comdirect

@Biffer,

auf den ersten Blick konnten wir keinen Fehler feststellen. Deshalb benötigen wir noch weitere Infos (Kundennummer bzw. Kreditkartennummer & BIC) von dir.

Bitte wende dich entweder telefonisch an unseren Technischen Service (04106 - 708 25 10) oder sende uns die Informationen über das Kontaktformular im Persönlichen Bereich. Nimm in deiner Nachricht bitte Bezug auf diesen Community-Thread.

Danke & Gruß,

Erik

Hallo SMT_Erik,

da muss ich doch noch mal nachfragen. Sie schreiben:
"""

Im Komfort-Service (Multibanking) kommt quasi die selbe bewährte Technik & Verschlüsselungsmethodik (HBCI/FinTS und Screenscraping) zur Anwendung wie bei einer Finanzsoftware (z.B. StarMoney, Quicken, WISO Mein Geld, usw.). Auch in diesen Programmen können Zugangsdaten hinterlegt werden, um den Zugriff auf die Konten bequem zu gestalten.

Grundsätzlich handelt es sich um einen Service, der durch unsere Kunden genutzt werden KANN, jedoch NICHT genutzt werden MUSS. Die Zugangsdaten der externen Finanzinstitute werden analog der comdirect-Zugangsdaten auf Servern von comdirect gespeichert.

"""

1. Wenn ich Programme wie StarQuicken oder was-weiss-ich nutze, dann sind die Zugangsdaten auf meinem Rechner und nicht irgendwo auf einem Server, insofern ein schlechter Vergleich. Und 2. und da bitte ich wirklich mal um genaue Auskunft (ich hatte ja schon mal geschrieben, dass ich das für falsch halte, da hat mich auch niemand korrigiert): Was genau bedeutet es, wenn die Zugangsdaten zu externen Finanzinstituten analog zu den comdirect-Zugangsdaten auf den comdirect-Servern gespeichert werden? Soll das jetzt heissen, dass auch die comdirect Zugangsdaten tatsächlich komplett und inklusive Passwort auf Ihren Servern sind? Wenn es so wäre, fände ich das höchst bedenklich. Wenn es nicht so ist (wovon ich ausgehe), dann ist es eben *nicht* analog zu den comdirect-Zugangsdaten gespeichert, denn das geht gar nicht.

Und noch eine Anmerkung: ich finde es mehr als irritierend, Kunden dazu zu verleiten, bei externen Finanzinstituten Anti-Fishing und Kontoschutz-Maßnahmen zu deaktivieren, damit dieser seltsame "Service" hier funktioniert.

---

tcriess schrieb:

Hallo SMT_Erik,

da muss ich doch noch mal nachfragen. Sie schreiben:
"""

Im Komfort-Service (Multibanking) kommt quasi die selbe bewährte Technik & Verschlüsselungsmethodik (HBCI/FinTS und Screenscraping) zur Anwendung wie bei einer Finanzsoftware (z.B. StarMoney, Quicken, WISO Mein Geld, usw.). Auch in diesen Programmen können Zugangsdaten hinterlegt werden, um den Zugriff auf die Konten bequem zu gestalten.

 

Grundsätzlich handelt es sich um einen Service, der durch unsere Kunden genutzt werden KANN, jedoch NICHT genutzt werden MUSS. Die Zugangsdaten der externen Finanzinstitute werden analog der comdirect-Zugangsdaten auf Servern von comdirect gespeichert.

"""

 

1. Wenn ich Programme wie StarQuicken oder was-weiss-ich nutze, dann sind die Zugangsdaten auf meinem Rechner und nicht irgendwo auf einem Server, insofern ein schlechter Vergleich. Und 2. und da bitte ich wirklich mal um genaue Auskunft (ich hatte ja schon mal geschrieben, dass ich das für falsch halte, da hat mich auch niemand korrigiert): Was genau bedeutet es, wenn die Zugangsdaten zu externen Finanzinstituten analog zu den comdirect-Zugangsdaten auf den comdirect-Servern gespeichert werden? Soll das jetzt heissen, dass auch die comdirect Zugangsdaten tatsächlich komplett und inklusive Passwort auf Ihren Servern sind? Wenn es so wäre, fände ich das höchst bedenklich. Wenn es nicht so ist (wovon ich ausgehe), dann ist es eben *nicht* analog zu den comdirect-Zugangsdaten gespeichert, denn das geht gar nicht.

Und noch eine Anmerkung: ich finde es mehr als irritierend, Kunden dazu zu verleiten, bei externen Finanzinstituten Anti-Fishing und Kontoschutz-Maßnahmen zu deaktivieren, damit dieser seltsame "Service" hier funktioniert.

---

Hallo tcriess,

wir haben den Vergleich mit der Finanzsoftware herangezogen, um die Methode in ihren Grundzügen zu beschreiben. Unserer Ansicht nach wird ein Sicherheitskonzept auch davon getragen, dass man es nicht  bis ins Detail erläutert.

Damit ein Legitimationsverfahren via Zugangsdaten möglich ist, müssen die Zugangsdaten des Users dem Bankserver bekannt sein. Wie sonst sollte eine Überprüfung der richtigen Zugangsdaten möglich sein? Diese Daten sind in verschlüsselter Form auf unseren Servern hinterlegt.

Die Multibanking-Zugangsdaten, die ebenfalls verschlüsselt auf unseren Servern gespeichert werden, dienen ausschließlich der Anmeldung an den Online-Systemen der jeweiligen Finanzinstitute. Nur um Zeitpunkt der Legitimierung erfolgt eine Entschlüsselung dieser Daten. Das ist notwendig, damit dieser Service funktionieren kann. Die Hinterlegung der PIN ist im Übrigen optional.

Es ist Ihr gutes Recht diesem Service kritisch gegenüber zu stehen. Die hohe Nachfrage zeigt aber, dass ein großer Bedarf für diesen Service bei unseren Kunden besteht. Am Ende liegt die Entscheidung beim Kunden, ob er den Service nutzen möchte oder nicht.

Gruß aus Quickborn,
Erik

---

SMT_Erik schrieb:

---

tcriess schrieb:

Hallo SMT_Erik,

da muss ich doch noch mal nachfragen. Sie schreiben:
"""

Im Komfort-Service (Multibanking) kommt quasi die selbe bewährte Technik & Verschlüsselungsmethodik (HBCI/FinTS und Screenscraping) zur Anwendung wie bei einer Finanzsoftware (z.B. StarMoney, Quicken, WISO Mein Geld, usw.). Auch in diesen Programmen können Zugangsdaten hinterlegt werden, um den Zugriff auf die Konten bequem zu gestalten.

 

Grundsätzlich handelt es sich um einen Service, der durch unsere Kunden genutzt werden KANN, jedoch NICHT genutzt werden MUSS. Die Zugangsdaten der externen Finanzinstitute werden analog der comdirect-Zugangsdaten auf Servern von comdirect gespeichert.

"""

 

1. Wenn ich Programme wie StarQuicken oder was-weiss-ich nutze, dann sind die Zugangsdaten auf meinem Rechner und nicht irgendwo auf einem Server, insofern ein schlechter Vergleich. Und 2. und da bitte ich wirklich mal um genaue Auskunft (ich hatte ja schon mal geschrieben, dass ich das für falsch halte, da hat mich auch niemand korrigiert): Was genau bedeutet es, wenn die Zugangsdaten zu externen Finanzinstituten analog zu den comdirect-Zugangsdaten auf den comdirect-Servern gespeichert werden? Soll das jetzt heissen, dass auch die comdirect Zugangsdaten tatsächlich komplett und inklusive Passwort auf Ihren Servern sind? Wenn es so wäre, fände ich das höchst bedenklich. Wenn es nicht so ist (wovon ich ausgehe), dann ist es eben *nicht* analog zu den comdirect-Zugangsdaten gespeichert, denn das geht gar nicht.

Und noch eine Anmerkung: ich finde es mehr als irritierend, Kunden dazu zu verleiten, bei externen Finanzinstituten Anti-Fishing und Kontoschutz-Maßnahmen zu deaktivieren, damit dieser seltsame "Service" hier funktioniert.

---

Hallo tcriess,

wir haben den Vergleich mit der Finanzsoftware herangezogen, um die Methode in ihren Grundzügen zu beschreiben. Unserer Ansicht nach wird ein Sicherheitskonzept auch davon getragen, dass man es nicht  bis ins Detail erläutert.

Damit ein Legitimationsverfahren via Zugangsdaten möglich ist, müssen die Zugangsdaten des Users dem Bankserver bekannt sein. Wie sonst sollte eine Überprüfung der richtigen Zugangsdaten möglich sein? Diese Daten sind in verschlüsselter Form auf unseren Servern hinterlegt.

Die Multibanking-Zugangsdaten, die ebenfalls verschlüsselt auf unseren Servern gespeichert werden, dienen ausschließlich der Anmeldung an den Online-Systemen der jeweiligen Finanzinstitute. Nur um Zeitpunkt der Legitimierung erfolgt eine Entschlüsselung dieser Daten. Das ist notwendig, damit dieser Service funktionieren kann. Die Hinterlegung der PIN ist im Übrigen optional.

Es ist Ihr gutes Recht diesem Service kritisch gegenüber zu stehen. Die hohe Nachfrage zeigt aber, dass ein großer Bedarf für diesen Service bei unseren Kunden besteht. Am Ende liegt die Entscheidung beim Kunden, ob er den Service nutzen möchte oder nicht.

Gruß aus Quickborn,
Erik

 

---

Hallo SMT_Erik,

und genau diese Aussage: """Damit ein Legitimationsverfahren via Zugangsdaten möglich ist, müssen die Zugangsdaten des Users dem Bankserver bekannt sein. Wie sonst sollte eine Überprüfung der richtigen Zugangsdaten möglich sein? Diese Daten sind in verschlüsselter Form auf unseren Servern hinterlegt.""" ist in der Form falsch. Bei "normalen" Systemen, vom Shopping bis zum Weblog, sind die Passwörter eben nicht auf den Servern hinterlegt, nicht im Klartext und nicht verschlüsselt. Was dort gespeichert ist sind (gesaltete) Hashes dieser Passwörter, aus denen sich die Passwörter selbst aber eben nicht rekonstruieren lassen (wenn alles ordentlich implementiert ist). Und genau damit lässt sich dann der richtige Zugang überprüfen. Ich finde es ehrlich erschreckend, was Sie hier verbreiten, da stehen jedem, der auch nur ein bisschen Ahnung von der Materie hat, die Haare zu Berge. Grund dafür ist eben genau das Risiko, dass die gespeicherten Passwörter abhanden kommen könnten. Und, wie schon geschrieben, ich fände es erstaunlich, wenn es bei Ihren Servern anders wäre.

Und natürlich steht es jedem Kunden frei, den Service zu nutzen. Aber stellen Sie sich um Gottes Willen nicht hin und raten den Kunden, Anti-Phishing und Kontoschutzmaßnahmen bei anderen Instituten zu deaktivieren, damit tun Sie weder sich noch den Kunden einen Gefallen!

Viele Grüße,

tcriess.

tcriess schrieb:

und genau diese Aussage: """Damit ein Legitimationsverfahren via Zugangsdaten möglich ist, müssen die Zugangsdaten des Users dem Bankserver bekannt sein. Wie sonst sollte eine Überprüfung der richtigen Zugangsdaten möglich sein? Diese Daten sind in verschlüsselter Form auf unseren Servern hinterlegt.""" ist in der Form falsch. Bei "normalen" Systemen, vom Shopping bis zum Weblog, sind die Passwörter eben nicht auf den Servern hinterlegt, nicht im Klartext und nicht verschlüsselt. Was dort gespeichert ist sind (gesaltete) Hashes dieser Passwörter, aus denen sich die Passwörter selbst aber eben nicht rekonstruieren lassen (wenn alles ordentlich implementiert ist). Und genau damit lässt sich dann der richtige Zugang überprüfen. Ich finde es ehrlich erschreckend, was Sie hier verbreiten, da stehen jedem, der auch nur ein bisschen Ahnung von der Materie hat, die Haare zu Berge.

Ich kann diese Aussage wiederum auch nicht stehen lassen. Wenn sich Kunde bei einem Webshop authentifiziert, dann meldet sich Kunde mit Klartext-Passwort beim Webshop an; dieses Klartext-Passwort wird in eien Hash-Wert umgewandelt; Webshop vergleicht beide Hashwerte: Stimmen sie überein, ist alles gut, ansonsten ist ads Passwort falsch.

In diesem Fall ist allerdings der Server der comdirect der "Kunde", dieser muss das Klartext-Passwort kennen, mit dem er sich beim Drittbankserver authentifiziert. Würde der comdirect-Server sich mit einem Hash-Wert beim Drittbankserver anmelden, würde dieser Drittbankserver aus dem Hash erneut einen Hash ziehen und diesen "doppelt gehashten Wert" zum Vergleich heranziehen - das kann nicht funktionieren.

VG,

Jörg

---

Joerg78 schrieb:

tcriess schrieb:

und genau diese Aussage: """Damit ein Legitimationsverfahren via Zugangsdaten möglich ist, müssen die Zugangsdaten des Users dem Bankserver bekannt sein. Wie sonst sollte eine Überprüfung der richtigen Zugangsdaten möglich sein? Diese Daten sind in verschlüsselter Form auf unseren Servern hinterlegt.""" ist in der Form falsch. Bei "normalen" Systemen, vom Shopping bis zum Weblog, sind die Passwörter eben nicht auf den Servern hinterlegt, nicht im Klartext und nicht verschlüsselt. Was dort gespeichert ist sind (gesaltete) Hashes dieser Passwörter, aus denen sich die Passwörter selbst aber eben nicht rekonstruieren lassen (wenn alles ordentlich implementiert ist). Und genau damit lässt sich dann der richtige Zugang überprüfen. Ich finde es ehrlich erschreckend, was Sie hier verbreiten, da stehen jedem, der auch nur ein bisschen Ahnung von der Materie hat, die Haare zu Berge.

Ich kann diese Aussage wiederum auch nicht stehen lassen. Wenn sich Kunde bei einem Webshop authentifiziert, dann meldet sich Kunde mit Klartext-Passwort beim Webshop an; dieses Klartext-Passwort wird in eien Hash-Wert umgewandelt; Webshop vergleicht beide Hashwerte: Stimmen sie überein, ist alles gut, ansonsten ist ads Passwort falsch.

In diesem Fall ist allerdings der Server der comdirect der "Kunde", dieser muss das Klartext-Passwort kennen, mit dem er sich beim Drittbankserver authentifiziert. Würde der comdirect-Server sich mit einem Hash-Wert beim Drittbankserver anmelden, würde dieser Drittbankserver aus dem Hash erneut einen Hash ziehen und diesen "doppelt gehashten Wert" zum Vergleich heranziehen - das kann nicht funktionieren.

---

VG,

Jörg

 

---

Welche Aussage können Sie nicht so stehen lassen? Nichts anderes habe ich geschrieben. Trotzdem wird hier immer wieder behauptet, dass die Zugangsdaten zu Fremdinstituten "analog zu den comdirect Zugangsdaten" gespeichert werden. Was ja im beschriebenen Szenario überhaupt nicht funktionieren kann. Es besteht natürlich die Möglichkeit, dass comdirect tatsächlich die (eigenen) Passwörter im Klartext oder wie-auch-immer verschlüsselt vorhält und direkt vergleicht. Dann wäre die Aussage richtig (was mein Vertrauen in die Sicherheit des Gesamtsystems aber nicht gerade stärken würde).

Viele Grüße,

tcriess.

Dann habe ich den Beitrag falsch interpretiert (habe ihn dahingehend interpretiert, dass die comdirect die Zugangsdaten der Fremdbanken auch verhasht speichern soll).

Viele Grüße,

Jörg

Hallo @SMT_Martina,

ich konnte zwar heute mein Konto bei der BHW eintragen (taucht auch in der Übersicht auf), jedoch funktioniert der Abruf des Kontostands nicht. Woran kanns liegen?

Viele Grüße

Friedrich

Hallo PingPong89,

in diesem Fall melde dich bitte mal unter 04106 - 708 25 10 direkt bei meinen Kollegen aus dem Technischen Service.

Viele Grüße, Philipp B.