Lieber Leser,
in unserem heutigen Alltagsleben regieren Stress und Zeitmangel. Da kommt das Informationszeitalter gerade recht. Über Internet ist es jedem Menschen auf diesem Planeten nun möglich, Informationen abzufragen bzw. Dienstleistungen von Instituten weltweit zu nutzen. Eines dieser Dienstleistungen soll besonders fokussiert werden. Es ist das Homebanking. In 2000 existierten 1,4 Millionen Online-Konten.
Der HBCI-Standard erlaubt dank der Verwendung moderner kryptographischer Funktionen und der Nutzung von Chipkarten eine sichere Kommunikation über offene Netze wie das Internet. Insbesondere deshalb aber auch wegen seiner Flexibilität in bezug auf die unterstützten bankfachlichen Geschäftsvorfälle ist HBCI für die deutschen Kreditinstitute der Homebanking-Standard der Zukunft.
Mit dem Kundensystem können verschiedene Nachrichten erzeugt werden, wie die Erteilung von Aufträgen z. B. für den Inlands- und Auslandszahlungsverkehr, die Abholung von Konto- und Umsatzinformationen oder Statusprotokollen sowie die Initialisierung. Diese Nachrichten werden per Datenfernübertragung an das Kreditinstitut übermittelt.
Die Inhalte dieses Buches wurden aus einer Studienarbeit Ende 2000 zusammengetragen. Auf Vollständigkeit, sowie Aktualität der dargestellten Informationen kann deshalb nicht garantiert werden. Abbildungen, technische Daten und Standards sind möglicherweise nicht mehr auf dem aktuellen Stand.
Da sich HBCI trotz Angebote der Banken beim Otto-Normalverbraucher noch immer nicht flächendeckend etabliert hat, soll das Buch für Aufklärung für diese zukunftsträchtige Technologie sorgen. Die Abkürzung bestehend aus vier Buchstaben, soll nicht anhand der englischen Schreibweise in Fachdeutsch erläutert werden und weiter für Verwirrung beim Leser sorgen. Vielmehr dienen klare, systematische Erklärungen mit übersichtlichen Abbildungen dazu, diese Technologie besser zu verstehen, um auch Vertrauen zu stärken.
Viel Spass beim Lesen wünscht Ihnen
Ihr Autor
Claus Strobel
Inhalt
1. Was ist HBCI?
1.1. Einsatz
1.2. Varianten
1.2.1. Datex- J- Screen-Dialog
1.2.2. ZKA-Dialog
1.2.3. Fazit
1.3. Der Umgang mit HBCI
2. HBCI
2.1. Komponenten von Twister HBCI- Banking
2.1.1. HBCI- Server (Gateway)
2.1.2. Twister Services und Twister Accessoren
2.1.3. Administration
2.1.4. HBCI- Client
2.2. Syntax
2.2.1. Zeichensatz
2.2.2 Trennzeichensatz
2.2.3 Syntaktische Einheiten
2.2.4 Nachrichtenaufbau
2.3 Dialogablauf
2.3.1 Dialoginitialisierung
2.3.2 Rückmeldecodes
2.3.3 Statusprotokoll
2.4 Parameterdaten in HBCI
2.4.1 Aufbau der BPD (BankParameterDaten)
2.4.2 Aufbau der UPD (UserParameterDaten)
2.5 Sicherheit
2.5.1 Sicherheitsverfahren
2.5.2 Authentisierung
2.5.3 Nachweis der Herkunft
2.5.4 Integrität elektronische Herkunft
2.5.5 Geheimhaltung – Verschlüsselung / Chiffrierung/
2.5.6 Valität – Doppeleinrichtungskontrolle
2.5.7 Sicherheitsmedien
2.6 Geschäftsvorfälle
2.6.1 Mehrfachunterschriften/ Off- Line- Fähigkeit
2.6.2 Schlüsselverwaltung (Key- Management)
2.6.3 Einzelaufträge
2.6.4 Sammelüberweisung und Sammellastschrift
2.6.5 Umsatzinformationen
2.6.6 Saldenabfrage
2.6.7 Termineinlagen
2.6.8 Wertpapiere
2.6.9 Zahlungsverkehr Ausland
2.6.10 Karten, Schecks und Formulare
2.6.11 Informationen
2.6.12 Freitextmeldungen
2.6.13 Formatierte Meldungen
2.7 Transportmedienspezifische Festlegungen
2.7.1 T-Online mit ETSI 300 072 ("CEPT") / EHKP / BtxFIF
2.7.2 TCP/ IP
2.7.3 Sonstige Kommunikationsmedien
3. Schlußbetrachtungen
3.1 Sicherheitsbedenken
3.1.1 Kundensystem angreifbar, wenn HBCI-inaktiv
3.1.2 Angreifbar durch Schwachstelle Benutzer HBCI „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel:
3.1.3 Fazit
3.1.4 Schutz durch PIN/TAN- Verfahren
3.1.5 Schutz durch gesonderter Hardware
3.1.6 Fazit
3.2 Referenzen
3.3 Perspektiven für HBCI
4. Begriffserklärungen
5. Abbildungsverzeichnis
6. Quellen
HBCI (Homebanking Computer Interface)
In unserem heutigen Alltagsleben regieren Stress und Zeitmangel. Da kommt das Informationszeitalter gerade recht. Über Internet ist es jedem Menschen auf diesem Planeten nun möglich, Informationen abzufragen bzw. Dienstleistungen von Instituten weltweit zu nutzen.
Eines dieser Dienstleistungen soll besonders fokussiert werden. Es ist das Homebanking. Derzeit existieren 1,4 Millionen Online-Konten.
Im Folgenden verdeutlicht die Grafik wie heutzutage Homebanking abgewickelt wird :
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Homebanking heute
Über eine Datex-J- oder BTX- Verbindung verbinden sich die Kunden mit den Bankrechner des Rechenzentrums. Jeder Kunde besitzt eine eigene PIN (Personal Identification Number)- Nummer und eine TAN (TransAaktionsNummer)- Liste, die dazu verwendet wird, die Transaktion der Buchung eindeutig zu identifizieren.
Die Nachteile liegen auf der Hand.
- PIN-TAN- Verfahren nur Datex- J/ BTX geeignet
- Umständliche TAN- Listenverwaltung auf Kunden- und Institutseite
- Keine Datenverschlüsselung möglich
- Funktionsarm : wenig Geschäftsvorfälle möglich
HBCI „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel: 169792
Abbildung in dieser Leseprobe nicht enthalten
1. Was ist HBCI?
Da das Thema Homebanking zunehmend an Bedeutung gewinnt erarbeiteten die deutschen Kreditinstitute daher einen gemeinsamen Standard, mit dem Homebanking noch sicherer, komfortabler und umfangreicher wird. Dabei berücksichtigt man bestehende Standards und Datenformate wie EDIFACT und DTA- Format.
Außerdem sind im Wandel der Zeit neue Geschäftsvorfälle entstanden, die durch den konventionellen Weg nicht mehr genügend abgedeckt werden können.
Die folgende Grafik zeigt eine Übersicht darüber:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Homebanking- Angebot
Dieses Homebanking- Computer-Interface (HBCI) wurde vom Zentralen Kreditausschuß (ZKA) der deutschen Kreditwirtschaft am 10. Mai verabschiedet und liegt mittlerweile in der Version 2.2 vor. Unter "http://www.HBCI-ZKA.de/spezifikation.html" liegt der Standard zum Download bereit.
Der HBCI-Standard erlaubt dank der Verwendung moderner kryptographischer Funktionen und der Nutzung von Chipkarten eine sichere Kommunikation über offene Netze wie das Internet.
Insbesondere deshalb aber auch wegen seiner Flexibilität in bezug auf die unterstützten bankfachlichen Geschäftsvorfälle ist HBCI für die deutschen Kreditinstitute der Homebanking-Standard der Zukunft.
1.1. Einsatz
Mit dem Kundensystem können verschiedene Nachrichten erzeugt werden, wie die Erteilung von Aufträgen z. B. für den Inlands- und Auslandszahlungsverkehr, die Abholung von Konto- und Umsatzinformationen oder Statusprotokollen sowie die Initialisierung. Diese Nachrichten werden per Datenfernübertragung an das Kreditinstitut übermittelt.
HBCI „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel: 169792
Abbildung in dieser Leseprobe nicht enthalten
Hinweise zur Nutzung der Homebanking- Funktionen werden vom Kundensystem angezeigt und/oder können dem vom Hersteller des Kundensystems gelieferten Benutzerhandbuch entnommen werden.
Aus der anschließenden Grafik wird ersichtlich, in welchen Bereichen HBCI eingesetzt wird bzw. welchen Zweck es hat :
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Einatz von Homebanking
Allerdings fordert die Zukunft schon heute wesentlich mehr. Die folgende Übersicht stellt die jeweiligen Einsatzbereiche zusammen, die HBCI gewachsen ist :
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 4: Homebanking der Zukunft
Aber Homebanking soll nicht von Ort und eingesetzter Technologie transparent sein, sondern alle Dienstleistungen, die man ebenfalls über den Bankschalter abwickelt, sollte auch jeder selbst von seinem PC aus tätigen können.
HBCI „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel: 169792
Abbildung in dieser Leseprobe nicht enthalten
Zusammenfassend zeigt die nachfolgende Grafik das wesentliche Prinzip von HBCI mit den damit verbundenen Vorzügen :
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 5: HBCI als einheitliche Schnittstelle
HBCI wird als Schnittstelle zwischen PC und Bankrechner über ein WAN- Netzwerk eingesetzt. Das Internet in Verbindung mit anderen erweiternden Netzwerken dient dazu als Übermittlungsmedium, das nicht besonders hohe Sicherheitsanforderungen bietet. Doch durch elektronische Signatur, Verschlüsselung und Netz- und Transportdienstunabhängigkeit ist HBCI trotzdem für den Homebankingeinsatz geeignet.
Des weiteren schützt HBCI Kreditinstitutrechner gegen ungebetenen Zugriff aus dem Internet, macht Homebanking-Dienste verfügbar und betriebssicher. Der Kunde kann leistungsgerecht abgerechnet werden.
Im Folgenden zeigt die Abbildung die Entwicklung von HBCI gegenüber CEPT:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 6: Die Entwicklung von HBCI gegenüber CEPT
HBCI „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel: 169792
Abbildung in dieser Leseprobe nicht enthalten
1.2. Varianten
Derzeit wird Homebanking ausschließlich auf der Basis T-Online betrieben - das Engagement zahlreicher Pioniere im Internet einmal vernachlässigt. Auch bei T-Online muss man zwei Varianten unterscheiden:
1.2.1. Datex- J- Screen-Dialog
Wie der Name schon sagt, handelt es sich hierbei um einen Online-Dialog auf der Basis von Btx-Seiten (CEPT), wo 24 x 40 Zeichen auf einer Bildschirmseite dargestellt werden können. Auf diese Weise werden nachempfundene Überweisungsformulare vom Kunden (oder einem Makro) ausgefüllt und an das Kreditinstitut gesendet.
Das Ganze findet in einer durch die T-Online-Infrastruktur gesicherten Umgebung statt. Zur Absicherung des Banken-Dialoges wird bei Sessionaufbau zum Bankrechner eine sog.
„Persönliche Identifikations-Nummer“ (PIN) gesendet und geprüft. Eine bankfachliche Transaktion wird zusätzlich jeweils durch eine einmalig gültige „Transaktionsnummer“ (TAN) abgesichert.
Transaktionsnummern werden dem Kunden in Form von TAN-Listen per Briefpost mitgeteilt. Die Verwaltung dieser Listen ist auf Kunden- und Bankseite sehr aufwendig und umständlich. Auf bestehende theoretische Sicherheitsprobleme durch Abhören und Modifizieren von Btx-Aufträgen soll hier nicht eingegangen werden.
Dieses Verfahren findet auch bei den meisten der derzeitigen Internet-Lösungen Anwendung
– aus dem einfachen Grunde, weil meist mit Hilfe von Gateways die bestehenden T-Online- Anwendungen angezapft werden.
1.2.2. ZKA-Dialog
Das unter Screendialog Gesagte gilt im übertragenen Sinn auch für den ZKA-Dialog. Dieser "Standard" wurde 1987 vom "Zentralen Kredit Ausschuss" (ZKA) verabschiedet, um die Kommunikation im Bereich Homebanking professioneller zu gestalten. Die Daten werden hierbei im Nettoformat (also graphisch nicht aufbereitet) in logisch komprimierter Form zwischen Kunde und Kreditinstitut ausgetauscht.
Leider werden hierfür nach wie vor CEPT-Seiten benutzt, was dazu führt, dass die Übertragung zum einen an T-Online gebunden ist, zum anderen auch dessen Optimierungsmöglichkeiten (Transparente Daten) nicht nutzt. Erschwerend kommt hinzu, dass die Standardisierung des ZKA-Dialoges nur sehr halbherzig erfolgte, was dazu geführt hat, dass es zahlreiche Dialekte gibt, die den gewünschten Normierungseffekt zunichte machen.
Bei beiden genannten Alternativen besteht zusätzlich ein Problem in puncto Betriebssicherheit: Tritt bei der Übertragung einer Transaktion ein Leitungsabbruch auf, so kann der Status dieses Auftrags erst im Kontoauszug überprüft werden. Eine Online- Abfragemöglichkeit besteht nicht.
1.2.3. Fazit
Fazit aus dieser kurzen Betrachtung kann nur sein, dass es im Bereich Homebanking derzeit de facto keinen Standard gibt, was einer der Hauptgründe für das Entstehen von HBCI ist.
Die bestehenden CEPT-Anwendungen mit dem aufwendigen PIN/TAN-Sicherungsverfahren entsprechen - trotz der vehement steigenden Anschlusszahlen von T-Online und der
HBCI „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel: 169792
Abbildung in dieser Leseprobe nicht enthalten
Verwendung im Internet-Bereich - nicht mehr dem aktuellen Standard in bezug auf Benutzerfreundlichkeit und Darstellung.
Hinzu kommen noch andere Aspekte, wie z.B. die Gebührenpolitik der Deutschen Telekom bei den Fernsprechnetzen und die Tatsache, daß gerade im Bereich der privaten Finanzverwaltung zunehmend intelligente Kundensysteme an Bedeutung gewinnen, die ganz andere Übertragungstechniken erfordern, als sie momentan z.B. im "ZKA-Dialog" zu finden sind.
Ein weiterer wichtiger Grund für die Einführung eines neuen Homebankingstandards ist die Kommerzialisierung des Internet, die in den letzten drei Jahren zu einer rasanten Entwicklung geführt hat. Diese Plattform ist für alle Kreditinstitute von höchstem Interesse und zwar nicht nur im Bereich der direkten Bankgeschäfte, sondern auch beim allgemeinen Zahlungsverkehr (Stichwort: „Electronic Commerce“). Die erweiterten Sicherheitsfunktionen von HBCI sollen den Betrieb in unsicheren Netzen wie dem Internet ermöglichen und den Bedienungskomfort für den Kunden erhöhen.
1.3. Der Umgang mit HBCI
Der Kunde gibt neben der Kontonummer nur noch eine einzige Nummer oder ein Passwort ein, das aus bis zu acht Zeichen bestehen kann. Zusätzlich sind eine spezielle Chipkarte und ein Lesegerät notwendig, um auf das Konto zuzugreifen. Dabei steht ein spezielles Verfahren, die Kryptographie, für das Sicherheitskonzept. Diese Methode wandelt einen Klartext beim Sender in eine scheinbar sinnlose Zeichenfolge. Auf der Empfängerseite wird die verschlüsselte Nachricht wieder entschlüsselt.
Ein Ablauf eines Vorgangs sieht folgendermaßen aus :
Der Nutzer wählt die von ihm gewünschte Funktion in seinem Kundensystem aus und erfasst die für die Nachrichtenübermittlung erforderlichen Daten. Er überprüft die zu signierenden Aufträge auf Richtigkeit.
Diese Nachrichten versieht der Nutzer mit einer elektronischen Signatur. Hierzu verwendet er sein Identifikations- und Legitimationsmedium und gibt sein Passwort ein. Falls mehrere elektronische Signaturen pro Auftrag mit dem Kreditinstitut vereinbart sind, ist der Signiervorgang je signaturpflichtigem Nutzer entsprechend zu wiederholen.
Die signierten Nachrichten werden dann per Datenfernübertragung an das Kreditinstitut übertragen.
Das Kreditinstitut wird eine empfangene Nachricht nur dann bearbeiten, wenn sie die erforderliche Anzahl von ordnungsgemäßen elektronischen Signaturen enthält.
Das Kreditinstitut bestätigt im elektronischen Dialog den Eingang von Aufträgen durch Übersendung einer Empfangsbestätigung oder übermittelt die angefragten Daten.
Der Nutzer kann sich zu einem späteren Zeitpunkt durch Abruf eines Statusprotokolls über die Ausführung des Auftrags informieren, wenn er vor dem Versenden der Auftragsnachricht unterbrochen wurde.
HBCI „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel: 169792
Abbildung in dieser Leseprobe nicht enthalten
2. HBCI
MIT HBCI hat sich die deutsche Kreditwirtschaft verbandsübergreifend auf einen Standard zur Abwicklung von Homebanking- Transaktionen geeinigt. Grundsätzlich ist HBCI für verschiedene Endgeräte und fast beliebige Netze einsetzbar :
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 7: Die Architektur von HBCI
Durch die Chipkarte fällt die bisherige Eingabe von TANs aus TAN-Blöcken weg, ohne dass die Sicherheit des Systems eingeschränkt würde. Um die Akzeptanz von HBCI zu erhöhen, sind die meisten anzubietenden Dienste als optional deklariert worden, d.h. die Banken sind nicht verpflichtet, alle Funktionen auch tatsächlich zu implementieren.
[...]
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.