Diskussion:Homebanking: Unterschied zwischen den Versionen

Aus lugvswiki
Zur Navigation springenZur Suche springen
K (ToDo)
 
Zeile 1: Zeile 1:
 
== ToDo ==
 
== ToDo ==
  
Sieh eMails in der LUG-VS-Liste vom 01.05.2020.
+
Sieh eMails in der LUG-VS-Liste vom 01.05.2020:
 +
 
 +
=== erste ===
 +
TAN-Generatoren die mit der Bankkarte funktionieren, sind noch
 +
erlaubt. Alle anderen sind seit dem 14.09.2019 und dem Inkrafttreten
 +
der PSD2 genannten Verordnung nicht mehr zulässig. Auch wenn ich
 +
mich evtl. wiederhole, hier noch mal eine gute Übersicht:
 +
https://www.heise.de/newsticker/meldung/Online-Banking-und-PSD2-Neue-Regeln-im-September-4499106.html
 +
 
 +
Kommen nur TAN-Verfahren (also nicht Chip-Karten-Terminals wie
 +
von mir und Sicherheitsexperten dringend Empfohlen) in Frage
 +
gibt es bei der Verbraucherzentrale eine gute Übersicht:
 +
https://www.verbraucherzentrale.de/wissen/geld-versicherungen/sparen-und-anlegen/onlinebanking-wie-sicher-ist-welches-tanverfahren-21921
 +
 
 +
Wichtig: Richtig lesen! Bei fast allen empfehlenswerten
 +
und erlaubten Verfahren steht
 +
"Bewertung: Hohe Sicherheit, sofern nicht für App und
 +
Onlinebanking das gleiche Smartphone verwendet wird."
 +
 
 +
Also - es müssen!!! mindestens zwei unabhängige Geräte
 +
(nicht Programme auf einem Gerät wie von Banken gerne
 +
Promotet) verwendet werden!!!
 +
 
 +
> Bisher dachte ich, so etwas wäre selbstverständlich.
 +
> S-Broker arbeitet sogar noch mit gedruckten TAN-Listen.
 +
 
 +
Das ist in EU definitiv nicht mehr erlaubt. Die TAN darf
 +
nur eine begrenzte Zeit gültig sein. Siehe auch Referenzen
 +
oben.
 +
 
 +
 +
> Nun liegt das Ding als Fehlkauf in der Schublade.
 +
 
 +
Wenn sie PSD2 Kompatiebel (siehe oben) kannst Du sie z.B.
 +
bei der VoBa SBH
 +
https://www.voba-sbh.de/banking-service/banking-brokerage/onlinebanking.html
 +
Weiter verwenden.
 +
 
 +
Die VR-Banking App ist aber wie oben in den Referenzen
 +
genannt generell nicht PDS2 konform wie bei allen Banken.
 +
Komisch dass die abwarten bis ein Größeres Problem entsteht.
 +
(Auf deutsch - sie benutzt keine zwei Geräte, von denen eines
 +
mindestens Sicherheitszertifiziert sein sollte - also unversehrtes
 +
Siegel vom BSI tragen sollte). Auf dem Handy habe ich ein solches
 +
Siegel noch nicht gesehen. Und auch ein der Einsatz eines zweiten
 +
Smartphones wird eher schwierig.
 +
 
 +
 
 +
=== zweite ===
 +
 
 +
Das verwende ich:
 +
https://www.voba-sbh.de/firmenkunden/zahlungsverkehr/banking/fints.html
 +
 
 +
 
 +
=== dritte ===
 +
 
 +
ich seh das genau so: kein Zugriff auf Bankgeschäfte mit Spielzeugen, denn genau so sind Mobiltelefone sicherheitstechnisch einzuordnen.
 +
 
 +
Da für mich weder das smartphone noch ein überteuerter, proprietärer(!) Phototangenerator in Frage kam, habe ich mein comdirect-Konto kürzlich gekündigt, da ich keine nutzbare Zugriffsmöglichkeit mehr hatte.
 +
 
 +
"Sehr auf Datenschutz und Datensicherheit bestehen!"
 +
 
 +
 
 +
=== vierte ===
 +
 
 +
 
 +
Also für mich kommt nur noch FinTS - Chip-Card-Verfahren in frage. Wird sogar als "Profi" Lösung von allen Renomierten Banken angeboten! Nach dem ich von meinem Betreuer auf die Banking experten verwiesen wurde habe ich diese Lösung (seit etwa 2000!!!).
 +
 
 +
Zum preis eines Readers. Ich habe jetzt wenn man es richtig nimmt den zweiten Reader (ist auch schon wieder fast 10 Jahre alt). Daraus ergibt sich 20 Jahre - 2 Reader für etwa 100€ => 10 pro Jahr - nicht einmal 1€ pro Monat - dass ist mir Sicherheit Wert!!!
 +
 
 +
Ich habe bisher immer Made in Germany (Furtwangen) gehabt.
 +
https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3
 +
 
 +
Ich habe gerade den "cyberJack® RFID komfort" seit etwa 10 Jahren (damals für 99€ - den Rest hat der Bund zur Einführung des neuen Perso übernommen) im hauptsächlichen Gebrauch. Er ist robust, wird direkt von Linux unterstützt (pcsc-cyberjack) und verrichtet mit meinem Moneyplex (wie beschrieben gibt es leider "noch" keine OSS Banking-SW die VoBa unterstützt):
 +
https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3/cyberjack-rfid-komfort-usb
 +
 
 +
Übrigens gibt es grad eine Aktion "moneyplex + reader" selbst mit dem RFID Standard für unter 100€:
 +
http://www.matrica.de/order/aktion_adwords.html
 +
 
 +
 
 +
Diesen habe ich mir wegen BT interface und Perso Unterstützung gekauft:
 +
https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3/cyberjack-wave
 +
 
 +
Ist aber mein Spielzeug und Ersatzreader.
 +
 
 +
 
 +
> Jan - sehr auf Datenschutz und Datensicherheit bestehend
 +
 
 +
Jupp - und notfalls die Bank wechseln!!!
 +
 
 +
Siehe auch:
 +
[[Homebanking]]
 +
(Dort ist auch unter Quellen mein Vortrag vom LPD verknüpft)
 +
 
 +
 
 +
=== Sonstiges ===
 +
https://www.kuketz-blog.de/?s=homebanking
 +
https://www.kuketz-blog.de/?s=onlinebanking
 +
 
 +
 
 +
=== Tips überarbeiten ===
 +
 
 +
* Eigener PC
 +
** Regelmäßige Updates des PCs "vor" dem Homebanking - bei Kernelupdates auch neu booten
 +
* Eigener User
 +
** Nur Onlinebanking
 +
** Am besten mit speziellen Program
 +
** Oder speziell konfigurierten Browser (mit möglichst vielen Diensten deaktiviert)
 +
* Sicherung
 +
** z.B. mit 7z mit Passwort <code>$ sudo 7z a HomebankingSicherung.7z /home/<HomebankingUser> -p</code>
 +
** Dann auf einen nur zur Sicherung auf einen nur Temporär angeschlossenen externen Datenträger (USB-Stick, USB-HDD, usw.) verschieben/kopieren
 +
 
 +
 
  
 
--Ulf 12:34, 2. Mai 2020 (CEST)
 
--Ulf 12:34, 2. Mai 2020 (CEST)

Aktuelle Version vom 2. Mai 2020, 11:54 Uhr

ToDo

Sieh eMails in der LUG-VS-Liste vom 01.05.2020:

erste

TAN-Generatoren die mit der Bankkarte funktionieren, sind noch erlaubt. Alle anderen sind seit dem 14.09.2019 und dem Inkrafttreten der PSD2 genannten Verordnung nicht mehr zulässig. Auch wenn ich mich evtl. wiederhole, hier noch mal eine gute Übersicht: https://www.heise.de/newsticker/meldung/Online-Banking-und-PSD2-Neue-Regeln-im-September-4499106.html

Kommen nur TAN-Verfahren (also nicht Chip-Karten-Terminals wie von mir und Sicherheitsexperten dringend Empfohlen) in Frage gibt es bei der Verbraucherzentrale eine gute Übersicht: https://www.verbraucherzentrale.de/wissen/geld-versicherungen/sparen-und-anlegen/onlinebanking-wie-sicher-ist-welches-tanverfahren-21921

Wichtig: Richtig lesen! Bei fast allen empfehlenswerten und erlaubten Verfahren steht "Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird."

Also - es müssen!!! mindestens zwei unabhängige Geräte (nicht Programme auf einem Gerät wie von Banken gerne Promotet) verwendet werden!!!

> Bisher dachte ich, so etwas wäre selbstverständlich. > S-Broker arbeitet sogar noch mit gedruckten TAN-Listen.

Das ist in EU definitiv nicht mehr erlaubt. Die TAN darf nur eine begrenzte Zeit gültig sein. Siehe auch Referenzen oben.


> Nun liegt das Ding als Fehlkauf in der Schublade.

Wenn sie PSD2 Kompatiebel (siehe oben) kannst Du sie z.B. bei der VoBa SBH https://www.voba-sbh.de/banking-service/banking-brokerage/onlinebanking.html Weiter verwenden.

Die VR-Banking App ist aber wie oben in den Referenzen genannt generell nicht PDS2 konform wie bei allen Banken. Komisch dass die abwarten bis ein Größeres Problem entsteht. (Auf deutsch - sie benutzt keine zwei Geräte, von denen eines mindestens Sicherheitszertifiziert sein sollte - also unversehrtes Siegel vom BSI tragen sollte). Auf dem Handy habe ich ein solches Siegel noch nicht gesehen. Und auch ein der Einsatz eines zweiten Smartphones wird eher schwierig.


zweite

Das verwende ich: https://www.voba-sbh.de/firmenkunden/zahlungsverkehr/banking/fints.html


dritte

ich seh das genau so: kein Zugriff auf Bankgeschäfte mit Spielzeugen, denn genau so sind Mobiltelefone sicherheitstechnisch einzuordnen.

Da für mich weder das smartphone noch ein überteuerter, proprietärer(!) Phototangenerator in Frage kam, habe ich mein comdirect-Konto kürzlich gekündigt, da ich keine nutzbare Zugriffsmöglichkeit mehr hatte.

"Sehr auf Datenschutz und Datensicherheit bestehen!"


vierte

Also für mich kommt nur noch FinTS - Chip-Card-Verfahren in frage. Wird sogar als "Profi" Lösung von allen Renomierten Banken angeboten! Nach dem ich von meinem Betreuer auf die Banking experten verwiesen wurde habe ich diese Lösung (seit etwa 2000!!!).

Zum preis eines Readers. Ich habe jetzt wenn man es richtig nimmt den zweiten Reader (ist auch schon wieder fast 10 Jahre alt). Daraus ergibt sich 20 Jahre - 2 Reader für etwa 100€ => 10 pro Jahr - nicht einmal 1€ pro Monat - dass ist mir Sicherheit Wert!!!

Ich habe bisher immer Made in Germany (Furtwangen) gehabt. https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3

Ich habe gerade den "cyberJack® RFID komfort" seit etwa 10 Jahren (damals für 99€ - den Rest hat der Bund zur Einführung des neuen Perso übernommen) im hauptsächlichen Gebrauch. Er ist robust, wird direkt von Linux unterstützt (pcsc-cyberjack) und verrichtet mit meinem Moneyplex (wie beschrieben gibt es leider "noch" keine OSS Banking-SW die VoBa unterstützt): https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3/cyberjack-rfid-komfort-usb

Übrigens gibt es grad eine Aktion "moneyplex + reader" selbst mit dem RFID Standard für unter 100€: http://www.matrica.de/order/aktion_adwords.html


Diesen habe ich mir wegen BT interface und Perso Unterstützung gekauft: https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3/cyberjack-wave

Ist aber mein Spielzeug und Ersatzreader.


> Jan - sehr auf Datenschutz und Datensicherheit bestehend

Jupp - und notfalls die Bank wechseln!!!

Siehe auch: Homebanking (Dort ist auch unter Quellen mein Vortrag vom LPD verknüpft)


Sonstiges

https://www.kuketz-blog.de/?s=homebanking https://www.kuketz-blog.de/?s=onlinebanking


Tips überarbeiten

  • Eigener PC
    • Regelmäßige Updates des PCs "vor" dem Homebanking - bei Kernelupdates auch neu booten
  • Eigener User
    • Nur Onlinebanking
    • Am besten mit speziellen Program
    • Oder speziell konfigurierten Browser (mit möglichst vielen Diensten deaktiviert)
  • Sicherung
    • z.B. mit 7z mit Passwort $ sudo 7z a HomebankingSicherung.7z /home/<HomebankingUser> -p
    • Dann auf einen nur zur Sicherung auf einen nur Temporär angeschlossenen externen Datenträger (USB-Stick, USB-HDD, usw.) verschieben/kopieren


--Ulf 12:34, 2. Mai 2020 (CEST)