Bewertender Vergleich von Homebanking-Verfahren

2. Homebanking-Verfahren

• Telefonbanking
  - mit Operator, z.B. Citibank
  - mit Computer (MFV), z.B. Dresdner Bank
• T-Online-Banking
  - seit 1985
  - z.Zt. gängigstes Homebanking-Verfahren
  - fast alle Banken
• Internetbanking
  - seit 1996
  - zuerst: Sparda-Bank Hamburg und Bank 24
  - einzelne bankeigene Lösungen

3. Homebanking

• Vorteile:
  • Zeit- und Wegersparnis
    - meist dadurch Geldersparnis
  • 24-Stunden-Service
    - nicht an Öffnungszeiten gebunden
  • Zugang weltweit
    - bei unterschiedlichen Kosten
  • nur belegbare Transaktionen
    - keine Barauszahlung, Weg des Geldes nachvollziehbar
• Nachteile:
  • kein persönlicher Kontakt
    - außer Telefonbanking mit Operator, nur Maschinenkontakt
  • Sicherheit ?
    - Sicherheit von z. B. Unterschrift auf Überweisung ?
    - Sicherheit der ec-Karte => Bargeldabhebungen

4. Telefonbanking

• Banken
  • z. B. Citibank, Dresdner Bank
• Verfahren
  • Citibank:
    - persönlicher Operator
    - Codewort und erste drei oder letzte drei Ziffern der sechsstelligen PIN
  • Dresdner Bank:
    - Computer
    - fünfstellige PIN durch MFV mit Störgeräusch
• Vorteile
  • geschlossenes Netz
    - Telefon
• Nachteile
  • einfache Maskerade (Lauschen)
    - Vortäuschen einer falschen Identität
    - Achtung: Wahlwiederholung zeigt auch PIN
  • keine Sicherung einzelner Transaktionen
    - PIN / Codewort alleine verschaffen vollen Zugang

5. T-Online-Banking

• Banken
  • fast alle
• Verfahren
  • meist:
    - PIN, TAN, T-Online-Registrierung und -Passwort
  • z.B. Sparkasse Schlüchtern:
    - PIN, TAN, keine T-Online-Anmeldung
    - Zugang über Gastzugang von T-Online
• Vorteile
  • geschlossenes Netz
    - Telefon
    - Setzen von Limits pro Tag / pro Überweisung
• Nachteile
  • keine Kryptografie
  • TAN-Verwaltung
    - Sichern von PIN und TAN im Computer
    - TAN-Liste neben Computer
  • extra Software
  • T-Online-Grundgebühr
    - 8,- DM pro Monat, entfällt bei Kreissparkasse Schlüchtern

6. Internetbanking - heute

• Banken
  • fast alle Direkt- und Großbanken
  • teilweise Sparkassen, Volks- und Raiffeisenbanken
• Verfahren
  • PIN, TAN, starke Kryptografie
    - meist selbe PIN und TAN's, sowie Möglichkeiten wie in T-Online
• Vorteile
  • starke Kryptografie
    - meist (z.B. vr-bank Untertaunus):
    - 40-bit SSL
    - 254 bit asymetrische Verschlüsselung durch Java-Applet
    - HypoVereinsbank:
    - 128 bit SSL mit Genehmigung der amerikanischen Regierung
    - AxtiveX-Steuerelemente bei Vereinsbank: Nur Internet-Explorer
  • ohne Zusatzkosten weltweit
    - Voraussetzung: Internetzugang und Browser
    - Limit, wie bei T-Online
• Nachteile
  • offenes Netz
    - leichte Angriffe weltweit
  • TAN-Verwaltung
    - wie bei T-Online

7. HBCI (Home Banking Computer Interface)

• Schnittstellenspezifikation
  • automatisiert nutzbare multibankfähige Homebanking-Schnittstelle
  • plattform- und endgeräteunabhängig
    - Ein Teil der Empfehlungen erfordert jedoch intelligente Endgeräte mit lokaler Speicherintelligenz
• Entwicklung im Auftrag des ZKA (Zentralen Kreditausschusses)
  • Bundesverband deutscher Banken e.V.
  • Deutscher Sparkassen- und Giroverband e.V.
  • Bundesverband Der Deutschen Volksbanken und Raiffeisenbanken e.V.
  • Bundesverband Öffentlicher Banken Deutschlands e.V.
    -nicht unterzeichnet: Verband deutscher Hypothekenbanken e.V.
• frei verfügbar
  - bei obigen Verbänden

8. HBCI-Kryptografie

• stärkere Verschlüsselung
• Digitale Signaturen statt PIN - TAN
  • RDH (asymetrische softwarebasierte Lösung)
    - favorisiert von Privatbanken
    - Schlüssel auf Diskette
    - RSA-DES-Hybridvefahren
    - RSA-EU-Signierung
    - RSA-Chiffrierung
  • DDV (sysmetrische chipkartenbasierte Lösung)
    - favorisiert von Sparkassen und Genossenschaftsbanken
    - Chipkartenleser erforderlich
    - DES-DES-Verfahren
    - MAC als Signatur
    - Verschlüsselung des Nachrichtenschlüssels(nachrichtenbezogener Chiffrierschlüssel) mittels 2-Key-Triple-DES
  • angestrebt: RSA-Chipkartenlösung
    - Auf Basis der derzeitigen RDH-Spezifikation
    - keine ZKA-weit einheitliche Basis
    - Aufgrund technischer Restriktionen noch nicht flächendeckend umzusetzen

9. HBCI-Versionen

• 22.11.1996 - Version 1.0
  • erste vom ZKA verabschiedete Version
• 24.07.1997 - Version 2.0
  • Änderungen und Fehlerkorrekturen
  • neue Geschäftsvorfälle
• 02.02.1998 - Version 2.0.1
  • Änderungen und Fehlerkorrekturen zur Version 2.0
  - Ab 01.10.1997 müssen alle Banken, die Homebanking betreiben, ihre mometanen Geschäftsvorfälle auch in HBCI anbieten, mit einjähriger Übergangsfrist.
  - Bisher (02.10.1998): Raiffeisen- und Volksbank Mainz
  - angekündigt für demnächst: Dresdner Bank

• momentan spezifizierte Geschäftsvorfälle
  • Zahlungsverkehr Inland
    - Einzel- und Sammel-Überweisungen und -Lastschriften, Daueraufträge
  • Umsatz-Informationen
  • Termineinlagen
    - Festgeld und Änderungen
  • Depotaufstellung Wertpapiere
  • Zahlungsauftrag im Außenwirtschaftsverkehr
  • Bestellung von Karten, Schecks und Formularen
  • Informationen
    - an Bank und von Bank

11. HBCI-Geschäftsvorfälle

• in nächster Version geplant:
  • Wertpapierorder
  • Abruf von Börsenkursen
  • Abruf von Einzelumsätzen
  • Auslandsüberweisungen ohne Meldeteil
  • Laden elektronischer Geldbörse

12. Aussichten

• Detaillierter Vergleich bestehender Homebanking-Verfahren
  - Hauptaugenmerk: Sicherheit und Kryptografie
• Entwurf einer HBCI-Implementation
  - Wahrscheinlich:
  - asymetrische softwarebasierte Lösung
  - Kundenseite in Java
• Implementation ausgewählter HBCI-Geschäftsvorfälle

13. Referenzen

• HBCI 2.0.1 - Spezifikation
• Homepages der ZKA-Verbände
• Homepages der erwähnten Banken
• persönliche Test und Erfahrumgen
• HOMEBANKING und neuer elektronischer Zahlungsverkehr Dave Jörg, Uni Mainz