Laptops möglich. Natürlich muss der Datenträger mit der Schlüsseldatei ebenfalls mitgeführt werden. Bei der Nutzung auf einem bestimmten PC ist das Verfahren allerdings schnell und bequem, da sich alles über eine Authentifizierung abwickeln lässt.

Fazit

Die HBCI-Kennung ist ein Verfahren, dass bei der Einrichtung einen gewissen Mehraufwand verursacht. Auch ist die Einrichtung für nicht so versierte Benutzer nicht ganz trivial. Nach der Einrichtung, und wenn man das Homebanking nicht an vielen verschiedenen Rechnern betreiben will, ist die Nutzung einfach und bequem. Durch die geringe Verbreitung (aber auch nur dadurch) ist es zudem ein sicheres Verfahren. Generell ist aber die HBCI-Kennung auf Chipkarte vorzuziehen, die ich im nächsten Teil der Reihe behandeln möchte.

Wie immer können in den Kommentaren gerne noch weitere Aspekte beigesteuert werden, die ich vielleicht vergessen oder nicht vollständig dargestellt haben.

Hier noch die bisherigen Teile der Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

 

tweetbackcheck