Sie sind hier: Startseite IT & Kommunikation Safety first beim Online Banking
Benutzerspezifische Werkzeuge
Artikelaktionen
Kundenlegitimation

Safety first beim Online Banking

Phishing, Pharming, Malware - das Internet Banking ist immer neuen Attacken ausgesetzt. Die Angreifer können mit geringem Aufwand beträchtliche Schäden verursachen. Der Bedrohung durch Computerkriminalität kann freilich wirkungsvoll begegnet werden, denn die Maßnahmen, das Online Banking sicher zu gestalten, sind vielfältiger geworden. | Waldemar Grudzien

Das Online Banking ist ein etablierter und kosteneffizienter Kommunikationskanal zwischen Privat- bzw. Geschäftskunden und deren Bank. Es bietet beiden Seiten Vorteile: Kein Kunde muss sich mehr für eine Überweisung oder eine Kontostandsabfrage in eine Bankfiliale begeben. Die Basisdienstleistungen rund um das Electronic Banking stehen unabhängig von Öffnungszeiten den Kunden ständig zur Verfügung. Die Banken wiederum verfügen über ein rund um die Uhr nutzbares und akzeptiertes Kommunikationsinstrument, das zur Kundenbindung beiträgt.

Dass das Online Banking sich als Massenmedium für Finanzgeschäfte etabliert hat, lässt sich durch Zahlen belegen. Nach einer Umfrage des Bankenverbandes nutzte im Frühjahr 2008 über ein Drittel (genau 36 %) der Kontoinhaber das Internet für Bankgeschäfte. Das entspricht knapp 23 Mio Bürgern im Alter von 16 bis 74 Jahren. Die Bundesbank weist für das Jahr 2008 über 39 Mio Online-Konten in Deutschland aus, wovon 39 % bei privaten Banken geführt werden.
Sicherer Systemzugang
Beim Online Banking ist zu gewährleisten, dass nur Berechtigte Zugriff auf ein Konto haben. Daher bedarf es sicherer Legitimationsverfahren. Diese sind historisch gewachsen. Die deutsche Kreditwirtschaft bot bereits 1990 das Online Banking im Internet an - nach der Ära Bildschirmtext (Btx). Das Procedere: In einem ersten Schritt erlangt der Kunde Zugang zu seinem Konto, indem (in den meisten Fällen) das Kundenkennungs-/Passwort-Verfahren eingesetzt wird. Hierbei wird als Kennung beispielsweise der Name oder die Kontonummer eingegeben. Als Passwort kann die Persönliche Identifikationsnummer (PIN) verwendet werden. Ein Vorgang, der eine Änderung des Vermögensstatus nach sich zieht, wie beispielsweise eine Überweisung, muss vom Kunden zusätzlich mit einer Transaktionsnummer (TAN), gesichert werden. Die TAN ist quasi ein einmaliges „Geheimnis“.

Die in der deutschen Kreditwirtschaft übliche Zweiteilung in Zugangssicherung (Authentisierung des Kunden) und Transaktionssicherung (Autorisierung durch den Kunden) durch eine TAN entspricht einem besonders hohen Sicherheitsniveau. Auch heute noch wird in vielen Ländern beim Online Banking einzig der Zugang zum Konto durch eine „statische“ Sicherung geschützt. Das heißt, dass sich das „Geheimnis“ für den Zugang nicht ändert. So kann der Kunde nach seiner Autorisierung beliebig viele Transaktionen anstoßen, die nicht speziell durch eine Transaktionsnummer geschützt sind.
Verfahren zur Legitimation
Das seit 1984 im Btx-Homebanking bekannte PIN/TAN-Verfahren, bei dem der Kunde eine Papierliste mit meistens 100 Transaktionsnummern erhielt, erlebte mit Einzug des Internet seine Blüte. Im Jahre 1997 führte der Zentrale Kreditausschuss das Homebanking Computer Interface (HBCI) ein - ein Chipkartensignaturverfahren, das auf einem mit dem Online Banking Computer verbundenen Chipkartenleser beruht, und von besonders sicherheitsbewussten Kunden genutzt wird. Aus diesem Grund ist das HBCI-Verfahren nur bedingt an Bürocomputern einsetzbar, denn der Arbeitgeber des Bankkunden muss die private Internetnutzung und den Anschluss des Kartenlesers an den Arbeitsplatz-PC genehmigen.

Zwar nutzen derzeit rund 3 Mio Online Banker HBCI, jedoch kann man angesichts der eingangs genannten Nutzerzahlen nicht von einer Dominanz dieses Verfahrens sprechen. Bei der Weiterentwicklung des HBCI-Standards zum Standard Financial Transaction Services (FinTS) Ende 2002 wurde auch das PIN/TAN-Verfahren eingebaut, so dass FinTS nun sowohl die Chipkarten-/Kartenleserwelt als auch die PIN/TAN-Welt bedienen kann. Mitte 2004 wurde FinTS dann in der Version 4.0 auf XML-Technologien umgestellt.

Parallel zur Weiterentwicklung von HBCI zu FinTS auf der Privatkundenseite wurde auch ein entscheidender Entwicklungsschritt auf der Firmenkundenseite vollzogen: Die Schnittstellenspezifikation zur Datenfernübertragung zwischen Firmen- bzw. Privatkunde und Kreditinstitut wurde um eine internetbasierte Variante - Electronic Banking Internet Communication Standard (EBICS) - erweitert. In EBICS kann die Freigabe der Aufträge über eine so genannte verteilte elektronische Unterschrift vorgenommen werden. EBICS wird seit Anfang 2008 von der deutschen Kreditwirtschaft unterstützt. Für die Zukunft ist eine Verschmelzung von FinTS und EBICS zu einem einzigen Online-Banking-Standard für Privat- und Geschäftskunden vorgesehen.
Weiterentwicklung zu iTAN
Das Aufkommen erster Angriffe auf die Legitimationsverfahren im Sommer 2004 hat die Weiterentwicklung des PIN/TANVerfahrens beschleunigt, denn die rein technische Sicherheit war nicht mehr gewährleistet. So wurde es zum PIN/iTAN-Verfahren, das die ersten Institute im Sommer 2005 einführten. Mittlerweile stellt die iTAN das Standardverfahren im deutschen Bankwesen dar. Bei der iTAN gibt der Bankserver dem Kunden eine bestimmte - indexierte - Transaktionsnummer zur Autorisierung vor. Damit wird eine Bindung einer Transaktion an eine einzelne Nummer erreicht. Im Zuge der ständigen Weiterentwicklung der Angriffe wird auch das iTAN-Verfahren in absehbarer Zeit ergänzt bzw. ersetzt werden. Einige der neuen Verfahren sind schon im millionenfachen Einsatz.
xTAN und kein Ende
Ebenfalls im Jahre 2005 wurde von zwei Banken die „mobile“ TAN eingeführt, ein inzwischen weit verbreitetes Verfahren in der deutschen Kreditwirtschaft. Der Ablauf:

  • Der Kunde steuert im Internet die Online-Banking-Seite seiner Bank an und erhält nach Eingabe seines Namens oder seiner Kontonummer Zugang zum System.
  • Dann füllt er die Eingabemaske beispielsweise für eine Überweisung oder eine Wertpapiertransaktion aus.
  • Damit der Auftrag ausgeführt wird, muss eine TAN eingegeben werden. Diese wird dem Kunden als SMS an sein Handy übermittelt. Der Kunde gibt die TAN am PC in die Internet-Eingabemaske ein.
  • Der Auftrag ist legitimiert und wird von der Bank ausgeführt.

Die zusätzliche Absicherung bei diesem Verfahren besteht darin, dass Betrüger illegale Transaktionen nicht durchführen können, wenn sie nicht im Besitz des Kunden-Handys sind bzw. das Mobiltelefon durch eine Handy-PIN gesichert ist.

Das beschriebene Procedere erinnert an das SMS-TAN-Verfahren, das es schon länger gibt. Neu ist aber die Transaktionsbindung der TAN: Diese wird unter anderem auf Basis der Transaktionsdaten - zum Beispiel Betrag und Zielkonto im Falle einer Überweisung - berechnet. Die so errechnete TAN wird also eineindeutig mit der Transaktion verknüpft. Sie kann für keine andere Transaktion, infolgedessen auch nicht für eine manipulierte, verwendet werden. Mit der Zusendung der „mobilen“ TAN werden dem Kunden noch einmal die durch ihn eingegebenen Transaktionsdaten wie Betrag und Zielkonto auf seinem Mobiltelefon präsentiert. So hat er mit der mobilen TAN vor Bestätigung der Transaktion die Möglichkeit, diese zu prüfen.

Eine weitere wichtige Variante einer an die Transaktion gebundenen TAN ist der neue TAN-Generator des Zentralen Kreditausschusses. Dieses Zusatzgerät zum PC verfügt über eine Eingabetastatur und ein Display, um Sicherungsprozeduren durchführen zu können. Anders als bei sequenziellen oder zeitgesteuerten TAN-Generatoren wird hier eine TAN mit Hilfe von ausgewählten Transaktionsdaten berechnet. Diesen neuen TAN-Generator gibt es in den beiden Spielarten „taktil“ und „optisch“. Der Ablauf bei der ersten Variante:

  • Zunächst gibt der Kunde seine Transaktion im Internet-Banking-Auftritt der Bank ein.
  • Er erhält im Display des TAN-Generators einen Steuercode (Ziffernfolge) angezeigt, den er per Tastatur in den Generator eingibt.
  • Im Anschluss, etwa bei einer Überweisung, gibt er in die auf dem PC-Monitor angezeigte Transaktionsmaske den Betrag und das Zielkonto ein.
  • Der Generator berechnet die TAN, die der Kunde für das Online Banking zur Autorisierung benötigt, und zeigt sie auf dem Display an.

Bei der „optischen“ Variante verfügt der TAN-Generator über fünf Lichtsensoren an einer Gehäuseseite, die der Kunde an den PC-Monitor hält. Die Bank überträgt alle zur TAN-Berechnung benötigten Daten optisch über fünf blinkende Felder am PC-Bildschirm in den TAN-Generator. Der Kunde erhält so auf komfortable Weise die TAN, die er in den Online-Banking-Auftritt eingibt. Für den Fall, dass der optische Kanal ausfällt, kann jedoch auch bei diesem TAN-Generator die vorhandene Tastatur genutzt werden.

Derzeit wird mit der photo-TAN ein Verfahren getestet, bei dem der Kunde mit seinem Mobiltelefon einen zweidimensionalen, farbigen Matrixcode vom PC-Bildschirm abfotografiert. Das Handy berechnet aus dieser Matrix eine an die Transaktion gebundene TAN, die der Kunde für das Online Banking verwendet. Zuvor hat er wie üblich seine Transaktion im Online Banking eingegeben. Durch eine Verschlüsselung der Matrix werden missbräuchliche Schnappschüsse mit anderen Mobiltelefonen unbrauchbar. Im Handy befindet sich zur Berechnung der TAN ein kleines Programm, das abgesichert über einen kryptographischen Schlüssel geladen wird.

Die Beliebtheit des USB-Stick lässt sich auch für die Sicherung des Online Banking nutzen. Derzeit bieten drei Unternehmen USB-Stick-Lösungen an. Der Kunde muss den Stick nur noch mit seinem Computer kontaktieren, alle anderen Prozesse laufen automatisch ab. Es besteht kein weiterer Installationsaufwand für Anwendungen oder Treiber. Der USB-Stick trägt nämlich alle für das Online Banking nötigen Daten auf seinem Chip - je nach Anbieter zum Beispiel auch ein gehärtetes Browserprogramm. Der Chip im Stick stellt den Chip der Bankkarte dar. Der Kunde kann mit dem Stick nicht im Internet surfen, sondern einzig sein Online Banking mit seinem Institut oder auch mehreren Instituten betreiben. Weitere Nutzungsmöglichkeiten des Stick sind aus Sicherheitsgründen nicht zugelassen.

Es gibt mittlerweile auch Varianten mit Eingabetastatur und Display im USB-Stick. So kann der Kunde seine Freischalt-PIN für die Chipkarte und/oder seine Online-Banking-PIN in den Stick eingeben und Transaktionsdaten im Display des Sticks zur Bestätigung mit der TAN präsentiert bekommen. Selbstverständlich ist auch diese TAN an die Transaktion gebunden. Mittlerweile nutzen über 20.000 Firmenkunden einer Großbank eine USB-Stick-Lösung für ihr Online Banking.

Chipkartenleser SecoderDoch auch der mit dem Computer verbundene Kartenleser, der Treiber benötigt, erlebt eine Renaissance. Der Zentrale Kreditausschuss hat mit dem „Secoder“ einen Leserstandard entwickelt, um alle Kartenanwendungen bis hin zur gesetzeskonformen elektronischen Signatur in einem Gerät anzubieten. Kritische Transaktionsdaten werden am Display des Lesers angezeigt und nach Bestätigung durch den Kunden direkt an die Chipkarte zur Absicherung weitergegeben. Der Secoder selbst ist vor Angriffen wie Trojanischen Pferden und Viren geschützt, so dass sichergestellt werden kann, dass die kritischen Transaktionsdaten von der Chipkarte abgesichert werden.
Zusammenfassung
Als etablierter Kommunikationskanal zwischen Bank und Kunde hat das Online Banking weiterhin Entwicklungspotenzial hinsichtlich der Nutzerzahl, der Anwendungen und der Mobilität. Während früher einfache Bankdienstleistungen im Vordergrund standen, soll der Kunde heutzutage möglichst die gesamte Palette des Bankangebots online nutzen. Zudem ist durch das Angebot von mobilen Verfahren gewährleistet, dass der Kunde sowohl vom heimischen PC als auch von unterwegs seine Bankgeschäfte komfortabel und sicher erledigen kann. Im Kampf gegen die ständig wachsende Internet-Kriminalität entwickelt die Kreditwirtschaft bewährte Verfahren weiter und konzipiert neue. Hierbei steht der Wunsch des Kunden nach Mobilität und einfacher Anwendung der Verfahren im Vordergrund.

Autor: Dr. Waldemar Grudzien ist Direktor beim Bundesverband deutscher Banken, Berlin.
Der Artikel ist erschienen in der Ausgabe 12/2009
IT & Kommunikation Trends
Auf der Suche nach dem Online-Ich
»
Ego-Googeln voll im Trend
Online Banking fest etabliert
»
Weibliche Dominanz
Goldenes Zeitalter für WLAN-Hotspots
»
Entlastung für Breitbandnetze
Banken wollen Social Media ausbauen
»
Beachtlicher Imagefaktor
Anzeige
Stichwort
  • »Cyber-Kriminalität: Gefahrenzone World Wide Web: Viren-Autoren und Spam-Urheber agieren mit enormer krimineller Energie, so der Sicherheitsspezialist Message Labs in seinem Security Report für das Jahr 2009. Der Bericht zeigt, dass Botnets zwar Rückschläge erlitten, doch durch Überlebenskünstler-Qualitäten leider wieder schnell auf die Beine gekommen sind.
Buchtipp (IT)