Homebanking war die Killer-Applikation für BTX. Und auch heute noch ist die Möglichkeit, Bankgeschäfte von zu Hause aus regeln zu können, oft der Haupt- oder einzige Grund für einen Onlinezugang. Trotzdem gehörte das Internetbanking bisher zu den Bereichen, die durch keinen Standard geregelt sind. Vor allem in Bezug auf die Sicherheitsproblematik erweisen sich Bankgeschäfte als eine für die Benutzer sehr sensible Angelegenheit. Schließlich werden standardmäßig alle Internetdaten offen und für jedermann lesbar verschickt. Deshalb verwenden alle Banken, die ihren Kunden Homebanking über das Internet anbieten, eigene Verschlüsselungssoftware. Während Browser auf Grund der amerikanischen Exportbeschränkung mit 56 Bit verschlüsseln, verwenden Banken eigene Software mit größeren Schlüsseln. Denn 56-Bit-Schüssel lassen sich mit genügend Rechenpower in kurzer Zeit knacken.
Oft setzen die Banken für Transaktionen Java-Applets ein, die eigene Verschlüsselungsroutinen enthalten. Für die Kunden ist das mit Wartezeiten bei der Übertragung der Applet-Daten verbunden. Um eine höchstmögliche Sicherheit zu garantieren, verwenden die Banken zusätzlich ein PIN /TAN -Verfahren. Die PIN (Persönliche Identifikationsnummer) ist ein persönliches Passwort. Bei jeder Transaktion muss der Kunde zusätzlich eine Transaktionsnummer (TAN) eingeben, die jeweils nur für diesen einen Vorgang gültig ist. Sind alle TANs aufgebraucht, kann bei der Bank eine neue Liste angefordert werden.
Bei den bisherigen Internetbanking-Lösungen fällt auf, dass jede Bank ihr eigenes Süppchen mit speziell entwickelter Software kocht. Die Benutzer müssen sich bei jeder Bank an eine andere Bedienung und Benutzeroberfläche gewöhnen und permanent während der Durchführung der Bankgeschäfte online sein.
Diese beiden Nachteile treffen auf den Hauptkonkurrenten T-Online im Online-Bankgeschäft nicht zu: Wer über T-Online in die Welt des Homebankings einsteigt, kann seine Überweisungen offline eingeben und erhält für jede Bank die gleichen Eingabemasken. Der Nachteil liegt hierbei in der Abhängigkeit vom Provider. Unterwegs ist nicht immer ein Computer mit installierter T-Online-Software zur Hand. Wer zudem ins Ausland reist, kann sich auf teure Telefonkosten für die Anrufe nach Deutschland und im schlimmsten Fall auf schlechte Leitungsqualitäten für die Fernverbindung gefasst machen.
Vorteile von HBCI
Das neue HBCI (Homebanking Computer Interface) soll alle diese angeführten Probleme beseitigen. Entwickelt wurde HBCI, um einen gemeinsamen Standard für das Homebanking zu schaffen und gleichzeitig für mehr Sicherheit und Komfort zu sorgen. So entfällt beispielsweise bei HBCI die TAN-Liste. Bereits vor zwei Jahren haben sich alle führenden deutschen Kreditinstitute auf HBCI geeinigt. Die verbesserte Version HBCI 2.1 wird inzwischen von den ersten Banken, wie zum Beispiel der Bfg Bank oder der HypoVereinsbank, eingesetzt.
HBCI setzt auf offene Normen und Standards. Der Kunde hat dabei ein Höchstmaß an Sicherheit und Freiheit. Dazu gehört die freie Wahl des Internetproviders: lediglich die IP-Adresse der Bank muss bekannt sein. Aber auch die Wahl der Software ist freigestellt. Jedes Programm, das die HBCI-Normen erfüllt und somit HBCI-fähig ist, lässt sich für das neue Internetbanking einsetzen. Der Benutzer kann sich daher für sein Lieblingsprogramm entscheiden und damit alle Online-Bankgeschäfte durchführen. Neben der vertrauten Bedienung und dem erhöhten Komfort der professionellen Finanzprogramme ist dadurch eine erhöhte Unabhängigkeit gegeben. Ist ein Programm fehlerhaft oder umständlich, so ist ein Wechsel ohne weiteres möglich.
Eine Programm für alle Banken
Durch diese Softwareunabhängigkeit von HBCI lassen sich deshalb problemlos alle HBCI-Konten unterschiedlicher Banken mit ein und derselben Software verwalten. Die Anbieter sprechen von einer Multibankfähigkeit. HBCI-fähige Software soll sich durch den offenen Standard einfach für die unterschiedlichsten Betriebssysteme und Plattformen programmieren lassen. Das Spektrum reicht bis zu Set-Top-Boxen, Handys und PDAs. Die ersten verfügbaren Implementierungen beschränken sich jedoch bisher hauptsächlich auf die Windows 95/98/NT-Plattform. Ein neuer HBCI-Administrator in der Systemsteuerung verwaltet hier die unterschiedlichen HBCI-Konten.
HBCI ermöglicht es weiterhin, alle Buchungen in Ruhe offline einzugeben. Danach genügt es, kurz eine Onlineverbindung aufzubauen. Die HBCI-Software verschlüsselt daraufhin alle Daten und überträgt sie gesammelt über das Internet. Ein Vorgang, der im Normalfall nur wenige Sekunden dauert.
Endlich sichere Verschlüsselung
Das wichtigste Thema beim Internetbanking ist unbestritten die verwendete Sicherheitslösung. Kein noch so durchdachtes und komfortables Verfahren wird beim Kunden eine Chance haben, wenn potenziell mögliche Sicherheitslücken bestehen. Schließlich ist die Öffentlichkeit beim Versenden vertraulicher Informationen über das Internet zu Recht extrem skeptisch. HBCI setzt deshalb auf die bislang beste und sicherste Lösung zur Datenverschlüsselung und Authentifizierung: das RSA-Verfahren, benannt nach den Erfindern Rivest, Shamir und Adleman. Dabei handelt es sich um ein asymmetrisches Verschlüsselungsverfahren, das im Gegensatz zur einfachen Verschlüsselungstechnik zwei unterschiedliche Schlüssel einsetzt: einen öffentlichen Schlüssel, der weitergegeben wird und mit dem sich Daten nur ver-, nicht aber entschlüsseln lassen. Und einen privaten Schlüssel, der geheim gehalten wird und zur Entschlüsselung der Daten dient.
Das gleiche Verfahren verwendet auch das Programm PGP (Pretty Good Privacy) - die anerkanntermaßen beste Sicherheitslösung zum Versenden von E-Mail-Nachrichten. Im Gegensatz zu herkömmlichen Verschlüsselungsmethoden lässt sich bei der asymmetrischen Verschlüsselung die Identität des Absenders eindeutig verifizieren.
Verschlüsselung in der Praxis
In der Praxis läuft die Verschlüsselung unter HBCI folgendermaßen ab: Der Kunde erhält nach der HBCI-Anmeldung einen so genannten INI-Brief seiner Bank. Darin steht seine Online-Identifikationsnummer sowie ein Ausdruck des öffentlichen Schlüssels der Hausbank. Der HBCI-Benutzer benötigt jetzt zuerst ein eigenes Schlüsselpaar mit öffentlichem und privatem Schlüssel. Hierfür sind zwei Möglichkeiten vorgesehen, die Speicherung auf Chipkarte oder Diskette. Beide Möglichkeiten bieten ein zusätzliches Maß an Sicherheit, da der Schlüssel portabel ist und nicht auf der Festplatte gespeichert wird (eine Festplattenspeicherung ist zwar möglich, Banken und Softwarehersteller raten jedoch davon ab). Chipkarte oder Diskette lassen sich danach an einem sicheren Ort aufbewahren und bei Reisen mitnehmen.
Da Chipkarten-Lesegeräte im durchschnittlichen Computerhaushalt noch Mangelware sind, setzt zum Beispiel die HypoVereinsbank auf die Diskettenlösung. Diese ist für den Anwender unkompliziert. Beim ersten Start der HBCI-Software generiert der Benutzer ein Schlüsselpaar und speichert es mit einem Kennwort versehen auf einer Diskette ab. Der Schlüssel selbst wird auf Basis von Zufallszahlen erzeugt. Diese basieren entweder auf zufälligen, vom Benutzer eingegebenen Mausbewegungen oder einem internen Zufallsgenerator.
Für jede Onlinebanking-Transaktion ist dann in Zukunft diese Diskette (oder die Chipkarte) notwendig. Bei Verlust oder Zerstörung hilft nur das Sperren des HBCI-Zugangs bei der Bank und die Generierung eines neuen Schlüssels. Eine Sicherheitskopie kann demnach nicht schaden - geschützt ist der Schlüssel immer noch mit der selbstgewählten PIN.
Erstmaliger Schlüsselaustausch
Nach der Schlüsselerzeugung verbindet sich die HBCI-Software mit dem Rechner der Bank. Die Bank überträgt dann zuerst ihren öffentlichen Schlüssel auf den Rechner des Kunden. Durch den Vergleich der Schlüsseldaten mit denen im erhalten INI-Brief stellt der Benutzer die Identität der Bank sicher. Erst danach gibt er seine Onlinenummer ein und überträgt seinen öffentlichen Schlüssel an die Bank. Jetzt muss der Benutzer seinerseits einen INI-Brief mit seinem öffentlichen Schlüssel erzeugen und diesen ausgedruckt an die Bank schicken. Dort erfolgt eine Prüfung der Unterschrift mit einer hinterlegten Kopie und dadurch die Authentifizierung des Benutzers und seines öffentlichen Schlüssels. Erst danach schaltet die Bank das HBCI-Banking des Kunden frei. Der Schlüsselaustausch ist damit abgeschlossen. Bank und Kunde besitzen jeweils den öffentlichen Schlüssel des anderen. Der private Schlüssel bleibt geheim.
Beispiel Überweisung
Was passiert nun, wenn der Kunde eine Überweisung an seine Bank vornimmt? Zuerst verschlüsselt die HBCI-Software die Daten mit dem öffentlichen Schlüssel der Bank. Danach kann nur noch die Bank diese Daten wieder entschlüsseln. Zusätzlich unterschreibt die Software die Transaktion mit dem privaten Schlüssel des Kunden. Dabei berechnet das Programm zusätzlich einen Hash-Wert, (d.h. einen eindeutigen numerischen Wert) auf Basis der Überweisungsdaten. Die elektronische Unterschrift ist daher fest an die mitgelieferte Transaktion gebunden. Selbst die Entfernung der Unterschrift würde einem potenziellen Angreifer nichts nützen, da eine Änderung der mitgelieferten Daten sofort bemerkt würde. Die Bank kann mit dem öffentlichen Schlüssel des Kunden die Echtheit der gelieferten elektronischen Unterschrift eindeutig verifizieren.
Eigentwicklung und Standard-Software
Soweit die Theorie. In der Praxis benötigt der Benutzer zunächst ein HBCI-fähiges Softwareprogramm. Alle großen Finanzprogramme sind bereits HBCI-fähig. Auch die Banken liefern entsprechende Software mit aus: Die HypoVereinsbank setzt hier auf eine Eigenentwicklung, während andere Banken bestehende Software wie Quicken 2000 von Intuit lizenzieren und an die eigenen Bedürfnisse anpassen. Ein erster HBCI-Praxistest mit dem Zugang der HypoVereinsbank fiel zufrieden stellend aus. Nach Schlüsselerzeugung und Freischalten konnten mit Quicken 2000 der Kontostand abgefragt und Überweisungen durchgeführt werden. Das Programm liest vor jeder Transaktion die Schlüsseldaten von der Diskette und fordert zur Eingabe des Passwortes auf. In einem eigenen Fenster erscheinen die genauen Protokollmeldungen des HBCI-Servers. Die Software der HypoVereinsbank konnte nicht getestet werden. Sie ist noch nicht fehlerfrei und wird in einer bugbereinigten Version nach Angaben der Bank Ende November ausgeliefert.
Fazit
Die Technik von HBCI ist ausgereift und durchdacht. Im Gegensatz zum herkömmlichen Onlinebanking bietet der neue Standard eine Vielzahl von Vorteilen: Freie Provider- und Softwarewahl, Multibankfähigkeit, sichere Verschlüsselung, sichere Benutzer-Authentifizierung und Wegfall der TAN-Listen sorgen für ein neues Zeitalter des Homebankings. Auch für die Zukunft ist HBCI gerüstet: Durch die einfachen Erweiterungsmöglichkeiten des Protokolls ist auch ein Einsatz im Bereich E-Commerce denkbar.
Umso enttäuschender ist es, dass trotzdem erst eine kleine Anzahl von Banken den neuen Standard anbietet. Die Bfg-Bank gehörte hier zum Vorreiter und erhielt deshalb im Oktober verdientermaßen den Innovationspreis des TeleTrust Deutschland e.V. Die anderen großen deutschen Geldinstitute sollten sich jetzt anstrengen, recht bald nachzuziehen. An fehlender Kompetenz oder Finanzierung kann die Verzögerung schließlich nicht liegen.
| |
HBCI-Info-Links
Dokumente und Infos für HBCI-Entwickler
(sda)