ZKA-KOMPENDIUM ONLINE-BANKING-SICHERHEIT



Ähnliche Dokumente
DK-KOMPENDIUM ONLINE-BANKING-SICHERHEIT

Online-Banking aber sicher.

Sicherheit im Online-Banking. Verfahren und Möglichkeiten

Die elektronische Signatur. Anleitung

Erste Schritte und Bedienungshinweise mit chiptan (ausführliche Anleitung)

Anleitung zur Nutzung der Signaturkarte im InternetBanking und InternetBrokerage

Verfahrensanleitung mobile TAN (mtan)

Online-Banking - Anleitung Erstsynchronisation des chiptan-verfahrens und Änderung der Eröffnungs-PIN

1 Konto für HBCI/FinTS mit Chipkarte einrichten

Weil Ihre Sicherheit für uns an erster Stelle steht. Wir sind für Sie da immer und überall! Online Banking. Aber sicher.

Einrichtung von einem neuen Girokonto in StarMoney/StarMoney-Business

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Um den chiptan-generator zu nutzen, müssen Sie zunächst Ihr Online-Banking umstellen.

Wechsel VR-NetWorld Card

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Einrichtung der sicheren TAN-Verfahren in moneyplex

Online-Banking mit der HBCI-Chipkarte. HBCI - Der Standard. Kreissparkasse Tübingen Seite 1 von 5

s Sparkasse Germersheim-Kandel

Weil Ihre Sicherheit für uns an erster Stelle steht.

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Mein TAN-Generator funktioniert nicht was kann ich tun?

In der agree ebanking Private und agree ebanking Business Edition ist die Verwendung der USB- und Bluetooth-Funktion aktuell nicht möglich.

Mediumwechsel - VR-NetWorld Software

ALF-BanCo - Chipkarte einrichten in 3 Schritten

Internet-Banking Anleitung zum Ersteinstieg

Einrichtung des chiptan-verfahrens in SFirm32

chiptan-umstellung Schritt-für-Schritt Hilfe: chip-tan-umstellung Häufige Fragen Kontakt gewerblich Marktrisiken Sparkasse Fulda

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan

Änderung des Online-Banking mit dem Verfahren chiptan comfort im Zahlungsverkehrsprogramm WISO Mein Geld ab Version 2010.

smstan Online-Banking mit smstan Der Leitaden für Online-Banking-Kunden

Kurze Anleitung zum Guthaben-Aufladen bei.

mobile TAN Umstellungsanleitung Star Money

Online-Banking mit chiptan. Funktionsweise Vorteile Seite 1

Neues TAN-Verfahren SecureGo. SecureGo.

Übersicht zur Lastschriftverwaltung im Online-Banking für Vereine

Bevor Sie mit dem Wechsel Ihres Sicherheitsmediums beginnen können, sollten Sie die folgenden Punkte beachten oder überprüfen:

FAQ s chiptan-verfahren

Freischaltung im Internetbanking. Sicherungsmedium chiptan comfort

Erstanmeldung/Vergabe einer eigenen PIN und eines Benutzernamens (Alias) 1. Vergabe Ihrer eigenen fünfstelligen PIN

Hilfe bei Problemen mit dem Einlesevorgang beim optischen chiptan-verfahren

chiptan Online-Banking mit chiptan Der Leitaden für Online-Banking-Kunden

Synchronisierung des chiptan-verfahrens / Ersteinrichtung

Mediumwechsel - VR-NetWorld Software

Leitfaden die ersten Schritte mit der HBCI-Chipkarte

2. Wie halte ich den TAN-Generator an den Bildschirm? - Der richtige Winkel Fehlermeldung: Übertragung abgebrochen

Online-Banking Übersicht der Zugangswege. VR-NetKey. 1. OnlineBanking über unsere Internetseite (ebanking)

Datensicherung. Beschreibung der Datensicherung

Bedienungshinweise TAN-Generator

Guide DynDNS und Portforwarding

Wenn Sie das T-Online WebBanking das erste Mal nutzen, müssen Sie sich zunächst für den Dienst Mobiles Banking frei schalten lassen.

Die HBCI-Verwaltung unter VR-NetWorld-Software 3.x für das Einrichten von unpersonalisierten Chipkarten

Freischaltung des chiptan-verfahrens

Einrichtung des chiptan-verfahrens in SFirm32

Vorbereitung zur Einrichtung bzw. Umstellung auf chiptan comfort.

Beschreibung der Umstellungsschritte Hibiscus (Umstellung Sicherungsmedium auf Chip-TAN)

Deutsche Bank 3D Secure. Sicherer bezahlen im Internet.

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Erstanmeldung/Vergabe einer eigenen PIN im plus/optic Verfahren mit einem Kartenleser von der VR-Bank eg

Kontaktlos bezahlen mit Visa

icloud nicht neu, aber doch irgendwie anders

MEIN ONLINEBANKING BEI DER EHNINGER BANK EG ERSTE SCHRITTE: PIN/TAN MIT MOBILE TAN

Bedienungsanleitung für den TAN Optimus comfort der Fa. Kobil

Anleitung zum Austausch der SparkassenCard für chiptan

Kurzanleitung für das Bezahlen mit dem Kartenlesegerät von VASCO girocard im Internet

So gehts Schritt-für-Schritt-Anleitung

OnlineBanking: Einfach und flexibel

s-sparkasse Wenn eine Idee die Welt verändert, will jeder dabei sein: giropay die Zukunft des Bezahlens im Internet.

Die HBCI-Verwaltung mit der VR-NetWorld-Software für die Erstellung eines HBCI-Schlüssels auf einer unpersonalisierten Chipkarte

Verfahrensanleitung Umstellung BTX auf VR-NetKey in T-Online 6.0

Volksbank Olpe-Wenden-Drolshagen eg Anleitung zur Einrichtung des PIN/TAN-Verfahrens in der VR-NetWorld Software

Stand vr bank Südthüringen eg 1 von 9. mobile TAN Umstellungsanleitung VR-NetWorld Software

Abschaltung der Transaktionsnummer-Listen (TAN-Listen) Aktivierung der neuen Sicherheitsmedien / Umstellung Sfirm auf chiptan

Die HBCI-Verwaltung unter VR-NetWorld-Software 3.x für die Erstellung eines HBCI-Schlüssel auf Diskette

Einrichtung HBCI-Chipkarte in der. VR-NetWorld Software 6

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Erst-Synchronisierung des chiptan-verfahrens

Freischaltung des chiptan-verfahrens

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Erst-Synchronisierung des chiptan-verfahrens

So gehts Schritt-für-Schritt-Anleitung

ecaros2 - Accountmanager

Installation der VR-NetWorld-Software Mobility Version auf einem U3-USB-Stick mit HBCI PIN/TAN

Computeria Solothurn

Überall kassieren mit dem iphone

Vor der Umstellung sollte Sie ein Update (über Einstellungen-> Online-Update -> Jetzt starten) durchführen.

plus Flickerfeld bewegt sich nicht

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

1. Programmaktualisierung 2. Einrichtung des Bank-Kontakts im Administrator für Homebankingkontakte 3. Anlage des Kontos in WISO Mein Geld

Nutzungsanleitung DSRZ-Datei-Freigabe. DSRZ-Dateifreigabe. Leitfaden zur Freigabe von DSRZ-Dateien via Online- Banking und SFirm

Sicherheitslösung SMS-Code

FrontDoor/Monitor mehr sehen von FrontDoor

Die folgende Anleitung führt Sie Schritt für Schritt durch die notwendigen Prüfungen und Eingaben.

Umstellung auf das Mobile-TAN-Verfahren in der VR-NetWorld Software

Sicherheit beim Online-Banking. Neuester Stand.

Einrichtung HBCI-Chipkarte in VR-NetWorld-Software

Fragen und Antworten zum chiptan-verfahren

ELBA-business Electronic banking fürs Büro. Digitale Signatur. ELBA-business 5.7.0

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Online bezahlen mit e-rechnung

Transkript:

ZKA-KOMPENDIUM ONLINE-ING-SICHERHEIT ZKA Zentraler Kreditausschuss www.zka.de info@zka.de 09. November 2009 Warum Sicherheit im Online-Banking? Die Kommunikation zwischen dem Kunden und seiner Bank fand von jeher in einer speziell geschützten Umgebung statt. Noch heute verbergen sich hinter der freundlichen Atmosphäre der Bankfiliale zahlreiche Maßnahmen, um die Sicherheit bei der Abwicklung von Finanzgeschäften zu ermöglichen und sich gegen Bankräuber zu schützen. So war es auch bei der Einführung des Online-Banking vor 25 Jahren unverzichtbare Voraussetzung, für die Kommunikation zwischen Kunde und Bank ein vertrauenswürdiges Umfeld zu schaffen das damalige PIN/TAN- Verfahren. Seitdem hat eine rasante Entwicklung stattgefunden und es ist heute möglich über das Internet fast jede Art von Transaktion in einer virtuellen Filiale von zuhause aus abzuwickeln. Dies stellt naturgemäß einen großen Anreiz für Angreifer dar, die fließenden Geldströme auf das eigene Konto umzuleiten. Das PIN/TAN-Verfahren INHALT Warum Online-Banking-Sicherheit? 1 Grundlagen zur Online-Banking- Sicherheit 1 Die HBCI -Karte 3 Der Secoder 3 chiptan-verfahren 4 mobiletan-verfahren 5 bietet seit einigen Jahren keinen passenden Schutz mehr gegen die immer besser werdenden Angriffe. Daher kümmert sich der Zentrale Kreditausschuss seit Jahren um die Weiterentwicklung solcher Sicherheitsmaßnahmen und hat sich auch auf einige grundlegende Verfahren geeinigt, die bei vielen Banken und Sparkassen zum Einsatz kommen und das Sicherheitsniveau im Vergleich zum klassischen PIN/TAN- Verfahren anheben können. Grundlagen zur Online-Banking-Sicherheit Für die Abwicklung von Geldgeschäften müssen Sicherheitsniveaus erreicht werden, die über eine normal abgesicherte SSL- Internetkommunikation weit hinaus gehen. Im Wesentlichen sind zwei Faktoren ausschlaggebend für das geforderte Sicherheitsniveau: 1. Spricht der echte Kunde mit seiner Bank und umgekehrt (Authentizität)?

Seite 2 2. Die Absichtserklärung des Kunden zum Tätigen eines Bankgeschäfts Das erste Sicherheitskriterium ist noch relativ leicht zu erfüllen über vereinbarte Zugangsdaten wie eine Kundennummer und die Online-Banking-PIN in Verbindung mit der SSL-Übertragungssicherheit können Kunde und Bank an jedem Ende der Kommunikationsstrecke leicht identifiziert werden. Aus diesem Grund darf die Online- Banking-PIN nie fremden Personen mitgeteilt und auf bankfremden Internetseiten eingegeben werden. Auch die Verschlüsselung der Datenübertragung ist hinreichend gewährleistet. Schwerer abzusichern ist die Absichtserklärung des Kunden mit den damit verbundenen Parametern wie z. B. Betrag und Empfänger der Zahlung, weil dies sehr viel attraktiver für Angreifer ist. Gelingt es hier, die Daten zu manipulieren, können Geldströme ohne Wissen des Kunden umgeleitet werden. Genau hier setzen die neuen ZKA- Sicherheitsmaßnahmen an: Die im Folgenden vorgestellten Verfahren lassen sich nach Art des Einsatzszenarios in stationäre und mobile Verfahren unterscheiden. Stationäre Verfahren gehen davon aus, dass der Kunde seine Bankgeschäfte an einem fest installierten Arbeitsplatz erledigt, an dessen USB- Schnittstelle ein Chipkartenleser angeschlossen ist. Will der Kunde von unterwegs auf seine Konten zugreifen, so eignen sich mobile Verfahren besser, bei denen ein Standard-PC oder ein Smartphone ausreicht. Beide Varianten funktionieren unabhängig davon, ob eine Finanzsoftware zum Einsatz kommt, oder ein Internet-Browser verwendet wird. Da das eigentliche Endgerät z. B. mit seinem PC-Betriebssystem die Hauptangriffsfläche bietet, gilt es diese Umgebung für den kritischen Prozess zu umgehen. Dies bedeutet jedoch nicht, dass der Kunde nicht mehr auf die Absicherung seines Arbeitsplatzes achten muss. Die Installation eines Virenscanners bei aktuell gehaltenen Virendefinitionen ist die Voraussetzung für jegliche Geschäftstätigkeit im Internet. Das entscheidende Ich will diesen und genau diesen Auftrag jetzt ausführen wird bei den neuen Verfahren über mehrere Wege speziell abgesichert: 1. Die HBCI-Karte spielt bei den meisten der angebotenen Verfahren eine zentrale Rolle. Der Kunde muss im Besitz der Karte sein und diese meist mit einer Karten-PIN separat freischalten.die entscheidenden Verschlüsselungsprozesse finden allerdings innerhalb der Chipkarte statt und können von außen nicht manipuliert werden. 2. Speziell im mobilen Bereich stellt sich die Frage, wie gerade die sensiblen Daten eines Auftrags wie beispielsweise Betrag und Empfänger in die Karte gelangen können, ohne dass ein Angreifer sie manipulieren kann. Hierfür gibt es zwei Möglichkeiten, nämlich (1) die Verwendung eines TAN-Generators mit separater Anzeige und Tastatur und (2) die Übertragung über einen separaten Kommunikationskanal. Wie diese Maßnahmen zusammenwirken zeigt die Vorstellung der ZKA-Verfahren in den nächsten Abschnitten.

Seite 3 Stationäre Verfahren: Die HBCI-Karte ZKA Banken- FinTS Die HBCI-Karte stellt bereits seit Einführung des HBCI-Standards (heute: FinTS- Standard) den zentralen Bestandteil für die stationäre Verwendung dar. War damals die Konfiguration eines Chipkartenlesers am PC teilweise noch schwierig, so stellt dies heute mit USB-Anschlüssen keine Hürde mehr dar. Die HBCI-Karte ist mit aktuellen Sicherheitsverfahren ausgerüstet und sorgt für eine sichere Abwicklung der Verschlüsselungsfunktionen, die mit einer Karten-PIN vor Zugriffen durch Fremde geschützt sind. Beim Klasse-2-Leser mit eigener Tastatur wird die PIN direkt am Kartenleser eingegeben und von der Karte geprüft, ohne, dass die Daten jemals mit dem PC in Verbindung kommen können. Nach Freischaltung der HBCI-Anwendung auf der Karte ist diese bereit, Verschlüsselungsfunktionen durchzuführen. Hierfür wird der Bankauftrag im PC über ein so genanntes Hashverfahren stark komprimiert und in der Chipkarte mit einer Signatur versehen. Da diese Signatur zusammen mit dem Kundenauftrag über Internet an die Bank geschickt wird, kann der Auftrag ab diesem Zeitpunkt nicht mehr verändert werden. Trotz der Verwendung der HBCI-Karte bleibt ein theoretisches Restrisiko: Der Kunde kann die Auftragsdaten im Chipkartenleser nicht mehr kontrollieren, d. h. er hat keine Transparenz, welche Daten zum Chipkartenleser zur Signaturbildung geschickt wurden. Dieses Restrisiko hat jedoch in der Vergangenheit noch nie zu einem Missbrauch geführt. Diese vermeintliche Schwachstelle kann z. B. durch die Verwendung von sicheren Signaturanwendungskomponenten, wie sie bei Qualifizierten Elektronischen Signaturen vom Gesetzgeber vorgeschrieben sind, behoben werden. Diese Lücke wird aber auch durch den Secoder, den neuen Chipkartenleser der Kreditwirtschaft geschlossen, wie im nächsten Abschnitt erläutert wird. Der Secoder SECCOS 4 5 6 0 4 5 6 0 Nachdem die Verwendung von Chipkarten für Bankanwendungen sich in den letzten Jahren in verschiedenen Einsatzszenarien bewährt hat und weiter ausgebaut werden soll, haben sich Banken und Sparkassen entschieden, einen eigenen, sicheren Chipkartenleser zu standardisieren, der anwendungsunabhängig zum Einsatz kommen und zu einem attraktiven Preis angeboten werden soll. Der Secoder bietet eine sichere Umgebung für die Anzeige und Eingabe bzw. Bestätigung von Daten und bietet dem Kunden somit die Möglichkeit,

Seite 4 die kritischen Daten eines Auftrags im Leser kontrollieren und freigeben zu können. Hierbei fließt der gesamte Bestätigungsprozess was wurde angezeigt und wie hat der Kunde reagiert? in die Signaturbildung mit ein und kann auf der Bankseite nachvollzogen werden. Dabei ist es für den Secoder unerheblich, ob es sich um Online-Banking, einen Logon- Prozess mit PIN oder eine Geldkarten- Ladetransaktion handelt. Damit der Secoder aber auch für nicht-kreditwirtschaftliche Anwendungen wie z. B. das Lesen einer SIM-Karte wie ein normaler Chipkartenleser fungieren kann, verfügt er über einen Default-Modus, aus dem jedoch kein Zugriff auf das Display des Lesers erlaubt ist. Die Anzeige von Daten funktioniert nur im sicheren Anwendungsmodus und ist über spezielle Firewallregeln im Secoder abgesichert. Da diese Betriebsart anhand von Signaturen vom Banksystem überprüft werden kann, ist somit ein sehr hoher Sicherheitsstandard gegeben, der technisch keine signifikanten Angriffsflächen mehr bietet. Unter dem Motto what you see is what you get ( was du siehst ist was du bekommst ) kann der Kunde am Secoder alle relevanten Auftragsdaten auf sichere Weise kontrollieren und bestätigen. Organisatorisch wird die Sicherheit von Secoder-Produkten durch ein spezielles Freigabe- und Zertifizierungsverfahren gewährleistet. Nur Produkte, welche diese Tests bestehen, dürfen das Secoder-Logo tragen und frei am Markt vertrieben werden. stationäre / mobile Verfahren: chiptan-verfahren SECCOS 4 5 6 0 Das neue chiptan-verfahren verbindet den Einsatz eines üblichen TAN-Verfahrens am PC mit einem TAN-Leser, der ebenfalls das Visualisierungskonzept des Secoders nutzt. Auch hier stellt die HBCI-Karte das Herzstück dar, da sie aus den eingegebenen Daten ein Kryptogramm errechnet, das vom TAN-Leser zu einer 6- stelligen numerischen TAN umgeformt wird, die der Kunde als Mini-Signatur zur Freigabe des Auftrags am PC eingibt. Doch zuvor müssen die relevanten Auftragsdaten auf sichere Art und Weise in den TAN-Leser gelangen. Da das manuelle Abtippen von Auftragsdetails wie Betrag oder Empfängerdaten unbequem und fehleranfällig ist, wurde vom ZKA ein optisches Übertragungsverfahren mit Hilfe einer animierten Grafik entwickelt. Die blinkenden schwarzen und weißen Rechtecke stellen die zu visualisierenden Auftragsdaten dar. Hält der Kunde nun seinen TAN-Leser mit der gekennzeichneten Kante vor den Bildschirm so werden über integrierte optische Elemente die Daten in den TAN-Leser übernommen. Dies dauert nur wenige Sekunden und ist an allen gängigen Displays wie Flach- oder Röhrenbildschirmen, bei einigen kleinen Produkten auch mit SmartPhones, möglich. Die Verarbeitung der Daten im TAN-Leser geschieht nun ähnlich wie beim Secoder: die Auftragsdaten werden einzeln im Leser- Display angezeigt und können so mit den

Seite 5 Originaldaten am Beleg verglichen werden. Der Kunde hat nun wie beim Secoder die Möglichkeit, die Korrektheit der Daten außerhalb der PC-Sphäre zu kontrollieren und damit deren Richtigkeit zu bestätigen. Da die einzelnen Visualisierungsschritte auch hier in die TAN-Berechnung mit eingehen, kann der Vorgang auf der Bank- Seite nachvollzogen und geprüft werden. Damit wird eine ähnlich hohe technische Sicherheit wie beim angeschlossenen Secoder erreicht. mobile Verfahren: mobiletan-verfahren Kommunikationsstrecken nicht zulässig ist und daher in den aktuellen Kundenbedingungen explizit ausgeschlossen wird. Alle bisher vorgestellten ZKA-Verfahren verwenden die HBCI-Karte als Basis. Dies erfordert jedoch in jedem Fall den Einsatz von Kartenlesern, was für manchen Kunden unbequem ist und für Wenignutzer die Anschaffung eines TAN-Lesers nicht rechtfertigt. Diese Lücke wird nun durch das mobiletan-verfahren geschlossen. Hier bedient man sich der Technik der Übertragung über zwei unterschiedliche Kanäle, zum einen das Festnetz für die Internet-Verbindung zum PC zum anderen das GSM-Netzwerk für die Kontrolle und Bestätigung der Daten. Dies impliziert bereits, dass die Verwendung des mobiletan-verfahrens z. B. über nur ein mobiles Smartphone für beide Die Auftragsabwicklung geschieht bei mobiletan wie bei den anderen PCbasierten TAN-Verfahren. Zusätzlich zur Spiegelung der Auftragsdaten am PC- Bildschirm des Kunden wird eine SMS an die mit dem Kunden vereinbarte Handynummer gesendet, die außer den kritischen Auftragsdaten wie z. B. Betrag und Empfängerdaten auch die zentral ermittelte TAN für diesen Auftrag enthält. Der Kunde kann diese nach sorgfältiger Prüfung gegen die Originaldaten am Beleg am PC eingeben und damit den Auftrag freigeben. Auch die Restrisiken des mobiletan- Verfahrens sind aus technischer Sicht vernachlässigbar, wenn die Rahmenbedingen für die Kanaltrennung eingehalten werden. Somit steht auch für diese Kundengruppe ein geeignetes und sicheres Online-Banking- Sicherheitsverfahren zur Verfügung.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback