Basiswissen (Hintergrundwissen) - sBanking - Bankgeschäfte im Internet

Seite 2/2
Geändert am 27.06.2007
HBCI - die bessere Alternative - Vorwort
HBCI (»Homebanking Computer Interface«) wurde in Zusammenarbeit mit verschiedenen Banken entwickelt und vom zentralen Kreditausschuß als offener Standard beschlossen. HBCI selbst ist also nur ein Standard, der die Technik und die Funktion beschreibt. Der offene Standard gewährleistet, daß jeder Softwareentwickler seine Software mit den entsprechenden Möglichkeiten ausstatten kann, so dass eine Zusammenarbeit mit anderer HBCI-Software / -diensten erfolgen kann. Der Vorteil von HBCI ist die Unabhängigkeit von Plattform und Betreiber und die verschiedenen Arten der Authentifizierung.
HBCI - die bessere Alternative - Beschreibung
HBCI unterteilt sich in Sicherheitsmechanismen (Authentifizierung und Verschlüsselung) und Geschäftsvorfälle (Datenformat und Ausführung). Als Sicherheitsmechanismen werden RSA-Schlüsseldiskette, DES- und RSA-Chipkarte sowie PIN/TAN angeboten.
  • RSA-Schlüsseldiskette
Das Wort Schlüsseldiskette ist noch aus den Anfängen von HBCI. Damals wurden die vom Benutzer erzeugten Schlüsselpaare (Public- und Privatkey) auf schreibgeschützten Disketten gespeichert und mittels Passwort geschützt. Heute ist es möglich, diese Keys auch auf anderen Datenträgern zu speichern. Mit Hilfe der Schlüsselpaare werden die Daten ver- und entschlüsselt, sowie vor der Übertragung signiert. Der Kunde bekommt einen INI-Brief der Bank, aus denen er für sich unter Verwendung eines Passwortes sein Schlüsselpaar erzeugt. Zur Festellung der Echtheit wird der sogenannte Fingerabdruck vom öffentlichen Signaturschlüssel (PublicKey) in Papierfom an die Bank gesendet. Diese vergleicht ihn mit dem elektronisch übertragenen Fingerabdruck. Bei einem Wechsel des Bankingprogrammes sollte der Benutzer prüfen, ob die neue Anwendung mit dem Speicherformat der Schlüssel arbeiten kann, oder die Anwendung eine Umstellung des Formates ermöglicht. Ist dies nicht gegeben, müssen neue Schlüssel generiert werden, was neue INI-Briefe erfordert.
  • RSA-Chipkarte
Hier wird statt ein Datenträger eine Chipkarte zur Schlüsselspeicherung verwendet.
  • DES-Chipkarte
Diese Chipkarte wird von der Bank ausgegeben. Der Kunde hat also keinen Einfluß auf die Verschlüsselung selbst und ist auf einen Kartenlesegerät angewiesen, dadurch wird die Echtheit durch die Bank selbst gewährleistet.
  • PIN/TAN (siehe PIN/TAN - das „klassische“ Onlinebanking)
Diese Verfahren ist eine Erweiterung des HBCI-Standards in Anlehnung an das Onlinebanking über BTX. Es sollte den bestehenden Kunden den Umstieg und neuen Kunden den Einstieg erleichtern. Die Transaktionen werden durch die Verwendung einer festgelegten PIN (»Persönliche Identifikationsnummer«) und einer TAN (»Transaktionsnummer«) von einer von der Bank erstellten TAN-Liste authentifiziert.
HBCI - die bessere Alternative - Risiken
Die Risiken des Mißbrauchs können durch Verwendung von HBCI auf ein theoretisches Restrisiko minimiert werden. Es hat sich eingebürgert, das PIN/TAN-Verfahren im allgemeinen Sprachgebrauch nicht im Zusammenhang mit HBCI zu nennen, weswegen die Risiken sich unter PIN/TAN - das „klassische“ Onlinebanking finden. Bei den anderen oben genannten Verfahren gibt es auch risikobelastete Szenarien, die allerdings einen weitaus größeren, und im herkömmlichen Geschäftsverkehr einen kaum umsetzbaren Aufwand bedeuten. Am gefährlichsten ist der Umstand des Zugriff durch unberechtigte auf das Schlüsselpaar und dem Passwortes gleichzeitig. Am sichersten ist die Verwendung eines Chipkartenleser der Sicherheitsklasse 2, bei dessen Verwendung ein auslesen des Keys und das erschleichen des Passwortes mithilfe eines Keylogger oder Trojaner nicht möglich ist.

VORHERIGE SEITE       ZUM SEITENANFANG