Vortrag: Homebanking. Mike Hilburger (24678)

Transkript

1 Vortrag: Homebanking Mike Hilburger (24678)

2 I. Grundlagen 1. Was ist Homebanking überhaupt? 2. Unterschiede zu Telefon-, Post und konventionellen Banking 3. Warum Homebanking? Motivation II. Anforderungen 1. Sicherheit Was muß man beachten? 2. Technik - Welche technischen Voraussetzungen müssen gegeben sein? 3. Nutzerfreundlichkeit - Was ergibt sich für den Anwender? III. Verfahren 1. PIN/TAN - Persönliche Identifikationsnummer/ Transaktionsnummer 2. HBCI - Homebanking Computer Interface 3. OFX - Open Financial Exchange 4. Vergleich der Verfahren

3 I. Grundlagen 1. Was ist Homebanking überhaupt? Bevor man über Homebanking reden kann, ist es erst einmal erforderlich die Bedeutung dieses Begriffs zu klären. Unter Homebanking versteht man eine von einer Bank angebotene Dienstleistung, die es dem Bankkunden ermöglicht, verschiedene Bankgeschäfte wie z. B. die Abfrage des Kontostandes oder das Tätigen von Überweisungen von zu Hause aus zu erledigen. Die Banken bieten jedoch für Homebanking verschiedene Dienstleistungen an und zwar als Telefonbanking, Postbanking, T-Online-Banking (ehemals BTX-Banking) und als Internetbanking. 2. Unterschiede zu Telefon-, Post- und konventionellen Banking Wie unterscheidet sich Homebanking bzw Internetbanking von den anderen Bankingarten? Die üblichste Form von Banking ist das konventionelle Banking. Hier geht der Bankkunde direkt in eine Zweigstelle seiner Bank und tätigt dort Bankgeschäfte durch Ausfüllen von Formularen oder das persönliche Gespräch mit Bankangestellten. Die erfolgt hier durch die Unterschrift. Eine andere Form von konventionellen Banking ist der Besuch am Geldautomaten mit Authentifizierung durch Besitz einer Bankkarte und die Eingabe der dazugehörigen Geheimzahl. Unter Telefonbanking versteht man das Tätigen von Bankgeschäften per Telefon. Der Bankkunde ruft bei seiner Bank an und zwar entweder bei einer menschlichen Gegenstelle oder einem Telefonautomaten. Durch das Nennen eines Paßwortes bestätigt er seine Authentizität. Nun ist es ihm möglich Bankgeschäfte wie z. B. eine Überweisung oder Kontostandsabfrage zu tätigen. Die nächste Form von Banking ist das Postbanking. Hierbei werden die Aufträge per Post an die Bank geschickt. Die Authentifizierung geschieht hier auch wieder durch die Unterschrift auf dem Auftrag. Die erste Variante von Bankdiensten über PC war das BTX-Banking jetzt T-Online-Banking. Hier geschieht der Zugriff über BTX bzw jetzt T-Online. Zur Authentifizierung wird hier ein System mit PIN (Persönlicher Identifikations-Nummer) und TAN (TransAktionsNummer) verwendet. Bei Homebanking über Internet geschieht der Zugriff über das Internet. Zur Authentifizierung gibt es verschiedene Verfahren wie z. B. PIN/TAN oder per Chipkarte. Durch den unsicheren Datenverkehr über das Internet sind hier besondere Sicherheitsmaßnahmen notwendig. 3. Warum Homebanking/Motivation Warum soll die Bank überhaupt ihren Kunden Homebanking anbieten? Welche Vorteile ergeben sich dadurch für die Bank? Ein wesentlicher Vorteil für die Bank ergibt sich durch die Einsparung von Personalkosten mit einer gleichzeitigen Vergrößerung des Angebotes von Dienstleistungen. Mit Homebanking kann der Kunde bequem von zu hause aus verschiedene (Standard-)Bankgeschäfte erledigen und muß nicht persönlich bei der Bank vorbeigehen um die Geschäfte zu tätigen. Das heißt die Bank muß weniger teures Personal einsetzten um ihre Kunden persönlich zu betreuen, sondern sie läßt dies automatisch per Rechner machen. Zudem erweitert sie ihr Dienstleistungsangebot indem sie ihr Dienstleistungen rund um die Uhr anbieten kann. Warum soll man als Bankkunde selber Homebanking betreiben?

4 Also zunächst hat der Kunde den Vorteil, daß man seine Bankgeschäfte bequem von zu Hause aus erledigen kann. Man muß also nicht extra zur Zweigstelle fahren, sondern man kann sich den Weg und die Zeit sparen. Ein anderer Vorteil von Homebanking eine größere zeitliche Flexibilität bei Bankgeschäften. Man ist als Bankkunde nicht auf die begrenzten Öffnungszeiten der Bank angewiesen und muß dann nicht eventuell auch noch in der Schlange stehen, sondern man kann seine Bankgeschäfte dann erledigen wenn man Zeit hat. II. Anforderungen 1. Sicherheit Was muß man bei Homebanking über das Internet beachten? Das Internet ist ein sehr unsicheres Medium. Die Daten werden als kleine Päckchen über verschiedene Leitungen und Server vom Sender zum Empfänger transportiert. Dabei gibt es viele Punkte an denen es möglich wäre die Daten abzufangen, zu lesen, oder gar verändert an den Empfänger weiter zu schicken. Eventuell könnte sich ein anderer Server als der Bankserver ausgeben und so versuchen an die Daten des Benutzer zu kommen. Da der Bankserver ja auch am Internet hängt, wäre eine andere Möglichkeit auch, daß ein Angreifer versucht sich in den Bankserver zu hacken um dort Informationen zu verändern oder zu erhalten. Oder er versucht ganz einfach den Bankserver zum Absturz zu bringen um dadurch die Bank zu schädigen. Das gleiche gilt übrigens auch für den Rechner des Kunden. Um also sicher Homebanking über das Internet betreiben zu können müssen folgende Voraussetzungen gegeben sein: Zunächst einmal Vertraulichkeit. Die Bank und ihr Kunde müssen sichergehen, daß die Informationen die sie austauschen nur von ihnen selbst gelesen werden und ein Dritter, der diese Daten liest mit diesen nichts anfangen kann. Um dies zu erreichen ist nötig die Daten mit einem ausreichend sicheren Verfahren zu verschlüsseln. Die nächste Anforderung ist die Integrität der Daten. Der Empfänger muß sichergehen, daß die Daten, die er vom Sender erhält, auch genauso gesendet wurden. Sie dürfen weder durch Übertragungsfehler und erst recht nicht durch einen Angreifer verändert worden sein. Für den Fall, daß die Daten verändert wurden, muß der Empfänger dies sofort erkennen können. Ein Verfahren um dies zu gewährleisten ist die Signatur der Daten. Ein weiter Punkt ist die Authentizität. Die beiden Kommunikationspartner müssen wissen mit wem genau sie kommunizieren. Es darf keinen Zweifel daran geben wer das gegenüber ist. Ist der andere Kommunikationspartner ein anderer als der gewünschte, muß man dies sofort sehen. Eine Möglichkeit um dieses Problem zu lösen ist z. B die gegenseitige Signatur der Daten. Es ist auch möglich, daß sich die Bank durch Zertifikate ausweist und der Kunde durch eine Chipkarte. Zudem der nächste Punkt ist, daß alle Vorgänge beim Homebanking beweisbar und nichtabstreitbar sein müssen. Jeder der Kommunikationspartner sollte von ihm durchgeführte Aktionen beweisen können. Es sollte aber auch nicht möglich sein, daß ein Kommunikationspartner von ihm durchgeführte Aktionen später abstreiten kann. Selbstverständlich sollte auch der Zugriffschutz der Daten gewährleistet sein. Das betrifft zum einen die Bank, die für den Schutz ihrer Server vor Angriffen von innen und außen zu sorgen hat. Gerade vor Angriffen von außen sind die Server zu schützen, da ja jeder über das Internet auf die Server zugreifen kann. Üblicherweise geschieht dies durch eine Firewall. Das heißt aber auch, daß der Kunde seine Zugangsdaten wie z. B PIN und TAN oder auch die Chipkarte sicher aufbewahren sollte. Auch gerade die Rechner, vor allem PCs, der Kunden sind stark durch Angriffe aus Internet gefährdet. Hier hilft eigentlich nur, daß keine

5 sicherheitsrelevanten Daten, wie z. B. TANs und Paßwörter im Klartext, auf der Festplatte gespeichert werden und sämtliche Sicherheitsoptionen des Betriebssystems zu aktivieren. Dazu zählt zum Beispiel das Deaktivieren von ActiveX, da es mit ActiveX-Controls möglich ist Daten auf dem Rechner des Benutzers auszuspähen, vor allem wenn dieser Default-Pfade verwendet. Hierzu gehört auch das Einschalten der Sicherheitsabfragen des Internet-Browsers, welche den Benutzer auf besondere Aktivitäten aufmerksam machen oder diese verhindern, wie z. B. das Senden von unverschlüsselter Information an eine Website oder den Austausch von Cookies. Sinnvoll ist es auch die eigenen Zertifikate mit einem Paßwort zu schützen, damit sie kein anderer verwenden kann. 2. Technik Welche technischen Voraussetzungen müssen überhaupt gegeben sein, damit man Homebanking durchführen kann? Hier muß man zwischen den Voraussetzungen unterscheiden, die Bank und Kunde haben müssen. Die fundamentale Voraussetzung für Bank als auch Kunden ist die Möglichkeit einer gegenseitigen (Netz-)Verbindung. Wenn man also Homebanking über das Internet durchführen bzw. anbieten will und nicht selber direkt am Internet verbunden ist, ist jemand nötig, der einem hier Zugriff zum Internet verschafft. Im üblichen Fall ist dies ein Internetprovider wie z. B. America Online (AOL), über den man Zugriff zum Netz bekommt. Die nächste Voraussetzung, die für beide gilt, ist das Vorhandensein der entsprechenden Sicherheitsverfahren bzw. -software. Denn ohne diese ist eine sichere Kommunikation, welche die oben genannten Sicherheitsansprüche erfüllt, nicht möglich und somit auch kein Internetbanking. Aber hier werden nun langsam die Unterschiede in den Voraussetzungen zwischen Bank und Kunde ersichtlich. Zunächst zum Kunden. Es reicht für die Verbindung nicht aus nur den Internetprovider zu haben, sondern es wird auch die entsprechende Infrastruktur hierfür benötigt. Im Normalfall ist dies ein Telefonanschluß. Dann wird natürlich auch die entsprechende Hardware benötigt um diesen zu nutzen. Für den Bankkunden der Homebanking über das Internet betreiben will, ist dies üblicherweise ein Personalcomputer, welcher je nach Telefonanschluß mit Modem oder ISDN-Karte ausgestattet ist. Dies ist im Normalfall die komplette auf der Kundenseite benötigte Hardware. Nur wenn zur Authentifizierung des Kunden eine Chipkarte verwendet wird ist noch ein entsprechender Kartenleser erforderlich. Weiterhin wird auch noch die entsprechende Software benötigt. Diese besteht aus dem Betriebsystem und Homebanking-Anwendungen. Diese können ein ausgezeichnetes Homebanking-Programm wie z. B. Star Money 1.0 sein oder ein Internetbrowser wie z. B. Netscape Communicator 4.5. Allerdings muß der Internetbrowser dann einige weitere Anforderungen erfüllen. Üblicherweise sollte er JAVA unterstützen, denn verschiedene Homebanking-Anwendungen wie z. B. der Sparkassenclient laufen dann als Java-Applets. Des weiteren sollte er fähig sein eine sichere Kommunikation z. B. über SSL (Secure Socket Layer) aufzubauen. Schließlich werden die Schlüsselinformationen des Kunden benötigt. Diese können, wie z. B. eine PIN im Gedächtnis gespeichert sein. Allerdings für aufwendigere Schlüssel, wie z. B. bei Private Keys bei Public Key-Verfahren, wird ein Personal Security Environment, kurz PSE, benötigt. Dies ist ein Trägermedium für die Schlüsselinformationen des Besitzers, z. B. eine Smartcard. Etwas anders sehen die technischen Voraussetzungen auf Seiten der Bank aus. Selbstverständlich wird auch hier als Infrastruktur eine direkte Verbindung zum Internet bzw. Internetprovider benötigt. Hier sollte es allerdings keine normale analoge oder digitale Telefonleitung sein, vielmehr eine etwas leistungsfähigere Netzverbindung die mehr und schnellere Zugriffe ermöglicht. An dieser Netzverbindung sollte dann auch kein einfacher

6 Personalcomputer die Anfragen der Kunden abarbeiten, sondern ein leistungsfähiger Server, damit die Abfragen der Kunden auch bei erhöhten Verkehr auf dem Server schnell abgearbeitet werden können. Wichtig ist auch die Software des Servers. Sie muß die sichere Kommunikation mit dem Kunden ermöglichen z. B. über SSL, inklusive Signier- und Verschlüsselungsvorgängen. Wichtig ist auch, daß diese Software den Server vor Angriffen aus dem Internet schützt. Dies geschieht oft durch eine Firewall. Eine Firewall ist ein Hardware/Software-System, das eine Rechnernetz welches Teilnetz eines Verbundnetzes ist vor ungewünschten Zugriffen aus dem Verbundnetz schützt. Eine Beispiel für eine solche Serversoftware ist der FAKTUM HBCI-Server. Damit ist jedoch mit der Sicherheit nicht getan, da der Server, welcher mit dem Kunden kommuniziert auch an das reale Banking der Bank angeschlossen werden muß. Dies sehr schwierig, da die Rechner auf denen das reale Banking der Bank läuft vor jeglichen Angriffen eigentlich absolut sicher sollten. Dies versucht man mit verschiedenen Ansätzen, wie z.b. Gateways, Abgleich von Kennzeichen u. v. m. Für Verfahren, welche mit Signaturen und Zertifikaten arbeiten, werden noch Stellen benötigt, welche Schlüssel erzeugen und sicher aufbewahren bzw. ausgeben, so daß ihn nur der ausgezeichnete Teilnehmer verwenden kann. Denn wenn ein Schlüssel erzeugt wird, muß sichergestellt sein, daß dieser Schlüssel nur einmal existiert. Weiterhin muß eine Zertifizierungsstelle vorhanden sein, welche die Authentizität von Kunden und Bank überprüft und diesen Zertifikate ausstellt. 3. Nutzerfreundlichkeit Wichtig ist Nutzerfreundlichkeit von Homebanking. Denn es sollte ja für den Kunden möglichst einfach und problemlos sein, Homebanking zu betreiben. Der erste wichtige Punkt ist hier die Nutzerführung. Die Oberfläche und die Menüs mit denen der Anwender arbeitet, sollten so aufgebaut sein, daß sie den Anwender nicht irritieren und Fehlklicks so weit wie möglich ausschließen. Es sollte eine sinnvolle Menüführung mit klaren Meldungen vorhanden sein. Nicht zu vernachlässigen ist auch die Leistungsfähigkeit und Geschwindigkeit der Anwendung. Kein Mensch will mit einer Anwendung arbeiten die langsam ist und darüber hinaus nur wenig kann. Ein weiterer wichtiger Punkt ist auch die Kommunikation zwischen Bank und Kunde. Das beginnt schon mit der Beantragung zur Freischaltung des eigenen Kontos für Homebanking. Für den Bankkunden ist es wichtig, daß er schnell die richtigen Unterlagen bekommt. Diese sollten auch übersichtlich und einfach auszufüllen sein. Mit den ausgefüllten Unterlagen sollte dann ebenfalls die Freischaltung des Kontos für Homebanking schnell vonstatten gehen. Muß der Kunde mehrere Wochen auf die Freischaltung seines Kontos warten ist dies nicht sehr nutzerfreundlich. Unter den Punkt Kommunikation zwischen Bank und Kunde fällt auch die Qualität der Hotline. Sie sollte kompetent besetzt sein, denn nur eine fähige Hotline kann einem im Problemfall weiterhelfen. Weiterhin sollte sie auch gut zu erreichen sein, da heißt die Hotline sollte nicht nur an Werktagen während der Arbeitszeit erreichbar, sondern auch und erst recht am Abend und am Wochenende. Denn zu diesem Zeitpunkt werden die meisten Leute Homebanking betreiben und nicht während ihrer Arbeitszeit. Das gleiche gilt für eine Hotline unter deren Rufnummer nur das Besetztzeichen oder die Warteschleife zu hören. Sie sollte entsprechend dem Nachfrageaufkommen stark genug besetzt sein. Ein sehr wichtiger Punkt ist natürlich die Sicherheit der Systeme. Das beginnt damit, daß es nicht möglich sein darf, die Nutzerdaten der Bankkunden abzufangen. Die vertraulichen Daten dürfen eigentlich nur verschlüsselt über das offene Netz Internet fließen. Auch auf die Verschlüsselung kommt es an. Hierfür sollte ein hinreichend sicheres und modernes Verfahren eingesetzt werden. Zum Beispiel bieten die üblichen in die Browser integrierten

7 Verschlüsselungsverfahren mit einer Schlüssellänge von nur 40 Bit für Homebanking keine ausreichende Sicherheit. Unter Punkt die Sicherheit fällt auch die Zuverlässigkeit und Ausfallsicherheit der Systeme. Es ist nicht sehr kundenfreundlich wenn der Bankserver öfters nicht Online ist und durch Rechnerabstürze z. B. Überweisungen verloren gehen. Dies trifft aber auch auf die verwendetet Clientsoftware zu, die durch instabiles Laufverhalten auch viel Ärger für den Kunden verursachen kann. Nicht zu vernachlässigen ist ebenfalls die Behandlung der Onlinebanker, vor allem im Streitfall. Dies fängt schon damit wenn man einen Auftrag stornieren will. Inwieweit ist überhaupt möglich, was muß man dafür tun oder kostet es gar Geld? Und was passiert wenn wirklich etwas schief läuft z. B. durch Systemfehler bei der Bank? Viele Banken wälzen hier immer noch durch ihre Allgemeinen Geschäftsbedingungen Beweislast auf den Kunden ab und benachteiligen den Kunden überdies durch einseitige Haftungsbeschränkungen. Es ist sehr nutzerunfreundlich wenn die Bank nur bei grober Fahrlässigkeit haftet und der Kunde dies auch noch beweisen muß. Sinnvoller ist hier eine Umkehr der Beweislast und gerechtere Allgemeine Geschäftsbedingungen. III. Verfahren 1. PIN/TAN Das PIN/TAN-Verfahren ist das älteste und bis jetzt häufigste der eingesetzten Verfahren. Es wurde zum Beispiel schon beim BTX-Banking verwendet. Dort flossen die Kundendaten auch noch unverschlüsselt über das Netz. Der Bankkunde hat hier als elektronischen Ausweis die sogenannte Persönliche Identifikationsnummer, kurz PIN. Mit dieser bestätigt er gegenüber dem Banksystem seine Identität. Diese PIN kennt nur der Bankkunde. Sie ist üblicherweise fünfstellig und besteht aus einer frei wählbaren alphanumerischen Zeichenfolge. Nachdem der Onlinebanker sich mit der PIN authentifiziert hat, kann er seine Bankgeschäfte vornehmen. Die üblichen Geschäftsvorfälle sind hier das Abfragen von Kontoinformationen wie z. B. Umsätze, Kontostand oder Übersichten abholen, weiterhin das Ändern und Einrichten Daueraufträgen, sowie das Tätigen von Überweisungen. Es sind auch Änderungen der PIN möglich sowie das Sperren des Kontos vornehmen. Einige Banken bieten auf diesem Wege auch Beratungen über Geldanlagemöglichkeiten an. Für diese Vorgänge ist dann die eine zweite Nummer die sogenannte Transaktionsnummer, kurz TAN notwendig. Diese Nummer dient als elektronische Unterschrift zur Autorisierung der Aufträge. Man darf die TAN aber keinesfalls mit der digitalen Signatur eines Public-Key- Verfahren verwechseln. Bei einem Public-Key-Verfahren beweist man seine Identität durch eine Signatur mit dem Privaten Schlüssel. Diese TAN ist üblicherweise sechsstellig und nur einmalig verwendbar. Die Transaktionsnummer erhält der Bankkunde von der Bank bogenweise per Post zugeschickt, oftmals geschieht dies automatisch wenn eine nur noch eine geringe Anzahl von TAN-Nummern übrig ist. Weitere Sicherheitsmaßnahmen sind die Möglichkeit die PIN zu ändern, sowie das automatische Sperren von PIN und TAN nach mehrfacher Falscheingabe. Diese Sicherheitsmaßnahmen mögen zwar für BTX-Banking ausgereicht haben, aber für das Internet sind sie mangelhaft, denn vertrauliche Daten werden hier über ein offenes Netz übertragen. Deswegen mußte hier das PIN/TAN-Verfahren um eine Verschlüsselungskomponente erweitert werden z. B. durch das BROKAT X*PRESSO Security Package. Dies ist ein Java-Applet, das sich der Kunde mit Hilfe seinen Browsers vom Bankserver herunterlädt. Ein Zertifikat bestätigt die Authentizität dieses Applets, welches dann die für eine sichere Kommunikation sorgt. Hier werden die Daten zunächst über eine 40 Bit SSL-Verschlüsselung gesichert, über die eine zweite 128 Bit-Verschlüsselung mit den Algorithmen IDEA (International Data Encryption Algorithm), RSA (Public Key

8 Verschlüsselungssystem nach Rivest, Shamir und Adleman) und MD5 (Message Digest [algorithm] 5) gelegt wird. Während der Kommunikation mit der Bank läßt sich dann auch ein Zertifikat für diese abrufen, um sicherzugehen daß man auch mit der Bank der richtigen Seite kommuniziert. Somit wird dann eine sichere Kommunikation über das Internet ermöglicht. Eine ähnliche Anwendung ist auch der Sparkassen-Client. 2. HBCI - Home Banking Computer Interface wesentliche Eckpunkte: Unabhängigkeit vom Internet-Provider HBCI lässt sich über jede Internet-Verbindung anwenden. Lediglich die IP-Adressen der Banken müssen bekannt sein. Unabhängigkeit von der verwendeten Software. Jede HBCI-fähige Software lässt sich für das Homebanking einsetzen. HBCI-Software kann für jede beliebige Plattform programmiert werden - bis hin zu HBCI-fähigen Handys und PDAs. Multibankfähigkeit Die HBCI-Software kann beliebig viele Konten unterschiedlicher Banken gleichzeitig verwalten. Höchstmögliche Sicherheit durch asymmetrische Verschlüsselung. Die Verschlüsselungstechnik entspricht dem sichersten heute bekannten Verfahren und ist mit gegenwärtiger Computertechnik nicht zu entschlüsseln. Eindeutige Identifikation. Durch die Verwendung von digitalen Signaturen ist eine sichere Authentifizierung des Kunden möglich. Die TAN-Liste wird damit überflüssig. Offline-Arbeiten. Die gesamte Kontoführung kann offline geschehen. Nach dem Einwählen werden dann alle Transaktionen auf einmal übertragen. Speicherung des privaten Schlüssels auf Diskette oder Chipkarte. Dadurch ist der Schlüssel portabel, und kann an einem sicheren Ort verwahrt werden Zusätzlich ist der Schlüssel mit einem selbstgewählten Passwort geschützt. Flexibel. HBCI basiert auf offenen Normen und Standards und ist daher leicht erweiterbar. So ist auch die Anwendung zur Zahlungsabwicklung im E-Commerce-Bereich denkbar. Für ein Höchstmaß an Datensicherheit soll der Standard HBCI sorgen, welcher vom Zentralen Kreditausschuß, in dem der Giro- und der Sparkassenverband sowie die Privatbanken zusammengefaßt sind, spezifiziert wurde. Die Abkürzung HBCI steht für Home Banking Computer Interface. Der aktuelle Standard ist hier im Moment Version 2.1 HBCI beschreibt eine multibankfähige Schnittstelle zur Realisierung hochautomatisierter Homebankinganwendungen. Also eine Schnittstelle zwischen dem Programm des Anwenders und dem System der Bank, die folgende Eigenschaften hat. Es soll möglich sein mit jeder Clientsoftware, die HBCI unterstützt auf jedes Banksystem, das HBCI unterstützt, zugreifen zu können und zwar plattform- und endgeräteunabhängig. Zudem sollen die Daten verschlüsselt und damit sicher transportiert werden können. Die Spezifikation von HBCI besteht aus dem Nachrichtenaufbau sowie die Abfolge der Dialoge. Dazu kommt noch die Bank- und die Userparameterdatei und die Angaben über die Sicherheitsmechanismen. Für diese gibt es zwei Varianten. Die erste funktioniert mit Hilfe eines symmetrischen Schlüssels der sich auf einer Chipkarte befindet, der sogenannten ZKA-Chipcard. Mit diesem Schlüssel wird dann die Nachricht signiert und mit Hilfe dieses Schlüssels wird dann ein neuer

9 Schlüssel ausgetauscht. Dieser Schlüssel wird für jede HBCI-Nachricht neu erzeugt und nur einmalig verwendet. Damit werden dann die Nachrichten mit dem Verfahren Triple-DES (Digital Encryption Standard) verschlüsselt. Diese Variante vereinfacht die Kontoeröffnung, da der Austausch der Schlüssel einfacher ist, hat jedoch den Nachteil, daß die Bank den Schlüssel des Kunden kennt. Zudem benötigt dieser als zusätzliche Hardware einen Kartenleser. Die zweite Variante funktioniert ebenfalls mit Chipkarte, allerdings mit asymmetrischer Verschlüsselung. Hier signiert der Kunde seine erste Nachricht mit Hilfe des RSA-Algorithmus und auf diese Weise wird dann wieder ein einmalig verwendbarer neuer Schlüssel ausgetauscht. Die weiteren Nachrichten werden dann wieder mit Triple-DES verschlüsselt. Der Vorteil hier ist, daß die Bank den Schlüssel des Kunden nicht kennt, jedoch ist die Kontoeröffnung hier komplizierter, da die öffentlichen Schlüssel ausgetauscht werden müssen. Diese beiden Vorgehensweisen sorgen für notwendige Sicherheit der Kommunikation. Bank und Kunde authentifizieren sich über ihre Signaturen und Verschlüsselung verhindert, daß der Inhalt der Kommunikation Dritten bekannt wird. In HBCI sind etliche Standard-Geschäftsvorfälle schon vordefiniert. Dies sind Umsatzanzeige, Saldenabfrage, Kontoauszüge, Einzelüberweisungen, Sammelüberweisungen und terminierte Überweisungen. Weiterhin wurden auch neue Geschäftsvorfälle wie Daueraufträge, Scheckbestellungen, Mitteilungen, Elektronisches Geld, Wertpapiertransaktionen und viele mehr definiert. Individuelle Ergänzungen der Geschäftsvorfälle durch einzelne Verbände sind ebenfalls möglich. HBCI hat vor allem den Vorteil für den Kunden, daß hier eine Umkehr der Beweislast vorliegt. Hier muß die Bank im Streitfall die Beweise erbringen und nicht mehr der Kunde. Dies wird dadurch ermöglicht, daß Bank und Kunde die ausgetauschten Nachrichten signieren und aufbewahren. Somit verfügt jeder der beiden Kommunikationspartner am Ende der Kommunikation über Nachrichten vom Gegenüber, welche mit dessen digitalen Signatur versehen sind. Im Moment dürfte zwar noch das PIN/TAN-Verfahren die meistgenutzte Methode für Homebanking sein, aber da der Bundesverband der Deutschen Banken HBCI unterstützt und die meisten Sparkassen und Banken demnächst Homebanking über HBCI schon anbieten oder noch anbieten wollen dürfte sich das in Zukunft bald ändern. Selbst T-Online will ein HBCI-Angebot für das Homebanking sowohl über das Internet als auch über das klassische BTX bereitstellen. 3. OFX - Open Financial Exchange Ein weiterer Ansatz für einen Standard im Homebanking ist Open Financial Exchange, kurz OFX. Dieses System wurde von den Firmen CheckFree, Microsoft und Intuit entwickelt und im Januar 1997 vorgestellt. Aktuell ist hier die Version 1.5 von März OFX beschreibt ein Datenformat zum Austausch von Finanzdaten über das Internet Unternehmen, Kunden und Banken. Zur Kommunikation werden hier TCP/IP, SSL und HTTP benutzt. OFX besitzt mehrere Sicherheitsziele, das erste ist Privacy, das heißt nur der bestimmte Empfänger kann die für ihn bestimmte Nachricht lesen. Das zweite Ziel ist die gegenseitige Authentifizierung. Die Authentifizierung des Kunden gegenüber der Bank geschieht durch ein Paßwort, während die Bank sich gegenüber dem Kunden durch Zertifikate authentifiziert. Dies geschieht über SSL. Das dritte Ziel ist die Integrität der Nachrichten, welche hier durch die Verwendung einer Hashfunktion erreicht wird. Diese macht es unmöglich Nachrichten nachträglich zu ändern. OFX-Dokumente basieren auf der Standard Generalized Markup Language, kurz SGML, und ist genau wie HTML ein durch Tags strukturiertes reines

10 Textdokument. Die OFX-Dokumente werden über Standard-HTTP-Methoden nach dem Request/Response-Modell übertragen. Zur Sicherung des Datenaustausches können alle im Internet gebräuchlichen Verfahren wie S-HTML oder SSL verwendet werden. SSL nutzt symmetrische und asymetrische Verschlüsselung. Mit Hilfe eines langsamen asymetrischen Verfahren werden schnelle symmetrische Schlüssel ausgetauscht, die dann für die eigentliche Kommunikation verwendet werden. Die Zertifikate mit denen sich die Bank authentifiziert, werden hier ebenfalls ausgetauscht. Zudem wird bei OFX zwischen zwei Sicherheitsebenen unterschieden und zwar zwischen der Channel-Level-Security und der Application-Level-Security. Die Channel-Level-Security besteht aus SSL und ist für die meisten Nachrichten ausreichend sicher. Die Application-Level-Security ermöglicht jedoch eine noch höhere Sicherheit durch eine weitere Verschlüsselung. Auf welche Art und Weise die Application-Level-Security funktioniert ist in OFX nicht genau definiert, sie ist einfach eine Möglichkeit die Sicherheit durch eine weitere Anwendung zu erhöhen. Die Kommunikation läuft bei OFX auf folgende Weise ab. Der Kunden erhält zunächst vom Profile-Server der Bank die URL des Webservers der Bank. An diesen schickt er dann eine OFX-Request, die der Webserver dann an den OFX-Server der Bank weiterleitet. Die Kommunikation zwischen Anwender und Webserver erfolgt auf dem Level der Channel- Security mittels SSL. Der Webserver entfernt vor seiner Kommunikation mit dem OFX- Server die SSL-Verschlüsselung und reicht nur die reine OFX-Request an den OFX-Server weiter. Diese besteht nur aus einem Text mit den Tags und dem auf dem Level der Application-Security verschlüsselten Paßwort. Der OFX-Server schickt dann seine Anwort über den Webserver entsprechend zurück an den Kunden. Es gibt auch schon etliche Anwendungen für OFX vorhanden z. B. Microsoft Money. Weiterhin wird OFX auch schon verschiedenen Onlineshops und auch Banken verwendet. 4. Vergleich der Verfahren Gegenüber dem PIN/TAN-Verfahren sind HBCI und OFX doch wesentlich fortschrittlicher. Sowohl HBCI und OFX sind für die Kommunikation über das Internet ausgelegt. Beide Verfahren tun dies indem sie die ausgetauschten Nachrichten so verschlüsseln, daß kein Dritter sei lesen kann. Zum dem wird durch Zertifikate und Signaturen die Authentizität des jeweiligen Kommunikationspartners gewährleistet. Auch in Bezug auf Nutzerfreundlichkeit hat sich einiges getan. Der Anwender benötigt keine TAN-Liste mehr, die er erst von der Bank zugeschickt bekommen und später verbrauchte Nummer ausstreichen muß. Statt dessen hält er die benötigten Zugangsinformationen auf seinem Rechner bzw. bei HBCI auf einer Chipkarte bereit. Ein weiterer Fortschritt bei der Nutzerfreundlichkeit ist, daß diese beiden neuen Verfahren, vor allem HBCI, für eine Umkehr der Beweislast bei Systemfehlern der Bank sorgen. Dies geschieht durch den Austausch von signierten Nachrichten, welche aufbewahrt werden. Der Kunde muß der Bank im Streitfall nun nicht mehr das fehlerhafte Verhalten der Bank nachweisen. Trotz dieser gemeinsamen Fortschritte gibt es doch Widersprüche zwischen HBCI und OFX. HBCI ist eine rein deutsche Lösung. Bei der Entwicklung ging es nur darum einen gemeinsamen Standard für die Homebankingzugänge der deutschen Banken zu schaffen. Dagegen ist OFX eine Entwicklung die auf den internationalen Markt abzielt und zudem von einem weltweiten Softwaregiganten unterstützt wird. Eine Schwachstelle, die OFX im Gegensatz zu HBCI besitzt, ist daß bei OFX nur ein Sicherheitsverfahren auf Application Level definiert ist. Dies ist auch ein symmetrisches Verfahren, welches sich nicht zur Haftungsumkehr eignet. Man hat jedoch die Möglichkeit eigene Verfahren auf Application Level festzulegen. Dies könnte zur Folge haben, daß hier

11 wieder unterschiedliche, nicht kompatible Lösungen entwickelt werden und so die Standardisierung fehlschlägt. OFX ist auf der Standard Generalized Markup Language (SGML) aufgebaut. Parallel zu OFX wurde aus SGML auch die Extensible Markup Language (XML) entwickelt. Jedoch sind diese beiden Sprachen nicht zueinander vollständig kompatibel, was einige Problem verursachen könnte. Ein größeres Problem ist jedoch die vollständige Inkompatibilität von HBCI zu SGML. Denn während OFX auf SGML aufgebaut ist, verwendet HBCI eine eigene Syntax aus Steuerzeichen. Ein weiterer Unterschied zwischen HBCI und OFX ist, daß OFX nur bedingt inhaltliche Standards für Finanztransaktionen festlegt. Das heißt im Gegensatz zu HBCI sind einzelne Geschäftsvorfälle, wie z. B. eine Sammelüberweisung nicht definiert. Er läßt erhebliche Freiheiten bei der Definition zu, so daß beispielsweise auch ein speziell für Deutschland abgestimmter OFX-Standard möglich wäre. Bei HBCI dagegen sind eine Vielzahl von Geschäftsvorfällen schon definiert, jedoch ist auch möglich eigenen neue Geschäftsvorfälle zu definieren. Diese Probleme ergeben aber auch die Möglichkeit HBCI mit OFX zu kombinieren und zwar auf folgende Weise: OFX übernimmt mit SSL die Kommunikation über das Netz. HBCI definiert das Sicherheitsmodell auf dem Level der Application-Security, sowie die einzelnen Geschäftsvorfälle. Die Aufbewahrung der Schlüssel auf einer Smartcard wie bei HBCI wäre auch sinnvoll.