Homebanking, Internetbanking - was ist das eigentlich? Worauf Sie beim Onlinebanking achten sollten Onlinebanking - absolut sicher? Sicherheitsstandards

Homebanking, Internetbanking - was ist das eigentlich?
Homebanking werden viele von Ihnen längst kennen: seit ca. 20 Jahren schon kann man über das BTX-Netz der Telekom seine Bankangelegenheiten von zu Hause aus abwickeln. Neueren Datums dagegen sind Bankgeschäfte über das Internet. Damit wird das "Telebanking" noch flexibler und zudem mobil - allerdings kommen damit auch die Sicherheitsrisiken des Internet ins Spiel. Mit welchen Verfahren Banken und Industrie dennoch für einen sicheren Zahlungsverkehr über das Internet sorgen, darüber wollen wir Sie in diesem Themenschwerpunkt informieren.
Eine gute Beschreibung dessen, was Online-Banking bedeutet, liefert unser akademie.de-Netlexikon:

"...Größtes Hindernis sowohl für das Online-Banking als auch für den Online-Zahlungsverkehr sind bislang noch Sicherheitsmängel in der Datenübertragung. Dem versuchen die Kreditinstitute durch Techniken wie das "Homebanking Computer Interface" (HBCI) und besonders gesicherte Übertragungsverfahren wie "Secure Electronic Transaction" (SET) und "Secure Socket Layer" (SSL) abzuhelfen. Die Möglichkeit zu gesicherten Finanztransaktionen über Computernetze bieten auch das Extranet und das "Virtual Privat Network" (VPN)."



Homebanking via T-Online
Die Vorteile des T-Online - Banking sind vor allem die jahrelang erprobte Sicherheit sowie das fast alle deutschen Banken vertreten sind. Dem T-Online wurde bis dato immer zugute gehalten, daß es ein geschlossenes Netz darstellt, bei dem eine Homebanking - Buchung sofort im Online - System gesichert ist und niemand mehr die Daten manipulieren kann.
Als Zugang zum BTX - System benötigt man drei Kennungen: Anschlußkennung Teilnehmernummer Paßwort (frei wählbar) Nur wenn diese Kennungen richtig sind, kann der BTX - Dienst genutzt werden. Außerdem sichert die Bank den Zugang zu dem Konto durch: PIN (Persönliche Identifikationsnummer) TAN (TransAktionsNummer) Die 6-stellige TAN ist die „elektronische Unterschrift" zu dem Konto, die von dem Zentralrechner jeweils nur einmal vergeben und verwendet werden kann. Da aber die Anbieter (Banken) versuchen, frühzeitig die vorhandenen T-Online - Angebote auch im Internet anzubieten, werden die Homebanking – Funktionen der Banken und Sparkassen über einen T-Online - Gateway bereitgestellt. Dadurch tritt der Kunde nicht direkt mit der Bank in Verbindung, statt dessen kontaktiert er die Internet - Seiten des Dienstanbieters.
Ein solches Gateway könnte in betrügerischer Absicht und ohne Kenntnis der Bank von beliebigen Serverbetreibern - auch im Ausland - etabliert werden. PIN und TANs stünden ihnen dann unverschlüsselt zur Verfügung.
Kommunikation über Gateway-Server

Homebanking via Internet
Der Zahlungsverkehr via Internet wird in den nächsten Jahren drastisch an Bedeutung erlangen. Unsicherheit herrscht aber noch im Punkt Sicherheit, auf den gerade bei Geldbewegungen verständlicherweise gesteigerter Wert gelegt wird. Die zusätzliche Gefahr besteht bei der Internet - Verbindung darin, daß die persönliche Daten erst einmal durch viele unbekannte Rechner laufen, bis sie zur Bank gelangen, wodurch Manipulationen „Tür und Tor" geöffnet werden. Deshalb ist das Internetbanking mit Transaktionen (Überweisungen, Geldanlagen) derzeit nur bei wenigen Geldinstituten wie zum Beispiel der Advance Bank, der Bank 24 oder der Sparda-Bank Hamburg möglich, oder es ist lediglich auf Informationen wie Anlagetipps, Kontostände abrufen oder Aktienkurse beschränkt (z.B. Citibank). Die Sicherheitsrisiken des Internetbanking liegen da schon auf der Hand:
Nicht einmal die Kreditinstitute scheinen Vertrauen in die Sicherheit des eigenen Systems zu haben, denn sie übernehmen keine Haftung bei Manipulation. Der Kunde steht unter Beweislast. Hacker können während der Datenübertragung an mehreren Stellen eingreifen (Am Kundenrechner, im Internet oder beim Kreditinstitut selbst). Durch Aktive X - Technologie können fremde Programme auf den Rechner gelangen, die ungewollte Transaktionen veranlassen.
So haben Hacker des Frankfurter Chaos Computer Clubs am 02.05.2000 im Hessischen Fernshehen live demonstriert, daß das von den Banken gerade eingeführte und angeblich sehr sichere Onlinebanking per Chipkarte (nach dem "Home Banking Computerinterface" HBCI Standard) mit einfachsten Mitteln kompromittiert werden kann.
Sicher soll dieses Verfahren deshalb sein, weil der Kryptographieschlüssel für den Datenverkehr mit der Bank manipulationssicher auf der Chipkarte eingeschlossen ist, also damit weder verändert, noch ausgelesen/kopiert werden kann. Die Praxis sieht leider anders aus, wie in der Sendung sehr gut demonstriert wurde: ein böswilliger Angreifer ist jederzeit per Internet und eingeschleustem Trojanischen Pferd (z.b. Back Orifice, im Internet frei erhältlich) in der Lage die vom Benutzer eingegebene PIN abzugreifen (TAN's werden ja nicht mehr verwendet) und sich damit in den Datenverkehr mit der Bank einzuschalten, ihn in seinem Sinne zu manipulieren. Einzige Vorraussetzung: die Chipkarte muß im Leser des Benutzers stecken. Das Prinzip wird auf englisch genau erklärt unter:
http://pamphlet.ffm.ccc.de/b0t0m/ebanking.htmlBack to top

Worauf Sie beim Online-Banking achten sollten
Das Internetbanking in einem grundsätzlich offenen und angreifbaren Netz unterscheidet sich wesentlich vom Homebanking in einem geschlossenen Nutzerkreis wie T-Online. Beim Internetbanking ist also besonders auf die Sicherheitsstandards der Banken zu achten Speichern Sie aus Sicherheitsgründen niemals die PIN und die TANs auf Ihrem Rechner ab und informieren Sie sich umfassend über Sicherheitsaspekte, Risiken und Verhaltensempfehlungen. Überprüfen Sie vor dem Wechsel zum Online-Banking Ihren Bedarf für diese andere Art, Bankgeschäfte durchzuführen. Lesen Sie vorab die Geschäftsbedingungen der Institute zum Homebanking aufmerksam durch. Achten Sie vor allem auf kundenfreundliche Haftungsbedingungen. Fragen Sie vorab Ihre Bank, ob wegen deren verringerten Aufwands die Kontoführungsgebühren sinken, wenn Sie sich für das Homebanking entscheiden, und ob einmalige Extrakosten anfallen. Beim Onlinebanking unterscheidet sich das Internetbanking in einem grundsätzlich offenen und angreifbaren Netz immer noch wesentlich vom sichereren Homebanking in einem geschlossenen Nutzerkreis wie T-Online. Beim Internetbanking ist also besonders auf die Sicherheitsstandards der Banken zu achten (HBCI ist hierbei allererste Voraussetzung). Speichern Sie aus Sicherheitsgründen niemals die PIN und die TANs auf Ihrem Rechner ab und informieren Sie sich umfassend über Sicherheitsaspekte, Risiken und Verhaltensempfehlungen. Kontrollieren Sie regelmäßig Ihre Kontoauszüge online und achten Sie auf Unregelmäßigkeiten. Bei einem vermuteten Missbrauch Ihrer Kontodaten wie PIN und TANs lassen Sie sofort telefonisch das Konto sperren (erste Soforthilfe: dreimalige Eingabe einer falschen PIN am PC). Sollte Ihnen durch Missbrauch oder Fehlbuchung der Bank finanzieller Schaden entstanden sein, reklamieren Sie diesen unverzüglich bei Ihrer Bank und machen Sie Aufzeichnungen über die näheren Umstände. Ist die Bank nicht bereit zurückzubuchen, sollten Sie sich sofort unabhängige Hilfe holen, z.B. bei einer Verbraucher-Zentrale. Quelle: Arbeitsgemeinschaft der Verbraucherverbände e.V. Back to top

Online-Banking – absolut sicher?
Kaum eine Anwendung schreit so sehr nach Sicherheit wie das Homebanking. Fast alle großen deutschen Banken bieten inzwischen Transaktionen per Internet an. Die meisten benutzen Java-Krypto-Applets, die über einen SSL-Kanal (Secure Socket Layer) bezogen werden. Was uns die Werbung nicht verrät: bis diese Sicherheit zieht, ist es schon zu spät!
Wenn es einem Verbrecher gelingt, seinen Rechner als SSL-Banking-Server auszugeben, kann er dem Browser des nichtsahnenden Kunden ein selbstgebasteltes Java-Applet übermitteln, das optisch von dem echten nicht zu unterscheiden ist. Der Kunde würde wie gewohnt seine PINs und TANs eingeben und keinen Unterschied bemerken. Daß diese Übertragung nur vergleichsweise schwach geschützt über das Netz geht, ist praktisch bedeutungslos, da die Daten bereits unmittelbar an kriminelle Hände adressiert sind.
Da solche Angriffe völlig automatisierbar sind, ist leicht vorstellbar, daß jemand nach längerer Vorbereitungphase (PIN/TAN sammeln) innerhalb weniger Tage viele Tausend falsche Überweisungen tätigt. Die meisten davon könnten reine Ablenkung sein, um die wahren Zielkonten zu verschleiern, bis der elektronische Bankräuber sich mit dem Geld von einem Bruchteil der benutzten Konten aus dem Staub macht. Die Prüfung all dieser Vorgänge durch die Banken dauerte vermutlich so lange, daß der Übeltäter längst über alle Berge ist, bis man ihm auf die Schliche kommt.
Um unauffällig eine SSL-Verbindung zum falschen Banking-Server zu öffnen, müssen zwei Voraussetzungen erfüllt sein: Der Client-Rechner muß nach Eingabe der URL 'https://banking.meinebank.de' die falsche numerische Internet-Adresse erhalten - DNS-Spoofing, kein Problem. Darüber hinaus muß der Browser des Kunden das SSL-Zertifikat, das ihm der falsche 'Secure' Webserver zeigt, als echt und gültig akzeptieren. Dazu ist das Zertifikat einer 'vertrauenswürdigen' Stelle (Certification Authority, CA) erforderlich.
Quelle: c't 10/97, S. 286: Internet-Sicherheit (Viktor Mraz, Klaus Weidner)Back to top

Sicherheitsstandards
Der scheinbar nicht mehr aufzuhaltende Erfolg des Internet und damit die zunehmende Bedeutung von Internet - Zahlungssystemen, ruft, ähnlich wie bei Videorecordern in der Vergangenheit, die Branchengrößen auf, den wachsenden Markt, die mit den unterschiedlichsten Systemen versuchen ihre Marktmacht zu demonstrieren, auszubauen bzw. alleinige Marktmacht zu erlangen. IBM veröffentlichte einen Vorschlag zur Bezahlung mit Kreditkarten im Netz und Hewlett-Packard zog mit HPPS (HP Payment Schema) nach. Microsoft und Visa stellten eine Spezifikation namens STT (Secure Transaction Technology) vor. Microsoft versuchte mit PCT (Privat Communications Technology) an Netscapes erfolgreichem SSL - Standart zu kratzen. Darauf hin veröffentlichte das Konsortium aus IBM, MasterCard, Netscape und CyberCash das SEPP (Secure Electronic Payment Protocol), eine Zusammenfassung aus IBM´s iKP, dem Netscape - Vorschlag und den Erfahrungen von CyberCash. Da die technische Beschreibung der Sicherheitskonzepte an dieser Stelle zu weit führen würde, wird nur auf die zur Zeit angewandten Standards kurz eingegangen.
Kryptografieverfahren
Die Kryptologie bildet die Grundlage zu sicheren elektronischen Datenverarbeitung. Dabei stellen sich zwei klassische Ziele: Dritte sollen die Daten weder mitlesen noch verändern können.
SSL - Protokoll
Die Firma Netscape Communications hat mit dem SSL - Protokoll (Secure Socket Layer), ein Standard zur Verschlüsselung von Daten (Kreditkartentransaktionen) im Internet sichergestellt und sich damit zugleich mit ihren Produkten, dem Commerce – Server einerseits und dem Netscape Navigator - Browser andererseits durchgesetzt. Erstmals ist die Datensicherheit während der Übertragung gewährleistet und andere namhafte Browser - Herstellern wie Microsoft verwenden mittlerweile dieselben Standards. SSL ist einfach zu bedienen und fügt sich in die Arbeitsumgebung des Normalusers ein.
SET – Standard
"Secure Electronic Transaction", kurz SET genannt, ist ein neues Verfahren, mit dem das Bezahlen im Internet sicherer werden soll. Von VISA und MasterCard unter Beteiligung von IBM, Microsoft und anderen namhaften Unternehmen entwickelt, ist das Verfahren auf dem Wege, sich als weltweiter Standard für den Online-Einkauf durchzusetzen.
Mit weltweiter Gültigkeit werden zunächst die Kartensysteme von VISA und MasterCard unterstützt. Das erklärte Ziel von SET ist es, einen sicheren Einkauf mit der Kreditkarte im Internet zu ermöglichen; die gebotenen Leistungen sind daher richtungsweisend für den E-Commerce. SET bietet gegenüber bisher üblichen Zahlungsmöglichkeiten doppelte Sicherheit: neben einem Verschlüsselungssystem für den "abhörsicheren Datentransfer" garantiert ein digitales Zertifikat die eindeutige Identifizierung jedes Karteninhabers und Händlers im Netz. Dies gilt für jede Zahlung über das Internet. Für den Kunden heißt das: die Vertraulichkeit von Informationen ist gesichert, die Integrität der Daten ist gewährleistet, und die Authentizität der Teilnehmer ist für beide Geschäftspartner ersichtlich.
Zertifizierung
Damit man in Zukunft sicher mit der Kreditkarte im Netz bezahlen kann, müssen zunächst alle drei Teilnehmer - Kunde, Händler und Bank - einmalig zertifiziert werden. Jeder Kunde benötigt außerdem ein sogenanntes "Wallet". Das Wallet ist ein Browser-Plugin, das die Zahlung an autorisierte Händler im Internet ermöglicht. Dieses Browser-Plugin muß auf dem PC installiert werden. Wie in einem Prtemonnaie werden dort die Kreditkarten abgelegt und verwaltet. Das Wallet aktiviert sich automatisch immer dann, wenn eine Zahlung per Kreditkarte erfolgensoll.
Für jede Transaktion mit SET weist sich jeder Kunde und Händler (Kartenakzeptant) mit seinem digitalen Zertifikat aus. Dadurch kann die Echtheit und Seriosität der Geschäftspartner gesichert werden. Diese Zertifikat erhält man in der Regel bei der Bank, wenn diese SET unterstützt. VISA Card-Inhaber oder -Akzeptanten können sich dort schon bald für die Teilnahme an SET zertifizieren lassen. Die Autorisierung einer Kreditkarte liegt vor, wenn eine verbindliche Zusage der Kreditkartenzahlung durch die Kartengesellschaft besteht. Außerdem wird bei jeder Zahlung per Internet eine direkte online-Autorisierung durchgeführt.
Verschlüsselung
Entscheidendes Glied in der Sicherheitskette ist das Verschlüsselungsverfahren für die transferierten Daten sowohl beim Händler als auch beim Kunden. Die Kreditkartendaten werden verschlüsselt, d.h. der Datentransfer im Internet kann von Dritten nicht eingesehen werden. Werden die Daten in einem nicht gesicherten Kanal an den Geschäftspartner versendet, so sind sie vor Mißbrauch durch Dritte nicht asreichend geschützt. SET arbeitet mit einem besonders effizienten Verschlüsselungsverfahren, mit dem unabhängig vom jeweiligen Browser eine angemessene Verschlüsselung gewährleistet werden kann.
Um die Vertraulichkeit der Transaktionen zu sichern, verwendet SET sowohl asymmetrische als auch symmetrische Verschlüsselungen. Die Daten werden aus Effiziensgründen zunächst symmetrisch mit einem Sessionkey verschlüsselt, und dieser wird mit dem öffentlichen (asymmetrischen) Schlüssel des Empfängers verschlüsselt. Beim Erhalten der Nachricht kann der Empfänger mit seinem privaten Schlüssel den Sessionkey entschlüsseln, und dann per symmetrischer Dekodierung die Daten im Klartext erhlten. Für diesen Zweck besitzt jeder SET-Teilnehmer (Banken, Händler und Kunde) ein asymmetrisches Schlüsselpaar. Für die symmetrische Verschlüsselung wird der DES-, für die asymmetrische der RSA-Algorithmus verwendet.
Java - Applets versus Active X
Eine nicht weniger wichtige Rolle im Rahmen der Online - Sicherheit spielt die eigene Sicherheit gegen ungewollte Festplattenzugriffe. Dieses Sicherheitsrisiko entsteht bei interaktiven Anwendungen wie zum Beispiel dem Homebanking via Internet. Die auf der Festplatte gespeicherten Daten (z.B. Geschäftsdaten) des Anwenders müssen vor unzulässigen Zugriffen beim Ausführen von Transaktionen geschützt werden. Die Steuerung dieser Anwendungen wird durch Steuerbausteine wie die den Java - Applets der Firma Sun oder den der von der Firma Microsoft favorisierten Active X - Steuerelementen realisiert. Gerade Active X ist eine Thema, über das letzte Zeit gerade im Hinblick der Sicherheit viel diskutiert wurde. Um es vorwegzunehmen: Die Frage, inwieweit Active X ein Sicherheitsrisiko darstellt, läßt sich noch nicht zufriedenstellend beantworten.
Dem Java - Applet wird zugute gehalten wird, daß es nicht in einem Maschinencode programmiert ist, sondern man benutzt einen Java - Bytecode. Vor der Ausführung wird das Java - Applet von dem Bytecode - Verifier überprüft und erst dann in Maschinensprache übersetzt, wenn kein unerlaubter zugriff auf die Hardware stattfindet. Es arbeitet somit plattformunabhängig und wird bei der Ausführung von der virtuellen Java - Maschine überwacht. Es ist jedoch anzumerken, daß auch ihr Festplattenzugriffe möglich sind, diese jedoch in einer kontrollierten Umgebung stattfinden.
Beim dem Begriff Active X muß man allerdings differenzieren. Zu den dem Schlagwort Active X gehören unter anderem Active X - Dokumente, Active -Scripting, Active X - Agenten, Active X - Server - Pages und natürlich die Active X - Controls. Und nur die zuletzt genannten Steuerelemente stehen im direkten Zusammenhang, wenn es um die Frage der Sicherheit geht. Diese Bausteine werden wie auch die Java - Applets ausschließlich in Java programmiert. Bei den Active X - Steuerelementen handelt es sich in Bezug auf ihre Möglichkeiten um gewöhnliche Programme, die alles dürfen, was ein normales Programm auch darf. Und genau diese Tatsache macht den Active X - Baustein zu einem Sicherheitsrisiko. Microsoft bietet dahingehend ein Modell mit der Bezeichnung „Authenticode" an, welches zur Zeit nur von der Firma Verisign in den USA angeboten wird, und auch von europäischen Entwicklern dort angefordert werden muß. Dabei erhalten die Active X - Steuerelemente eine digitale Kennummer, welche „Signatur" genannt wird, und beim starten dieser Anwendung von dem Browser überprüft wird. Eine genauere Beschreibung zum Authenticode - Verfahren, auf welches ich an dieser Stelle nicht näher eingehen möchte, macht die Firma Versign auf ihrer Internetseite.
Auch das Authenticode - Verfahren stellt zwar sicher, daß nur vertrauenswürdige Steuerelemente zur Anwendung kommen, jedoch kann eine vom Anwender unterschätzte „niedrige Sicherheitsstufe" des Internet Explorers auch unsignierte Steuerelemente zur Ausführung kommen lassen. Aus diesem Grund bleibt auch zukünftig bei der Ausführung solcher Steuerelemente immer ein Restrisiko. Weitere Informationen bietet Microsofts offizielle Seite zum Thema Internet - Sicherheit (URL: http://www.microsoft.com/security/advisor.htm ), die Firma Sun zum Thema Java - Sicherheit (URL: http://www.sun.com/sfaq ) sowie der Chaos Computer Club, der Links auf die Active X - Erfahrungen seiner Mitglieder macht (URL: http://www.iksjena.de/mitarb/lutz/security/activex.en.html ).
HBCI
HBCI - das steht für sicheres, flexibles, multibankfähiges, standardisiertes und plattformunabhängiges Homebanking. Dank HBCI entfällt das umständliche Listen-Handling in Zukunft ebenso wie das Risiko, daß sich Hacker mit einem geknacktem Zugangscode Zugriff verschaffen. Welche konkreten Vorteile hat aber HBCI für den Bankkunden und was verbirgt sich hinter HBCI?
Der Homebanking-Standard HBCI (Homebanking Computer Interface) basiert auf der vom Zentralen Kreditausschuß des Kreditgewerbes (ZKA) – einer Interessensgemeinschaft aller deutschen Bankverbände - festgelegten Spezifikation und liegt mittlerweile in der Version 2.0.1 vor. Bei der Spezifikation hat die Deutsche Kreditwirtschaft eine Vielzahl von Anforderungen berücksichtigt, um Bankkunden sicheres und komfortables Homebanking netzübergreifend und zukunftsorientiert anzubieten. Dabei zählen die elektronische Unterschrift, die Vielzahl von fest definierten Geschäftsvorfällen und die Möglichkeit des internationalen Einsatzes zu den Vorteilen von HBCI. Im einzelnen bietet HBCI dem Bankkunden folgende Vorteile: Unabhängig vom Transportnetzwerk: HBCI soll über viele Geräte möglich werden, neben dem Internet ist der Zugriff auf ds Bankkonto auch über Web-TV, Handy, SB-Terminal usw. realisierbar. Dabei sollen die Betriebssysteme auf den unterschiedlichen Medien keine Rolle spielen. Offenheit: Es werden internationale Standards, Protokolle und Normen verwendet.Das schafft die Voraussetzung, daß dieser primär deutsche Standard auch schnell im internationalen Ausland Einsatz finden wird. Multibankfähigkeit: Sowohl Bankkunden als auch Software Hersteller bedienen sich einer einheitlichen Schnittstelle zu allen Kreditinstituten, d.h. der Kunde kann eine Homebanking-Software für die Kommunikation zu mehreren Banken nutzen. Er bekommt somit die Möglichkeit, eine ihm vertraute Homebanking Software für alle seine Bankgeschäfte einzusetzen. Lästiges Wechseln bzw. Umschalten zwischen alternativen Banksystemen (z.B. Überweisung bei der Bank A - Wertpapier-Geschäft bei der Bank B) entfällt. Sicherheit: HBCI benutzt digitale Signaturen, die konform zur Signaturverordnung sind. Der elektronische Fingerabdruck des Bankkunden wird vom Computer in einen persönlichen Signaturschlüssel codiert, per Internet verschickt und auf der Gegenseite entschlüsselt. Die Schlüssel werden entweder auf einer Chipkarte, Diskette oder auf der lokalen Festplatte des Kunden-Rechners gespeichert. HBCI unterstützt derzeit bei der Signatur und Verschlüsselung folgende Sicherheitsverfahren: das RSA-Verfahren unter Verzicht auf die Sicherheit einer Krypto-Hardware und in Verbindung mit einer ZKA-Chipkarte die MAC-Lösung unter Verzicht auf den RSA-Algorithmus (alternativ wird Triple-DES verwendet). Flexibilität: Das bestehende Angebot von Geschäftsvorfällen kann schnell und einfach um weitere erweitert werden. Das ZKA hat bereits eine Vielzahl von Geschäftsvorfällen definiert, derzeit liegen für 32 Standard-Transaktionen wie z.B. Einzelüberweisungen, Lastschriftverfahren und Scheckbestellung die notwendigen Spezifikationen vor. Natürlich ist man daran interessiert, möglichst viele Geschäftsvorfälle anzubieten. Gerade das Internet-Brokering - also die Abwicklung von Wertpapiergeschäften über das Web - ist derzeit ein aktuelles Thema bei den Banken, daher ist mit einer HBCI Spezifikation in einer der nächten Versionen zu rechnen