Sicherheit bei Schlüsseldatei

 
Benutzer
Avatar
Geschlecht:
Herkunft: GAP
Beiträge: 46
Dabei seit: 09 / 2005
Betreff:

Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 17:42 Uhr  ·  #1
Momentan habe ich einen CoBa Zugang mit Schlüsseldatei, der ganz gut funktioniert. Von derselben Bank habe ich außerdem eine HBCI-Karte. Da der öffentliche Schlüssel für die Schlüsseldatei noch aktiv ist, kann ich die Karte natürlich erst dann bei der Bank initialisieren, wenn dieser gesperrt ist. Beide Wege gleichzeitig kann man bekanntlich nicht gehen.

Nun überlege ich mal, ob sich ein Wechsel zur Karte lohnt. Bei der Datei, die bei 4W Banking in Datentresor integriert ist, brauche ich weder Karte noch den Leser auf dem Tisch. Ist sehr bequem. Andererseits, ist die HBCI-Karte in Sache Sicherheit einsame Spitze. Denn die Datei-PIN ist für einen Keylogger ein Kinderspiel.

Gibt es schon Erfahrungen oder Meldungen, wo eine Schlüsseldatei bzw. Datentresor gestohlen wurden?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7465
Dabei seit: 08 / 2002
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 19:27 Uhr  ·  #2
Mir ist nichts bekannt, aber es gab Meldungen über Schadsoftware, die nach Zahlungsverkehrsprogrammen scannen konnte.
Aktuell gehen viele davon aus, das diese Info bisher eher als Indiz für Ransomware oder social Engineering diente (lohnt sich bei Geschäftskunden sicherlich eher als bei privaten Menschen), aber sowas kann sich schnell ändern. Dann wäre eine Sicherheitsdatei schon gefährdet.
Mein Rat, wenn du schon überlegst: Nimm die Chipkarte.
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 3492
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 20:24 Uhr  ·  #3
Zitat geschrieben von creasot
Beide Wege gleichzeitig kann man bekanntlich nicht gehen.

sicher? weil bei den Sparkassen, kann ich unterschiedliche Medien wählen, von der PushTAN, über PIN/TAN (mit Gen.) bis zur Karte und zwar parallel
Benutzer
Avatar
Geschlecht:
Herkunft: GAP
Beiträge: 46
Dabei seit: 09 / 2005
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 20:45 Uhr  ·  #4
Zitat geschrieben von Raimund Sichmann

Mein Rat, wenn du schon überlegst: Nimm die Chipkarte.


Ja, das werde ich auch tun. Was mir aber schon einfällt: Man kann das Schlüsseldatei-Passwort im Datentresor anlegen/speichern. Das lässt 4W Banking zu, wenn der Datentresor selbst mit Passwort versehen ist. Zumindest wird dann Passwort an einer anderen Stelle verlangt, nicht im Dialog mit der Bank.

Zitat geschrieben von infoman

sicher? weil bei den Sparkassen, kann ich unterschiedliche Medien wählen, von der PushTAN, über PIN/TAN (mit Gen.) bis zur Karte und zwar parallel

Stimmt. Hier handelt es sich allerdings um einen einzigen Zugangsweg (HBCI mit Karte ODER Schlüsseldatei), wo die Bank nur einen einzigen öffentlichen Schlüssel (Hash von INI-Brief) aktiv halten kann. Wenn ich jetzt die HBCI-Karte initialisieren möchte, kommt eben die Fehlermeldung, dass meine Kennung bereits initialisiert ist. Ansonsten kann ich die Bank zusätzlich übers Web wahlweise mit mTAN oder PhotoTAN ansprechen.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 55
Beiträge: 3941
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 21:55 Uhr  ·  #5
@infoman: Das hatten wir doch schon so oft als expliziten Minuspunkt bei der Commerzbank:

  • Es gibt keinen HBCI-mit-PIN/TAN-Zugang
  • Es wrd nur EINE Zugangskennung für Chipkarte oder Datei pro Person erstellt

Wenn nun jemand das Konto sowohl mobil als auch stationär per HBCI verwenden möchte, dann kommt er nicht um eine Synchronisierung des Datenbestandes herum und muß somit zwangsweise Software verwenden, die in beiden Fällen die gleiche Schlüsseldatei zuläßt.

@creasot: Dir ist schon bewußt, daß Du, wenn Du Deinen Bankzugang mit der Chipkarte initialisiert hast, kein mobiles B4* mehr benutzen kannst?! PINTAN gibt's nicht und Chipkarten werden in den Mobilversionen nicht unterstützt...
Benutzer
Avatar
Geschlecht:
Herkunft: GAP
Beiträge: 46
Dabei seit: 09 / 2005
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 22:00 Uhr  ·  #6
@msa: Ja, das weiß ich schon. Allerdings ist es in meinem Fall nicht relevant, weil ich gar kein Smartphone habe und die mobile Version von Subsembly nicht benutze.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 55
Beiträge: 3941
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 22:37 Uhr  ·  #7
Das hab ich dann später in Deinem anderen Post auch gelesen. Du hast Dir also extra ein Smartphone leihen müssen - heißt das ernsthaft, daß man BEIDE TAN-Verfahren aktivieren MUSS, auch wenn man eines davon garnicht nutzen will? Ich will also z.B. nur mTAN nutzen, MUSS aber (das in bestimmten Fällen unsichere) photoTAN zwangsweise auch aktivieren? Was denken die sich da dabei? Commerzbank ist schon ein in vieler Hinsicht recht merkwürdiger Laden.

Hast Du dann das photoTAN-Verfahren wieder deaktiviert oder läuft der Smartphone-Benutzer jetzt mit einem aktiven TAN-Verfahren für ein "fremdes" Konto rum?
Benutzer
Avatar
Geschlecht:
Herkunft: GAP
Beiträge: 46
Dabei seit: 09 / 2005
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 06.12.2016 - 22:54 Uhr  ·  #8
Ja, leider MUSS man BEIDE Verfahren aktivieren, um eines davon danach zu wählen. Das ist sehr seltsam. Auch die Fehlermeldung war total verwirrend, im Sinne von "Das PhotoTAN Verfahren ist nicht aktiviert, aktivieren Sie es bitte so und so bla bla bla. Alternativ können Sie das mTAN-Verfahren nutzen." Aber mTAN kann ich erst nutzen, wenn ich es explizit wähle und das kann ich wiederum erst, wenn ich das zweite Verfahren aktiviere. PhotoTAN-Aktivierung ist demnach ein Zwang.

Jetzt ist das PhotoTAN deaktiviert, weil ich mTAN gewählt haben. Ein Wechsel zwischen beiden ist jederzeit mit Bestätigung mit TAN nach aktuellem Verfahren möglich.

Was ich total frustrierend finde ist, dass solche Infos auf der Seite komplett fehlen. Der Kunde tappt im Dunklen. Wo man z.B. die HBCI-Karte bestellt, steht nirgendwo, auf den Link muss man erst überhaupt durch Zufall kommen. Auch sonstige Besonderheiten sind gar nicht beschrieben, man muss im Internet wie verrückt suchen. Das war der Grund von der kurzen Zusammenfassung im anderen Thread. Wenn dieser Text jemandem hilft, wäre ich schon glücklich.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 46
Beiträge: 5413
Dabei seit: 02 / 2003
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 07:29 Uhr  ·  #9
Zitat geschrieben von msa

Ich will also z.B. nur mTAN nutzen, MUSS aber (das in bestimmten Fällen unsichere) photoTAN zwangsweise auch aktivieren?

Sorry, bevor diese Aussage Beine bekommt muss ich da doch deutlich widersprechen! In keinem Fall ist die Photo TAN unsicherer als die mobile TAN (stimmt nicht ganz... wenn ich ein altes Telefon , sprich kein SmartPhone habe, dann wäre die mobile TAN sicherer als PhotoTAN - App basiert - ). Bei allen mir bekannten Verfahren, die auf ein Mobiltelefon aufsetzen ist die mobile TAN das "unsicherste" Verfahren.

Die Angriffe, die auf die PhotoTAN gelaufen sind, haben den Kanal zwischen der PhotoTAN App und der Banking App angegriffen. Dazu ist einiges an Aufwand notwendig. Bei der mobilen TAN reicht es, wenn der Angreifer sich schlicht als Anwendung für SMS registriert.

Zum Thema Sicherheitsdatei vs Chipkarte
Kryptologisch sind beide gleichwertig bzgl der Sicherheit. Das Problem der Sicherheitsdatei ist der Faktor Besitz und Wissen. Eine Schlüsseldatei kann jederzeit unbemerkt kopiert werden und das Passwort mit geschnitten, oder bei der kopierten Datei über eine BruteForce Attacke ermittelt werden.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 3492
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 09:11 Uhr  ·  #10
@msa
dh. ich muss mit den gleichen Zugangsdaten arbeiten, wie meine Mitarbeiterin/Sekretärin/Frau/Freundin o.ä. wenn wir ein Gemeinschaftskonto bspw. haben?
Es wurde doch immer ausgeführt, dass jede Person (ähnlich Unterschrift) separate Zugangsdaten haben soll, um sich eindeutig zu identifizieren

@ll
ist es wirklich dem Kunden sein Problem ob der Zugang sicher ist, wenn die Banken es anbieten, egal in welcher Form?
des weiteren gibt es doch Commerzbank - Sicherheitsgarantie für onlinebanking
Benutzer
Avatar
Geschlecht:
Herkunft: GAP
Beiträge: 46
Dabei seit: 09 / 2005
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 09:57 Uhr  ·  #11
Zitat geschrieben von infoman

ist es wirklich dem Kunden sein Problem ob der Zugang sicher ist, wenn die Banken es anbieten, egal in welcher Form?

Die Form der Sicherheit ist hier eben nicht egal. Da die Datei auf dem Kundenrechner liegt (auch in Datentresor bzw. Wallet integriert) kann die Bank immer schon Vorwürfe machen, dass der Kunde nicht sorgfältig genug gewesen sei. Da hilft nur noch die HBCI-Karte oder ein super sicheres Passwort, das Hacken unwirtschaftlich macht, wobei mit einem Keylogger auch das kein Problem sein sollte.
Benutzer
Avatar
Geschlecht:
Beiträge: 3492
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 10:20 Uhr  ·  #12
ich könnte das Programm/Tresor auf einen USB-Stick auslagern und nach Einsatz abziehen.

Jedoch stellt sich selbst bei der HBCI-Karte die Frage, was ist sorgfältig, denn ein Buchhalter wird die Karte nicht nach jeder Transaktion o.ä. abziehen, da evtl. Kontorundruf aktiv ist usw.
Der User wird sich morgens anmelden und abends abmelden (abgesehen noch von evtl. Pausen, wo er Pflichtbewusst die Karte zieht).

dh. wir müssen also nicht über Sicherheit diskutieren, sondern was die Commerzbank (bzw. Banken allgemein?) unter:
Zitat
... der Kunde ist sorgfältig mit seinen Daten umgegangen ...
genau versteht
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 55
Beiträge: 3941
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 10:48 Uhr  ·  #13
Zitat geschrieben von infoman

@msa
dh. ich muss mit den gleichen Zugangsdaten arbeiten, wie meine Mitarbeiterin/Sekretärin/Frau/Freundin o.ä. wenn wir ein Gemeinschaftskonto bspw. haben?
Es wurde doch immer ausgeführt, dass jede Person (ähnlich Unterschrift) separate Zugangsdaten haben soll, um sich eindeutig zu identifizieren

Ich habe nicht "pro Konto" sondern "pro Person" geschrieben. Ich gehe schon davon aus, daß selbst die Commerzbank für jeden Verfügungsberechtigten eigene Zugangsdaten ausstellt. Alles andere wäre ja auch im Hinblick auf das Geldwäschegesetz undenkbar.

Wobei die DiBa vor einigen Jahren noch nur einmal Zugangsdaten PRO KONTO ausgestellt hat. Ich bekam vor Jahren für das Extra-Konto meiner alten Mutter, bei dem ich Bevollmächtigter bin, KEINE eigenen Zugangsdaten, mir wurde schriftlich beschieden, dass ich die PIN und die TAN-Liste mit meiner Mutter gemeinsam nutzen muss. Auch Ehepaare mit Gemeinschaftskonto bekommen nur einmal Zugangsdaten... Soweit ich weiß werden in diesen Fällen heutzutage extra Zugangsdaten ausgestellt.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 841
Dabei seit: 12 / 2004
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 10:58 Uhr  ·  #14
Hallo,

USBStick abziehen minimiert das Risko zwar ein wenig, aber die Datei automatisiert zu mopsen wenn der Stick angeschlossen ist auch kein Problem, das dauert nur Millisekunden.
Bei einem vernünftigen Kartenleser mit eigenem Pinpad hat man das Keylogger Problem auch minimiert, ich kenne zumindest keinen Bericht in dem ein Kartenleser mit Pinpad schon mal umgangen wurde.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 55
Beiträge: 3941
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 11:07 Uhr  ·  #15
Fehlt halt nur noch, dass man nicht für jede Bank ne extra Chipkarte bräuchte. Solage das so ist, ist Chipkarte bei HBCI kein brauchbarer Weg, ausser vielleicht für Tante Hanne, die NUR ihr eines Haushaltsgeldkonto bei der Sparkasse hat und sonst garnichts.

Ich versteh irgendwo aber auch nicht, daß EBICS mit Sicherheitsdatei gemacht wird, ohne daß jemand wg. der Sicherheit jammert. Und dass es bei EBICS auch problemlos möglich ist, einen Schlüssel bei allen Banken zu verwenden, bei HBCI man da aber nicht drauf kommt. Mir kommt es manchmal vor, daß die Banken, nachdem sie schon bei EBICS zu einer Einheitlichkeit gezwungen werden, dann HBCI als willkommene Spielwiese verwenden, sich doch noch verwirklichen zu können.
Benutzer
Avatar
Geschlecht:
Beiträge: 3492
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 11:12 Uhr  ·  #16
@vader
aber Pinpad ist keine Pflicht (weder durch Bank noch durch die eingesetzte Software)
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 46
Beiträge: 5413
Dabei seit: 02 / 2003
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 11:57 Uhr  ·  #17
Zitat geschrieben von infoman

@vader
aber Pinpad ist keine Pflicht (weder durch Bank noch durch die eingesetzte Software)

Nicht ganz richtig. Es gibt durchaus Software, die bei der Chipkarte auf mindestens Klasse 2 (sichere PIN Eingabe) bestehen und auch bei Banken gibt es bereits Institute, bei denen man zu mindest einen Trend auch zur Visualisierung der Daten sehen kann, welche nur mit Secoder und sicherer PIN Eingabe möglich ist

Zitat geschrieben von msa

Fehlt halt nur noch, dass man nicht für jede Bank ne extra Chipkarte bräuchte. Solage das so ist, ist Chipkarte bei HBCI kein brauchbarer Weg, ausser vielleicht für Tante Hanne, die NUR ihr eines Haushaltsgeldkonto bei der Sparkasse hat und sonst garnichts.

Ich versteh irgendwo aber auch nicht, daß EBICS mit Sicherheitsdatei gemacht wird, ohne daß jemand wg. der Sicherheit jammert. Und dass es bei EBICS auch problemlos möglich ist, einen Schlüssel bei allen Banken zu verwenden, bei HBCI man da aber nicht drauf kommt. Mir kommt es manchmal vor, daß die Banken, nachdem sie schon bei EBICS zu einer Einheitlichkeit gezwungen werden, dann HBCI als willkommene Spielwiese verwenden, sich doch noch verwirklichen zu können.

Die Aussagen sind so pauschal nicht richtig. In den meisten Fällen kann man sehr wohl eine Chipkarte für verschiedene Banken nutzen. Lediglich wenn es um die Chipkarten mit der automatischen Freischaltung durch Zertifikate geht, geht das derzeit nicht (bzw. man muss genau hinschauen, was die Bank unterstützt und damit von wem man die Karte als erstes nimmt)
Auch bzgl der Schlüsseldatei ist das so nicht richtig. Niemand hindert einen daran (bzw. den Softwarehersteller) die gleiche Schlüsseldatei für verschiedene Banken zu nehmen. Ich habe das früher mal nur so gemacht, hat aber eben auch Nachteile.
In FinTS und EBICS ist das "nur" anders gewachsen. Prinzipiell kann ich in beiden Verfahren das gleich handhaben.

Ein Sicherheitsmedium für mehrere Banken ist nicht ganz unproblematisch, da die Sperre des Sicherheitsmediums bei der einen Bank nicht zur Sperre bei den anderen Banken führt, was aber ggf. vom Verbraucher so vermutet wird.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht:
Beiträge: 3492
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 12:22 Uhr  ·  #18
@Holger
die Ausnahme bestätigen die Regel, ich hätte vielleicht "generell/grundsätzlich" in den Satz einfügen sollen.
Dass es Möglichkeiten gibt, dass manche (vereinzelte) Banken dies machen alles iO. aber solange es nicht generell gemacht wird bzw. es evtl. umgangen werden kann, ist eine Karte für sich gesehen nicht sicher.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 46
Beiträge: 5413
Dabei seit: 02 / 2003
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 13:06 Uhr  ·  #19
Zitat geschrieben von infoman

Dass es Möglichkeiten gibt, dass manche (vereinzelte) Banken dies machen alles iO. aber solange es nicht generell gemacht wird bzw. es evtl. umgangen werden kann, ist eine Karte für sich gesehen nicht sicher.

Ich weiß natürlich unter welchen Bedingungen deine Aussage stimmt und da würde ich Dir dann auch uneingeschränkt zustimmen. Da hier aber viele solche Threads lesen, die gar nicht über den entsprechenden Background verfügen, steht so natürlich die Aussage im Raum "Karte ist nicht sicher". Daher widerspreche ich natürlich auch hier.
Grundsätzlich ist die Chipkarte derzeit das sicherste Medium - wenn es richtig angewendet wird. Sicherheit zu definieren ist leider nicht so simpel wie es immer scheint. Daher muss man sich immer genau die Rahmenbedingungen anschauen, für die eine entsprechende Aussage getroffen wird.
Schaut man nur auf das Auslesen einer PIN, ist die Chipkarte im Einsatz mit einem Kartenleser, einer Software ohne sichere PIN Eingabe weniger sicher als diverse andere Verfahren. Mehr zu diskutieren ist an dieser Stelle glaube ich zu komplex für die Meisten.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 55
Beiträge: 3941
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheit bei Schlüsseldatei

 · 
Gepostet: 07.12.2016 - 13:09 Uhr  ·  #20
@Holger: Du hältst also die Chipkarte mit PINPad-Eingabe für sicherer als ChipTAN? Warum?
Gewählte Zitate für Mehrfachzitierung:   0