Bewertender Vergleich von Homebanking-Verfahren

2. Homebanking

• Vorteile:
  • Zeit- und Wegersparnis
    - meist dadurch Geldersparnis
  • 24-Stunden-Service
    - nicht an Öffnungszeiten gebunden
  • Zugang weltweit
    - bei unterschiedlichen Kosten
  • nur belegbare Transaktionen
    - keine Barauszahlung, Weg des Geldes nachvollziehbar
• Nachteile:
  • kein persönlicher Kontakt
    - außer Telefonbanking mit Operator, nur Maschinenkontakt
  • Sicherheit ?
    - Sicherheit von z. B. Unterschrift auf Überweisung ?
    - Sicherheit der ec-Karte => Bargeldabhebungen

3. Homebanking-Verfahren

• Telefonbanking
  - mit Operator, z.B. Citibank
  - mit Computer (MFV), z.B. Dresdner Bank
• Online-Dienst-Banking
  • T-Online, AOL
    - T-Online (BTX) seit 1985
• Internetbanking
  • Brokat Twister
    - SSL-basiert (teilweise 128 bit)
    - oft Java-Applets 128 bit
    - manchmal Sicherheitsverstärkung von Browser (comdirect)
  • Netlife (Postbank) (rein HTML basiert)
    - mit Sicherheitslücke
  • Gries und Heissel / Hewlett Packard
    - wenig bekannt / erstes Online-Banking in Deutschland
  • MeChip
    - Hardwareverschlüsselung mit Chip
  • HBCI
    - deutscher Homebanking-Standart
    - im Vergleich mit:
  • OFX
    - Homebanking-Standart drei großer Softwarefirmen

4. Telefonbanking

• Banken
  • z. B. Citibank, Dresdner Bank
• Verfahren
  • Citibank:
    - persönlicher Operator
    - Codewort und erste drei oder letzte drei Ziffern der sechsstelligen PIN
  • Dresdner Bank:
    - Computer
    - fünfstellige PIN durch MFV mit Störgeräusch
• Vorteile
  • geschlossenes Netz
    - Telefon
• Nachteile
  • einfache Maskerade (Lauschen)
    - Vortäuschen einer falschen Identität
    - Achtung: Wahlwiederholung zeigt auch PIN
  • keine Sicherung einzelner Transaktionen
    - PIN / Codewort alleine verschaffen vollen Zugang

5. Online-Dienst-Banking

• Banken
  • fast alle
    - alle Großbanken
    - fast alle Volks- und Raiffeisenbanken und Sparkassen
    - teilweise Direktbanken
• Verfahren
  • PIN, TAN
• Eigenschaften
  • geschlossenes Netz
    - seit Öffnung des Telefonmarktes zumindest noch bei der Deutschen Telekom
  • meist Hintergrund für Internetangebot
    - Brokat-Lösung baut oft auf bestehende Strukturen auf
    - selbe PIN und TANs für Online-Dienst- und Internetbanking
  • T-Online: keine Kryptografie / AOL: Brokat Twister
    - ZKA-Dialog von 1987

6. Brokat

• 1994 gegründet
  - Gründungsdatum: September 1994
  - Gründungsmitglieder: 2 Betriebswirte, 1 Physiker, 2 Informatiker
• momentan in Deutschland führend
  - fast alle Großbanken, viele Rechenzentren der Volks- und Raiffeisenbanken und der Sparkassen
• weltweit auf dem Vormarsch
  - USA, Frankreich, Österreich, Schweiz, Singapur, Großbritanien, Luxemburg, Japan, Australien, Südafrika
• E-Services-Plattform Twister
  - Twister-Komponenten kommunizieren untereinander basierend auf dem CORBA/IIOP-Standart
  - optional auch Microsoft-Standart COM möglich
  - Java-basierte 128 bit Verschlüsselungssoftware
  - Sicherheitsverstärkung aller gängigen Internet-Browser-/Web-Server-Lösungen
  • X·PRESSO Security Gateway
    - SSL-Internetzugang von Twister
    - sicherer, dynamischer SSL-Server für die Kommunikation mit Standart-Browsern (128 bit)
    - als Gegenpart zu X·PRESSO Applets
    - Bundesamt für Sicherheit in der Informationstechnik (BSI)
    ITSEC-Prüfzertifikat "E3-hoch"
  • bei Applets immer 128 bit Verschlüsselung
  • verschiedenste Authentifikationsverfahren
    - Challenge Response Tokens
    - PIN/TAN-Verfahren
    - digitale Zertifikate
    - Mobile Authentifikation
    - wegen Gateway zu Online-Dienst-Lösung meist PIN-TAN verwendet
  • X·HBCI (Kooperation mit Faktum)
    - Faktum erster HBCI-Provider

7. Netlife (Postbank)

• rein HTML basiert
  • Formulare / CGI-Programme
    - kein Java-Applet
• 128 bit SSL-Verschlüsselung
  - Anforderung mit EXP-RC4 (128 bit / 40 secret)
  - Server liefert Global-Server-ID-Zertifikat von VeriSign mit
  - erneute Browser-Anforderung mit RC4 (128 bit)
  - Zertifikat hat extKeyUsage field
  - Netscape ermöglicht Import neuer Zertifikate
  - Problem: SSL ist wie Blanko-Unterschrift
• PIN-/ TAN-Verfahren
  - Nach dreimaliger falscher PIN: Korrekte TAN zum entsperren
  - Falsche TAN: dauerhafte Sperrung, "Denial of Service" leicht gemacht
• Session-ID in URL
  • nicht Rechnergebunden
  • 10 Minuten gültig nach letztem Zugriff
    - auch bei Refresh
    - keine Höchstbegrenzung der Zeit
    - tagelanger Zugang / Verfolgen der Kontobewegung möglich
    - allerdings keine TAN-Aktionen (Überweisungen etc.) möglich
  • mit Ende-Knopf entwertbar
    - seit ARD Bericht Hinweis auf Ende-Knopf
  • selbe Sicherheitslücke bei vielen anderen Dienstanbietern (Mail-Provider / Kaufhäuser)
    - Problem von HTTP / HTML: jede Seite / Bild etc. eigene Verbindung
    - z.B. GMX, Tradehall

8. Gries und Heissel / Hewlett Packard

• Privatbank
• erste Bank in Deutschland mit Internetbanking-Angebot
  • seit 28.08.1996
  • G & H Bankensoftware GmbH
  • Hewlett Packard
• SSL, Java-Applet und Kundenzertifikate von VeriSign

9. MeChip

• Hardware-Lösung der Verschlüsselung
  - von Me Technology GmbH
• Verschlüsselung schon bei Eingabe
  - verschlüsselt Daten bevor sie in den Hauptspeicher des Computers gelangen
  - 1. Eingabe
  - 2. PC
  - 3. Verschlüsselung
  - 4. Übertragung
  - 5. Entschlüsselung
  - Software-Lösung: 4 + 5 sicher
  - Smartcard-Lösung: 3 + 4 + 5 sicher
  - MeChip: 1 + 2 + 3 + 4 + 5 sicher
• nicht nur für Homebanking entwickelt
  - auch an Bezahltransaktionen wurde gedacht
• protokollunabhängig
  - da Daten schon verschlüsselt im Hauptspeicher
• 2x im Einsatz
  - Volksbank Hannover eG
  - Sparda-Bank Hamburg eG
• wird momentan nicht weiterverfolgt
  - Zur Zeit Konzentration auf HBCI, wegen veränderter Hardwarekommunikation bei USB (Universal Serious Bus)
  - Kombination mit HBCI in Zukunft denkbar
  - vor kurzem von Brokat aufgekauft

10. HBCI (Homebanking Computer Interface)

• Version 2.1
  • 02.03.1999
• Entwicklung im Auftrag des ZKA (Zentralen Kreditausschusses)
  • Bundesverband deutscher Banken e.V.
  • Deutscher Sparkassen- und Giroverband e.V.
  • Bundesverband Der Deutschen Volksbanken und Raiffeisenbanken e.V.
  • Bundesverband Öffentlicher Banken Deutschlands e.V.
  • durch Abkommen auch verpflichtet: Verband Deutscher Hypothekenbanken e.V.

11. OFX (Open Financial Exchange)

- OFX eigentlich von IFX abgelößt, aber bekannter, wird deshalb hier vorgestellt
- Banking Industry Technology Secretariat (BITS), Runder Tisch der 125 größten amerikanischen Banken, wie ZKA in Deutschland hat in Zusammenarbeit mit den betroffenen Firmen das Integrion Financial Networks Gold-Protokoll (17 US-Banken, Visa USA, IBM) und OFX zu IFX (Interactive Financial Exchange) verschmolzen.
- IFX: Version 1.0, 31. März 1999
• Version 1.51
  • 23.11.1998
• CheckFree Corp.
  - Spezifikationen: electronic banking and payment protocols
• Intuit Inc.
  - Spezifikation: Open Exchange
  • Quicken
• Microsoft Corp.
  - Spezifikation: Open Financial Connectivity
  • Money

12. HBCI - OFX

HBCI	-	OFX
frei verfügbar		frei verfügbar
http://www.hbci-zka.de		http://www.ofx.net
545 Seiten		552 Seiten
multibankfähig		multibankfähig
Bankgeschäfte		Bankgeschäfte und Bezahltransaktionen
Bankenverbände		e-Commerce-Firmen
vielfach implementiert - meist deutsche Anbieter, z.B. Faktum, Brokat, Sparkassen, aber auch Intuit - HBCI-Kernel (Sparkassenorganisation) - HBCI-API (BdB)		vielfach implementiert - viele amerikanische e-Commerce-Anbieter, natürlich Microsoft, Intuit
5x in Verwendung - Raiffeisen-Volksbank eG Mainz - Volksbank Aachen Süd eG - Hamburger Sparkasse - BfG Bank AG - Dresdner Bank AG: - seit 16. August 1999 - erste Großbank mit HBCI-Banking - vorher kein Internetbanking		nicht in Verwendung - nichts gefunden

13. HBCI - OFX

HBCI	-	OFX
Zahlungsverkehr Inland - Überweisungen - Lastschriften - Daueraufträge - Sammelaufträge		Zahlungsverkehr Inland - Überweisungen - Lastschriften (als Überweisungen aufs eigene Konto) - Daueraufträge - Sammelaufträge (als mehrere Einzelaufträge)
Umsatzinformationen		Umsatzinformationen, auch für Kreditkarten
Termineinlagen - Festgeld, neu, ändern etc.
Wertpapiere		Wertpapiere
Zahlungsverkehr Ausland		Zahlungsverkehr Ausland - Keine Länderangabe möglich - aber Erläuterung, welche Parameter für welches Land
Bestellungen - Karten, Schecks, Formulare		Bestellungen nur per Mail
Informationen		Informationen
		Bezahlung / Bons

14. HBCI - OFX

HBCI	-	OFX
Trennzeichensyntax - vermeidet Overhead - viele transparent eingestellte Formate (S.W.I.F.T. [Wertpapiere]/ DTAUS) ermöglichen schnelle Weiterverarbeitung - EDIFACT ähnliche Trennzeichensyntax - HBCI ist vollständig spezifiziert, lässt weniger Realisierungsvarianten zu, wie ZKA-Dialog - Komprimierung möglich		OFXSGML - übersichtlicher - Umsetzung der Daten muss in OFX-Software des Kreditinstitutes erfolgen - financial data markup language - nicht so genaue Definitionen wie HBCI, lässt daher Unterstandarts zu
feste / optionale Felder		<Tags>
festgeschriebener Standart / einige Sprachen definiert - deutsch, englisch, französisch - MIME:application/hbci - PORT 3000		lässt Unterstandarts für verschiedene Länder zu - MIME:application/x-ofx - SSL-PORT 443
Annahme: Kundensystem ist unsicher und ungenau - z.B. Zeitstempel des Kunden nicht relevant - viele Sicherheitsabfragen schon auf Kundenseite vorgesehen - Auf Bankseite wird trotzdem alles nochmal überprüft - einige Dinge auf Kundenseite nicht überprüfbar (z.B. Limits)		Vertrauen in Kundensystem - z.B. Zeitstempel des Kunden und des Servers relevant
endgeräteunabhängig

15. HBCI - OFX

HBCI	-	OFX
Text und eingestellte Binärdaten		Text (OFXSGML)
signiert und verschlüsselt - Verschlüsselung mit Triple-DES Nachrichtenschlüssel - Für jede Nachricht neuer Nachrichtenschlüssel - getrennte Chiffrierschlüssel und Signierschlüssel - Chiffrierschlüssel dienen nur zum verschlüsseln von Nachrichtenschlüsseln - Verfahren: RSA (Software) oder MAC (Chipkarte) - noch keine ZKS-einheitliche RSA-Chipkarte, ist aber in Vorbereitung - MAC - Schlüssel verlassen nie Karte die Karte - MAC - keine Nichtabstreitbarkeit, da auch Bank Kunden-Nachrichten signieren kann, aufgehoben durch Vertrauensverhälnis Kunde / Bank		SSLv3 (optional) / application-level security (opt.) - Type I: Passwort und Zufallsdaten vom Server mit öffentlichem Schlüssel des FI (Financial Institution) verschlüsselt - kein Bezug (Hash etc.) zum Rest der Nachricht - erfordert channel-level-security (SSLv3)
ZKA UN/EDIFACT / X.509 - Zertifikate		X.509 v3 / festgelegte CA‘s - Zertifikate - CA's noch nicht benannt
verschiedene Übertragungswege, auch unsichere Netze - Internet / Online-Dienst: FIF (BTX), FTP, Telnet - Elektronische Signaturen und Datenverschlüsselung auch für unsichere Netze geeignet - Zertifikate		Internet: TCP/IP; HTTP; SSLv3
Online oder Offline - Statusprotokolltechnik (offline): Aufträge entgegennehmen und ohne Leitungsverbindung zum Kunden weiterverarbeiten - Online-Status: Aufträge annehmen und online Status zurückliefern (dauerhafte Verbindung notwendig) - Faktum: Programm: Offline schreiben der Aufträge / Installation nötig - Faktum: Applet: Online schreiben der Aufträge / (überall einsetzbar / Kartenleser ?!?)
Server zerfiziert

16. Aussichten

• Zusammenschreiben der gesammelten Ergebnisse
• Entwurf einer HBCI-Demo
• Implementation ausgewählter HBCI-Geschäftsvorfälle in einer Demo

17. Referenzen

• HBCI - Spezifikation
• OFX - Spezifikation
• Homepages der ZKA-Verbände
• Homepages der Banken
• Homepages der Soft- und Hardwarefirmen
• persönliche Test und Erfahrumgen
• genaueres unter http://sven.mayer.net