Home | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Jura | Kontakt
 
 
Navigation
»Arbeitsrecht
»Baurecht und Architektenrecht
»Erbrecht
»Familienrecht
»Handels- und Gesellschaftsrecht
»Insolvenzrecht
»Internetrecht - Onlinerecht - Ebay
»Medizinrecht
»Mietrecht und Pachtrecht
»Sozialrecht
»Steuerrecht
»Strafrecht
»Transport- und Speditionsrecht
»Urheber- und Medienrecht
»Verkehrsrecht
»Versicherungsrecht
»Verwaltungsrecht

»Abfallrecht
»Agrarrecht
»Aktienrecht
»Architekten- und Ingenieurrecht
»Arzt- und Kassenrecht
»Arzthaftungsrecht - Arzthaftung
»Bank- und Börsenrecht
»Baurecht, privates
»Binnenschifffahrtsrecht
»Datenschutzrecht
»Deutsch-spanisches Recht
»Energiewirtschaftsrecht
»Familienrecht, internationales
»Forderungseinzug
»Gewerberecht
»GmbH-Recht
»Haftungsrecht, freie Berufe
»Haftungsrecht, Steuerberater
»Handels- und Wirtschaftsrecht
»Immobilienrecht
»Internationales Privatrecht
»Internationales Recht
»Jagd- und Waffenrecht
»Jugendstrafrecht
»Kapitalanlagenrecht
»Kapitalstrafrecht
»Kaufrecht
»Leasingrecht
»Maklerrecht
»Marken- und Domainrecht
»Medienrecht
»Nachbarrecht
»Opferschutzrecht
»Pferderecht
»Presserecht
»Printmedienrecht
»Produkthaftungsrecht
»Recht des öffentlichen Dienstes
»Reiserecht
»Rentenrecht
»Schadenersatzrecht
»Schuldrecht
»Sportrecht
»Steuerstrafrecht
»Strafverfahrensrecht
»Strafvollzugsrecht
»Telekommunikationsrecht
»Verbraucherinsolvenz
»Vereins- und Verbandsrecht
»Vergaberecht
»Verkehrsstrafrecht
»Verkehrsverwaltungsrecht
»Vermögensrecht
»Vertragsrecht
»Wehrrecht
»Wettbewerbsrecht - Werberecht
»Wirtschaftsrecht
»Wirtschaftsstrafrecht
»Wohnungseigentumsrecht
»Zivilrecht, allgemein
»Zwangsvollstreckungs-Recht
 
Sie befinden sich hier: Startseite / Fachartikel / Bank- und Börsenrecht / Wie sicher ist HBCI-Banking?
   Bank- und Börsenrecht
Wie sicher ist HBCI-Banking?
 
Autor: Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse
Kanzlei: ilex Rechtsanwälte
Ort: 14469 Potsdam
erstellt am: 05.02.10
 
Profil anzeigen
mehr Fachartikel dieses Autors
mehr Bank- und Börsenrecht
Artikel drucken
     

Wie sicher ist HBCI-Banking?
"Stoppen Sie Pishing und Pharming mit einem sicheren Chipkartenleser", lautet ein Werbespruch der Deutschen Kreditwirtschaft, durch den dem Bankkunden das sogenannte HBCI-Banking-Verfahren (Homebanking Computer Interface) schmackhaft gemacht werden soll. Doch wie sicher ist das HBCI-Verfahren wirklich?

Wie funktioniert HBCI-Banking?
HBCI wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschluss (ZKA) überprüft und freigegeben. HBCI sollte die bisherigen Systeme, wie beispielsweise das sogenannte PIN/ TAN-Verfahren ersetzen und verbessern, da es Straftätern in der Vergangenheit gelungen war, die Konten von Betroffenen leer zu räumen, die mit dem sogenannten indizierten TAN-Verfahren (iTAN) arbeiteten. Zum üblichen Standard des HBCI-Banking-Verfahrens gehört es gegenwärtig, dass am Computer des Bankkunden ein externes Chipkartenlesegerät angeschlossen wird. Der Schlüsselcode zur Authentifizierung gegenüber der Bank, soll nur für den Nutzer einsetzbar sein, der über diese Chipkarte verfügt. Bei dieser Annahme wird allerdings unterstellt, dass es technisch nicht möglich ist, die auf der Chipkarte hinterlegten Daten abzufangen (etwa in Form des Skimming) und mit Hilfe einer ggf. gefälschten Zweitkarte den Server der Bank über die Authentizität einer anderen Person zu täuschen.

Seit wann gibt es HBCI-Banking?

Die Ursprünge der technischen Entwicklung von HBCI-Banking reichen bis in die 90iger Jahre des vergangenen Jahrhunderts zurück. Seitdem wurde der jeweilige Standard jedoch beständig weiterentwickelt, so dass aktuell teilweise mehrere Versionen des HBCI-Standards gebräuchlich sind, die teils älterer, teils zur neueren Generation zählen. Zu Beginn 1990iger Jahre setzte zunächst der Deutsche Sparkassenverband eine ältere Version des heutigen HBCI-Standards ein, bei dem noch das inzwischen überholte PIN/TAN-Sicherheitsverfahren genutzt wurde. Die neueren Varianten des HBCI-Verfahrens mittels Signaturkarte existieren seit dem Jahre 2002. Heute wird das HBCI-Bankverfahren von rund 2.000 Banken in Deutschland angeboten. Dem entspricht gegenwärtig in etwa die Hälfte der in Deutschland ansässigen sog. monetären Finanzinstitute (MFIs = Banken).

Allerdings blieb der HBCI-Standard bislang weitgehend auf den deutschen Bankenmarkt beschränkt, der zugleich der größte in Europa darstellt. Bestrebungen, die bereits früh eine internationale Verwendung des Standards anstrebten, konnten sich bislang nicht hinreichend durchsetzen.

Wie sicher ist HBCI-Banking?
Online-Banking mit HBCI-Chipkarte und einem Chipkartenleser bietet im Vergleich zu den älteren Systemen (iTAN-Verfahren oder gar den heute völlig veralteten TAN-Listen ohne indizierte TAN) einen durchaus höheren Sicherheitsstandard im Vergleich zu früher. Betrachtet man jedoch die Entwicklung der Kriminalität im Online-Bereich der letzten Jahre ist mehr Skepsis als Jubel angezeigt. Auch beim HBCI-Banking bestehen durchaus verbleibende Risiken. Es ist durchaus vorstellbar, dass ein Angreifer das beim HBCI-Banking verwendete Programm manipulieren könnte. Im Einzelfall ist dabei die jeweilige Version und der Standard des konkret von einer Bank angebotenen HBCI-Verfahrens zu betrachten. Möglich erscheint es, dass ein Straftäter der Kontoführenden Bank einen Auftrag des Kunden vorspielt, ohne dass dies für den Bankkunden zunächst nachvollziehbar ist. Einen solchen veränderten Auftrag könnten die Täter an die Bank senden, indem sie sich zwischen Bank und Bankkunde schalten, während einer laufenden Transaktion einen veränderten Auftrag signieren und diesen an den Server der Bank senden. Die Bank würde diesen Auftrag dann ausführen, wenn er korrekt signiert wurde. Hintergrund ist, dass der Kartenleser nicht an der Verschlüsselung der eigentlichen Überweisung beteiligt ist, sondern lediglich die vom Homebanking-Programm erzeugte Signatur der Überweisung verschlüsselt. Deshalb ist HBCI-Banking mit Kartenlesern nur unter der Annahme sicher, dass das verwendete Homebanking-Programm auf dem Computer des Bankkunden nicht durch externe Angreifer manipuliert werden kann.

Welche Erfahrungswerte existieren zu Sicherheitslücken?
Im September 2009 berichtete die FAZ in der Rubrik Technik und Motor kritisch über die behauptete Unangreifbarkeit des HBCI-Verfahrens (vgl. P. Welchering, Frankfurter Allgemeine Zeitung Nr. 208 v. 08.09.2009, Seite T 2). In dem Beitrag wurde darauf hingewiesen, dass es Hackern im Auftrag der ARD-Sendung "Ratgeber Technik" bereits im September 2001 gelungen war, einen HBCI-Server der Münchener Hypo-Vereinsbank mit Hilfe von Trojanern so zu manipulieren, dass die nach dem damaligen HBCI-Standard versandten Überweisungsaufträge mit allen notwendigen Informationen abgefangen und entschlüsselt werden konnten. Obwohl die damalige HBCI-Version aus dem Jahre 2001 inzwischen als überholt gilt, gelang es daraufhin Hackern im Auftrag der HR-Sendung "Trends" im Mai 2005 erneut einen neueren HBCI-Server der Dresdner Bank zu knacken. Hintergrund dieses Angriffes war, dass die Chipkarte eben doch kopiert und durch nichtautorisierte Dritte eingesetzt werden konnte.

Beim heutigen HBCI-Standard werden die Transaktionen nicht mehr mit einer TAN legitimiert. Vielmehr signiert der Bankkunde eine Prüfsumme seiner Transaktionsdaten mit seinem geheimen, auf der Karte gespeicherten Schlüssel und schickt diese Daten an die Bank. Eine Sicherheitshürde besteht darin, dass der Bankkunde zum Signieren außerdem seine PIN eingeben muss, um den Vorgang freizuschalten. Da der Signaturvorgang in der Karte erfolgt, kann ein Angreifer eine Banktransaktion de,m Server der Bank nur dann vortäuschen, ohne autorisiert zu sein, wenn es ihm gelingt, den Schlüssel auf der Karte auszulesen und ihn zu kopieren. Eine typische Sicherheitslücke bei einigen HBCI-Verfahren besteht darin, dass der Bankkunde am Kartenlesegerät nicht sehen kann, welche Transaktion er mit seiner Karte gerade signiert, da eine Reihe der derzeit eingesetzten Kartenleser mit Display keine diesbezüglichen Daten anzeigen. Ein Trojaner würde genau hier ansetzen, indem er die vom Kunden auf dem PC eingegebene Überweisung vor der Übermittlung an den Kartenleser ändert. Das Kartenlesegerät erhält dann eine nicht autorisierte Überweisung. Wenn der Kunde diese anschließend versehentlich autorisiert, weil der den manipulierten Überweisungsauftrag am Kartenlesegerät nicht einsehen und insofern auch nicht Überprüfen konnte, können Konten von Straftätern abgeräumt werden. Eine neuere Generation der Kartenlesegeräte wird deshalb dafür zu sorgen haben, dass auch auf dem Kartenlesegerät des Bankkunden die von ihm freizugebende Transaktion nochmals eingesehen und überprüft werden kann, bevor der Bankkunde sie autorisiert.

Ergänzende Informationen finden Sie auf www.ilex-recht.de

Autor (ViSdP): Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse, ilex Rechtsanwälte, 14469 Potsdam


Das Datum, an dem dieser Artikel eingestellt wurde, entspricht nicht zwingend dem Tag der Erstellung dieses Artikels. Bitte informieren Sie sich im Zweifel beim Autor oder einem anderen Fachmann über die Aktualität und Richtigkeit der Inhalte.


Anzeige:

 
SeitenanfangSeitenanfang
 

Anwaltzentrale.de – Ein Service der cemore GmbH
Lindenstraße 102a | 49393 Lohne | Deutschland
Tel.: +49 4442/8027-0 | Fax.: +49 4442/8027-29 | E-Mail: info@cemore.de

Impressum | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Über uns | Kontakt | Fachartikel Sitemap

Anwaltzentrale.de führt keine Rechtsberatung durch.
Alle verwendeten Markennamen und Bezeichnungen sind eingetragene Warenzeichen und Marken der jeweiligen Eigentümer.