Internet-Banking

Seit dem 01.10.1998 ist HBCI (Homebanking Computer Interface 2.0.1) als Internet-Schnittstellen-Standard für fast alle deutschen Banken verbindlich. Er regelt u.a. terminierte Überweisungen, Daueraufträge, Festgelder und Auslandsüberweisungen. Er soll höchstmögliche Sicherheit durch modernste Verschlüsselungsverfahren garantieren. Der Kunde erhält ein lokales Sicherheitsmedium mit einem privaten Schlüssel in Form einer Diskette oder Chipkarte. Es gibt derzeit zwei Sicherheitsverfahren: 1. DDV arbeitet mit einem "abgeleiteten" Schlüssel; 2. RDH arbeitet mit zwei Schlüsselpaaren je Kommunikationspartner, bestehend aus einem privaten und einem öffenlichen Schlüssel. In der bereits entworfenen Version HBCI 3.0 sind auch Wertpapiertransaktionen möglich. Außerdem lassen sich dann Geldkarten online aufladen, und es ist möglich, im Internet sicher einzukaufen und zu bezahlen. (Aus: PC-Magazin 11/98, S. 44)

Die meisten Zahlvorgänge im Internet laufen noch immer über Kreditkarten, oft ungesichert. Der SET-Standard (Secure Electronic Transaction) setzt sich nur zögerlich durch: Er schützt die Übertragung von Zahlungsinformationen im Netz. Die Deutsche Bank will dieses Verfahren über eine 'virtuelle Karte' auch für Eurocheque-Kunden verfügbar machen, um die große Verbreitung der ec-Karten auch für das Internet nutzbar zu machen. Ansonsten setzt die Deutsche Bank in Sachen elektronisches Bezahlen weiterhin auf ECash Aktuell zu finden auf www.montrada.de (ehemals cybercash.de): Dieses System ermöglicht durch digitale Münzen völlig anonymes Bezahlen und auch den Geldtransfer zwischen zwei Benutzern. Ein Pilotprojekt läuft bereits seit Oktober 1997 - Aussicht auf einen allgemeinen praktischen Einsatz hat das Verfahren aber wohl nicht vor Mitte 1999. Bereits ab Anfang 1999 wollte die Hypo-Vereinsbank mit CyberCash 'Ernst machen' und als erste von sechs beteiligten deutschen Banken die Pilotphase beenden. CyberCash arbeitet mit Schattenkonten, erlaubt also kein anonymes Bezahlen. Bis 50 Mark arbeitet CyberCash mit 'CyberCoins', bis 400 Mark über ein elektronisches Lastschriftverfahren - höhere Zahlungen gehen per SET zu Lasten einer Kreditkarte. Ein anderes Schattenkonten-System gibt es bereits: die Geldkarte. Der Nachteil für die Anwendung im Internet besteht in der erforderlichen Kartenleser-Hardware beim Benutzer. Noch dieses Jahr dürfte der Zentrale Kreditausschuss (ZKA) mit seiner Spezifikation 'Geldkarte im Internet' den Rahmen für Zahlvorgänge über das Netz festschreiben. Nach dem jetzigen Stand der Dinge ist neben dem PC für solche Zahlungen ein Karten-Terminal mit Tastatur und Displayeinheit notwendig, damit der Kunde den Abbuchungsbetrag in einer gesicherten Umgebung angezeigt bekommt und bestätigen kann. Solche Geräte kosten allerdings voraussichtlich 100 bis 150 Mark. Preiswerter geht es zu, wenn mit einer Chipkarte 'nur' Homebanking betrieben werden soll: Hier genügen einfache Lesegeräte, die bereits für rund 25 Mark zu haben sind. Beim Banking übers Netz geht der Trend zur HBCI-Chipkarten-Lösung (Homebanking Computer Interface). Die Dresdner Bank will ihren Kunden für das Internet-Banking noch in diesem Jahr eine entsprechende Karte mit asymmetrischer RSA-Verschlüsselung und einem handlichen Kartenleser für die serielle Schnittstelle kostenlos verfügbar machen; die zugehörige Software läuft per Java im Web-Browser. Klassischer geht es bei den Sparkassen zu: StarMoney 2.0 (www.starfinanz.de) unterstützt sowohl einen unmittelbaren Internetzugang als auch T-Online; diese Version befindet sich derzeit im Betateststadium. Der Großteil der Sparkassen dürfte Anfang nächsten Jahres für das chipkartengestützte HBCI-Banking bereit sein und dann Karten, Leser und Software im Paket anbieten. Die genauen Kosten sind institutsspezifisch, grobe Schätzungen sprechen von rund 50 Mark. AOL wird seinen Kunden kostenlos eine abgespeckte StarMoney-Version anbieten, die auf die AOL-spezifischen Übertragungsprotokolle zugeschnitten ist - Hardware will AOL aber nicht vertreiben. Ab Ende Oktober soll die zweite Messeneuheit in Sachen Heimfinanzverwaltung verfügbar sein: Quicken 24 geht aus einer Kooperation von Intuit und der Bank 24 hervor und wird 98 Mark kosten. Auch Quicken24 unterstützt HBCI-Banking - ob nun bei der Bank 24 oder bei anderen Instituten. Der zugehörige HBCIServer soll spätestens zum Jahresende seine Arbeit aufnehmen. Im übrigen hat die Bank 24 eine Internet-Telefon-Anbindung zu ihren Call-Centern angekündigt. Ab Herbst soll damit eine Möglichkeit für telefonische Rückfragen in das Internet-Banking integriert werden. Noch einen Schritt weiter geht die Bank GiroTel mit ihren "virtuellen Filialen" die den Kunden über Bildtelefon mit der Bankenzentrale verbinden. Das System arbeitet derzeit als Pilotprojekt in drei Einkaufszentren und soll später auch beim Kunden zu Hause über ISDN/Bildtelefonie eine persönliche virtuelle Niederlassung schaffen. Weitere Banking-Trends der CEBIT Home waren zunehmende Angebote im Bereich Aktienkursüberwachung und Internet-Broking sowie im Internet-Banking (leider) der Umstieg von Java-basierten Lösungen auf 128-Bit-Browser-Verschlüsselung per SSL (Secure Sockets Layer). Der Vorteil der neuen Strategie ist der Wegfall der Applet-Übertragung. Andererseits landet nun die volle Verantwortung der Sicherung bei der fehleranfälligen Monster-Applikation Internet-Browser, die somit außerdem zu einem lohnenden Sabotage-Ziel wird. Mit den Applets konnten die Banken im übrigen sehr schnell auf bekanntgewordene Sicherheitslücken reagieren. Wird zukünftig ein Loch im Browser entdeckt, können die Institute nur auf eine zügige Lösung durch die Hersteller hoffen. ("Homebanking und elektronisches Bezahlen” , c´t 19/1998, S. 24)

Die Zeitschrift PC-MAGAZIN (früher: DOS) hat in ihrer Ausgabe 8/98 sieben Banking-Programme getestet. Weil das Programm STARMONEY in der Version 2.0 von den Sparkassen allen Kunden (zunächst) gratis zur Verfügung gestellt wird, folgt hier ein Auszug aus dem Testbericht zur damals vorliegenden Beta-Version: Die Oberfläche erinnert ein bißchen an einen Browser - wer damit zurechtkommt, muß sich nur wenig umgewöhnen. Bei der Online-Verbindung haben Sie - bzw. Ihr Geldinstitut - freie Wahl: - über T-Online nach der etablierten PIN/TAN-Methode, - über T-Online nach dem HBCI-2.01-Standard (für die Sicherheit sorgen ein Kartenleser und eine Chipkarte), - über das Internet mit Chipkarte nach dem HBCI-2.01 -Standard, - über das Internet mit dem PIN/TAN-Verfahren und dem in die WWW-Browser eingebauten Verschlüsselungsprotokoll SSL (Secure Socket Layer). Die Firmen Brokat und netlife haben entsprechende Banksysteme realisiert. Im Test in der Redaktion wollte die Betaversion nicht richtig laufen und scheiterte schon an der Anmeldung beim Test-Bank-Server der Firma Bull. StarMoney ist sehr gut auf die Bedürfnisse der Sparkassen abgestimmt. Kein Wunder, schließlich ist der Hersteller StarFinanz ein Gemeinschaftsunternehmen von Star Division und der Sparkassen-Finanzgruppe. Die Sparkassen setzen auf die Sicherheit einer Chipkarte. Je nach Angebot der einzelnen Sparkassen unterstützt StarMoney Daueraufträge, termingebundene Überweisungen auf dem Bankrechner oder die Verwaltung von Wertpapierdepots und Festgeldkonten. StarMoney 2.0 wartet mit einer Benutzerverwaltung auf und kann Ein-und Ausgaben bestimmten Kategorien zuordnen. So lassen sich zum Beispiel am Monatsende einfach die Aufwendungen für das Auto oder Bücher herausfiltern oder die Verteilung der Gesamtausgaben grafisch darstellen. ... StarMoney 2.0 dürfte sich nach seiner Fertigstellung zwischen Money und den drei Zweitplazierten einordnen. Wenn Sie ein Aktiendepot oder Festgeldkonto verwalten, lohnt es auf jeden Fall. Versichern Sie sich aber vorher, daß Ihre Bank diese Transaktionen auch wirklich on-line anbietet. Sonst hilft das beste Programm nichts.

 

Wie sicher ist Internet-Banking? (COMM Nr.4, 10/98, Eric Kubitz)

Vor einem Jahr war die Welt für Online-Banker einfach: es gab T-Online. Punkt. Zwar versuchten die Hacker immer wieder, dem ehemaligen Btx-System die Sicherheit abzusprechen - vergebens. Selbst als 1997 zwei Schüler der verdutzten Öffentlichkeit stolz die Onlinebanking-Daten von 600 T-Online-Nutzern präsentierten, war das mehr Show: Der 16jährige Aaron Spohr und sein Freund Marcel Henning hatten vertrauensseligen Btx-Kunden ein Programm geschenkt, das ganz nebenher die Zugangsdaten per E-Mail an die Nachwuchshacker schickte.

T-Online-Sprecher Jörg Lammers: "Wir empfehlern unseren Kunden schon seit langem, keine Passwörter auf der Festplatte zu speichern." Doch was helfen alle Empfehlungen. Kim Schmitz, ein ehemaliger Hacker, weiß: "Der Risikofaktor Mensch ist leichter zu knacken als ein Computer."

Auch bei den Verbraucherschützern gilt T-Online als sicher. Tobias Bönneke, Rechtsreferent der Arbeitsgemeinschaft der Verbraucherverbände, verweist auf die geringen Fallzahlen: "Online-Verkehr ist derzeit noch keine Massenerscheinung. Deshalb tauchen Betrugs- oder Schadensfälle noch nicht in entsprechender Fallzahl auf." Immerhon werden aber schon 3,5 Millionen Bankkonten laut Bundesverband der deutschen Banken via T-Online oder Internet verwaltet.

Das Internet macht T-Online gehörig Konkurrenz. Schon seit letztem Jahr sind einige Banken mit sicheren und gut funktionierenden Internetbanking-Angeboten gestartet. Geschützt werden die Transaktionen im offenen Datenkanal mit sehr sicheren Verschlüsselugs-Programmen. Schon ein mit 64 Bit verschlüsselter Datensatz ist nur von Großrechnern nach Monaten zu knacken. Und teilweise werden sogar 128 Bit-Schlüssel genutzt, die definitiv nicht zu knacken sind.

Dennoch bleibt bei vielen Kunden ein Unsicherheitsempfinden. Um diesem ein Ende zu bereiten, haben sich die deutschen Kreditinstitute nun auf einen gemeinsamen Standard geeinigt, der sie von T-Online unabhängig macht und trotzdem nicht nur sicher ist, sondern jedem sofort als sicher erscheint. Die Rede ist vom Home Banking Computer Interface oder auch kurz HBCI.

Der Schlüssel für das neue Sicherheitsgefühl sind sogenannte Smartcards. Auf diese den EC-Cards ähnlichenPlastikkarten wird eine unverfälschbare Indentifikationsnummer des Kunden gespeichert. Will der nun von seinem PC aus eine Überweisung ausschreiben, muß er mit seiner Smartcard bestätigen, daß er es wirklich ist, der Daten eingegeben hat. Wird die Karte gestohlen, ist natürlich Gefahr im Verzug - aber dann kann das Konto schnell gesperrt werden. Alles wie bei den Bankautomaten in den Filialen.

Aber wer hat schon ein Lesegerät für EC-Cards an seinem PC? Deshalb müssen die Banken, die HBCI anbieten, ihren Kunden gleich noch die entsprechende Hardware mitliefern - ein hoher finanzieller Aufwand. Doch er scheint sich zu lohnen. Schon zwei Regionalbanken in Mainz und Aachen betreiben seit einem Jahr Banking per HBCI. Und seit einigen Wochen hat der Online-Dienst AOL 197 Sparkassen über diese Lösung mit seinen 600000 Onlinern verbunden.

HBCI läßt auch einen weiteren Vorteil von T-Online schrumpfen: Wer seine Überweisung per Computer ausschreibt, möchte die Umsätze natürlich danach speichern und vielleicht sogar grafisch aufarbeiten. Leider konnten bisher nur Daten von T-Online in entsprechende Programme übernommen werden. Microsoft hat in den neuen Programmen Money 99 Plus und Money 99 die Möglichkeit eingebaut, neben T-Online auch mit HBCI-Banken Kontakt über das Internet aufzunehmen. Neben den Kontotransaktionen bietet die Money-Familie ein Komplettpaket rund um Finanzplanung und -verwaltung. Eigene Finanzpläne können zum Beispiel mit neuen Aktienkursen via Internet abgeglichen werden. Auch das neue StarMoney 2.0 von StarFinanz, einem Gemeinschaftsunternehmen der deutschen StarDivision und der Sparkassen-Finanzgruppe, bietet nun HBCI, aber weiterhin auch noch das bekannte PIN- und TAN-Verfahren via T-Online. Das Programm gibt es in jeder Sparkasse.

Ob neben den Sparkassen auch die anderen Banken mitziehen, ist offen. Denn solange T-Online der Internet-Platzhirsch ist und die Hälfte der deutschen Netzbenutzer stellt, brauchen die Banken, die praktisch alle im ehemaligen Btx vertreten sind, nicht unbedingt zu reagieren. Aber ein anderer Grund spricht für das neue HBCI und damit fürs Internet: Diese Technik ist darauf vorbereitet, auch per Fernseher, Handy oder mit anderen Eingabegeräten via Web eine Verbindung zur Bank herzustellen.

Weitere Informationen zu Internet-Banking und Cybercash gab es früher bei http://www.knoll-deutschland.de/knoll/html/d/kiosk/service/banken.htm

 

Das Internet nutzen

Sicherheit