Achmed: (SUCHE) OpenSource HBCI-Software (Windows)

Gressgod,
Meine nette Bank bietet mir zwar HBCI - aber sie verdienen ja noch nicht genug - und bieten deshalb keine Gratis-HBCI-Software an, sondern nur eine die ich für 70 Euro kaufen kann.
Das seh ich nicht ein und sitze nun hier mit meine Ini-Brief mit meinem Hash-Wert und will HBCI-Banking machen und hab keine Software :/

Alle Versuche eine OpenSource-Software aufzutreiben waren erfolglos.
Und irgendeiner Freeware aus Russland traue ich ehrlich gesagt nicht wirklich über den Weg.

Kennt jemand eine OpenSource-Software für WinXP die funktionell auch mit "den grossen" mithalten kann oder muss ich die 70 Eur löhnen?

Danke und Gruss, Achmed.

  1. Hallo,

    erstmal bin ich ehrlich: Ich habe von HBCI noch nie was gehört, ABER:
    vielleicht hilft dir ja das:
    http://de.wikipedia.org/wiki/HBCI#Weblinks

    oder die User dort? Wer weiss? ;)

    Lutz

    1. Hi,

      erstmal bin ich ehrlich: Ich habe von HBCI noch nie was gehört,

      Warum antwortest Du dann???

      Zur Frage:
      Warum willst Du HBCI nutzen? Wg. höherer Sicherheit? Ansonsten könnte man ja ganz normales Internetbanking machen, was jede Sparkasse und Co. anbietet. Wenn es wichtig ist, daß es extrem sicher ist, so sollte einem das das Geld wert sein, wobei ich auch nicht verstehe, warum eine Bank sich nicht um Lösungen kümmern kann.

      Nur, ist eine eine Vermutung, ich denke, Du könntest auch die Software aus Rußland nutzen. Die Software vermittelt doch zwischen Karte und Bank. Wäre die Frage, ob mitgeschnittene Informationen wirklich jem. was bringen könnten?!

      Gruß
      Reiner

      1. Nur, ist eine eine Vermutung, ich denke, Du könntest auch die Software aus Rußland nutzen. Die Software vermittelt doch zwischen Karte und Bank. Wäre die Frage, ob mitgeschnittene Informationen wirklich jem. was bringen könnten?!

        Dort steht es sogar! ;-)

        Gruß
        Reiner

      2. Moin,

        Warum willst Du HBCI nutzen? Wg. höherer Sicherheit? Ansonsten könnte man ja ganz normales Internetbanking machen, was jede Sparkasse und Co. anbietet.

        Was ist 'normales Internetbanking'? PIN/TAN (was es bei HBCI seit einiger Zeit auch gibt)? Das ist IMHO aus mehrerlei Gründen ungut: Zum einen ist da die beschränkte Anzahl an TANs auf der TAN-Liste, die natürlich genau dann leer läuft wenn man sie bräuchte (Finnagle schläft nicht). Zum anderen: Bei PIN/TAN habe ich ein Geheimnis und muss es meiner Gegenstelle übermitteln. D.h. ich muss mich hauptsächlich um die Absicherung der Verbindung zur Bank kümmern und mir zum Beispiel echt sicher sein, dass die SSL-Verbindung wirklich auf der anderen Seite bei der Bank endet[1] und natürlich, dass mein Browser nicht DES 40 Bit oder Double-ROT13 oder so als Verschlüsselungsmethode wählt.

        Bei den meisten HBCI-Methoden habe ich ein Geheimnis, übermittle dieses jedoch nie an die Gegenstelle, sondern nur eine damit gemachte Signatur o.ä. Dann muss ich mich nur noch darum kümmern, dass dieses Geheimnis auf meiner Seite wirklich sicher ist und von niemandem unbefugt benutzt wird. Die Verschlüsselung der Übertragung und Authentisierung der Gegenstelle ist da mehr oder weniger (naja, nicht wirklich) nur noch für den Datenschutz gut.

        Nur, ist eine eine Vermutung, ich denke, Du könntest auch die Software aus Rußland nutzen. Die Software vermittelt doch zwischen Karte und Bank. Wäre die Frage, ob mitgeschnittene Informationen wirklich jem. was bringen könnten?!

        Auch (und grade) HBCI macht nicht unverwundbar gegen böse Software auf dem lokalen Rechner. Zum Einen gibt es bei HBCI ja verschiedene Methoden (und Achmed hat nicht gesagt welche er benutzen will) und darunter auch einige ohne Smartcard (sogar PIN/TAN ist dabei), wo es natürlich trivial ist das Geheimnis mittels eingeschleuster Software zu kopieren. Zum Anderen muss selbst bei den Methoden mit Smartcard immer noch sichergestellt sein, dass ich mit der Karte wirklich die gewünschte Transaktion authentisiere. (Kartenleser die in der Lage sind, mir mit einem Display die Transaktion anzuzeigen und wo ich dann auf dem Kartenleser die PIN eingeben kann sind eher in den gehobenen Preisklassen angesiedelt, da würde Achmed nicht mehr über die 70 FRZ maulen. Zumal dann die Software noch mitspielen muss.)

        [1] Warum zum Geier hat eigentlich noch kein Browser eine "Ich möchte SSL-Verbindungen zu Hostname ... _nur_ mit dem Zertifikat mit Fingerprint .... zulassen"-Funktion? Wenn morgen Verisign betrunkenerweise ein falsches Zertifikat für ww2.homebanking-mecklenburg-vorp.de ausgibt dann stehe ich dumm da. Zumal ich die ganzen überflüssigen und damit risikobehafteten CAs noch nichtmal aus meinem Browserprofil löschen kann.

        --
        Henryk Plötz
        Grüße aus Berlin
        ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
        ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
        1. Moin,
          Grundsätzlich ist es ja richtig was Du sagst:

          Das ist IMHO aus mehrerlei Gründen ungut: Zum einen ist da die beschränkte Anzahl an TANs auf der TAN-Liste, die natürlich genau dann leer läuft wenn man sie bräuchte (Finnagle schläft nicht).

          Wenn Du ne halbwegs anständige Bank hast, dann kannst Du entweder online Deinen TAN Block sperren was zur Folge hätte, dass du einen neuen Block zugesendet bekommst oder wie bei meiner Bank, die Dir ganz automatisch einen neuen Block zusendet wenn die Anzahl der verfügbaren TAN nicht mehr ausreichend ist.

          Alle andere Argumente von Dir gelten für wirklich jede Anwendung, die solch Sicherheitskritischen Sachen durchführt.
          Es gibt immer ein Geheimniss und sei es Dein Passwortsatz.
          Wer diesen Satz kennt und noch dazu Zugang zu deinem Privaten Schlüssel hat(üblicherweise liegt der ja auf Deinme Rechner rum.) Der kann immer allen Unfug bauen.

          Ich denke das es eine kostenlose HBCI Software nicht geben wird, weil es eine Lizenz zur Verwendung des Standards geben wird, und weil die entwickelte Software mit ziemlicher Sicherheit abgenommen werden muß.

          TomIRL

          1. Hallo Tom,

            Ich denke das es eine kostenlose HBCI Software nicht geben wird, weil es eine Lizenz zur Verwendung des Standards geben wird,

            Selbst wenn es die gäbe: Es spricht ja rein prinzipiell nichts dagegen, das Protokoll zu reverse engineeren (zumindest hier in der EU). Und es gibt ja auch Open-Source HBCI-Lösungen (für Linux). Und AFAIK ist HBCI sowieso ein offener Standard.

            und weil die entwickelte Software mit ziemlicher Sicherheit abgenommen werden muß.

            Nein, muss ja auch nicht sein: Wenn etwas schiefgeht, haftet halt weder Bank noch Softwarehersteller. Ist dann halt persönliches Risiko, eine derartige Software einzusetzen.

            Viele Grüße,
            Christian

          2. Moin,

            Wenn Du ne halbwegs anständige Bank hast, dann kannst Du entweder online Deinen TAN Block sperren was zur Folge hätte, dass du einen neuen Block zugesendet bekommst oder wie bei meiner Bank, die Dir ganz automatisch einen neuen Block zusendet wenn die Anzahl der verfügbaren TAN nicht mehr ausreichend ist.

            Ist ja schön und gut, trotzdem liegt eine Postlaufzeit dazwischen. (Und ich scheine ungünstig zu wohnen, hier gibt es offenbar fast immer einen 2-Tagesaufschlag auf alle Brieflaufzeiten ... ich frage mich, ob meine Post über Pullach umgeleitet wird ;-)

            Alle andere Argumente von Dir gelten für wirklich jede Anwendung, die solch Sicherheitskritischen Sachen durchführt.

            Für mich ist zwischen "Geheimnis wird übermittelt" und "Geheimnis wird nicht übermittelt" schon ein klitzekleiner aber sehr feiner Unterschied.

            Ich denke das es eine kostenlose HBCI Software nicht geben wird, weil es eine Lizenz zur Verwendung des Standards geben wird, und weil die entwickelte Software mit ziemlicher Sicherheit abgenommen werden muß.

            Warum sagst du das, wenn du es nicht weisst? aqmoney, gnucash um nur mal zwei zu nennen. Der einzige Grund aus dem ich das noch nicht benutze ist, dass ich bisher nicht meinen GPR400 und meine HBCI-Karte zur Zusammenarbeit bewegen konnte und grade auch nicht so viel Zeit dafür habe.

            --
            Henryk Plötz
            Grüße aus Berlin
            ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
            ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
  2. Hi!

    Meine nette Bank bietet mir zwar HBCI - aber sie verdienen ja noch nicht genug - und bieten deshalb keine Gratis-HBCI-Software an, sondern nur eine die ich für 70 Euro kaufen kann.

    Natürlich verdient die Bank nicht genug. Man kann als Kapitalgesellschaft nie genug verdienen. Das Prinzip heisst Kapitalismus (ich spreche übrigens nur von Banken, nicht von Sparkassen ;-)

    Alle Versuche eine OpenSource-Software aufzutreiben waren erfolglos.
    Und irgendeiner Freeware aus Russland traue ich ehrlich gesagt nicht wirklich über den Weg.

    Reicht dir eine aus Iserlohn? Dann versuch es mal mit Mon€y P€nny. Ist allerdings für Linux und unterstützt nur HBCI mit Chipkarte oder mit RSA-Schlüssel, HBCI mit PIN/TAN wird nicht unterstützt.

    Kennt jemand eine OpenSource-Software für WinXP die funktionell auch mit "den grossen" mithalten kann oder muss ich die 70 Eur löhnen?

    Ob es auch was für Windows gibt, weiss ich ehrlich gesagt nicht, wir wollen ja auch unsere Software verkaufen (wir nehmen nur 29,90 dafür, du kannst auch eine Testversion von StarMoney herunterladen).

    Aber schau doch mal bei http://www.openhbci.de/vorbei, vllt. gibts da was für dich.

    Gruß aus Iserlohn

    Martin