FinTS/HBCI mit Signaturdatei ist sehr sicher und bequem, wenn eine ausreichend starke Verschlüsselung eingesetzt wird. Genossenschaftliche Banken verwenden nur noch RDH10 mit langen Schlüsseln. Die verwendete Verschlüsselungstechnik ist dokumentiert und veröffentlicht, es gibt auch einige open-Source Programme, die diese Technik unterstützen. Das ist nicht bei allen Banken so.

Alternativen
Die Chipkarte: Kann nicht kopiert werden und sperrt sich nach 3 maliger falscher PIN-Eingabe in Folge
PIN und TAN: Auftragskontrolle bei SmartTAN und mobileTAN und auch im Browser nutzbar

Potentielle Angreifer werden – so vermute ich –
a) entweder versuchen, die Onlinebanking-Software selbst zu unterwandern, also z.B. gefälschte Aufträge in das System hineinzubringen oder
b) in den Besitz der Signaturdatei und des dazugehörigen Passwortes zu kommen, um auf einem eigenen System zu arbeiten. Das verwendete Computersystem muss also gut abgesichert sein.
c) ein durchprobieren sämtlicher Passwörter halte ich bei guten Passwörtern für aussichtslos.

Ersteres würde sämtliche andere Verfahren im gleichen Maße treffen, weshalb dies von einigen Experten als das wahrscheinlichere angesehen wird. Mir erscheint das zweite Szenario aber als “einfacher” zu programmieren. Zur Beruhigung: Bislang ist mir aber noch nie ein Angriff “von außen” bekannt geworden. Betrugsversuche von Insidern sind allerdings vorgekommen.

Folgende Sicherheitsmaßnahmen sind unumgänglich:

  • die Signaturatei darf niemals in fremde Hände geraten
  • das dazugehörige Passwort darf ebenfalls niemals Dritten zugänglich werden

Viele denken bei ersterem Punkt an den USB-Stick oder an die Sicherheitsdatei und verwahren diese besonders sicher. Das ist richtig und gut so, aber womöglich zu kurz gedacht, die Sicherheitsdatei könnte ja auch unbemerkt kopiert werden. Auch der zweite Teil der Sicherheit, nämlich das zur Datei gehörige Passwort, muss vertraulich bleiben.

Die Gefahr: Passwörter könnten von sogenannten Keyloggern direkt bei der Tastatureingabe ausgelesen werden.

Lesen Sie hier weiter, was im Fall der Fälle zu tun ist


Für Nutzerinnen und Nutzer von Profi cash mit dem HBCI-Signaturdateiverfahren (“HBCI classic”, Sicherheitsdatei auf USB-Stick)

Sie haben den Verdacht, Ihre Schlüsseldatei könnte in fremde Hände geraten sein, z.B. durch einen Trojaner, Diebstahl oder durch Veruntreuung? Oder Sie wollen nur auf Nummer Sicher gehen?

Sie können mit Profi cash die Schlüssel selbst neu erzeugen und bei der Bank elektronisch austauschen. Der noch gültige Schlüssel signiert dabei den neuen Schlüssel. Die Nutzung eines alten Backups der Datei ist danach nicht mehr möglich.

Wichtig
Funktioniert dieser Austausch nicht, dann kontaktieren Sie die Fachabteilung Ihrer Bank auf oder rufen Sie den Profi cash Support an. Außerhalb der Arbeitszeiten können Sie den Bankzugang über die Sperrhotline 116 116 sperren lassen.

Wenn Sie mehrere Firmen, aber nur eine Schlüsseldatei verwenden: Es darf nur ein Schlüsseltausch pro Signaturdatei vorgenommen werden, bei anderen Firmen muss nur der Dateiname angepasst werden.

  • Melden Sie sich an und gehen Sie auf Stammdaten/HBCI-Verwaltung
  • Wählen Sie oben das gewünschte HBCI-Kürzel aus.
  • Klicken Sie “Passwort ändern” an und ändern Sie Ihr Passwort. Sie müssen natürlich einmal das alte Passwort eingeben und 2x das neue (min. 8 Stellen, ein Sonderzeichen).
  • Wählen Sie “Schlüssel austauschen” und folgen Sie dem Assistenten. Sie benötigen bereits das neue Passwort.

Schluesselwechsel_Profi_cash

  • Der neue öffentliche Schlüssel wird berechnet und signiert übertragen, er gilt sofort und der alte Schlüssel wird ungültig.
  • Prüfen Sie das Protokoll und testen Sie Ihren Zugang auf Funktionsfähigkeit (Umsatzabruf reicht).
  • Notieren Sie sich den Dateinamen (üblicherweise “Nummer.key”) und die Benutzerkennung (beginnend mit 672), wenn Sie mehrere Firmen (=Datenbanken in Profi cash)mit dieser Datei einsetzen.
  • Vernichten Sie alle Backups der alten Datei und erstellen Sie von der neuen Schlüsseldatei ein neues Backup und verwahren Sie dieses sicher.

Wenn Sie mehrere Profi cash Firmen-Datenbanken bzw. Benutzer einsetzen oder getrennte Installationen (z.B. zuhause und in der Firma), dann müssen Sie die neue Sicherheitsdatei in der anderen Profi cash Installation “anmelden”.

  • Melden Sie sich in der anderen Firma an
  • Wählen Sie “Stammdaten/HBCI-Verwaltung” aus
  • Wählen Sie oben ggf. das betroffene HBCI Kürzel aus.
  • Vergleichen Sie die Benutzerkennung (672…)
  • Ändern Sie unten den Dateinamen ab und bestätigen Sie die Änderung mit “Speichern”.
  • Wählen Sie “Benutzerdaten aktualisieren” an, nutzen Sie das neue Passwort. Prüfen Sie das Protokoll.
  • Testen Sie den Zugang (z.B. Umsätze abholen).

Beachten Sie, dass diese Anleitung für GAD-Banken geschrieben wurde, da nicht alle Bankengruppen einen Schlüsselwechsel beherrschen. Bei anderen Banken sollten Sie den Schlüssel sperren, sollten Sie den Verdacht haben, er könne in falsche Hände geraten sein. Der Schlüsselwechsel ermöglicht eine komplett neue Verschlüsselung mit alten Zugangsdaten. Alle Kopien eines Schlüssels werden damit ungültig.
Wird ein Zugang, also eine Sicherheitsdatei in mehreren Firmen verwendet, dann ist der Schlüsselwechsel nur einmal nötig.

Profi cash: Schlüssel austauschen und neues Passwort vergeben:

Melden Sie sich an und wählen Sie “Stammdaten”, “HBCI-Verwaltung”

Schluesselwechsel_Proficash_01

Wählen Sie oben das gewünschte HBCI-Kürzel aus
Klicken Sie Passwort ändern an und ändern Sie Ihr Passwort. Sie müssen einmal das alte Passwort eingeben und 2x das neue (min. 8 Stellen, ein Sonderzeichen).

Schluesselwechsel_Proficash_03_Passwort_aendernWählen Sie “Schlüssel ändern” und folgen Sie dem Assistenten. Sie benötigen bereits das neue Passwort.

Schluesselwechsel_Proficash_03_Schluessel_aendernDer neue öffentliche Schlüssel wird berechnet und signiert übertragen, er gilt sofort und Sie müssen keinen Ini-Brief versenden.

Löschen Sie alle Backups der alten Datei und erstellen Sie von der neuen Schlüsseldatei eine neue Sicherung.

Hinweis: Auch wenn technisch mit dieser Funktion eine Art Vertretung durch andere Personen möglich ist und automatisch nach dem Prozess alle von der Vertretung eventuell erstellen Kopien ungültig werden, ist dies nicht die richtige Methode. Wenn jemand die Berechtigung zur Vertretung besitzt, sollte diese Person auch eine echte Vollmacht mit eigenem Schlüssel nutzen. Falls etwas passiert, ist das Risiko viel zu hoch!