Kobil Kaan TriBank Testbericht

ab 20,74
Auf yopi.de gelistet seit 06/2008

5 Sterne
(2)
4 Sterne
(0)
3 Sterne
(0)
2 Sterne
(0)
1 Stern
(0)
0 Sterne
(0)

Erfahrungsbericht von Hollgo

Keine Chance dem Phishing !

Pro:

+ HBCI 3.0 + gutes Display + gute Tastatur + langes USB-Anschlußkabel

Kontra:

- keine

Empfehlung:

Ja

Im Zeitalter von Trojanern, Viren, Rootkits und - für Onlinebanking-Kunden besonders, dem Phishing in jedweder Form und Ausprägung ist das bei vielen Online-Konten immer noch als Standard dominierende PIN/TAN Verfahren einfach nicht mehr sicher genug. Gut, dass es da schon längere Zeit einen Standard gibt, der eine sicherere Alternative zu allen Arten von TAN-Verfahren für alle Menschen bietet, die online ihr Konto bzw. ihre Einlagen generell führen - das Zauberwort lautet HBCI und kann mit den meisten Geldinstituten, die online geführte Konten anbieten, genutzt werden.

So kam ich zum Kobil Kaan Tribank

Aufgeschreckt durch viele Berichte, die immer neue Fälle von geknackten Online-Konten meldeten, die mit Hilfe des sogenannten Phishing-Verfahrens von Cyberkriminellen ausgeplündert wurden, stellte ich vor knapp einem Jahr meine Online-Kontoführung auf HBCI um. Im Bundle des Softwareanbieters, der das dafür notwendige Online-Kontoführungsprogramm zusammen mit dem Kobil Kaan Tribank Chipkartenleser verkaufte, kam so das Gerät zu mir. Der Einzelpreis betrug für mich dank Bundle 40 €, einzeln erhältlich ohne Banking-Programm kostet der Leser zwischen 40 € bis 100 € .

Lieferumfang & erster Eindruck

Der Cardreader an sich wurde in einem schmucklosen, kleinen weißen Pappkarton geliefert. In der Packung lag neben dem eigentlichen Tribank-Lesegerät eine CD mit Treibern sowie ein kleines Anleitungsheftchen bei.


Erster Eindruck

Das Lesegerät an sich ist wirklich sehr klein und kompakt gebaut. Wenn man es nicht braucht, kann man es zusammen klappen, wodurch es im Zweifel noch weniger Platz beansprucht. Dabei dient der Deckel als Standfuss des Gerätes, wenn es in Benutzung ist. Das zweizeilige Dot-Matrix Display stellt pro Zeile bis zu 10 Buchstaben oder Ziffern dar , es ist somit alphanumerisch. Die eingebaute Tastatur , welche im Betrieb idR. für die Eingabe der jeweiligen , individuellen PIN-Nummer dient, besteht aus dem klassischen 10´er Ziffernblock plus Sternchen und Raute sowie vier weiterer Funktionstasten,über deren Bewandnis ich noch später in diesem Bericht eingehen werde. Die Tasten an sich sind die typischen, auch von Taschenrechnern gewohnten, Kunststofftastaturen, die einen sehr guten Druckpunkt und ein ebenso gutes Ansprechverhalten vorweisen. Auch sonst ist die Verarbeitung des Cardreaders an sich als gut zu bezeichnen. Dank des fest verdrahteten, 2m langen USB-Anschlußkabels war ich schon recht flexibel bei der Suche nach einem Aufstellort für das Gerät auf meinem Schreibtisch.

Installation

Auf der dem Lesegerät beigelegten DVD fand ich einen Universaltreiber für den Kobil Kaan Trib@nk vor, der - unabhängig, ob ich Windows XP, Windows Vista oder Windows 7 im Einsatz habe - nach dessen Aufruf automatisch den für das jeweilige Betriebssystem passenden Treiber installiert. In meinem Fall war dies die Version für Windows 7 Home Premium in der 64 Bit-Version. Allerdings fand ich auf der Homepage von Kobil einen noch aktuelleren Treiber vor, der so zur Anwendung kam. Die Installation legte nach Doppelklick auf die zuvor heruntergeladene, knapp 50 MB große Datei automatisch los . Nach knapp 15 min. Installationszeit forderte mich die Installationsroutine auf, den bereits zuvor von mir über USB angeschlossenen Kartenleser wieder abzustecken. Dabei wurde mir eine Eigenart klar: via USB Hub angeschlossen, wollte die Installationsroutine kein Gerät erkennen. Also schloss ich das Gerät direkt an einen im Laptop eingebauten USB-Port (also ohne , über den HUB zu gehen) an - und hatte den gewünschten Erfolg. Die Installationsroutine stellte nun die Installation des Treibers fertig und war nach diesem "Check" nach weiteren knapp 30 sec. abgeschlossen.


Zunächst einmal: was ist überhaupt Phishing ?

Das "Phishing" ist in den letzten 3-4 Jahren zu einer immer beliebteren Methode von online operierenden Kriminellen geworden, die PINs und TANs online geführter Giro- und/oder Tagesgeldkonten auszuspähen. Der geläufigste und einfachste Phishing-Trick wird durch eine email ausgelöst, die der Besitzer des zu knackenden Online-Kontos scheinbar von seinem Geldinstitut erhält. In dieser, meist täuschend echt aufgemachten Nachricht, wird der Kontobesitzer, angeblich von seinem Geldinstitut, aufgefordert, den der email beigefügten Link anzuklicken. Die Begründungen sind vielschichtig, meist wird eine angebliche, routinemässige Sicherheitskontrolle des Online-Kontozugangs als Grund für diese Maßnahme angeführt. Auf der verlinkten Seite angekommen, die ebenso wie die email der originalen Seite des Geldinstitutes täuschend echt sehen kann, wird der Nutzer dann aufgefordert, seine Pin und eine TAN einzugeben - so haben die Gauner schon ihr Ziel erreicht.
Alternativ kann der Klick auf den Link einen Trojaner ins System einschleusen, der Eingaben des Nutzers auf eine dem Hacker zugängliche Seite schickt.
Das er hereingelegt wurde, sieht der Nutzer erst, wenn er sich wieder "ganz normal" auf die echte Seite seines Geldinstitutes einloggt.
Da die Kriminellen meistens im Ausland sitzen, ist ihnen nur schwer habhaft zu werden - das Geld ist meistens weg.

HBCI Allgemein

Damit HBCI auch klappt...

... müssen zwei Voraussetzungen beim Nutzer vorliegen.

1.) muss man Kunde bei einem Kreditinstitut sein, welches HBCI als Alternative zum Pin/TAN Verfahren anbietet - die meisten Sparkassen und Volksbanken bieten HBCI - teilweise kostenlos, manchmal auch gegen eine Jahresgebühr - als Übertragungsmöglichkeit an. Die Bank sorgt sich dabei vor allem um die Erstellung der zum HBCI notwendigen HBCI Karte, die einen individuellen PIN-Code erhält, der fest auf der HBCI-Karte -ähnlich der einer EC-Karte - implementiert wird. Dazu richtet die Bank mein online geführtes Konto so ein, dass meine via HBCI verschlüsselt gesendeten Daten auch korrekt authentifiziert werden können.

2.) muss man neben dem HBCI-fähigen Chipkartenleser, wie es der Kobil Kaan Tribank z.B. darstellt, auch ein HBCI-fähiges Bankingprogramm (welches am ca. 0 € aufwärts kostet) haben, über welches später alle Eingaben des Nutzers erfolgen. Zusätzlich muss beim Kreditinstitut eine HBCI-Bankingkarte beantragt werden, was bei mir z.B. ca. 2 Wochen gedauert, bis diese Karte bei mir vorlag.

HBCI - Sinn und Nutzen

HBCI steht für "Home Banking Computer Interface" und dient als sicherere Alternative zu dem wohl bei vielen Online-Bankkunden vielfach noch verwendeten Pin/TAN Verfahren, in welcher Variation auch immer dieses Verfahren eingesetzt wird.
Kern dieses Systems ist, dass möglichst viele Eingaben des Kunden offline, also ohne, dass der Kunde im Internet, besonders auf seiner Homebanking-Seite, eingeloggt sein muss, geschehen und nur für die Übermittlung der Daten eine https-gesicherte, verschlüsselte Onlineverbindung zum Kreditinstitut aufgebaut wird. Die Vorteile liegen klar auf der Hand: Phishing wird so von vorneherein zumindest nahezu ausgeschlossen, da die Eingaben direkt über ein dafür geeignetes Programm geschehen. Eingaben in das Programm sind dazu schonmal nur durch per Kennwort gesicherte Nutzerprofile möglich.

Ein Restrisiko bleibt jedoch..

Risiken bestehen allerdings auch mit HBCI weiterhin.So ist es z.B. denkbar, dass ein Angreifer das verwendete Homebanking-Programm manipuliert, so dass dieses statt des angezeigten und erteilten Auftrags heimlich, also für den Benutzer zunächst nicht nachvollziehbar, einen veränderten Auftrag signiert und an den Server der Bank sendet. Die Bank wird den Auftrag ausführen, sofern er korrekt signiert wurde.
Der Kartenleser dient nämlich nur zur Verschlüsselelung der zuvor vom eingesetzten Homebanking-Programm erzeugten Signatur der Überweisung. Sicherheit via HBCI ist also nur sichergestellt, wenn das eingesetzte Homebankingprogramm zuvor nicht durch Viren oder Trojaner manipuliert wurde - der Einsatz von geeigneter und ständig aktuell gehaltener Antivirenprogramme ist also auch mit HBCI absolut weiterhin gerechtfertigt und notwendig...

Der Praxiseinsatz

So funktioniert das HBCI-Banking bei mir

Für mein Banking mit HBCI nutze ich seit mehr als einem Jahr das Programm ALF BANCO in seiner mittlerweile neuesten, vierten Version. Nachdem ich mich mit meinem Nutzeraccount in das Programm eingeloggt habe, geht das eigentliche Online-Banking zunächst offline los.,Hier kann ich die notwendigen Eingaben z.B. der Überweisungsdaten oder etwa der Abfrage des Kontostandes seines online geführten Kontos dient, wie schon erwähnt, vornehmen, ohne, dass eine Verbindung ins Internet aufgebaut wird. Die wird erst vorgenommen, wenn ich eine Eingabe ausführen möchte.

Der Auftritt des Kobil Kaan

Hier kommt dann der Kobil Kaan ins Spiel. Über die Tastatur des Gerätes gebe ich bei eingelegter HBCI-Chipkarte meine HBCI-PIN ein und autorisiere mich so gegenüber der Bank als Nutzer. Auf meine Eingaben via Tastatur reagiert der Kobil Kaan wirklich sehr korrekt. Die Tasten haben einen sehr guten und vor allem exakten Druckpunkt und dank des alphanumerischen Displays bin ich auch über das Display des Kobil Kaan jederzeit im Bilde, was ich nun an Eingaben leisten soll. Habe ich mich vertippt, steht auch eine Korrekturtaste zur Verfügung, wie ich es z.B. auch vom Geldautomaten "an der Ecke" oder einem Kassenchiplesegerät gewohnt bin - so ähnlich funktioniert auch der Kobil Kaan Tribank. Über die Eingabetaste bestätige ich meine Eingaben und weiter geht´s.
Das Gerät nun sorgt für die Verschlüsselung meiner zuvor getätigten Eingaben, die auf der Seite des Kreditinstituts mit dem zuvor hinterlegten Leseschlüssel (s.o.) wieder entschlüsselt werden können.

Das DES-Chipverfahren des Kobil Kaan Tribank

Beim Chip-Verfahren, wie es mit Hilfe des Kobil Kaan-Lesers zum Einsatz kommt, kann dazu weder der kryptographische Schlüssel der Karte ausgelesen werden, noch ist das Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner möglich, weil die Eingaben über die Tastatur des Gerätes direkt geschehen - ein "Abhören" via Keylogger ist so nicht möglich. Dennoch: vollkommen unmöglich ist Phishing auch bei diesem Verfahren nicht - allerdings muss der Cyberkriminelle in spe zum erfolgreichen Ausführen einer Transaktion die elektronische Signatur der Karte besitzen - sie muss also vorher - dann in der Regel sehr wahrscheinlich durch Einbruchdiebstahl, in den Besitz der HBCI-Karte des Nutzers gelangt sein, denn die HBCI-Karte unterwegs mitzuführen, ist irgendwie nutzlos - weder kann man an einem Geldautomaten damit etwas abheben noch sonst irgendwelche Dinge ohne Zugang zum Bankingprogramm sowie des dafür notwendigen Logins als Nutzer anfangen.

Ende der Transmission

Nach erfolgter Transaktion, dessen Erfolg mir über das Bankingprogramm angezeigt wird, loggt sich das Programm automatisch wieder aus dem Netz aus und eventuell weitere Eingaben geschehen erneut offline, zumindest solange, bis ein neuer Auftrag online ausgeführt werden soll.
Auch der Kobil Kaan Tribank meldet sich nochmals: viaDisplay werde ich dazu ersucht, die für die Transaktion eingesetzte HBCI-Karte aus dem Gerät zu nehmen.Folge ich dieser Aufforderung nicht, bevor ich eine weitere Transaktion ausführe, führt dies zur Sperrung des Geräts und wird vom System solange nicht mehr erkannt, bis ich es via USB abziehe und nochmal neu an den Rechner anschließe. Der Vorteil ist natürlich der, dass ich die Karte nicht im Gerät hinterlassen kann, ohne, dass es mir irgendwie auffallen könnte - als Sicherheitsmaßnahme finde ich das ganz OK.
Durch die kurzen Online-Zeiten während eines Vorgangs wird so auch sichergestellt, dass potentielle Onlineangreifer möglichst wenig Zeit bekommen, die beiden jeweils mit 56 Bit verschlüsselten Keys, die auf der HBCI-Karte abgespeichert sind, zu entschlüsseln und für ihre Zwecke einzusetzen...

Support: Firmware- & Treiberupdates

Der Hersteller Kobil bietet auf seiner Homepage neben ständig aktuallisierten Treibern für den Kobil Kaan Tribank auch gelegentlich Firmwareupdates für das Gerät an. Da mein Gerät schon beim Kauf mit der bislang aktuellsten Firmwareversion 79.23 ausgestattet war, brauchte ich bislang kein solches Update ausführen. Lediglich die Treiberversion war auf der unter www.kobil.com erreichbaren, englischsprachigen Homepage des Herstellers ein wenig neuer als die auf der dem Gerät beigefügten CD. Über die Installation dieses Treibers habe ich ja schon berichtet...

Technisches kurz gefasst

* Firmware updatebar
* ZKA-Secoder-1 zertifiziert
* HBCI Class 3 Smartcard-Terminal
* Große, leicht bedienbare Tastatur
* Kompatibel mit allen gebräuchlichen Standards
* Lesegerät Online-/Offline benutzbar
* Einfache Plug & Play Installation
* Umfangreiche Treiberunterstützung
* Zusammenklappbare USB Docking Station für den Online-Gebrauch
* Alphanumerisches Display für deutliche Lesbarkeit

FAZIT

Sicherheit ist sicherlich auch eine Glaubensfrage, aber dank HBCI fühle ich mich jedenfalls deutlich sicherer, wenn ich mal wieder eine neue Überweisung oder einfach eine Kontoabfrage online durchführen möchte. Die Eingaben und Funktionen, die über den Kobil Kaan-Chipkartenleser dabei ausgeführt werden, haben sich für mich bislang als sehr zuverlässig herauskristallisiert. Probleme in Bezug auf Funktionen oder Eingaben habe ich bislang noch keine feststellen können. Das Gerät bietet dank der eingebauten , numerischen Tastatur das momentane Maximum an technischen Sicherheitsvorkehrungen in Sachen Homebanking. Natürlich gibt es nach wie vor Restrisiken (s.o.), aber ich denke, wenn ich immer schön auf meine HBCI Karte aufpasse und den Antivirenschutz aktuell halte, kann mir vergleichsweise weniger passieren als mit dem vielfach schon in Kritik geratenen Pin/Tan Verfahren. Das Gerät jedenfalls empfehle ich weiter und gebe volle fünf Sternchen. Die Treiberaktuallisierungen,das große und recht übersichtliche, alphanumerische Display sowie die Möglichkeit von Firmwareupdates und vor allem der hohe Sicherheitsstandard von HBCI 3 sind die Argumente, die für mich voll treffen. Dazu ist das Gerät nach dem Gebrauch zusammenklappbar, wodurch bei Nichtnutzung keinen großen Platz für sich beansprucht.

66 Bewertungen, 16 Kommentare

  • anonym

    31.01.2011, 07:08 Uhr von anonym
    Bewertung: sehr hilfreich

    Liebe Grüße und einen schönen Wochenanfang.

  • trullilu

    31.12.2010, 15:31 Uhr von trullilu
    Bewertung: sehr hilfreich

    Grüße schickt dir trullilu !!!

  • knoopiwahn

    30.11.2010, 16:46 Uhr von knoopiwahn
    Bewertung: sehr hilfreich

    Viele Grüße von knoopiwahn!

  • Scrat173

    30.11.2010, 15:46 Uhr von Scrat173
    Bewertung: sehr hilfreich

    Würde mich über Gegenlesung freuen!!!

  • cleo1

    25.11.2010, 08:54 Uhr von cleo1
    Bewertung: sehr hilfreich

    Liebe Grüße cleo1

  • Venenum84

    22.11.2010, 18:55 Uhr von Venenum84
    Bewertung: sehr hilfreich

    Lesen auf Yopi macht besonders viel spaß, wenn man wie bei dir Gegengelesen wird!

  • Powerdiddl

    22.11.2010, 12:06 Uhr von Powerdiddl
    Bewertung: sehr hilfreich

    LG und einen sonnigen Gruß.

  • mmlstars

    22.11.2010, 08:39 Uhr von mmlstars
    Bewertung: besonders wertvoll

    Absoluter Hammertipp!!! Einfach genial unser Hollgo ;-) Liebe Grüße, Melanie

  • senora

    22.11.2010, 08:11 Uhr von senora
    Bewertung: besonders wertvoll

    Der Winter soll einziehen, Packen wir es an. Lach. LG

  • XXLALF

    22.11.2010, 07:49 Uhr von XXLALF
    Bewertung: besonders wertvoll

    und einen guten wochenstart

  • morla

    22.11.2010, 02:21 Uhr von morla
    Bewertung: besonders wertvoll

    lg.^^^^^^^^^^^^ petra

  • anonym

    22.11.2010, 00:47 Uhr von anonym
    Bewertung: sehr hilfreich

    danke fürs Lesen bei mir

  • anonym

    21.11.2010, 20:16 Uhr von anonym
    Bewertung: besonders wertvoll

    Schöne Grüsse, Talulah

  • wakingtall2005

    21.11.2010, 19:05 Uhr von wakingtall2005
    Bewertung: sehr hilfreich

    sehr schöner Bericht.. schau doch auch mal bei meinen Berichten vorbei, würde mich freuen, einen schönen Sonntag noch

  • katjafranke

    21.11.2010, 18:53 Uhr von katjafranke
    Bewertung: besonders wertvoll

    Liebe Grüße KATJA....

  • anonym

    21.11.2010, 18:27 Uhr von anonym
    Bewertung: sehr hilfreich

    Toll beschrieben - LG und einen schönen Sonntag :)