VOLLTEXTSUCHE
Pressearchiv
ilex Rechtsanwälte & Steuerberater
Pressemitteilung

Wie sicher ist HBCI-Banking?

„Stoppen Sie Pishing und Pharming mit einem sicheren Chipkartenleser“, lautet ein Werbespruch der Deutschen Kreditwirtschaft, durch den Bankkunden das HBCI-Banking-Verfahren schmackhaft gemacht werden soll. Wie sicher ist das HBCI-Verfahren wirklich?
(PM) Potsdam, 18.02.2010 - Wie funktioniert HBCI-Banking?
Zum übliche Standard des HBCI-Banking-Verfahrens bzw. zu den möglichen Varianten gehört es, dass am Computer des Bankkunden ein externes Chipkartenlesegerät angeschlossen wird. Der Schlüsselcode zur Authentifizierung gegenüber der Bank, soll nur für den Nutzer einsetzbar sein, der über diese Chipkarte verfügt. Bei dieser Annahme wird allerdings unterstellt, dass es technisch nicht möglich ist, die auf der Chipkarte hinterlegten Daten abzufangen (etwa in Form des Skimming).

Wie sicher ist HBCI-Banking?
Darauf kann es nur eine differenzierende Antwort geben. Online-Banking mit HBCI-Chipkarte und einem Chipkartenleser bietet zunächst im Vergleich zu den älteren Systemen (iTAN-Verfahren oder gar die heute längst veralteten TAN-Listen-Verfahren ohne indizierte TAN) einen durchaus höheren Sicherheitsstandard im Vergleich zu früher. Betrachtet man jedoch die Entwicklung der Kriminalität im Online-Bereich der letzten Jahre, ist Skepsis mehr angezeigt, als Jubel. Der Praktiker weiß, dass ein Mehr an Sicherheit im Online-Banking stets die technische Anpassung und Aktualisierung der Systeme an die Entwicklungsschritte der Kriminalität abfordert. Von daher bietet HBCI-Banking selbstverständlich ein mehr an Sicherheit als frühere Systeme. Es ist aber nur eine Frage der Zeit, bis dieser Befund wieder überholt ist. Einige Variationen von HBCI-Banking sind technisch längst überholt.

Auch beim HBCI-Banking bestehen deshalb (Rest-) Risiken. Im Einzelfall ist dabei die jeweilige Version und der Standard des konkret von einer Bank angebotenen HBCI-Verfahrens zu betrachten. Möglich erscheint, dass Straftäter der kontoführenden Bank einen Auftrag des Kunden vorspielen, indem sich die Täter zwischen Bank und Bankkunde schalten (Man-in-the-Middle-Angriff), einen veränderten Auftrag signieren oder durch den Bankkunden während eines geschickten Täuschungsmanövers signieren lassen und diesen an den Server der Bank senden. Die Bank würde diesen Auftrag ausführen, wenn er korrekt signiert wurde. Zu bedenken ist, dass der Kartenleser nicht an der Verschlüsselung der eigentlichen Überweisung beteiligt ist, sondern lediglich die vom Homebanking-Programm erzeugte Signatur der Überweisung verschlüsselt.

Welche Erfahrungswerte existieren zu Sicherheitslücken?
Im September 2009 berichtete die FAZ in der Rubrik Technik und Motor kritisch über die behauptete Unangreifbarkeit des HBCI-Verfahrens (vgl. P. Welchering, FAZ Nr. 208 v. 08.09.2009, Seite T 2). In dem Beitrag wurde darauf hingewiesen, dass es Hackern im Auftrag der ARD-Sendung „Ratgeber Technik“ bereits 2001 gelungen war, einen HBCI-Server der Münchener Hypo-Vereinsbank mit Hilfe von Trojanern zu manipulieren. Obwohl die damalige HBCI-Version aus dem Jahre 2001 inzwischen als überholt gilt, gelang es daraufhin Hackern im Auftrag der Sendung „Trends“ des Hessischen Rundfunks im Mai 2005 erneut einen HBCI-Server der Dresdner Bank zu knacken. Hintergrund dieses Angriffes war, dass die Chipkarte eben doch kopiert und durch nichtautorisierte Dritte eingesetzt werden konnte.

Beim heutigen HBCI-Standard werden die Transaktionen nicht mehr mit einer TAN legitimiert. Vielmehr signiert der Bankkunde eine Prüfsumme seiner Transaktionsdaten mit seinem geheimen, auf der Karte gespeicherten Schlüssel und schickt diese Daten an die Bank. Eine Sicherheitshürde besteht darin, dass der Bankkunde zum Signieren außerdem seine PIN eingeben muss, um den Vorgang freizuschalten. Da der Signaturvorgang in der Karte erfolgt, kann ein Angreifer eine Banktransaktion dem Server der Bank nur dann vortäuschen, ohne autorisiert zu sein, wenn es ihm gelingt, den Schlüssel auf der Karte auszulesen und ihn zu kopieren. Eine typische Sicherheitslücke bei einigen HBCI-Verfahren besteht darin, dass der Bankkunde am Kartenlesegerät nicht sehen kann, welche Transaktion er mit seiner Karte gerade signiert, da eine Reihe der derzeit eingesetzten Kartenleser mit Display keine diesbezüglichen Daten anzeigen. Ein Trojaner würde genau hier ansetzen, indem er die vom Kunden auf dem PC eingegebene Überweisung vor der Übermittlung an den Kartenleser ändert. Das Kartenlesegerät erhält dann eine nicht autorisierte Überweisung. Wenn der Kunde diese anschließend versehentlich autorisiert, weil der den manipulierten Überweisungsauftrag am Kartenlesegerät nicht einsehen und insofern auch nicht Überprüfen konnte, können Konten von Straftätern abgeräumt werden. Eine neuere Generation der Kartenlesegeräte wird deshalb dafür zu sorgen haben, dass auch auf dem Kartenlesegerät des Bankkunden die von ihm freizugebende Transaktion nochmals eingesehen und überprüft werden kann, bevor der Bankkunde sie autorisiert.

Ulrich Schulte am Hülse
Rechtsanwalt
PRESSEKONTAKT
ilex Rechtsanwälte & Steuerberater
Herr Assessor Ulrich Schulte am Hülse
Alleestraße 13
14469 Potsdam
+49-331-9793750
E-Mail senden
Homepage
ZUM AUTOR
ÜBER ILEX RECHTSANWÄLTE & STEUERBERATER

Kontakt: Alleestraße 13, 14469 Potsdam Telefon: 0049 (0) 331 - 9793750 Telefax: 0049 (0) 331 - 97937520 e-Mail: schulte@ilex-recht.de Internet: <a href="http://www.ilex-recht.de" target="_blank" ...
DRUCKEN| VERSENDEN | RSS-FEED |
SOCIAL WEB
PRESSEFACH
ilex Rechtsanwälte & Steuerberater
Alleestraße 13
14469 Potsdam
zum Pressefach
Anzeige
PRESSEARCHIV
Anzeige
BUSINESS-SERVICES
© novo per motio KG