Bewertender Vergleich von Homebanking-Verfahren

2. Vortragsaufbau

• Vorstellung der betrachteten Verfahren
  • BANCOS Online
  • Netlife
  • MeChip
  • Brokat
  • OFX
  • HBCI

3. Vortragsaufbau

• Vergleich der Verfahren
  - nach 12 verschiedenen Kriterien
• Gesamt-Konzept
  - Es wird versucht, die Vorteile, aller Verfahren miteinander zu vereinen
• Referenzen
• Live-Demos
  - fünf Demos
  - drei Konten / ein Demokonto / HBCI-Tutorial

4. BANCOS Online

• Privatbank Gries und Heissel
  - Software von Tochterunternehmen G & H Bankensoftware AG
• mittlerweile als geschlossenes Benutzersystem BANCOS ausgebaut
  - existiert in der untersuchten Version nicht mehr
  - trotzdem in Vergleich aufgenommen, weil Exoten-Lösung
• 128-bit-Verschlüsselung von HTML-Seiten mittels Java-Applet
  - Kunde: gewohnte Umgebung
  - Bank: Seiten nur mit HTML-Kenntnissen änderbar
  - zusätzlich SSL-Verschlüsselung
• Benutzerauthentifizierung per Zertifikat
  - SSL-Zertifikat vom Kunden gefordert
  - SSL-Varianten:
     SSL ohne Zertifikate
     SSL mit Server-Zertifikat
     SSL mit Server- und Client-Zertifikat

5. Netlife

• Im Einsatz bei der Postbank
• nur HTML-Seiten, keine Java-Applets
  - schnell, kurze Ladezeiten
• Verschlüsselung per 128-bit-SSL
  - mit Global-ID-Server, siehe Paper
• PIN-TAN / Session-ID in URL
  - Nach einmaliger Authentifizierung wird eine Session-ID in der URL kodiert
  - Session-ID durch Frameset verborgen
  - ähnlich Mail-Provider / Online-Kaufhäuser
  - Bei Besitz der Session-ID nur Mitlesen bis zum Ausloggen möglich
• Demo im Anschluss an Vortrag

6. MeChip

• Hardware-Software-Hybridlösung
  - Chip und Software
• Signatur im Chip bevor Daten in den Hauptspeicher des PCs gelangen
  - keine Daten-Manipulation möglich
• war 2x im Einsatz
  - Sparda Bank Hamburg eG (bis Anfang 2000)
  - Volksbank Hannover eG (nicht mehr für Neukunden)
• von Brokat aufgekauft
  - von Brokat auf Eis gelegt

7. Brokat

• führende Firma auf dem deutschen Homebanking-Sektor
  - 1994 gegründet
• E-Services-Plattform Twister
  - verschiedene Komponenten auf Bankseite
  - baut meist auf bestehendes Onlinedienst-Banking (BTX) auf
• verschiedene Homebanking-Varianten
  • 128-bit-Verschlüsselung mit Java-Applet
    - meist verwendet
  • 128-bit-SSL mit Global-ID-Zertifikat
    - manchmal kombiniert mit Java-Applet
  • 128-bit-Verschlüsselung mit SSL-Plug-In
    - selten im Einsatz
• Demo im Anschluss an Vortrag
  - Live-Demo an zwei Konten

8. OFX (Open Finacial Exchange)

• amerikanischer Standard von Microsoft, Intuit und CheckFree
• als IFX weiterverfolgt
  - Gesamt-Lösung aus OFX und Financial-Networks-Gold-Protokoll
  - parallel Weiterentwicklung von OFX
  - OFX: untersucht: V 1.51 / aktuell V 1.6 / in Arbeit: V 2.0
  - IFX: untersucht: aktuell V 1.0 / in Arbeit: V 1.01
• basiert auf OFXSGML
  -Beispiel (ähnlich OFXSGML, auf deutsch):

   <ueberweisung>
    <empfaengerkonto>
      <kontonummer>
        1234567890
      </kontonummer>
      <bankleitzahl>
        50000000
      </bankleitzahl>
      <kreditinstitutsname>
        Test-Bank
      </kreditinstitutskennung>
    </empfängerkonto>
    <auftraggeberkonto>
      ...
    </auftraggeberkonto>
    <verwendungszweck>
      <zeile1>
        Verwendungszweck
      </zeile1>
      ...
    </verwendungszweck>
    ...
  </ueberweisung>
          

• SSL / optional chiffriertes Passwort
• zusätzlich Kreditkartenzahlung

9. HBCI (Homebanking Computer Interface)

• Standard der deutschen Kreditwirtschaft
  - von allen im ZKA (Zentralen Kreditausschuss) vereinten Banken entworfen
• genau standardisiert
  - legt Nachrichtenformat bis ins Detail fest
  - auch Verschlüsselung und Signaturen genau spezifiziert
  - detailierter als ZKA-Dialog (BTX)
• Nachrichten zur Weiterverarbeitung auf Bankseite optimiert
  - z.B. transparent eingestellte Bankformate, wie DTAUS, S.W.I.F.T.
• digitale Signaturen
  - symmetrisch (keine Nicht-Abstreitbarkeit) oder asymmetrisch
• Verschlüsselung mittels RDH oder DDV
  - RDH: RSA-DES-Hybrid-Verfahren (Chipkarte [keine einheitliche Karte] oder Software)
  - DDV: DES-DES-Verfahren (ZKA-Chipkarte)
• Demo im Anschluss an Vortrag
  - Demo mit Applet der Dresdner Bank

10. Vergleich: Portabilität

BANCOS	O	Kundenzertifikat
Netlife	++	nur HTML-fähiger Browser gefordert
Brokat	+	nur Java-fähiger Browser gefordert
MeChip	--	portabel nur bei Chip-Umbau
OFX	O	Softwareinstallation
HBCI	-	Softwareinstallation / Kartenleser

11. Vergleich: Leistungsumfang

BANCOS	+	alle gängigen Banktransaktionen
Netlife	+	alle gängigen Banktransaktionen
Brokat	+	alle gängigen Banktransaktionen
MeChip	+	alle gängigen Banktransaktionen
OFX	++	zusätzlich Zahlungsverkehr mit Kreditkarten
HBCI	+	alle gängigen Banktransaktionen

12. Vergleich: Authentifizierung des Kunden

BANCOS	O	Kundenzertifikat
Netlife	-	PIN
Brokat	-	PIN
MeChip	++	hardwaremäßig erzeugte digitale Signaturen
OFX	-	Passwort
HBCI	+	digitale Signaturen

13. Vergleich: Authentifizierung der Bank

BANCOS	O	SSL-Zertifikat
Netlife	O	SSL-Zertifikat
Brokat	O	SSL-Zertifikat
MeChip	+	digitale SIgnaturen
OFX	O	SSL-Zertifikat
HBCI	+	digitale Signaturen

14. Vergleich: Integrität der Nachrichten

BANCOS	O	Java-Applet / SSL
Netlife	O	SSL
Brokat	O	Java-Applet / SSL
MeChip	++	hardwaremäßig erzeugte digitale Signaturen
OFX	O	SSL
HBCI	+	digitale Signaturen

15. Vergleich: Vertraulichkeit der Nachrichten

BANCOS	O	Java-Applet / 128-bit-SSL
Netlife	O	128-bit-SSL
Brokat	O	Java-Applet / Plug-In / SSL (128 bit)
MeChip	-	nur DES (56 bit)
OFX	O	128-bit-SSL
HBCI	+	128 bit, jede Nachricht hat anderen Schlüssel

16. Vergleich: Multibankfähigkeit

BANCOS	-	bankspezifisch
Netlife	-	bankspezifisch
Brokat	-	bankspezifisch
MeChip	O	Software nicht multibankfähig
OFX	+	multibankfähig
HBCI	+	multibankfähig

17. Vergleich: Transaktionssicherheit

BANCOS	O	nur Signatur der Datenstöme
Netlife	++	TANs
Brokat	++	TANs
MeChip	O	nur Signatur der Datenströme
OFX	--	Passwort alleine verschafft vollen Zugriff
HBCI	+	digitale Signaturen

18. Vergleich: einmaliger Installationsaufwand

BANCOS	+	Zertifikatimport
Netlife	++	nur Browserinstallation
Brokat	++	nur Browserinstallation
MeChip	--	Programm-, Chip- und Treiberinstallation
OFX	O	Programminstallation
HBCI	-	Programm-, Kartenleser- und Treiberinstallation

19. Vergleich: Bedienungskomfort

BANCOS	+	gut
Netlife	O	TAN-Listen umständlich
Brokat	O	TAN-Listen umständlich
MeChip	+	gut
OFX	+	gut
HBCI	O	Chipkarte oder Diskette umständlich

20. Vergleich: Anschaffungskosten

BANCOS	O	Zertifikat (regelmäßig erneuern)
Netlife	++	nur Browser (kostenlos)
Brokat	++	nur Browser (kostenlos)
MeChip	--	Software / MeChip
OFX	+	Software
HBCI	-	Software / Kartenleser

21. Vergleich: Betriebskosten
- Banken sparen durch Homebanking enorme Kosten (Personalkosten)
- Kosten werden meist durch billigere Gebühren an den Kunde weitergegeben
- Daher hier Betrachtung der Online-Kosten

BANCOS	+	Online-Eingabe
Netlife	+	Online-Eingabe
Brokat	+	Online-Eingabe
MeChip	++	Offline-Eingabe
OFX	++	Offline-Eingabe
HBCI	++	Offline-Eingabe

22. Gesamt-Konzept

• Grundlage: HBCI
  - hier RHD-Verfahren mit Karte
• übersichtlicher: OFXSGML
• MeChip integrierbar, besser Kartenleser mit Display und PIN-Pad
• Portabilität: parallel Programme und Applets
  - Vorsicht bei Applets: Chipkartenleser sind verschieden und bislang eher selten
• SSL höchstens optional
  - Andere Endgeräte (z.B. mobile Endgeräte) nehmen zu
• Zusammenführen von Europa und USA
  - Bankenstandards erst europaweit und dann weltweit vereinheitlichen

23. Referenzen

• HBCI - Spezifikation
• OFX - Spezifikation
• Homepages der ZKA-Verbände
• Homepages der Banken
• Homepages der Soft- und Hardwarefirmen
• persönliche Test und Erfahrumgen
• genaueres unter http://sven.mayer.net

24. Live-Demos

• Brokat-Lösung bei zwei Banken
  - Wiesbadener Volksbank eG
  - vr bank Untertaunus eG
• Netlife - Postbank
• HBCI-Applet der Dresdner Bank
• HBCI-Tutorial