Was ist Spear-Phishing?

by Leave a Comment

Unter Spear-Phishing versteht man gezielte Angriffe auf Passworte und Daten mithilfe von ausgespähten Daten. Betrüger versuchen sich dabei die Informationen zunutze zu machen, die sie über andere Wege oder Medien erhalten haben. Einige geben sich sogar gezielt als Bekannte, Freunde oder Verwandte aus. Oft reichen hier schon allgemein zugängliche Informationen aus den sozialen Netzwerken oder dem Impressum einer Webseite aus, um das Misstrauen entscheidend zu schmälern.

Selten geht es beim initialen Kontaktversuch konkret darum, „mit der Brechstange“ ans Geld zu kommen, es wird eher auf subtile Art versucht, das Vertrauen zu gewinnen. Appeliert wird oft an die Hilfsbereitschaft der Empfänger. Die Betrüger sparen sich damit auch einiges an Arbeit – nur die Leichtgläubigen werden anschließend „weiter bearbeitet“, zum Teil sogar telefonisch.

Es muss sich dabei keinesfalls um Mails handeln, hier aber ein Beispiel einer Mail, die ich kürzlich erhalten habe. Offensichtlich waren meine Daten  im Adressbuch seines Mailprogramms. In solchen Fällen sollte man den vermeintlichen Absender wirklich kontaktieren, weil oft ein Trojanerangriff dahinter steckt und sogar die Absendeadresse gehackt wurde oder auf falschem Namen eine Mailadresse angelegt wurde.

Hallo Raimund.

lch bin nach Spanien verreist und habe meine Tasche verloren samt Reispass und kreditkarte. Die botschaft ist bereit, mlch ohne meinen Pass fliegen zu lassen. lch muss nur noch für mein ticket und die hotelrechnungen zahlen. Leider habe lch kein Geld dabei, meine kredit karte könnte helfen aber die ist auch in der Tasche. lch habe schon kontakt mit meiner Bank aufgenommen, aber sie brauchen mehr zeit, um mir eine neue zu schicken. lch wollte dlch fragen ob du mir 1.500EUR via western union so schnell wie mögllch leilhen kannst. Ich gebe es dir zurück sobald ich da bin.

Herzliche Grüße

[Name gelöscht]Beispiel für Spear Phishing

Der Text ist in Details uralt und offensichtlich immer noch erfolgreich. Man sieht dies, wenn man Teile davon einmal durch eine Suchmaschine recherchiert, z.B.: „Die botschaft ist bereit, mlch ohne meinen Pass fliegen zu lassen“: google-Suchergebnisse:

 

mastercard Phishing – Thank you, Kundendienst.

by 2 Comments

Jau, Thank you, Kundendienst!

Sehr geehrter Kunde,

Nach einigen verdächtigen Transaktionen, hat Ihre Karte aus Sicherheitsgründen gesperrt worden.
Um wieder Zugriff zu erhalten, müssen Sie Ihre Informationen zu aktualisieren.
Bitte laden Sie das Dokument in einer E-Mail-Anhang, und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren, wird Ihre Karte vorübergehend gesperrt werden.

Thank you, Kundendienst.

© 1994-2014 MasterCard. All rights reserved.Mastercard Phishing

SEPA-Lastschriften (GAD): Datumssteuerung verändert (cut-off)

by Leave a Comment

Die Verarbeitung der Lastschriften hat zu einigen Problemen geführt, so dass die Verarbeitungszeiten für FinTS/HBCI wieder umgestellt wurden.

Es ist jetzt bis 23:59 Uhr des Vortages möglich, per FinTS/HBCI SEPA-Lastschriften zu übertragen, die Verarbeitung erfolgt dann noch rechtzeitig.

So wird die Kalkulation auch einfacher:

SEPA-Vorlaufzeit beachten, am Tag vorher müssen die Buchungen raus sein.

Die gilt ausdrücklich nicht für EBICS und ebenfalls nicht für die Einreichung von Lastschriften über die Banking-Webseite (auch Upload).

Arbeit! Arbeit! Arbeit! Geldwäscher gesucht…

by Leave a Comment

Werden die Geldwäscher knapp? Zum ersten Mal wurde ich persönlich angesprochen und über eine E-Mail Adresse angeschrieben, die ich eigentlich nur sehr selten verwende. Das Angebot ist unverblümt und spricht eigentlich direkt an, worum es geht. Konto für eingehendes Geld angeben und dies weitersenden, also klassische Geldwäsche für Onlinebanking-Betrug. Wer darauf reinfällt, hat in wenigen Tagen Besuch von der Polizei.
Der angegebene Geldrahmen zeigt: Mit Kleinvieh geben sich die Betrüger nicht ab. 2.000 bis 8.000 Euro, in diesem Bereich sollen sich die Summen bewegen.

Damit die Spamdetektoren nicht Alarm schlagen, ist ein komplettes Zitat einer französischen Filmseite angehängt, so dass die kritischen Wörter vermutlich im Wortnebel untergehen.


Arbeit! Arbeit! Arbeit!

Ein sehr gutes Gehalt in kürzer Zeit!

Sie verdienen bei uns problemlos Minimum 4.000 Euro pro Monat. Die Ausführung von jeder Aufgabe lässt Sie von 400 € erhalten. Es ist eine Teilzeitarbeit und Sie können sie mit einer anderen Beschäftigung vereinigen! Für diese Arbeit werden Sie nur 2-3 Stunden zweimal pro Woche aufwenden.

Ihre Arbeit wird so aussehen:

  • Wir überweisen einen Geldbetrag von 2.000 EUR bis 8.000 EUR auf Ihr Bankkonto.

  • Es ist nötig, den überwiesenen Betrag in bar am Tag des Geldeingangs auf dem Bankkonto von Ihnen abzuheben.

  • Sie verdienen 20% von unserer Geldanweisung – das ist die Summe von 400 € bis 1.600 €!

  • Es ist notwendig, unserem Unternehmen 80% der Überweisung zu senden.

  • Wir übermitteln die nächste Überweisung an Ihre Bank.

Sie können selbst die Anzahl der Banktransaktionen regeln, die von Ihnen bearbeitet werden! Diese Arbeit ist rechtsgültig.

Sie können uns per Email schreiben. Wir beantworten alle Ihre Fragen und schicken Ihnen eine ausführliche Beschreibung der Arbeit.

Die Anzahl der Arbeitsstellen ist begrenzt!

Windata GLS eBank: SEPA Lastschriften Cut-Off Steuerung aktualisieren

by Leave a Comment

Die „alte“ Zeitsteuerung der GLS eBank/Windata SEPA-Lastschriftvereinbarungen berücksichtigte nicht die neuen cut-off_Zeiten vieler GAD-Banken, dies lässt sich aber nun mit einem Update nun regeln.

siehe auch: Änderungen zurückgenommen

Hier im Bild sieht man noch die alte Einschränkung. Windata hat es geschafft, innerhalb von 2 Arbeitstagen ein Update zur Verfügung zu stellen, mit dem man die Zeiten flexibel konfigurieren kann:

Windata Cut Off

 (alte Version)

So erhalten Sie das Update:
Wählen Sie oben im Menü „Update“ an und klicken Sie auf „Jetzt aktualisieren“. Es ist kein Versionsupdate.

windata_Cut_off_Update_01

 

Windata prüft online, ob Updates zur Verfügung stehen.

windata_Cut_off_Update_02

 

Bestätigen Sie die Verbindungsaufnahme.

windata_Cut_off_Update_03

Sie müssen das Hauptprogramm vorne anklicken, damit es aktualisiert wird.

windata_Cut_off_Update_04

windata_Cut_off_Update_05

Nach der Aktualisierung können Sie die Uhrzeiten über zwei Felder einstellen. Meine Empfehlung: Planen Sie einen Puffer ein, also setzen Sie z.B. die Uhrzeit auf 10.15, wenn die Buchung um 10.30 Uhr übertragen sein muss.

Windata_cutoff_02

Denken Sie daran, dass Sie die Vorabnachricht (Prenotification) rechtzeitig versenden müssen.

 

einfach zu schön

by Leave a Comment

Meine Güte, da hat sich der google-Translator aber einen abgebrochen…

Aufmerksamkeit: Der Präsident / CEO
Sehr geehrter Herr / Frau

Dringende Telegraphic / SWIFT-Überweisung von USD $ 35.000.000,00 (fünfunddreißig Millionen US-Dollar nur) ich bin Herr [Name entfernt], Group Managing Director (GMD) / Vorsitzender Debt Versöhnungskommission Hong Kong Highways Department (HKHD); Ich habe Ihre Kontaktdaten von Januar 2010 weltweite Datenbank und Branchenbuch Lexikon nach reiflicher Überlegung glauben Sie hoch angesehene Persönlichkeit. Obwohl, ich weiß nicht, in welchem ​​Umfang Sie mit Ereignissen vertraut sind, damit ich Sie kontaktieren.

Erstens muss ich Ihre streng vertraulich in dieser Transaktion zu erbitten; Dies ist aufgrund seiner Natur als völlig vertraulich und „Top Secret“ mit großem Ausmaß mit einer anstehenden Transaktion maximal Vertrauen erfordern, bin ich sicher und haben Vertrauen Ihrer Fähigkeit und Zuverlässigkeit, um diese herrliche Transaktion zu verfolgen. Die neue Regierung hat in erster Linie den Auftrag, zu überprüfen und mich versetzt ausstehenden Zahlungen überfällig allen Auftragnehmern über Verträge seit Mai 1998, Juni 2009 vergeben, unter den Regimen des ehemaligen Staatschefs. Jeweils im Mai 2001 ein Vertrag im Wert von USD $ 285,000,000.00 (Two Hundred & Eighty-Five Million US-Dollar nur) wurde zu einer ausländischen Firma durch Hong Kong Highways Department (HKHD) für die Instandhaltung von Autobahnstrukturen in Hong Kong Island ausgezeichnet, Kowloon und New Territories 2002-2005. Ich habe bewusst über-Rechnung den Vertrag mit USD $ 35.000.000,00 (fünfunddreißig Millionen US-Dollar Only).

Tatsächlich ist die Firma, die die Verträge ausgeführt wurde voll bezahlt und die Projekte offiziell commissioned.Therefore aufgrund epigrammatischer Entscheidung, die ausstehende Zahlung präsentiere ich Ihnen als Begünstigter, präsentieren Originalrechnung erneut bewerben und die fremde zu ersetzen, neu zu definieren Unternehmen, die bei ihrer Präsentation auf Central Bank of Hong Kong (CBHK) Ihr Bankkonto wird bedingungslos gutgeschrieben. Nach Eingang Ihrer sofortige Reaktion, werden wir besprechen die Modalitäten obligatorisch. Ich habe alle notwendigen Unterlagen / Genehmigungen, um den Transfer zu Ihren Gunsten zu sichern.

Hinweis als Pflicht, ich wünschte, die Klarstellungen wie folgt zu machen: Dass Sie das Recht, 25% der gesamten Mittel teilen. Die Beamten 70% und 5% wird aufgehoben, alle lokalen und ausländischen Nebenkosten entstehen werden. Ich folglich fordern Sie Ihre maximale Unterstützung und Genehmigungen, um die Übertragung der oben genannten Mittel aus Central Bank of Hong Kong (CBHK), wobei diese Mittel hinterlegt erleichtern. nach Bestätigung Ihrer Bereitschaft, diese herrliche Transaktion mit mir ausführen, werden Sie dringend benötigt, um Ihre Unternehmen zu erbringen Papier mit Briefkopf signiert & gestempelt, privat Telefon & Fax-Nummern, Bankname und Anschrift, Ihre Unternehmensbankkontonummer werden.

Abschließend möchte ich gewährleisten, dass diese Operation unter einer legitimen Anordnung, die uns aus einer Verletzung law.Please nehme zur Kenntnis zu schützen wird ausgeführt; Ich bin außerhalb von Hongkong derzeit wegen dringender internationalen Konferenz in London, und ich möchte, um zu gewährleisten, dass alle notwendigen Vorbereitung ist getan, während ich weg bin aus meinem Land. ich möchte Sie auf unverzüglich anzuzeigen Ihr Interesse für mich, so dass ich mit Ihnen in Kontakt zu bekommen, während ich in London bin und erhalten die notwendigen Informationen, um den Fonds auf Sie übertragen bekommen. Bitte kontaktieren Sie mich auf dieser privaten E-Mail für weitere Informationen in Bezug auf diesen Vorschlag.

Bitte geben Sie die folgenden Kontaktinformationen;

1. Name und vollständige Anschrift
2. FIRMENNAME
3. BERUF
4. Alter / TELEFON und Faxnummern.
5. Bankdaten

Antwort über Diese E-Mail: x@outlook.com

Mit freundlichen Grüßen,

[Name anonymisiert – nacher gibt es den armen Menschen wirklich] Hong Kong Straßenbauamt HKHDMailttext

Ähhhh? Worum geht es? Eine doppelte Rechnung soll auf ein Firmenkonto gebucht werden?

Was wollen die Leute mit den paar Daten anfangen, was kommt danach?

Sehr merkwürdig. Oder ist die Idee dahinter: Wer so dämlich ist, auf diese Nachricht zu antworten, dem kann man auch anderes verkaufen…?

HBCI-Chipkarte: Die girocard mit HBCI/FinTS Funktion

by Leave a Comment

Einige GAD-Banken nutzen den Multifunktions-Chip der girocard („ec-Karte“, „Bankcard ec“) für die FinTS/HBCI-Funktion.  Im Gegensatz zu den anderen VR-NetWorld cards, also der unpersonalisierten Basic-Karte oder der personalisierten, ist die Karte für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet und damit am Magnetstreifen auf der Rückseite zu erkennen. Genau dort findet sich auch das FinTS-Logo, so dass man dort sehen kann, ob die Karte die HBCI-Funktion erhalten hat.

Verschlüsselung:
 Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird bei den meisten Banken dann automatisch und rechtzeitig verschickt und muss nicht abgeholt werden.

PIN und PUK:
 Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren. PIN und PUK kommen mit jeder Kartengeneration neu! (woher soll der neue Chip auch die PIN des alten kennen…)

Benutzerkennung, Kartennummer und VR-Kennung (GAD):
Die Benutzerkennung und Kartennummer ist im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Man erhält separat eine 6-stellige PIN und eine PUK in speziellen Briefen. Die PIN zum Bezahlen ist nicht geeignet! Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das Auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann „vermuten“ viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren.

Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel der Karte zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.

Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).

PIN&TAN:
 Selbstverständlich kann die Karte auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.

Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Ein Nachteil im Vergleich zur personalisierten und unpersonalisierten Girocard: Personen mit eingeschränkten Vollmachten (A, B, N-Vollmacht) erhalten diese Karte üblicherweise nicht. Auch können keine „fremden“ Banken gespeichert werden.

Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.

mehr Infos: Kartentausch

 

Störungen durch SSL3-Abschaltungen

by 2 Comments

Der „böse Pudel“ beißt anscheinend die ersten alten Programme tot. Da die Rechenzentralen der Banken nun sehr schnell auf die SSL-Sicherheitslücke reagieren und die unsicheren Verschlüsselungen abschalten, kann es passieren, dass von heute auf morgen die Datenübertragungen mit alten Programmen und unter alten Betriebssystemen nicht mehr wie gewohnt funktionieren.

Browser gehören dringends aktualisiert oder gewechselt, einen Microsoft Browser weiter unter XP zu nutzen ist eine extrem schlechte Idee.

Für einige Programme gibt es Updates oder Umkonfigurationsmöglichkeiten, so kann man versuchen, die Internet-Konfiguration in der Internetsteuerung (in Windows unter Systemsteuerung, Internet-Optionen) so umzustellen, dass SSL3 nicht genommen wird, dafür aber TLS1.2.

Anleitung von Windata zur Umstellung des Systems

Programme, die sich auf die Betriebssystemverschlüsselung stützen, bekommen damit wieder eine sichere oder überhaupt eine Verbindung aufgebaut.

Es versteht sich, dass Onlinebanking unter dem unsicheren XP nicht mehr zu empfehlen ist!  Mir fallen nur noch wenige einigermaßen sichere Onlinebanking-Szenarien mit FinTS/HBCI oder EBICS ein, die ohne Bedenken unter gut geschirmten und konfigurierten XP-Umgebungen genutzt werden können. Es wird dringend Zeit für einen Umstieg.

Das gilt übrigens auch für alte Mac und Linux-Betriebssysteme und auch bei Smartphones bin ich mir nicht sicher…

 

Ergänzung:

Aktuell gibt es offensichtlich bei einigen Programmen  Probleme, wenn diese mehrere Banken hintereinander abrufen. Einzelner Abruf funktioniert, aber die ausgehandelte Verschlüsselung bleibt bestehen, wenn die Aufträge „in einem Rutsch“ übertragen werden. Dann kann eine Verbindung z.B. zu einem Rechenzentrum ohne SSL3 Unterstützung nicht mehr erfolgreich aufgebaut werden.

Abhilfe: Einzeln abrufen und auf ein Update warten.

 

HBCI-Chipkarte: personalisierte VR-NetWorld card

by Leave a Comment

Die personalisierte HBCI-Karte ist am Namen des/der Eigentümers/in auf der Vorderseite erkennbar. Im Gegensatz zur FInTS-fähigen Girocard ist sie aber nicht für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet. Dazu fehlt auch der Magnetstreifen.

Verschlüsselung:
 Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird dann üblicherweise rechtzeitig verschickt.

PIN und PUK:
 Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren.

Benutzerkennung, Kartennummer und VR-Kennung (GAD):
 Bei Banken am Rechenzentrum GAD ist die Benutzerkennung und Kartennummer im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Die Karte wird (meist zentral durch einen Dienstleister) fertig programmiert verschickt, man erhält eine 6-stellige PIN und eine PUK in separaten Briefen. Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann „vermuten“ viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren. Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.

GAD-Banken: Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).

PIN&TAN:
 Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.

Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese KArte nutzen (wie die unpersonalisierte VR-NetWorld card basic). Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.