Vortrag: Homebanking Mike Hilburger (24678)

 
Vortrag: Homebanking
      Mike Hilburger (24678)
I. Grundlagen

1. Was ist Homebanking überhaupt?

2. Unterschiede zu Telefon-, Post und „konventionellen“ Banking

3. Warum Homebanking? Motivation

II. Anforderungen
1. Sicherheit – Was muß man beachten?

2. Technik - Welche technischen Voraussetzungen müssen gegeben sein?

3. Nutzerfreundlichkeit - Was ergibt sich für den Anwender?

III. Verfahren
1. PIN/TAN - Persönliche Identifikationsnummer/ Transaktionsnummer

2. HBCI - Homebanking Computer Interface

3. OFX - Open Financial Exchange

4. Vergleich der Verfahren
I. Grundlagen

1. Was ist Homebanking überhaupt?

Bevor man über Homebanking reden kann, ist es erst einmal erforderlich die Bedeutung
dieses Begriffs zu klären. Unter Homebanking versteht man eine von einer Bank angebotene
Dienstleistung, die es dem Bankkunden ermöglicht, verschiedene Bankgeschäfte wie z. B. die
Abfrage des Kontostandes oder das Tätigen von Überweisungen von zu Hause aus zu
erledigen. Die Banken bieten jedoch für Homebanking verschiedene Dienstleistungen an und
zwar als Telefonbanking, Postbanking, T-Online-Banking (ehemals BTX-Banking) und als
Internetbanking.

2. Unterschiede zu Telefon-, Post- und „konventionellen“ Bank ing

Wie unterscheidet sich Homebanking bzw Internetbanking von den anderen „Bankingarten“?
Die üblichste Form von Banking ist das „konventionelle“ Banking. Hier geht der Bankkunde
direkt in eine Zweigstelle seiner Bank und tätigt dort Bankgeschäfte durch Ausfüllen von
Formularen oder das persönliche Gespräch mit Bankangestellten. Die erfolgt hier durch die
Unterschrift. Eine andere Form von „konve ntionellen“ Banking ist der Besuch am
Geldautomaten mit Authentifizierung durch Besitz einer Bankkarte und die Eingabe der
dazugehörigen Geheimzahl.
Unter Telefonbanking versteht man das Tätigen von Bankgeschäften per Telefon. Der
Bankkunde ruft bei seiner Bank an und zwar entweder bei einer „menschlichen Gegenstelle“
oder einem Telefonautomaten. Durch das Nennen eines Paßwortes bestätigt er seine
Authentizität. Nun ist es ihm möglich Bankgeschäfte wie z. B. eine Überweisung oder
Kontostandsabfrage zu tätigen.
Die nächste Form von Banking ist das Postbanking. Hierbei werden die Aufträge per Post an
die Bank geschickt. Die Authentifizierung geschieht hier auch wieder durch die Unterschrift
auf dem Auftrag.
Die erste Variante von Bankdiensten über PC war das BTX-Banking jetzt T-Online-Banking.
Hier geschieht der Zugriff über BTX bzw jetzt T-Online. Zur Authentifizierung wird hier ein
System mit PIN (Persönlicher Identifikations-Nummer) und TAN (TransAktionsNummer)
verwendet.
Bei Homebanking über Internet geschieht der Zugriff über das Internet. Zur Authentifizierung
gibt es verschiedene Verfahren wie z. B. PIN/TAN oder per Chipkarte. Durch den unsicheren
Datenverkehr über das Internet sind hier besondere Sicherheitsmaßnahmen notwendig.

3. Warum Homebanking/Motivation

Warum soll die Bank überhaupt ihren Kunden Homebanking anbieten? Welche Vorteile
ergeben sich dadurch für die Bank? Ein wesentlicher Vorteil für die Bank ergibt sich durch
die Einsparung von Personalkosten mit einer gleichzeitigen Vergrößerung des Angebotes von
Dienstleistungen. Mit Homebanking kann der Kunde bequem von zu hause aus verschiedene
(Standard-)Bankgeschäfte erledigen und muß nicht persönlich bei der Bank vorbeigehen um
die Geschäfte zu tätigen. Das heißt die Bank muß weniger teures Personal einsetzten um ihre
Kunden persönlich zu betreuen, sondern sie läßt dies automatisch per Rechner machen.
Zudem erweitert sie ihr Dienstleistungsangebot indem sie ihr Dienstleistungen rund um die
Uhr anbieten kann.
Warum soll man als Bankkunde selber Homebanking betreiben?
Also zunächst hat der Kunde den Vorteil, daß man seine Bankgeschäfte bequem von zu Hause
aus erledigen kann. Man muß also nicht extra zur Zweigstelle fahren, sondern man kann sich
den Weg und die Zeit sparen.
Ein anderer Vorteil von Homebanking eine größere zeitliche Flexibilität bei Bankgeschäften.
Man ist als Bankkunde nicht auf die begrenzten Öffnungszeiten der Bank angewiesen und
muß dann nicht eventuell auch noch in der Schlange stehen, sondern man kann seine
Bankgeschäfte dann erledigen wenn man Zeit hat.

II. Anforderungen

1. Sicherheit

Was muß man bei Homebanking über das Internet beachten? Das Internet ist ein sehr
unsicheres Medium. Die Daten werden als kleine Päckchen über verschiedene Leitungen und
Server vom Sender zum Empfänger transportiert. Dabei gibt es viele Punkte an denen es
möglich wäre die Daten abzufangen, zu lesen, oder gar verändert an den Empfänger weiter zu
schicken. Eventuell könnte sich ein anderer Server als der Bankserver ausgeben und so
versuchen an die Daten des Benutzer zu kommen. Da der Bankserver ja auch am Internet
hängt, wäre eine andere Möglichkeit auch, daß ein Angreifer versucht sich in den Bankserver
zu hacken um dort Informationen zu verändern oder zu erhalten. Oder er versucht ganz
einfach den Bankserver zum Absturz zu bringen um dadurch die Bank zu schädigen. Das
gleiche gilt übrigens auch für den Rechner des Kunden. Um also sicher Homebanking über
das Internet betreiben zu können müssen folgende Voraussetzungen gegeben sein:
Zunächst einmal Vertraulichkeit. Die Bank und ihr Kunde müssen sichergehen, daß die
Informationen die sie austauschen nur von ihnen selbst gelesen werden und ein Dritter, der
diese Daten liest mit diesen nichts anfangen kann. Um dies zu erreichen ist nötig die Daten
mit einem ausreichend sicheren Verfahren zu verschlüsseln. Die nächste Anforderung ist die
Integrität der Daten. Der Empfänger muß sichergehen, daß die Daten, die er vom Sender
erhält, auch genauso gesendet wurden. Sie dürfen weder durch Übertragungsfehler und erst
recht nicht durch einen Angreifer verändert worden sein. Für den Fall, daß die Daten
verändert wurden, muß der Empfänger dies sofort erkennen können. Ein Verfahren um dies
zu gewährleisten ist die Signatur der Daten.
Ein weiter Punkt ist die Authentizität. Die beiden Kommunikationspartner müssen wissen mit
wem genau sie kommunizieren. Es darf keinen Zweifel daran geben wer das gegenüber ist. Ist
der andere Kommunikationspartner ein anderer als der gewünschte, muß man dies sofort
sehen. Eine Möglichkeit um dieses Problem zu lösen ist z. B die gegenseitige Signatur der
Daten. Es ist auch möglich, daß sich die Ba nk durch Zertifikate ausweist und der Kunde
durch eine Chipkarte.
Zudem der nächste Punkt ist, daß alle Vorgänge beim Homebanking beweisbar und
nichtabstreitbar sein müssen. Jeder der Kommunikationspartner sollte von ihm durchgeführte
Aktionen beweisen können. Es sollte aber auch nicht möglich sein, daß ein
Kommunikationspartner von ihm durchgeführte Aktionen später abstreiten kann.
Selbstverständlich sollte auch der Zugriffschutz der Daten gewährleistet sein. Das betrifft zum
einen die Bank, die für den Schutz ihrer Server vor Angriffen von innen und außen zu sorgen
hat. Gerade vor Angriffen von außen sind die Server zu schützen, da ja jeder über das Internet
auf die Server zugreifen kann. Üblicherweise geschieht dies durch eine Firewall.
Das heißt aber auc h, daß der Kunde seine Zugangsdaten wie z. B PIN und TAN oder auch die
Chipkarte sicher aufbewahren sollte. Auch gerade die Rechner, vor allem PCs, der Kunden
sind stark durch Angriffe aus Internet gefährdet. Hier hilft eigentlich nur, daß keine
sicherheitsrelevanten Daten, wie z. B. TANs und Paßwörter im Klartext, auf der Festplatte
gespeichert werden und sämtliche Sicherheitsoptionen des Betriebssystems zu aktivieren.
Dazu zählt zum Beispiel das Deaktivieren von ActiveX, da es mit ActiveX-Controls
möglich ist Daten auf dem Rechner des Benutzers auszuspähen, vor allem wenn dieser
Default-Pfade verwendet. Hierzu gehört auch das Einschalten der Sicherheitsabfragen des
Internet-Browsers, welche den Benutzer auf besondere Aktivitäten aufmerksam machen oder
diese verhindern, wie z. B. das Senden von unverschlüsselter Information an eine Website
oder den Austausch von Cookies. Sinnvoll ist es auch die eigenen Zertifikate mit einem
Paßwort zu schützen, damit sie kein anderer verwenden kann.

2. Technik

Welche technischen Voraussetzungen müssen überhaupt gegeben sein, damit man
Homebanking durchführen kann? Hier muß man zwischen den Voraussetzungen
unterscheiden, die Bank und Kunde haben müssen. Die fundamentale Voraussetzung für Bank
als auch Kunden ist die Möglichkeit einer gegenseitigen (Netz-)Verbindung. Wenn man also
Homebanking über das Internet durchführen bzw. anbieten will und nicht selber direkt am
Internet verbunden ist, ist jemand nötig, der einem hier Zugriff zum Internet verschafft. Im
üblichen Fall ist dies ein Internetprovider wie z. B. America Online (AOL), über den man
Zugriff zum Netz bekommt. Die nächste Voraussetzung, die für beide gilt, ist das
Vorhandensein der entsprechenden Sicherheitsverfahren bzw. -software. Denn ohne diese ist
eine sichere Kommunikation, welche die oben genannten Sicherheitsansprüche erfüllt, nicht
möglich und somit auch kein Internetbanking. Aber hier werden nun langsam die
Unterschiede in den Voraussetzungen zwischen Bank und Kunde ersichtlich. Zunächst zum
Kunden. Es reicht für die Verbindung nicht aus nur den Internetprovider zu haben, sondern es
wird auch die entsprechende Infrastruktur hierfür benötigt. Im Normalfall ist dies ein
Telefonanschluß. Dann wird natürlich auch die entsprechende Hardware benötigt um diesen
zu nutzen. Für den Bankkunden der Homebanking über das Internet betreiben will, ist dies
üblicherweise ein Personalcomputer, welcher je nach Telefonanschluß mit Modem oder
ISDN-Karte ausgestattet ist. Dies ist im Normalfall die komplette auf der Kundenseite
benötigte Hardware. Nur wenn zur Authentifizierung des Kunden eine Chipkarte verwendet
wird ist noch ein entsprechender Kartenleser erforderlich.
Weiterhin wird auch noch die entsprechende Software benötigt. Diese besteht aus dem
Betriebsystem und Homebank ing-Anwendungen. Diese können ein ausgezeichnetes
Homebanking-Programm wie z. B. Star Money 1.0 sein oder ein Internetbrowser wie z. B.
Netscape Communicator 4.5. Allerdings muß der Internetbrowser dann einige weitere
Anforderungen erfüllen. Üblicherweise sollte er JAVA unterstützen, denn verschiedene
Homebanking- Anwendungen wie z. B. der Sparkassenclient laufen dann als Java-Applets.
Des weiteren sollte er fähig sein eine sichere Kommunikation z. B. über SSL (Secure
Socket Layer) aufzubauen. Schließlich werden die Schlüsselinformationen des Kunden
benötigt. Diese können, wie z. B. eine PIN im Gedächtnis gespeichert sein. Allerdings für
aufwendigere Schlüssel, wie z. B. bei Private Keys bei Public Key-Verfahren, wird ein
Personal Security Environment, kurz PSE, benötigt. Dies ist ein Trägermedium für die
Schlüsselinformationen des Besitzers, z. B. eine Smartcard.
Etwas anders sehen die technischen Voraussetzungen auf Seiten der Bank aus.
Selbstverständlich wird auch hier als Infrastruktur eine direkte Verbind ung zum Internet bzw.
Internetprovider benötigt. Hier sollte es allerdings keine normale analoge oder digitale
Telefonleitung sein, vielmehr eine etwas leistungsfähigere Netzverbindung die mehr und
schnellere Zugriffe ermöglicht. An dieser Netzverbindung sollte dann auch kein einfacher
Personalcomputer die Anfragen der Kunden abarbeiten, sondern ein leistungsfähiger Server,
damit die Abfragen der Kunden auch bei erhöhten Verkehr auf dem Server schnell
abgearbeitet werden können. Wichtig ist auch die Software des Servers. Sie muß die sichere
Kommunikation mit dem Kunden ermöglichen z. B. über SSL, inklusive Signier- und
Verschlüsselungsvorgängen. Wichtig ist auch, daß diese Software den Server vor Angriffen
aus dem Internet schützt. Dies geschieht oft durch eine Firewall. Eine Firewall ist ein
Hardware/Software-System, das eine Rechnernetz welches Teilnetz eines Verbundnetzes ist
vor ungewünschten Zugriffen aus dem Verbundnetz schützt. Eine Beispiel für eine solche
Serversoftware ist der FAKTUM HBCI-Server.
Damit ist jedoch mit der Sicherheit nicht getan, da der Server, welcher mit dem Kunden
kommuniziert auch an das reale Banking der Bank angeschlossen werden muß. Dies sehr
schwierig, da die Rechner auf denen das reale Banking der Bank läuft vor jeglichen Angr iffen
eigentlich absolut sicher sollten. Dies versucht man mit verschiedenen Ansätzen, wie z.B.
Gateways, Abgleich von Kennzeichen u. v. m. Für Verfahren, welche mit Signaturen und
Zertifikaten arbeiten, werden noch Stellen benötigt, welche Schlüssel erzeugen und sicher
aufbewahren bzw. ausgeben, so daß ihn nur der ausgezeichnete Teilnehmer verwenden kann.
Denn wenn ein Schlüssel erzeugt wird, muß sichergestellt sein, daß dieser Schlüssel nur
einmal existiert. Weiterhin muß eine Zertifizierungsstelle vorhanden sein, welche die
Authentizität von Kunden und Bank überprüft und diesen Zertifikate ausstellt.

3. Nutzerfreundlichkeit

Wichtig ist Nutzerfreundlichkeit von Homebanking. Denn es sollte ja für den Kunden
möglichst einfach und problemlos sein, Homebank ing zu betreiben. Der erste wichtige Punkt
ist hier die Nutzerführung. Die Oberfläche und die Menüs mit denen der Anwender arbeitet,
sollten so aufgebaut sein, daß sie den Anwender nicht irritieren und Fehlklicks so weit wie
möglich ausschließen. Es sollte eine sinnvolle Menüführung mit klaren Meldungen vorhanden
sein. Nicht zu vernachlässigen ist auch die Leistungsfähigkeit und Geschwindigkeit
der Anwendung. Kein Mensch will mit einer Anwendung arbeiten die langsam ist und
darüber hinaus nur wenig kann. Ein weiterer wichtiger Punkt ist auch die Kommunikation
zwischen Bank und Kunde. Das beginnt schon mit der Beantragung zur Freischaltung des
eigenen Kontos für Homebanking. Für den Bankkunden ist es wichtig, daß er schnell
die richtigen Unterlagen bekommt. Diese sollten auch übersichtlich und einfach auszufüllen
sein. Mit den ausgefüllten Unterlagen sollte dann ebenfalls die Freischaltung des Kontos für
Homebanking schnell vonstatten gehen. Muß der Kunde mehrere Woche n auf die
Freischaltung seines Kontos warten ist dies nicht sehr nutzerfreundlich. Unter den Punkt
Kommunikation zwischen Bank und Kunde fällt auch die Qualität der Hotline. Sie sollte
kompetent besetzt sein, denn nur eine fähige Hotline kann einem im Problemfall weiterhelfen.
Weiterhin sollte sie auch gut zu erreichen sein, da heißt die Hotline sollte nicht nur an
Werktagen während der Arbeitszeit erreichbar, sondern auch und erst recht am Abend und am
Wochenende. Denn zu diesem Zeitpunkt werden die meisten Leute Homebanking betreiben
und nicht während ihrer Arbeitszeit. Das gleiche gilt für eine Hotline unter deren Rufnummer
nur das Besetztzeichen oder die Warteschleife zu hören.
Sie sollte entsprechend dem Nachfrageaufkommen stark genug besetzt sein. Ein sehr
wichtiger Punkt ist natürlich die Sicherheit der Systeme. Das beginnt damit, daß es nicht
möglich sein darf, die Nutzerdaten der Bankkunden abzufangen. Die vertraulichen Daten
dürfen eigentlich nur verschlüsselt über das offene Netz Internet fließen. Auch auf die
Verschlüsselung kommt es an. Hierfür sollte ein hinreichend sicheres und modernes
Verfahren eingesetzt werden. Zum Beispiel bieten die üblichen in die Browser integrierten
Verschlüsselungsverfahren mit einer Schlüssellänge von nur 40 Bit für Homebanking keine
ausreichende Sicherheit. Unter Punkt die Sicherheit fällt auch die Zuverlässigkeit und
Ausfallsicherheit der Systeme. Es ist nicht sehr kundenfreundlich wenn der Bankserver öfters
nicht Online ist und durch Rechnerabstürze z. B. Überweisungen verloren gehen. Dies trifft
aber auch auf die verwendetet Clientsoftware zu, die durch instabiles Laufverhalten auch viel
Ärger für den Kunden verursachen kann.
Nicht zu vernachlässigen ist ebenfalls die Behandlung der Onlinebanker, vor allem im
Streitfall. Dies fängt schon damit wenn man einen Auftrag stornieren will. Inwieweit ist
überhaupt möglich, was muß man dafür tun oder kostet es gar Geld? Und was passiert wenn
wirklich etwas schief läuft z. B. durch Systemfehler bei der Bank? Viele Banken wälzen hier
immer noch durch ihre Allgemeinen Geschäftsbedingungen Beweislast auf den Kunden ab
und benachteiligen den Kunden überdies durch einseitige Haftungsbeschränkungen. Es ist
sehr nutzerunfreundlich wenn die Bank nur bei grober Fahrlässigkeit haftet und der Kunde
dies auch noch beweisen muß. Sinnvoller ist hier eine Umkehr der Beweislast und gerechtere
Allgemeine Geschäftsbedingungen.

III. Verfahren

1. PIN/TAN

Das PIN/TAN-Verfahren ist das älteste und bis jetzt häufigste der eingesetzten Verfahren. Es
wurde zum Beispiel schon beim BTX-Banking verwendet. Dort flossen die Kundendaten
auch noch unverschlüsselt über das Netz. Der Bankkunde hat hier als elektronischen Ausweis
die sogenannte Persönliche Identifikationsnummer, kurz PIN. Mit dieser bestätigt er
gegenüber dem Banksystem seine Identität. Diese PIN kennt nur der Bankkunde. Sie ist
üblicherweise fünfstellig und besteht aus einer frei wählbaren alphanumerischen
Zeichenfolge. Nachdem der Onlinebanker sich mit der PIN authentifiziert hat, kann er seine
Bankgeschäfte vornehmen. Die üblichen Geschäftsvorfälle sind hier das Abfragen von
Kontoinformationen wie z. B. Umsätze, Kontostand oder Übersichten abholen, weiterhin das
Ändern und Einrichten Daueraufträgen, sowie das Tätigen von Überweisungen. Es sind auch
Änderungen der PIN möglich sowie das Sperren des Kontos vornehmen. Einige Banken
bieten auf diesem Wege auch Beratungen über Geldanlagemöglichkeiten an.
Für diese Vorgänge ist dann die eine zweite Nummer die sogenannte Transaktionsnummer,
kurz TAN notwendig. Diese Nummer dient als elektronische Unterschrift zur Autorisierung
der Aufträge. Man darf die TAN aber keinesfalls mit der digitalen Signatur eines Public-Key-
Verfahren verwechseln. Bei einem Public-Key-Verfahren beweist man seine Identität durch
eine Signatur mit dem Privaten Schlüssel. Diese TAN ist üblicherweise sechsstellig und nur
einmalig verwendbar. Die Transaktionsnummer erhält der Bankkunde von der Bank
bogenweise per
Post zugeschickt, oftmals geschieht dies automatisch wenn eine nur noch eine geringe Anzahl
von TAN-Nummern übrig ist. Weitere Sicherheitsmaßnahmen sind die Möglichkeit die PIN
zu ändern, sowie das automatische Sperren von PIN und TAN nach mehrfacher
Falscheingabe. Diese Sicherheitsmaßnahmen mögen zwar für BTX-Banking ausgereicht
haben, aber für das Internet sind sie mangelhaft, denn vertrauliche Daten werden hier über ein
offenes Netz übertragen. Deswegen mußte hier das PIN/TAN-Verfahren um eine
Verschlüsselungskomponente erweitert werden z. B. durch das BROKAT X*PRESSO
Security Package. Dies ist ein Java-Applet, das sich der Kunde mit Hilfe seinen Browsers
vom Bankserver herunterlädt. Ein Zertifikat bestätigt die Authentizität dieses Applets,
welches dann die für eine sichere Kommunikation sorgt. Hier werden die Daten zunächst über
eine 40 Bit SSL-Verschlüsselung gesichert, über die eine zweite 128 Bit-Verschlüsselung mit
den Algorithmen IDEA (International Data Encryption Algorithm), RSA (Public Key
Verschlüsselungssystem nach Rivest, Shamir und Adleman) und MD5 (Message Digest
[algorithm] 5) gelegt wird. Während der Kommunikation mit der Bank läßt sich dann auch ein
Zertifikat für diese abrufen, um sicherzugehen daß man auch mit der Bank der richtigen Seite
kommuniziert. Somit wird dann eine sichere Kommunikation über das Internet ermöglicht.
Eine ähnliche Anwendung ist auch der Sparkassen-Client.

2. HBCI - Home Banking Computer Interface

wesentliche Eckpunkte:

 • Unabhängigkeit vom Internet-Provider
      HBCI lässt sich über jede Internet-Verbindung anwenden. Lediglich die IP-Adressen der Banken
      müssen bekannt sein.

 • Unabhängigkeit von der verwendeten Software.
      Jede HBCI-fähige Software lässt sich für das Homebanking einsetzen. HBCI-Software kann für jede
      beliebige Plattform programmiert werden - bis hin zu HBCI-fähigen Handys und PDAs.

 • Multibankfähigkeit
      Die HBCI-Software kann beliebig viele Konten unterschiedlicher Banken gleichzeitig verwalten.

 • Höchstmögliche Sicherheit durch asymmetrische Verschlüsselung.
       Die Verschlüsselungstechnik entspricht dem sichersten heute bekannten Verfahren und ist mit
       gegenwärtiger Computertechnik nicht zu entschlüsseln.
 • Eindeutige Identifikation.
       Durch die Verwendung von digitalen Signaturen ist eine sichere Authentifizierung des Kunden
        möglich. Die TAN-Liste wird damit überflüssig.

 • Offline-Arbeiten.
        Die gesamte Kontoführung kann offline geschehen. Nach dem Einwählen werden dann alle
       Transaktionen auf einmal übertragen.

 • Speicherung des privaten Schlüssels auf Diskette oder Chipkarte.
       Dadurch ist der Schlüssel portabel, und kann an einem sicheren Ort verwahrt werden Zusätzlich ist
       der Schlüssel mit einem selbstgewählten Passwort geschützt.

 • Flexibel.
       HBCI basiert auf offenen Normen und Standards und ist daher leicht erweiterbar. So ist auch die
       Anwendung zur Zahlungsabwicklung im E-Commerce-Bereich denkbar.

Für ein Höchstmaß an Datensicherheit soll der Standard HBCI sorgen, welcher vom Zentralen
Kreditausschuß, in dem der Giro- und der Sparkassenverband sowie die Privatbanken
zusammengefaßt sind, spezifiziert wurde. Die Abkürzung HBCI steht für Home Banking
Computer Interface. Der aktuelle Standard ist hier im Moment Version 2.1 HBCI beschreibt
eine multibankfähige Schnittstelle zur Realisierung hochautomatisierter
Homebankinganwendungen. Also eine Schnittstelle zwischen dem Programm des Anwenders
und dem System der Bank, die folgende Eigenschaften hat. Es soll möglich sein mit jeder
Clientsoftware, die HBCI unterstützt auf jedes Banksystem, das HBCI unterstützt, zugreifen
zu können und zwar plattform- und endgeräteunabhängig. Zudem sollen die Daten
verschlüsselt und damit sicher transportiert werden können. Die Spezifikation vo n HBCI
besteht aus dem Nachrichtenaufbau sowie die Abfolge der Dialoge. Dazu kommt noch die
Bank- und die Userparameterdatei und die Angaben über die Sicherheitsmechanismen. Für
diese gibt es zwei Varianten. Die erste funktioniert mit Hilfe eines symmetrischen Schlüssels
der sich auf einer Chipkarte befindet, der sogenannten ZKA-Chipcard. Mit diesem Schlüssel
wird dann die Nachricht signiert und mit Hilfe dieses Schlüssels wird dann ein neuer
Schlüssel ausgetauscht. Dieser Schlüssel wird für jede HBCI-Nachr icht neu erzeugt und nur
einmalig verwendet. Damit werden dann die Nachrichten mit dem Verfahren Triple-DES
(Digital Encryption Standard) verschlüsselt. Diese Variante vereinfacht die Kontoeröffnung,
da der Austausch der Schlüssel einfacher ist, hat jedoch den Nachteil, daß die Bank den
Schlüssel des Kunden kennt. Zudem benötigt dieser als zusätzliche Hardware einen
Kartenleser. Die zweite Variante funktioniert ebenfalls mit Chipkarte, allerdings mit
asymmetrischer Verschlüsselung. Hier signiert der Kunde seine erste Nachricht mit Hilfe des
RSA-Algorithmus und auf diese Weise wird dann wieder ein einmalig verwendbarer neuer
Schlüssel ausgetauscht. Die weiteren Nachrichten werden dann wieder mit Triple-DES
verschlüsselt. Der Vorteil hier ist, daß die Bank den Schlüssel des Kunden nicht kennt, jedoch
ist die Kontoeröffnung hier komplizierter, da die öffentlichen Schlüssel ausgetauscht werden
müssen. Diese beiden Vorgehensweisen sorgen für notwendige Sicherheit der
Kommunikation. Bank und Kunde authentifizieren sich über ihre Signaturen und
Verschlüsselung verhindert, daß der Inhalt der Kommunikation Dritten bekannt wird.
In HBCI sind etliche Standard-Geschäftsvorfälle schon vordefiniert. Dies sind
Umsatzanzeige, Saldenabfrage, Kontoauszüge, Einzelüberweisungen, Sammelüberweisungen
und terminierte Überweisungen. Weiterhin wurden auch neue Geschäftsvorfälle wie
Daueraufträge, Scheckbestellungen, Mitteilungen, Elektronisches Geld,
Wertpapiertransaktionen und viele mehr definiert. Individuelle Ergänzungen der
Geschäftsvorfälle durch einzelne Verbände sind ebenfalls möglich.
HBCI hat vor allem den Vorteil für den Kunden, daß hier eine Umkehr der Beweislast
vorliegt. Hier muß die Bank im Streitfall die Beweise erbringen und nicht mehr der Kunde.
Dies wird dadurch ermöglicht, daß Bank und Kunde die ausgetauschten Nachrichten signieren
und aufbewahren. Somit verfügt jeder der beiden Kommunikationspartner am Ende der
Kommunikation über Nachrichten vom Gegenüber, welche mit dessen digitalen Signatur
versehen sind.
Im Moment dürfte zwar noch das PIN/TAN-Verfahren die meistgenutzte Methode für
Homebanking sein, aber da der Bundesverband der Deutschen Banken HBCI unterstützt und
die meisten Sparkassen und Banken demnächst Homebanking über HBCI schon anbieten oder
noch anbieten wollen dürfte sich das in Zukunft bald ändern.
Selbst T-Online will ein HBCI-Angebot für das Homebanking sowohl über das Internet als
auch über das klassische BTX bereitstellen.

3. OFX - Open Financial Exchange

Ein weiterer Ansatz für einen Standard im Homebanking ist Open Financial Exchange, kurz
OFX. Dieses System wurde von den Firmen CheckFree, Microsoft und Intuit entwickelt und
im Januar 1997 vorgestellt. Aktuell ist hier die Version 1.5 von März 1998. OFX beschreibt
ein Datenformat zum Austausch vo n Finanzdaten über das Internet Unternehmen, Kunden
und Banken. Zur Kommunikation werden hier TCP/IP, SSL und HTTP benutzt.
OFX besitzt mehrere Sicherheitsziele, das erste ist Privacy, das heißt nur der bestimmte
Empfänger kann die für ihn bestimmte Nachricht lesen. Das zweite Ziel ist die gegenseitige
Authentifizierung. Die Authentifizierung des Kunden gegenüber der Bank geschieht durch ein
Paßwort, während die Bank sich gegenüber dem Kunden durch Zertifikate authentifiziert.
Dies geschieht über SSL. Das dritte Ziel ist die Integrität der Nachrichten, welche hier durch
die Verwendung einer Hashfunktion erreicht wird. Diese macht es unmöglich
Nachrichten nachträglich zu ändern. OFX-Dokumente basieren auf der Standard Generalized
Markup Language, kurz SGML, und ist genau wie HTML ein durch Tags strukturiertes reines
Textdokument. Die OFX-Dokumente werden über Standard-HTTP-Methoden nach dem
Request/Response-Modell übertragen. Zur Sicherung des Datenaustausches können alle im
Internet gebräuchlichen Verfahren wie S-HTML oder SSL verwendet werden.
SSL nutzt symmetrische und asymetrische Verschlüsselung. Mit Hilfe eines langsamen
asymetrischen Verfahren werden schnelle symmetrische Schlüssel ausgetauscht, die dann für
die eigentliche Kommunikation verwendet werden. Die Zertifikate mit denen sich die Bank
authentifiziert, werden hier ebenfalls ausgetauscht. Zudem wird bei OFX zwischen zwei
Sicherheitsebenen unterschieden und zwar zwischen der Channel- Level-Security und der
Application-Level-Security. Die Channel- Level-Security besteht aus SSL und ist für die
meisten Nachrichten ausreichend sicher. Die Application-Level-Security ermöglicht jedoch
eine noch höhere Sicherheit durch eine weitere Verschlüsselung. Auf welche Art und Weise
die Application-Level-Security funktioniert ist in OFX nicht genau definiert, sie ist einfach
eine Möglichkeit die Sicherheit durch eine weitere Anwendung zu erhöhen.
Die Kommunikation läuft bei OFX auf folgende Weise ab. Der Kunden erhält zunächst vom
Profile-Server der Bank die URL des Webservers der Bank. An diesen schickt er dann eine
OFX-Request, die der Webserver dann an den OFX-Server der Bank weiterleitet. Die
Kommunikation zwischen Anwender und Webserver erfolgt auf dem Level der Channel-
Security mittels SSL. Der Webserver entfernt vor seiner Kommunikation mit dem OFX-
Server die SSL-Verschlüsselung und reicht nur die reine OFX-Request an den OFX-Server
weiter. Diese besteht nur aus einem Text mit den Tags und dem auf dem Level der
Application-Security verschlüsselten Paßwort. Der OFX-Server schickt dann seine Anwort
über den Webserver entsprechend zurück an den Kunden.
Es gibt auch schon etliche Anwendungen für OFX vorhanden z. B. Microsoft Money.
Weiterhin wird OFX auch schon verschiedenen Onlineshops und auch Banken verwendet.

4. Vergleich der Verfahren

Gegenüber dem PIN/TAN-Verfahren sind HBCI und OFX doch wesentlich fortschrittlicher.
Sowohl HBCI und OFX sind für die Kommunikation über das Internet ausgelegt. Beide
Verfahren tun dies indem sie die ausgetauschten Nachrichten so verschlüsseln, daß kein
Dritter sei lesen kann. Zum dem wird durch Zertifikate und Signaturen die Authentizität des
jeweiligen Kommunikationspartners gewährleistet.
Auch in Bezug auf Nutzerfreundlichkeit hat sich einiges getan. Der Anwender benötigt keine
TAN-Liste mehr, die er erst von der Bank zugeschickt bekommen und später verbrauchte
Nummer ausstreichen muß. Statt dessen hält er die benötigten Zugangsinformationen auf
seinem Rechner bzw. bei HBCI auf einer Chipkarte bereit.
Ein weiterer Fortschritt bei der Nutzerfreundlichkeit ist, daß diese beiden neuen Verfahren,
vor allem HBCI, für eine Umkehr der Beweislast bei Systemfehlern der Bank sorgen. Dies
geschieht durch den Austausch von signierten Nachrichten, welche aufbewahrt werden. Der
Kunde muß der Bank im Streitfall nun nicht mehr das fehlerhafte Verhalten der Bank
nachweisen. Trotz dieser gemeinsamen Fortschritte gibt es doch Widersprüche zwischen
HBCI und OFX. HBCI ist eine rein deutsche Lösung. Bei der Entwicklung ging es nur darum
einen gemeinsamen Standard für die Homebankingzugänge der deutschen Banken zu
schaffen. Dagegen ist OFX eine Entwicklung die auf den internationalen Markt abzielt und
zudem von einem weltweiten Softwaregiganten unterstützt wird.
Eine Schwachstelle, die OFX im Gegensatz zu HBCI besitzt, ist daß bei OFX nur ein
Sicherheitsverfahren auf Application Level definiert ist. Dies ist auch ein symmetrisches
Verfahren, welches sich nicht zur Haftungsumkehr eignet. Man hat jedoch die Möglichkeit
eigene Verfahren auf Application Leve l festzulegen. Dies könnte zur Folge haben, daß hier
wieder unterschiedliche, nicht kompatible Lösungen entwickelt werden und so die
Standardisierung fehlschlägt.
OFX ist auf der Standard Generalized Markup Language (SGML) aufgebaut. Parallel zu OFX
wurde aus SGML auch die Extensible Markup Language (XML) entwickelt. Jedoch sind
diese beiden Sprachen nicht zueinander vollständig kompatibel, was einige Problem
verursachen könnte. Ein größeres Problem ist jedoch die vollständige Inkompatibilität von
HBCI zu SGML. Denn während OFX auf SGML aufgebaut ist, verwendet HBCI eine
eigene Syntax aus Steuerzeichen.
Ein weiterer Unterschied zwischen HBCI und OFX ist, daß OFX nur bedingt inhaltliche
Standards für Finanztransaktionen festlegt. Das heißt im Gegensatz zu HBCI sind einzelne
Geschäftsvorfälle, wie z. B. eine Sammelüberweisung nicht definiert. Er läßt erhebliche
Freiheiten bei der Definition zu, so daß beispielsweise auch ein speziell für Deutschland
abgestimmter OFX-Standard möglich wäre. Bei HBCI dagegen sind eine Vielzahl von
Geschäftsvorfällen schon definiert, jedoch ist auch möglich eigenen neue Geschäftsvorfälle zu
definieren. Diese Probleme ergeben aber auch die Möglichkeit HBCI mit OFX zu
kombinieren und zwar auf folgende Weise: OFX übernimmt mit SSL die Kommunikation
über das Netz. HBCI definiert das Sicherheitsmodell auf dem Level der Application-Security,
sowie die einzelnen Geschäftsvorfälle. Die Aufbewahrung der Schlüssel auf einer Smartcard
wie bei HBCI wäre auch sinnvoll.
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren