[gnucash-de] Sicherheit für Nicht-Programmierer

Zirzlaff, Torsten TZirzlaff at harmanbecker.com
Mit Nov 22 02:03:39 EST 2006 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Morgen Mark.

Mark <> scribbled on Wednesday, November 22, 2006 12:50 AM:

[...]
> 
> Seit einigen Jahren nutze ich Linux und bin von der Sicherheit
> von Opensource überzeugt.

  Hm, im Vorgriff auf das was später folgt, weshalb bist Du der Sicherheit von
Linux und OpenSource im Allgemeinen überzeugt?

> Aber: Soll ich dem unsere Finanzen überlassen?
[...]
> Es fehlt mir hierbei jemand, den ich haftbar machen kann -
> denn den Code kann ich selber nicht kontrollieren.

  Hm, ich kenne jetzt nicht die Lizensbedingungen von anderer Heimfinanz
Software, aber ich denke wie auch bei anderer Software für den Hausgebrauch,
die keine besondere Spezialsoftware ist, gilt das der Hersteller für Schaden 
verursacht durch den Gebrauch seiner Software /nicht/ haftbar zu machen ist.

  In wie weit das mit aktuellen deutschen Recht vereinbar ist sei dahin gestellt,
aber den entsprechenden Prozeß wird sich eine Privatperson nur unter
geeigneten Bedingungen antun wollen.

> Im Falle
> eines Schadens müßte ich nachweisen, dass ich nicht
> leichtfertig mit den Bankdaten und der Bankingsoftware
> umgegangen bin. Doch wie kann ich davon ausgehen, dass die
> Software sicher ist, wenn sie doch aus mehren Quellen
> zusammengestellt ist?

  Ich vermute das dies auch der Fall wäre wenn Du nur die Software verwenden
würdest, die Dir von der Bank zur Verfügung gestellt wird. Es würde Dir dann
unterstellt werden, das Dein Rechner über andere Kanäle komprometiert wurde.

  Keine Frage alles nachweisbar widerlegbar, aber kann in einem Prozeß
sicherlich sehr aufwendig werden und die Anerkennung der Widersprüche
auch nicht einfach, außer das betroffende System wird abgeschaltet und steht
dann in dem Zustand zur Verfügung als der Schaden aufgetreten ist. Im
Privathaushalt nicht immer bezahlbar.
 
> Wie schön wäre es, wenn meine Bank mir gnucash mit HBCI zur
> Verfügung gestellt hätte ... Wenn sich dies wegen der
> Abhängigkeiten sich überhaupt installieren ließe.

  Das wäre wünschenswert, wenn hier die Abhängigkeiten weniger komplex
wären.

> Wie haltet ihr es mit gnucash und HBCI? Woher kann ich die
> Sicherheit bekommen, dass mit dieser Kombination sicheres -
> oder gar "sichereres" Homebanking möglich ist?

  Persönlich würde ich zur Zeit keiner der befindlichen Programme dieses
Vertrauen aussprechen, wenn es mir um Haftbarkeit ginge. Und das Geld
um mir diese Haftbarkeit zu verschaffen habe ich auch nicht.

  Ich verwende GnuCash um meine Finanzen zu verwalten, aber Buchungen
werden noch gewöhnlich über Papier und einwerfen beim Postamt getätigt.
Der Zeitverzug ist nicht relevant und vergleichbar was ich erlebt habe bei
der Zahlungsverarbeitung in verschiedenen Unternehemen. Ich sehe es nicht
ein schneller sein zu müssen als ein Unternehmen, welches sich dafür eigene
Abteilungen, Software und Konten hält. Mit ca. 3 Werktagen bin da in der
gleichen Liga.

  Meines Erachtens ist HBCI schon ein sicheres Verfahren und ist im Vergleich
zum gängigen PIN/TAN wesentlich sicherer, aber sicherlich nicht so sicher
das ausgeschlossen werden kann (ohne Evaluierung, der einzelnen Teilnehmer)
das Daten manipuliert wurden. Es gibt ja sogar keine Sicherheit am Geldautomaten
der Hausbank, da selbst dort Manipulationen möglich sind und durchgeführt wurden.
Ob dies nur ein Aufsatz zum Karten lesen ist, oder gar Bausteine in der Elektronik
innerhalb des Automaten.

  Es wird in absehbarer Zeit sicherlich kein Unbedenklichkeitszertifikat geben. Allerdings
bei der Verwednungn von Debian habe irecht gute Erfahrungen gemacht bzgl. des
Supports, leider ist es eben nicht immer das aktuellste und damit wird das Problem
mit dem Online Börsenabgleich immer problematisch sein :(.

Ciao

	Torsten
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.4 (MingW32)

iQEVAwUBRWP2S1qurtge6dVZAQK4RggAsHh9sKqt0XMaNKJU4vJV4RXJXXCMY9mZ
nT4F+5CPzQKKX8q4EsoQwoBPGRRt1wLlFqtwRLgtE6xBu8osSRRCtYeeoeHcrmYW
RI4gxikgPezUmp4NkqJ0DXfLhNvYHHz4ZtidA2svpE4fifTaGDzHfUVntF+rIwLL
5JUXoWToBI4uxi673ZvNyxmj3RZ2fwTvm95MW53oDXboLd91yv6CcMP+eMnujQXJ
+0xfhYTb7KZf06Rlywa5gQ5cCYIZ0JD3UqD1p4UdSRxMMqXhEU5e98N40X6LWZDV
nzKzbBpbmCyOg4E5MwyBgr6hVcjew3FNGW26jD4jXlb+KoIb9fMx/A==
=4RcH
-----END PGP SIGNATURE-----



*******************************************
Diese E-Mail enthaelt vertrauliche und/oder rechtlich geschuetzte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtuemlich erhalten haben, informieren Sie bitte sofort den Absender und loeschen Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
 
This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and delete this e-mail. Any unauthorized copying, disclosure or distribution of the contents in this e-mail is strictly forbidden.
*******************************************