Datensicherheit beim eBanking - Technologien und Risiken

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Einleitung

2. Technologiestandards beim Online-Banking
2.1. Traditionelles PIN/TAN Verfahren
2.2. HBCI
2.3. Kryptographische Algorithmen

3. Phasenweise Untersuchung des Ablaufs einer Online-Transaktion
3.1. Verbindungsaufbau zum Internet vom heimischen PC aus
3.2. Dialoginitialisierung zwischen Kunde und Kreditinstitut
3.3. Auftragsübermittlung durch den Kunden
3.4. Auftragsprüfung auf Bankseite
3.5. Auftragsausführung
3.6. Verbindungsabbau

4. Zukunftstechnologien
4.1. Biometrie
4.2. TAN Generatoren

5. Schlussbetrachtung

Literaturverzeichnis

Anhang

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Überblick über grundlegende Technologien des Online-Banking

Abbildung 2: Integration von PIN/TAN und HBCI in FinTS 3.0

Abbildung 3: Ablauf eines HBCI-Dialoges

Abbildung 4: Bestandteile einer HBCI-Nachricht

Abbildung 5: Aufbau einer FinTS V3.0-Nachricht

Abbildung 6: DDV – 2-Key-Triple-DES im CBC

Abbildung 7: RDH (RDH-2, RDH-3, RDH-4)

Abbildung 8: Stichprobe von 18 Security-Checks durch FORUM

Abbildung 9: Life-Indikator-Nachricht

Abbildung 10: Computergestützter Zahlungsverkehr

Abbildung 11: Datenakquisitions-Angriff

1. Einleitung

Im Zeitalter der globalen Vernetzung werden mittlerweile immer häufiger Finanztransaktionen über das Internet getätigt. Dem Kunden werden häufige Bankbesuche und damit verbundene Kosten erspart während im Gegenzug die Banken finanziell immens durch Material- und Zeitaufwandseinsparungen profitieren.

Da diese Entwicklung wirklich vielfältige Vorteile bietet, haben vor allem die Banken ein zunehmendes Eigeninteresse an der Weiterentwicklung Ihrer Homebanking-Verfahren. Der Trend ging und geht auch weiterhin hin zur Selbstbedienung der Kunden und weg vom Filialgeschäft in den Banken um unter anderem die Quantität zu steigern.^[1] Natürlich würden Kunden dies nicht einfach akzeptieren, wenn nicht nachweisbar auch eine gewisse Qualität und in diesem speziellen Fall ein hochgradiger Sicherheitsstandard garantiert werden kann.

Unaufhörlich steigt die Zahl der Online-Konten und mit anteilig 80 Prozent an der Gesamtzahl der Girokonten bei deutschen Privatbanken zeichnet sich ein eindeutiger Trend hin zum eBanking ab. Zum Jahresende 2003 existierten laut einer repräsentativen Umfrage 12,4 Millionen Online-Konten.^[2]

Im Folgenden soll nun untersucht werden, welche Sicherheitsvorkehrungen für das eBanking getroffen wurden und welche Technologien zum Einsatz kommen.

Zum Zwecke dieser Untersuchung werde ich den Geschäftsprozess eBanking in seine Funktionen untergliedern und schrittweise mögliche Bedrohungen identifizieren und klassifizieren.

2. Technologiestandards beim Online-Banking

Seit Begründung des Online-Banking wurden verschiedene Verfahren entwickelt und etabliert, welche ständig verbessert und erweitert wurden. Nachfolgend werden die wichtigsten Technologien vorgestellt und grundlegend erläutert, wobei eine genauere Betrachtung am eigentlichen Geschäftsprozess im Kapitel 3 vollzogen wird.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Überblick über grundlegende Technologien des Online-Banking^[3]

2.1. Traditionelles PIN/TAN Verfahren

Seit 1984 hat sich das damals über BTX (Bildschirmtext) bediente PIN/TAN Verfahren etabliert und wird bis heute noch oft beim Bankkunden als Variante zum Homebanking akzeptiert und unter der Bezeichnung T-Online Classic („Btx-CEPT-Banking“) genutzt. Die heutigen Anwendungen sind zwar äußerlich durch Facelifting aufgewertet worden, basieren aber teilweise tatsächlich noch auf den traditionellen Btx-Bankapplikationen. Für den heute seltener verwendeten CEPT-Modus^[4] wurde allerdings zusätzlich noch eine Dekodersoftware benötigt. Demgegenüber sei beim aktuellen Browserbanking (HTML-implementiert) der große Vorteil der Einfachheit auf Seite des Bankkunden, da dieser für die Verwendung dieses Verfahrens lediglich einen PC, einen Browser, ein Modem oder eine ISDN-Karte und einen Internetzugang benötigt. Softwareinstallationen sind hier meist nicht erforderlich wie z.B. bei der Sparkasse praktiziert. Somit ist dieses Verfahren äußerst mobil, was die Anwendung attraktiv für Transaktionen von unterwegs beispielsweise per Handy oder vom Bürorechner aus macht.^[5] Bei dem klassischen Verfahren kann man zwei Alternativen nämlich den „Screen Dialog“ und den „ZKA-Dialog“ unterscheiden.

Beim Screen Dialog handelt es sich um einen Bildschirmdialog auf Basis der T-Online Classic Seiten (CEPT), wobei der Kunde nachempfundene Überweisungsformulare ausgefüllt an die beauftragte Bank sendet. Abgesichert wird diese Transaktion über die Eingabe einer PIN (Personal Identifikation Number) durch den Kunden, welche bei Sessionaufbau zum Bankrechner übertragen wird. Die eigentliche Transaktion wird zusätzlich durch eine TAN (Transaktionsnummer) abgesichert, deren Verwaltung allerdings auf Kunden- wie auch auf Bankseite sehr aufwendig ist. Der ZKA-Dialog sollte nun die Implementierung der Homebankingapplikationen professioneller gestalten. Datenübertragung findet im Nettoformat (nicht graphisch aufbereitet) logisch komprimiert statt. Ansonsten gelten gleiche Voraussetzungen wie beim Screen Dialog, wobei als nachteilig die Bindung der Übertragung an T-Online zu sehen ist, die aus der Verwendung von CEPT resultiert. Zahlreiche Interpretationsauslegungen machten den Normierungseffekt zunichte.^[6] Der Konkurrenz zwischen diesem Verfahren und HBCI soll nun FinTS Schritt für Schritt ein Ende machen, indem es das PIN/TAN-Verfahren mit HBCI-Syntax beinhaltet. Sämtliche Online-Banking-Verfahren können über eine einheitliche Plattform abgewickelt werden. (Abbildung 2)

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Integration von PIN/TAN und HBCI in FinTS 3.0^[7]

2.2. HBCI

Der Konkurrenzkampf auf dem Bankenmarkt hat in den letzten Jahren drastisch zugenommen, woraus ein Drang zur Produktdiversifikation und zu erhöhter Qualität des Service resultierte. HBCI steht für “Home Banking Computer Interface” und wurde 1997 erstmals vom ZKA (Zentraler Kreditausschuss) veröffentlicht. Bis dato gab es keinen einheitlichen Standard im Bereich Homebanking. Damals wie heute begründete sich das Ziel der Entwicklung dieses Standards darin, die Vereinheitlichung der Schnittstelle zwischen dem Bankkunden und einem oder sogar mehreren Kreditinstituten.^[8] Kundenprodukte können kosteneffizienter hergestellt werden, da nun selbst Drittanbieter die Möglichkeit nutzen Kundensoftware zu entwickeln. Ein entscheidender Vorteil für den Kunden besteht darin, dass er nun Konten bei verschiedenen Kreditinstituten mit derselben Software verwalten kann (Multibankfähigkeit).

Auf der Nutzerseite werden dabei folgende technische Voraussetzunge abverlangt: Der Kontoinhaber oder ein etwaiger Bevollmächtigter benötigt ein Rechnersystem mit der installierten Homebankingsoftware, einem Internetbrowser, einen Chipkartenleser und ein Modem oder eine ISDN-Karte für den Netzzugang momentan üblicherweise noch über das Telefonnetz der Telekom®.

An den damals neuen Homebanking Standard wurden genau spezifizierte Anforderungen gestellt:

- Flexibilität und Leistungsfähigkeit der Schnittstelle
- Unabhängigkeit von Präsentationsdiensten
- Unabhängigkeit vom Transportnetz und damit auch dem Internet
- Erhöhung des Bedienkomforts und Ermöglichung des Betriebs in unsicheren Netzen durch erweiterte Sicherheitsfunktionen
- Betriebsicherheit und Kontrollierbarkeit vom Auftragsstatus muss fortwährend garantiert sein
- Multibankfähigkeit und Herstellerunabhängigkeit um Kompatibilitätsproblemen aus dem Weg zu gehen
- Erschließung neuer Geschäftsvorfälle soll möglich sein
- Nahtlose Integrierbarkeit in die gesamte Online-Banking-Welt
- Gewährleistung einer langfristigen Planungssicherheit bei der Entwicklung kundenfreundlicher Homebanking-Programme auf Herstellerseite^[9]

Diesen Anforderungen wurde HBCI 1998 bis 2002 in den Versionen 2.01, 2.1, 2.2 nicht vollständig gerecht, was eine neue Entwicklungsstufe nach sich zog.

FinTS 3.0 stellt keinen neuen Standard sondern eine Namensänderung und Erweiterung zum bestehenden HBCI dar, die auftretende Etablierungsschwierigkeiten beseitigen sollte.

Durch die drastische Veränderung des Kundenverhaltens nach Einführung des Internet waren neue Anpassungen notwendig, um das HBCI nicht nur für sehr anspruchsvolle Bankkunden, die die zusätzliche Anschaffung von benötigten Endgeräten in Kauf nahmen, attraktiv zu gestalten.^[10]

FinTS liegt mittlerweile schon in Version 4.0 zur Kommentierung vor, in der vorliegenden Arbeit soll aber auf das aktuell verwendete FinTS 3.0 eingegangen werden.

2.3. Kryptographische Algorithmen

Beim Online-Banking kommen diverse Verfahren der Kryptographie zum Einsatz die der Verschlüsselung von Daten und somit Schutz vor Fremdkenntnis dienen. Nachfolgend werden kryptographische Basisverfahren zum allgemeinen Verständnis kurz erläutert.

DES (Data Encryption Standard) ist ein symmetrisches Verschlüsselungsverfahren (auch Secret-Key-Kryptographie) wobei gleichfalls Absender wie Empfänger denselben geheimen Schlüssel besitzen, mit welchem die Nachricht ver- bzw. entschlüsselt werden kann. Dieses zu den Blockalgorithmen zuordenbare Verfahren teilt Daten in Blöcke gleicher Länge (64 Bit) auf. In der Praxis am häufigsten angewandt ist der Modus CBC (Cipher Block Chaining) in dem vor der Verschlüsselung mit dem 56-Bit-Schlüssel jeder 64-Bit-Block des Klartextes mit dem vorangehenden verschlüsselten Block mit einem exklusiven ODER (XOR) verknüpft wird. Somit ist eine Abhängigkeit der Blöcke untereinander, genauer jedes Blocks mit dem Vorangehenden existent.^[11]

RSA verdankt seinen Namen seinen Erfindern Rivest, Shamir und Adleman. Es handelt sich hierbei um ein asymmetrisches Verschlüsselungsverfahren (auch Public-Key-Kryptographie). Es werden Schlüsselpaare eingesetzt: Verschlüsselt wird vom Absender mit einem vom Empfänger bekannt gegebenem öffentlichen Schlüssel PK (Public Key). Durch funktionale Verknüpfung der Nachricht (M) mit dem Schlüssel ergibt sich der (codierte) Chiffretext (C = f(M, PK)) Der Verschlüsselungs- und der Entschlüsselungsprozess werden entkoppelt. Dadurch ist es jemanden, der die Kontrolle über den einen Teilvorgang erlangt hat, trotzdem unmöglich Wissen über den Umkehrvorgang zu erlangen. Entschlüsselung ist auch bei Kenntnis des Algorithmus f nur über dem beim Empfänger gelagerten geheimen Schlüssel SK (Secret Key) möglich (M = f-1(C, SK)).^[12] Es ist auch heutzutage noch ein mächtiges Problem, große Zahlen in Primfaktoren zu zerlegen. Dies macht sich RSA zunutze, indem hier für die öffentlichen sowie privaten Schlüssel Funktionen von Primzahlen zum Einsatz kommen, die mindestens 100 bis 200 Dezimalstellen besitzen.^[13]

Ein MAC (Message Authentication Code) hat eine vorgegebene Länge und repräsentiert eine Nachricht. Der MAC wird vom Absender sowie vom Empfänger mittels eines Schlüssels von beiden gekannten Schlüssels berechnet. Bei Übereinstimmung der beiden Werte kann der Empfänger sicher sein, dass die Nachricht unverändert und korrekt übertragen wurde und garantiert somit die Integrität. Der MAC ist immer ein symmetrisches Verfahren und basiert speziell beim HBCI auf DES.^[14]

3. Phasenweise Untersuchung des Ablaufs einer Online-Transaktion

Zur weiteren Untersuchung der Datensicherheit beim eBanking werde ich nun den Geschäftsprozess näher beleuchten und die einzelnen Schritte erläutern und prüfen. Die Abbildung zeigt einen typischen Aufbau einer Transaktion mit HBCI, welche sich vom Ablauf einer PIN/TAN – Transaktion nur dahingehen unterscheidet, welche Übertragungsmedien genutzt werden und dass eine unterschiedliche Automatisierung verschiedener Schritte vorherrscht. Dies soll später noch näher ausgeführt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Ablauf eines HBCI-Dialogs^[15]

Im Wesentlichen verfolgt die Sicherheitskonzeption eines Transaktionsdialoges folgende Prinzipien. Die Echtheit des Benutzers, des Kommunikationssystems und der übertragenen Daten muss überprüft werden (Authentizität). Die Kommunikation muss abhörsicher geschehen (Vertraulichkeit). Daten dürfen während der Übertragung nicht verändert werden können. Dies muss nachprüfbar sein (Datenintegrität). Es muss weiterhin nachweisbar (Nachweisbarkeit) sein, welche Daten von wem gesendet wurden (Nichtabstreitbarkeit des Versands). Der Sender muss nachweisen können, dass eine von ihm versandte Nachricht den Empfänger erreicht hat (Nichtabstreitbarkeit des Zugangs).^[16]

3.1. Verbindungsaufbau zum Internet vom heimischen PC aus

Grundsätzliche Voraussetzung für jede Onlinetransaktion ist natürlich die bestehende Verbindung zum Internet. Der Verbindungsaufbau findet je nach verwendetem Verfahren per Internetbrowser beim PIN/TAN oder üblicherweise per Finanzsoftware beim HBCI statt.

Die Sicherheitsproblematik beim Internetverbindungen resultiert aus der prinzipiellen Architektur der Kommunikationsprotokolle TCP/IP und UDP, welche ursprünglich nicht mit der Intension entwickelt wurden, sichere Kommunikationspfade zu garantieren.^[17]

Der Sicherheitsgrad bei Benutzung des Internets variiert nun vordergründig beeinflusst durch das Verhalten des Kunden, welcher seinen Sicherheitsstand durch ordnungsgemäße Konfiguration seiner Software erheblich erhöhen kann. Die Banken bieten zu diesem Thema Broschüren sowie Online - Informationsportale an.

Der Webbrowser überträgt kontinuierlich Dateien aus dem Internet auf den Kundenrechner um sie dort weiterzuverarbeiten. Gefährdung der privaten Daten kann dabei von folgenden Dateien ausgehen:

- Programme, deren Ausführung eine Gefahr darstellen kann (Viren, Trojanische Pferde, Würmer)
- Aktive Komponenten in HTML – Dokumenten (JAVA – Applets, ActiveX – Steuerelemente)
- Dateien anderer Typen, die bei bestimmter Browserkonfiguration automatisch von der zugeordneten Anwendung geöffnet werden und damit verbunden möglicherweise bösartige Aktionen ausführen könnten.^[18]

Beim Online Banking geht die größte Bedrohung daraus hervor, dass Passwörter bzw. PINs von Fremden ausspioniert und illegal benutzt werden könnten.

Genau diese Funktionalität weisen Keylogger auf. Hardware-Keylogger werden zumeist zwischen Tastatur und Computer als herkömmliche Adapter getarnt angeschlossen, so dass der Benutzer selbst kaum Verdacht schöpfen kann. Der Keylogger protokolliert die eingegebenen Tastaturbefehle und kann mittels Software vom Hacker ausgelesen werden.

[...]

^[1] Bundesamt für Sicherheit in der Informationstechnik (2001) , http://www.bsi.bund.de/literat/faltbl/homebank.htm

^[2] Bundesverband deutscher Banken (2004), http://www.bdb.de/index.asp?channel=164710&art=1107&ttyp=1&tid=1442

^[3] Quelle: Bundesverband deutscher Banken e.V. (2002), Financial Transaction Services FinTS, Security – Sicherheitsverfahren PIN/TAN, http://www.hbci-zka.de/dokumente/spezifikation_deutsch/FinTS_3.0_Security_Sicherheitsverfahren_PINTAN.pdf, S. 8

^[4] CEPT wurde durch KIT später multimedial mit Video bzw. Soundfunktionen, Buttons und kontextsensitiven Flächen durch den Telekom-Online-Dienst T-Online erweitert

^[5] Sparkassen-Finanzgruppe (2004), http://www.spk-chemnitz.de/frame.php?url=banking_und_brokerage/online_banking_hbci/index.php

^[6] Haubner, Kurt (2003), S. 1 ff. und Interviews mit eBanking-Experten der Sparkasse Döbeln, Mai 2004

^[7] Quelle: Bundesverband deutscher Banken e.V. (2002), Financial Transaction Services FinTS , Security – Sicherheitsverfahren PIN/TAN http://www.hbci-zka.de/dokumente/spezifikation_deutsch/FinTS_3.0_Security_Sicherheitsverfahren_PINTAN.pdf, S. 7

^[8] Haubner, Kurt (2003), S. 1 ff.

^[9] Vgl. Haubner, Kurt (2003), S. 1 ff.

^[10] Vgl. Haubner, Kurt (2003), S. 4

^[11] Vgl. Lynch, Daniel C.; Lundquist, Leslie (1997), S. 82f.

^[12] Vgl. Bodendorf, Freimut; Robra-Bissantz, Susanne (2003), S. 45f.

^[13] Vgl. Lynch, Daniel C.; Lundquist, Leslie (1997), S. 86

^[14] Vgl. Pramateftakis, Michael (2003), S. 46

^[15] Quelle: Sommer, Torsten (2000), S. 104 Abb. 2

^[16] Vgl. Bodendorf, Freimut; Robra-Bissantz, Susanne (2003), S. 44

^[17] Vgl. Kyas, Othmar (1996), S. 45

^[18] Vgl. Baldi, Stefan; Achleitner, Ann-Kristin (1998), S. 249 ff.