Homebanking Computer Interface
aus Wikipedia, der freien Enzyklopädie
Homebanking Computer Interface (HBCI) ist ein offener Standard für den Bereich Electronic Banking und Kundenselbstbedienung. Er wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschuss (ZKA) beschlossen. HBCI definiert Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren.
Inhaltsverzeichnis |
[Bearbeiten] Technische Merkmale
Das herausragende Merkmal von HBCI ist die Bankenunabhängigkeit, die Providerunabhängigkeit und die öffentliche Verfügbarkeit des Standards. Dadurch ist es prinzipiell jedem Programmierer oder Softwarehersteller möglich, eine Implementierung der Client-Seite von HBCI zu erstellen und damit auf alle HBCI-fähigen Banken zuzugreifen. Der Standard sieht dazu mehrere Möglichkeiten der wirkungsvollen Authentifizierung vor, so dass diese Hersteller- und Bankenunabhängigkeit in der Praxis tatsächlich für echte Geldgeschäfte in Anspruch genommen werden kann und eine Vielzahl von Anbietern die entsprechenden Softwarebausteine bereitstellen.
[Bearbeiten] Sicherheit
Die zurzeit sicherste Lösung besteht in der Nutzung einer HBCI-Chipkarte mit einem Chipkartenleser, der die sichere PIN-Eingabe (Sicherheitsklasse 2 oder höher) unterstützt. Bei diesem Verfahren kann weder der kryptographische Schlüssel der Karte ausgelesen werden, noch ist das Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner möglich. Phishing ist bei diesem Verfahren ebenfalls prinzipiell nicht möglich, da man zum erfolgreichen Ausführen einer Transaktion im Besitz der elektronischen Signatur sein muss, also die Chipkarte besitzen muss.
Trotzdem besteht auch bei dieser Homebanking-Methode ein theoretisches Restrisiko. Falls nämlich das eigentliche Homebanking-Programm durch einen Angreifer manipuliert wurde, könnte dieses statt eines erteilten Auftrags einen veränderten Auftrag an den Bankserver schicken. Jegliches Homebanking ist daher nur unter der Annahme möglich, dass das verwendete Homebanking-Programm nicht durch Angreifer manipuliert werden konnte.
[Bearbeiten] Geschichte
HBCI wurde in praxistauglicher Form erstmals im Jahre 1998 als Version 2.01 veröffentlicht; Entwürfe reichen bis ins Jahr 1995 zurück. Es folgten die Versionen 2.1 (1999) und 2.2 (2000), die sich bis auf hinzugefügte Geschäftsvorfälle relativ wenig voneinander unterschieden.
Im Jahre 2002 wurde die Version 3.0 veröffentlicht und der Standard umbenannt in FinTS (Financial Transaction Services). Mit FinTS ist das Sicherheitsverfahren PIN/TAN sowie der Einsatz von Signaturkarten in den Standard hinzugekommen. Abgesehen davon galten die Strukturen aus den Vorversionen in ähnlicher Form weiter. In der Zwischenzeit hatte der Deutsche Sparkassenverband eine Version namens HBCI+ eingesetzt, bei dem ein PIN/TAN-Sicherheitsverfahren genutzt wurde. In der Version FinTS 3.0 wurde dieses Verfahren dann als alternative Sicherheitslösung in den FinTS-Standard aufgenommen.
Schließlich wurde im Jahre 2004 die Version FinTS 4.0 eingeführt. In dieser Version wurden alle internen Datenstrukturen komplett auf XML und XML-Schemata umgestellt, HTTPS als Kommunikationsprotokoll verwendet und weitere komplett neue Schnittstellen (zum Beispiel WWW-Portale) eingeführt.
Nach einer zunächst zögerlichen Einführung wird HBCI seit 2002 von ca. 2000 Banken in Deutschland angeboten, also der Hälfte der deutschen Banken. Obwohl ursprünglich auch eine internationale Verwendung des Standards angestrebt war, blieb HBCI rein auf den deutschen Bankenmarkt beschränkt.
[Bearbeiten] Bestandteile des Standards
HBCI spezifiziert im wesentlichen zwei große Teilbereiche des Online-Banking: Einerseits werden mehrere Sicherheitsverfahren zur Authentifizierung und Verschlüsselung der Aufträge definiert, zum Beispiel Chipkarten oder PIN/TAN. Andererseits sind mit Geschäftsvorfällen Datenformate und Abläufe für die Ausführung einzelner Bankgeschäfte festgelegt, zum Beispiel Einzelüberweisung, Umsatzabruf eines Kontos, Änderung eines Dauerauftrags etc.
[Bearbeiten] Sicherheitsverfahren
[Bearbeiten] RSA-Schlüsseldiskette
HBCI unterstützt Disketten oder andere Datenträger als Sicherheitsmedium für ein selbsterzeugtes RSA-Schlüsselpaar. Die Transaktionen werden dabei durch eine digitale Signatur gegen unauthorisierte Änderungen geschützt.
Zum Zeitpunkt der ersten HBCI-Veröffentlichung war eine Diskette noch das vorherrschende beschreibbare Wechselmedium, so dass immer von der „Schlüsseldiskette“ die Rede ist, obwohl jedes andere Speichermedium (zum Beispiel USB-Stick) genauso gut zu Anwendung kommen kann.
Für die Authentifizierung wird dabei in der Software des Kunden ein RSA-Schlüsselpaar mit 768 Bit Schlüssellänge erzeugt (HBCI2.x; ab FinTS3.0 auch 1024 bis 2048 Bit, genannt „Sicherheitsklasse RDH-2/3/4“). Danach wird vom Benutzer ein elektronischer Fingerabdruck (fingerprint) des öffentlichen Signaturschlüssels auf Papier ausgedruckt und unterschrieben an die Bank gesendet. Gleichzeitig wird der öffentliche RSA-Schlüssel elektronisch an den HBCI-Server der Bank gesendet. Die Bank kann an Hand des unterschriebenen fingerprints sicherstellen, dass der elektronisch eingereichte Schlüssel auch tatsächlich und ausschließlich vom unterschreibenden Bankkunden stammt. Damit ist der selbsterzeugte Schlüssel auf sichere Weise authentifiziert und kann nun zur Signatur jedes Auftrages verwendet werden.
Zur Nachrichtenverschlüsselung kommt ein 2Key-Triple-DES-Verfahren zum Einsatz. Für jede Nachricht wird ein neuer 112-Bit-Einmalschlüssel generiert, der dann mit den dauerhaften RSA- oder DES-Schlüssel verschlüsselt wird. Diese Vermischung des RSA- und DES-Verfahrens wird im HBCI-Standard als RSA-DES-Hybridverfahren (RDH) bezeichnet.
Das Speicherformat des RSA-Schlüssels auf dem Datenträger ist nicht im HBCI-Standard spezifiziert. Das Datenformat und ein Schutz des Sicherheitsmediums per PIN wird von jedem Software-Hersteller alleine festgelegt, was häufig dazu führt, dass selbsterzeugte Schlüssel einer HBCI-Software nicht von konkurrierenden HBCI-Programmen weiterverwendet werden können.
Erwähnenswert ist des Weiteren, dass zum Beispiel unter Microsoft Windows XP mit Service Pack 2 (SP2) oder bei einem PC mit aktiver Firewall wie zum Beispiel Norton Firewall manuell der Port 3000 freigegeben werden muss, da dieser von HBCI genutzt wird und immer Port 3000 vorgesehen ist. Dieser TCP-Port 3000 kann auf Windows-PCs durch den Benutzer freigegeben werden unter Systemsteuerung/ Windows-Firewall/ Ausnahmen.
[Bearbeiten] DES-Chipkarte
Die Authentifizierung einer Chipkarte geschieht implizit dadurch, dass dem Bankkunden die Chipkarte überreicht wird. Die DES-Chipkarte enthält dabei 3DES-Schlüssel der Länge 112 Bit.
Wie auch beim eben erklärten RDH-Verfahren erfolgt die Verschlüsselung der zu übertragenden Daten nach dem 2Key-Triple-DES-Verfahren, das für die Verschlüsselung zwei DES-Schlüssel mit je 56 Bit verwendet. Die Kommunikationsdaten werden zuerst mit dem ersten Schlüssel verschlüsselt, mit dem zweiten Schlüssel entschlüsselt und nochmals mit dem ersten Schlüssel verschlüsselt. Die Entschlüsselung der Daten auf der Empfängerseite erfolgt nach demselben Prinzip in umgekehrter Reihenfolge. Der gesamte DES-Schlüssel hat eine Länge von 112 Bit. Durch die Verwendung von zwei Schlüsseln dieser Länge in der beschriebenen Weise wird die Sicherheit der Daten nicht verdoppelt, sondern potenziert.
[Bearbeiten] RSA-Chipkarte
Bei einer RSA-Chipkarte ergeben sich die gleichen Abläufe wie bei einer Schlüsseldiskette, außer dass der erzeugte RSA-Schlüssel durch den Prozessor auf der RSA-Chipkarte erzeugt wird und der private Schlüssel dadurch nie die Chipkarte verlässt. Dies macht dieses Verfahren besonders sicher, allerdings sind RSA-Chipkarten noch immer recht teuer.
[Bearbeiten] PIN/TAN
HBCI 2.2 wurde (zunächst inoffiziell) um das PIN/TAN-Verfahren erweitert. Man sprach hierbei von HBCI 2.2 PIN/TAN oder auch HBCI+. Seit der Version FinTS 3.0 können HBCI-Aufträge auch offiziell mit dem PIN/TAN-Verfahren authentifiziert werden. Die in HBCI+ und FinTS 3.0 Varianten des PIN/TAN-Verfahrens unterscheiden sich jedoch von einander.
Die Datenübertragung erfolgt über eine gesicherte HTTPS/SSL-Verbindung und funktioniert dadurch unverändert über HTTP-Firewalls (im Gegensatz zum bisherigen HBCI, was die Freigabe des Port 3000 benötigt). Dieses Verfahren nutzt die Vorteile von HBCI zusammen mit der gewohnten Handhabung von TAN-Listen, was besonders aus Sicht der Banken eine Vereinfachung des HBCI-Zugangs bedeutet.
Allerdings verliert man einige Sicherheitsvorteile von HBCI, zum Beispiel werden die Transaktionen bei PIN/TAN nicht mehr elektronisch signiert. Ein weiteres Problem ist das verstärkte Auftreten von Phishing nach PIN und TAN, also dem Erschleichen von PIN und TAN durch Trickbetrug. Trotzdem bieten immer mehr Kreditinstitute diesen Übertragungsweg an, besonders da bisherige PIN/TAN-Zugänge den veralteten Zugang über T-Online Classic (BTX) verwendeten, dessen Betrieb nur noch für Banking-Anwendung aufrechterhalten wurde und mit dementsprechend steigenden Kosten verbunden war.
In den Niederlanden bekommt jeder Kunde nach Eröffnung eines Kontos einen TAN-Generator (Bild) kostenlos.
[Bearbeiten] Geschäftsvorfälle
Beispiele für Geschäftsvorfälle: Einzelüberweisung, Umsatzabruf eines Kontos, Änderung eines Dauerauftrags, etc.
Mittels Bank-Parameter-Daten (BPD) und User-Parameter-Daten (UPD) meldet der HBCI-Server einer Bank konkret, welche Geschäftsvorfälle diese Bank im Allgemeinen und für diesen Benutzer im Speziellen erlaubt.
[Bearbeiten] FinTS - die Weiterentwicklung von HBCI
FinTS steht für „Financial Transaction Services“ und beinhaltet Sicherheitsverfahren mit elektronischer Signatur (Chipkarte oder selbsterzeugte RSA-Schlüsseldiskette) sowie im Unterschied dazu das Sicherheitsverfahren PIN/TAN. FinTS versteht sich als Baukastensystem (Legitimationsverfahren, Geschäftsvorfälle und Finanzdatenformate werden vom Protokoll getrennt).
[Bearbeiten] FinTS 3.0 - Ausbau der möglichen Sicherheitsverfahren
FinTS 3.0 zeichnet sich insbesondere durch die Einführung der Signaturkarte als einheitliches Sicherheitsmedium aus. Mit dieser Signaturkarte kann eine rechtsverbindliche Erklärung im elektronischen Geschäftsverkehr abgegeben werden. Außerdem wurden die Sicherheitsverfahren an den aktuellen Stand der Technik angepasst, zum Beispiel wurde eine Erhöhung der Schlüssellänge vorgenommen. Die bisherige PIN/TAN-Erweiterung wurde in FinTS 3.0 als alternatives Sicherheitsverfahren zu HBCI aufgenommen.
Mit der Einführung von FinTS 3.0 wird die Bezeichnung „HBCI“ für eine bestimmte Gruppe der Sicherheitsverfahren verwendet, in denen die Chipkarten und RSA-Schlüsseldateien als „HBCI Sicherheitsverfahren“ bezeichnet werden und vom PIN/TAN-Sicherheitsverfahren unterschieden werden. In den vorigen Versionen stand die Bezeichnung „HBCI“ allerdings für die Gesamtheit der Geschäftsvorfälle zusammen mit allen bekannten Sicherheitsverfahren. Insofern wäre es durchaus angemessen, von einer Umbenennung von HBCI in FinTS zu sprechen.
[Bearbeiten] FinTS 4.0 - der Wechsel zur XML-Syntax
Mit FinTS 4.0 wurde die zugrundeliegende Nachrichtensyntax des Protokolls auf XML umgestellt. Darüberhinaus wurden die Möglichkeiten der Kommunikation zwischen Homebanking-Client und Banksystem weiter flexibilisiert. So wurde die Möglichkeit asynchroner Kommunikation (via SMTP) geschaffen. Auch kann nun das Banksystem von sich aus aktiv werden und dem Homebanking-Kunden zuvor von diesem abonnierte Informationen (zum Beispiel dessen Kontoumsätze) in einem vom Kunden festgelegten Turnus zusenden.
[Bearbeiten] Weblinks
- Dokumentation und weiterführende Informationen zu HBCI und FinTS: http://www.hbci-zka.de
- Suchmaske zur verwendeten Version des eigenen Instituts: http://www.hbci-zka.de/institute/institut_auswahl.htm
- Zentraler Kreditausschuss: http://www.zka.de
- Unabhängiges Forum zum elektronischen Zahlungsverkehr: http://www.zahlungsverkehrsfragen.de
- Unabhängiges Forum zum Thema Online-Banking und HBCI: http://www.homebanking-hilfe.de
- HBCI und Freie Software: http://www.linuxwiki.de/HBCI
