Moin,

Warum willst Du HBCI nutzen? Wg. höherer Sicherheit? Ansonsten könnte man ja ganz normales Internetbanking machen, was jede Sparkasse und Co. anbietet.

Was ist 'normales Internetbanking'? PIN/TAN (was es bei HBCI seit einiger Zeit auch gibt)? Das ist IMHO aus mehrerlei Gründen ungut: Zum einen ist da die beschränkte Anzahl an TANs auf der TAN-Liste, die natürlich genau dann leer läuft wenn man sie bräuchte (Finnagle schläft nicht). Zum anderen: Bei PIN/TAN habe ich ein Geheimnis und muss es meiner Gegenstelle übermitteln. D.h. ich muss mich hauptsächlich um die Absicherung der Verbindung zur Bank kümmern und mir zum Beispiel echt sicher sein, dass die SSL-Verbindung wirklich auf der anderen Seite bei der Bank endet[1] und natürlich, dass mein Browser nicht DES 40 Bit oder Double-ROT13 oder so als Verschlüsselungsmethode wählt.

Bei den meisten HBCI-Methoden habe ich ein Geheimnis, übermittle dieses jedoch nie an die Gegenstelle, sondern nur eine damit gemachte Signatur o.ä. Dann muss ich mich nur noch darum kümmern, dass dieses Geheimnis auf meiner Seite wirklich sicher ist und von niemandem unbefugt benutzt wird. Die Verschlüsselung der Übertragung und Authentisierung der Gegenstelle ist da mehr oder weniger (naja, nicht wirklich) nur noch für den Datenschutz gut.

Nur, ist eine eine Vermutung, ich denke, Du könntest auch die Software aus Rußland nutzen. Die Software vermittelt doch zwischen Karte und Bank. Wäre die Frage, ob mitgeschnittene Informationen wirklich jem. was bringen könnten?!

Auch (und grade) HBCI macht nicht unverwundbar gegen böse Software auf dem lokalen Rechner. Zum Einen gibt es bei HBCI ja verschiedene Methoden (und Achmed hat nicht gesagt welche er benutzen will) und darunter auch einige ohne Smartcard (sogar PIN/TAN ist dabei), wo es natürlich trivial ist das Geheimnis mittels eingeschleuster Software zu kopieren. Zum Anderen muss selbst bei den Methoden mit Smartcard immer noch sichergestellt sein, dass ich mit der Karte wirklich die gewünschte Transaktion authentisiere. (Kartenleser die in der Lage sind, mir mit einem Display die Transaktion anzuzeigen und wo ich dann auf dem Kartenleser die PIN eingeben kann sind eher in den gehobenen Preisklassen angesiedelt, da würde Achmed nicht mehr über die 70 FRZ maulen. Zumal dann die Software noch mitspielen muss.)

[1] Warum zum Geier hat eigentlich noch kein Browser eine "Ich möchte SSL-Verbindungen zu Hostname ... _nur_ mit dem Zertifikat mit Fingerprint .... zulassen"-Funktion? Wenn morgen Verisign betrunkenerweise ein falsches Zertifikat für ww2.homebanking-mecklenburg-vorp.de ausgibt dann stehe ich dumm da. Zumal ich die ganzen überflüssigen und damit risikobehafteten CAs noch nichtmal aus meinem Browserprofil löschen kann.