Onlinebanking-Sicherungsverfahren: HBCI-Kennung

Hier kommt der nächste Teil der Serie über die verschiedenen Sicherungsverfahren beim Onlinebanking. Die ersten beiden Teile sind unten im Artikel verlinkt. Heute geht es um die HBCI-Kennung, die auf einem Datenträger gespeichert ist, nicht auf einer HBCI-Chipkarte, das kommt dann das nächste Mal dran.

Funktionsweise

Das Homebanking Computer Interface (HBCI) ist ein Verfahren, das auf asymmetrischer Verschlüsselung basiert. Man benötigt dazu für jeden Teilnehmer ein Schlüsselpaar, dass auf einem privaten und einem öffentlichen Schlüsselteil besteht. Der private Teil des Schlüssels verbleibt beim jeweiligen Inhaber, die öffentlichen Teile werden dem jeweiligen Partner bekannt gemacht.

Daten, die mit dem öffentlichen Teil des Schlüssels verschlüsselt wurden, können nur mit dem dazugehörigen privaten Teil wieder entschlüsselt werden. Der private Teil des Schlüssels kann verwendet werden, um Daten zu signieren, die Echtheit der Signatur kann wiederum mit dem öffentlichen Teil des Schlüssels überprüft werden.

Um dieses Verfahren zu nutzen, erhält der Kunde von seiner Bank im Vorfeld eine Benutzerkennung und/oder Kundennummer sowie die Hashwerte des öffentlichen Schlüsselteils der Bank. Mit dem Hashwert kann die Echtheit des öffentlichen Schlüssels geprüft werden.

Mit diesen Daten ausgerüstet erstellt sich der Kunde mit einer Homebanking-Software einen eigenen Schlüssel, der mit einem Passwort gesichert wird. Die Schlüsseldatei wird auf einem mobilen Datenträger abgespeichert. Während der Generierung erhält der Kunde den öffentlichen Schlüssel der Bank über die Internetverbindung, der mittels des vorher erhaltenen Hashwertes zu prüfen ist. Gleichzeitig wird der öffentliche Teil des Kundenschlüssels an die Bank übermittelt und dessen Hashwert kann auf einem sogenannten "INI-Brief" ausgedruckt werden.

Der Ausdruck wird vom Kunden unterschrieben und an die Bank weitergeleitet. Mittels des Hashwertes auf dem INI-Brief prüft die Bank die Echtheit des Kundenschlüssels und schaltet den Zugang frei.

Erst jetzt kann der Kunde Kontodaten abfragen und Transaktionen tätigen. Bei jeder Abfrage und jeder Transaktion wird die Schlüsseldatei auf dem Datenträger und das Passwort abgefragt. Es gibt keine zusätzlichen TAN-Nummern.

Teilweise kann dieses Verfahren nur in Verbindung mit einer Banking-Software genutzt werden, einige Banken bieten dieses Verfahren auch im Internetbanking an, doch auch in diesem Fall wird eine zusätzliche Softwarekomponente für die HBCI-Schnittstelle benötigt (z.B. DDBAC).

Sicherheit

Durch das asymmetrische Verschlüsselungsverfahren ist bei ordnungsgemäßer Prüfung der Echtheit der Schlüssel eine sehr hohe Sicherheit beim Transport der Daten gewährleistet. Allerdings liegt die Schlüsseldatei während der Transaktionen im Zugriff im Dateisystem des Rechners vor und das Passwort wird über die PC-Tastatur eingegeben. Ein Schadprogramm hat also Zugriff auf die Schlüsseldatei und kann über einen Keylogger das zugehörige Passwort ausspionieren. 

Ein Vorteil ist die eher geringe Verbreitung des Verfahrens, die Nutzung erfolgt meist über Softwareprodukte. Hierdurch entsteht eine sehr kleine und heterogene Basis von Benutzern, die bisher die Entwicklung entsprechender Schadsoftware nicht wirtschaftlich erscheinen lässt. Etwas erhöhen kann man die Sicherheit noch dadurch, dass man den Datenträger mit der Schlüsseldatei wirklich nur für die kurze Dauer der Transaktion an den Rechner anschließt/einlegt.

Kosten

Eventuell enstehen geringe Kosten für die Anschaffung eines geeigneten Datenträgers (z.B. USB-Stick).

Einsatzmöglichkeiten

Für dieses Verfahren wird immer ein speziell konfigurierter PC mit bestimmter Sofware benötigt. Insofern ist spontanes Banking von Unterwegs nur bei Einsatz eines entsprechenden Laptops möglich. Natürlich muss der Datenträger mit der Schlüsseldatei ebenfalls mitgeführt werden. Bei der Nutzung auf einem bestimmten PC ist das Verfahren allerdings schnell und bequem, da sich alles über eine Authentifizierung abwickeln lässt.

Fazit

Die HBCI-Kennung ist ein Verfahren, dass bei der Einrichtung einen gewissen Mehraufwand verursacht. Auch ist die Einrichtung für nicht so versierte Benutzer nicht ganz trivial. Nach der Einrichtung, und wenn man das Homebanking nicht an vielen verschiedenen Rechnern betreiben will, ist die Nutzung einfach und bequem. Durch die geringe Verbreitung (aber auch nur dadurch) ist es zudem ein sicheres Verfahren. Generell ist aber die HBCI-Kennung auf Chipkarte vorzuziehen, die ich im nächsten Teil der Reihe behandeln möchte.

Wie immer können in den Kommentaren gerne noch weitere Aspekte beigesteuert werden, die ich vielleicht vergessen oder nicht vollständig dargestellt haben.

Hier noch die bisherigen Teile der Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

 

Ein sicheres Gefühl

Ein Werbespot der Berliner Sparkasse. OK, so kann man das mit der SMS-TAN natürlich auch erklären. Das ist zwar ganz lustig, aber ob das bei einem sensiblen Thema (ups, ist jetzt auch doppeldeutig) das richtige Stilmittel ist, wage ich mal zu bezweifeln.

Gute Kommunikation oder eher ein Tritt ins Fettnäpfchen?

(via)

Die Sache mit der Macht

Der ist sooooo gut. :-)

Onlinebanking Sicherungsverfahren: Chip-TAN

Weiter geht es mit meiner kleinen Serie über die verschiedenen Sicherungsverfahren beim Onlinebanking. Heute geht es um das Chip-TAN-Verfahren, bei dem ein separater TAN-Generator verwendet wird.

Funktionsweise

Beim Chip-TAN-Verfahren (bei den Volks- und Raiffeisenbanken auch Smart-TAN genannt) benötigt man zur Erzeugung der TAN ein kleines Zusatzgerät, einen TAN-Generator. Der TAN-Generator ist mit einem Display, einer Zahlentastatur und teilweise auch mit einem optischen Sensor zum Auslesen eines "Flicker-Codes" ausgestattet.

Um die TAN zu erzeugen, benötigt der TAN-Generator einen Chip mit Seccos-Betriebssystem, wie er zum Beispiel auf den herkömmlichen Bankkarten (ehemals EC-Karten) fast aller Bankkunden vorhanden ist. Als erstes wird also der Onlinebanking-Zugang  mit einer Chipkarte des Kunden verbunden.

Der generelle Zugang erfolgt wieder über eine PIN-Nummer. Führt der Kunde eine Transaktion aus, werden die Daten der Transaktion zum Rechenzentrum gesendet. Das RZ erkennt, das der Kunde am Chip-TAN-Verfahren teilnimmt und lässt die Onlinebanking-Anwendung einen sogenannten Flicker-Code ausgeben. Der Flicker-Code besteht aus einer Reihe von schwarz und weiß blinkenden Kästchen. Der Kunde steckt nun seine Chipkarte in den TAN-Generator und hält diesen mit dem optischen Sensor vor den Flicker-Code. Jetzt werden die Eckdaten der Transaktion (Empfängerkontonummer und Betrag) an den Generator übertragen. Alternativ können die Eckdaten auch manuell über die Tastatur des Generators eingegeben werden. Die Eckdaten werden am Display des TAN-Generators angezeigt und müssen vom Kunden auf Richtigkeit geprüft werden. Der TAN-Generator errechnet eine TAN, die wiederum nur für diese Transaktion und für eine begrenzte Zeit gültig ist. Mit dieser TAN kann der Kunde dann die Transaktion autorisieren.

Eine Demo, die einen Transaktionsvorgang praktisch aussieht, kann man zum Beispiel auf der Homepage von Kobil anschauen, einem Hersteller von TAN-Generatoren.

Sicherheit

Beim Chip-TAN-Verfahren werden zwei voneinander Kommunikationswege benutzt. Eine gültige TAN kann nur mit dem unabhängigen TAN-Generator und der für den Onlinezugang freigeschalteten Chipkarte erzeugt werden. Bei richtiger Anwendung durch den Kunden (Kontrolle der Transaktionseckdaten auf dem Display des Generators), ist eine Manipulation der Transaktionsdaten durch einen Trojaner ausgeschlossen und Phishing wirkungslos.

Eine Schwachstelle war bis vor kurzem, das die Eckdaten bei der Ausführung einer Sammel-Transaktion nicht eindeutig auf dem TAN-Generator angezeigt wurden. Es wurden lediglich der Betrag und die Anzahl der Transaktionen angezeigt, was den Austausch der Kontonummern möglich machte, ohne das der Kunde das kontrollieren konnte. Die neue Sicherheitsspezifikation fordert, das Kontrollsummen der Empfängerkontonummern angezeigt werden, so dass auch diese Lücke nicht mehr ausgenutzt werden kann.

Das Chip-TAN-Verfahren bietet also bei richtiger Anwendung eine sehr hohe Sicherheit, Angriffsmethoden gegen die neueste Version des Verfahrens sind zur Zeit nicht bekannt.

Kosten

Die Anschaffungskosten für einen TAN-Generator liegen um die 10 Euro, eventuell werden die Kosten von den Kreditinstituten ganz oder teilweise übernommen, hier muss man wieder bei seinem Kreditinstitut nachfragen. Laufende Kosten entstehen nicht.

Einsatzmöglichkeiten

Das Chip-TAN-Verfahren ist flexibel und kann auch mobil gut eingesetzt werden. Die Nutzung ist sowohl beim Browserbanking als auch bei der Benutzung von Finanzsoftware möglich.  Die Benutzung ist auch auf Smartphones möglich. Allerdings muss der Kunde den TAN-Generator und seine Chipkarte immer mitführen, um auch von unterwegs Transaktionen ausführen zu können.

Fazit

Das Chip-TAN-Verfahren ist sehr sicher und flexibel, allerdings ist die Bedienung des TAN-Generators nicht ganz einfach und erklärungsintensiv. Ob sich das Verfahren in der Breite gegen die anderen Verfahren durchsetzen kann, werden die nächsten Monate zeigen.

Im nächsten Teil der Serie werde ich das Signaturverfahren mit einem HBCI-Schlüssel auf Datenträger vorstellen.

1. Teil: SMS-TAN