[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sicherheit bei Online-Bankgeschaeften



Jörg Zimmermann <jz@xbuilding.de> writes:

> Bei HBCI mit Kartenlesern der Klasse drei, wird der zu überweisende
> Betrag im Display angezeigt wird.
> Um die Überweisung dann durch zu führen, wird eine PIN eingegeben.
> Deswegen muss der Kartenleser eine eigene Tastatur besitzen. Die PIN
> kann nur auf dem Nummernblock des Lesegerätes eingegeben werden.
> Die höhere Sicherheit basiert darauf, das die Transaction im Kartenleser
> verschlüsselt wird. Dein PC sieht also nur noch verschlüsselte Daten.

Der Kartenleser signiert beim klassischen HBCI *nicht* die Überweisung!

Nicht-technischer Beitrag in der Wikipedia ohne Quelle:

http://de.wikipedia.org/wiki/Homebanking_Computer_Interface#Verbesserungen_der_Sicherheit_durch_Nutzung_von_Chipkartenlesern
,----
| Der Kartenleser ist nämlich nicht an der Verschlüsselung der
| eigentlichen Überweisung beteiligt, sondern verschlüsselt lediglich die
| vom Homebanking-Programm erzeugte Signatur der Überweisung. Dies stellt
| noch eine Schwäche des Systems dar. Genauso wie die meisten
| Homebanking-Methoden ist Homebanking per HBCI und Kartenleser also nur
| unter der Annahme sicher, dass das verwendete Homebanking-Programm auf
| dem PC nicht durch Angreifer manipuliert werden konnte.
`----

http://www.hbci-zka.de/dokumente/diverse/ZKA%20Kompendium%20Online-Banking-Sicherheit%20V1.1%20final%20version.pdf
,----[ FinTS (HBCI-Karte) ]
| Hierfür wird der Bankauftrag im PC über ein so genanntes Hashverfahren
| stark kompimiert und in der Chipkarte mit einer Signatur versehen
`----

Folgerung: Im Kartenleser kommen die Überweisungsdaten gar nicht erst
an. Das Protokoll ist für die verschiedenen Klassen der Kartenleser
gleich, also kommen auch bei einem Klasse 3 Leser die Überweisungsdaten
nicht an.


Es gibt auch Kartenleser ("ChipTAN" mit "Flickercode" und "SECODER"),
die die Überweisungsdaten selbst anzeigen und signieren, aber die
funktionieren nicht mit den HBCI Desktopanwendungen und sind vom
klassischen HBCI mit Chipkarte verschieden.

https://www.vr-zahlungssysteme.de/shop/product_info.php/info/p1_Secoder.html
,----
| Bei der Nutzung der HBCI/FinTS-Schnittstelle über ein
| Onlinebanking-Programm wird das Gerät zur Zeit als Klasse-2
| Chipkartenleser eingesetzt, bei dem die PIN-Eingabe hardwaregesichert
| getrennt von der PC-Tastatur auf dem PIN-PAD des Kartenleser
| erfolgt. Ein trojanisches Pferd ("Banktrojaner") hat damit keine
| Möglichkeit, die PIN auszuspähen.
`----

http://www.starmoney.de/index.php?id=cyberejacksecoder
,----
| Fragen Sie deshalb Ihre Bank, Sparkasse oder Ihren Softwarehersteller,
| ob die besonderen SECODER-Funktionen bereits unterstützt werden.
`----

Hier auch: SECODER != HBCI

Noch ein paar weitere Quellen als indizien:

http://www.postbank.de/privatkunden/pk_chiptan.html
http://www.wiso-software.de/forum/index.php?page=Thread&threadID=31621
http://www.onlinebanking-forum.de/phpBB2/viewtopic.php?t=9683

Sorry, dass ich das hier Off-Topic so weit ausrolle, aber viele Leute
fallen auf die Klasse 3 Kartenleser rein (ich auch) und wähnen sich in
einer Sicherheit, die gar nicht da ist.


Reply to: