Viele tun es und die meisten haben schon davon gehört. Es gibt auch kaum eine Bank mehr, die es nicht als Serviceoption anbietet: Das Onlinebanking. Einfach von zu Hause aus seine Bankgeschäfte regeln – von einfachen Inlandsüberweisungen bis hin zu Daueraufträgen oder einfach nur den Kontostand abfragen. Doch wie genau funktioniert das eigentlich?
Erst einmal wird zwischen zwei verschiedenen Methoden unterschieden.
Zum einen gibt es das browserbasierte Onlinebanking, bei dem man direkt über die Website der jeweiligen Bank (meist über einen SSL-Zugang) auf das Konto zugreifen kann.
Zum anderen gibt es die Möglichkeit, über ein Clientprogramm auf das Konto zuzugreifen. Hierbei wird die Transaktion vorerst offline ausgeführt (also z.B. das Überweisungsformular ausgefüllt) und erst danach wird eine Verbindung mit dem Internet hergestellt, um die Transaktion durchzuführen.
Um Missbrauch zu schützen und vor unberechtigtem Zugriff sicher zu sein, muss man seine Transaktionen mit einer elektronischen Unterschrift authentifizieren. Auch hierzu gibt es mehrere Methoden.
Am bekanntesten ist das PIN/TAN-Verfahren. Der Benutzer bekommt von seiner Bank eine TAN-Liste (die es in verschiedenen Ausführungen gibt). Jede dieser TANs ist nur einmal benutzbar. So muss der Benutzer jede seiner Transaktionen mit seiner geheimen PIN und einer für ihn generierten TAN bestätigen.
Dann gibt es noch das so genannte HBCI-Verfahren (Homebanking Computer Interface) oder auch das FinTS (Financial Transaction Services), bei dem sich der Benutzer mittels einer Chipkarte oder einer Schlüsseldiskette authentifiziert.
Um Onlinebanking via HBCI durchführen zu können, braucht der Benutzer ein Chipkartenlesegerät mit mindestens der Sicherheitsklasse 2 (hier ist der Kartenleser meist in die Tastatur eingebaut). Besser noch ist Sicherheitsklasse 3, denn hier handelt es sich um externe Geräte mit eigener Tastatur, was die Eingabe der persönlichen Daten sicherer macht.
Die erste Version des HBCI-Verfahrens wurde bereits 1998 publik (Version 2.01). 2002 kam dann eine weiterentwickelte Version (3.0) heraus und der Standard wurde in FinTS umbenannt. Später kam dann noch das weiterentwickelte HBCI+ heraus, das in die Version FinTS 3.0 als alternatives Sicherheitsverfahren integriert wurde.
Gemeinsam mit dem neuen Standard wurde das PIN/TAN-Verfahren eingeführt sowie auch Signaturkarten (Karte mit elektronischer Unterschrift des Benutzers zur Legitimation).
Es ist allerdings zwischen HBCI (bzw. HBCI+) und FinTS zu unterscheiden, auch wenn es von einigen Banken gleichgestellt wird. HBCI sowie HBCI+ sind spezielle Sicherheitsverfahren, während FinTS einen baukastenbasierenden Standard für Electronic Banking darstellt. Zudem gibt es für das HBCI (bzw. HBCI+) mehrere verschiedene Sicherheitsverfahren neben dem PIN/TAN-Verfahren, ebenso wie für die FinTS-Nutzung. Zum Beispiel die RSA-Schlüsseldiskette, wobei man hier die „Diskette“ nicht wörtlich nehmen muss. Auch ein USB-Stick kann eine solche Schlüsseldiskette sein – nur stammt das ursprüngliche HBCI-Verfahren aus einer Zeit, da die meisten Datenübertragungen noch mittels einer Diskette von statten gingen.
Hierbei handelt es sich um eine selbst erzeugte, asymmetrische Verschlüsselung (bzw. ein Schlüsselpaar). Dieses Paar besteht aus einem privaten und einem öffentlichen Schlüssel. Der private wird zum Entschlüsseln oder Unterschreiben von Daten verwendet und wird geheim gehalten. Der öffentliche Schlüssel verschlüsselt Daten und prüft die elektronischen Unterschriften.
Um sich zu authentifizieren erzeugt die Software ein RSA-Schlüsselpaar mit einer Länge von 768 Bit. Danach muss der Benutzer einen elektronischen Fingerabdruck seines öffentlichen Schlüssels ausdrucken und unterschrieben an seine Bank senden. Zur gleichen Zeit wird der öffentliche Schlüssel auf elektronische Weise an den HBCI-Server der Bank gesendet, damit diese ihn mit der gesendeten, unterschriebenen Version vergleichen kann und die in Auftrag gegebene Transaktion ausführt.
Für die Verschlüsselung wird hier ein 2Key-Triple-DES-Verfahren angewandt, das für jede Aktion einen Einmalschlüssel von einer Länge von 112 Bit generiert, welcher dann mit einem permanenten RSA-Schlüssel oder DES-Schlüssel kodiert wird. Diese Mixtur aus RSA- sowie DES-Verfahren mit dem HBCI-Verfahren nennt man auch RSA-DES-Hybridverfahren (RDH).
Des Weiteren gibt es noch das Sicherheitsverfahren über eine DES-Chipkarte.
Hier erhält der Benutzer von seiner Bank eine Chipkarte, auf der ein 3DES Schlüssel mit einer Länge von 112 Bit gespeichert ist, womit er sich bei seinen Transaktionen authentifizieren kann.
Wie auch bei dem RDH-Verfahren erfolgt die Kodierung hier über ein 2Key-Triple-DES-Verfahren mit zwei Schlüsseln zu je 56 Bit (womit man im Gesamten wieder auf eine Länge von 112 Bit kommt).
Hierbei werden die zu sendenden Daten mit dem ersten Schlüssel kodiert, mit dem zweiten wieder entschlüsselt, um dann mit dem ersten noch einmal kodiert zu werden. Um die Daten nun wieder zu entschlüsseln, muss die Gegenstelle das gleiche in umgekehrter Reihenfolge durchführen.
Dadurch, dass der Schlüssel in zwei kleinere Schlüssel geteilt ist, wird die Sicherheit der Daten nicht einfach nur verdoppelt, sondern sogar potenziert!
Bei dem Sicherheitsverfahren mit einer RSA-Chipkarte funktioniert exakt wie bei einer Schlüsseldiskette, nur dass der RSA-Schlüssel auf dem Prozessor der Chipkarte erzeugt wird und der private Schlüssel deswegen niemals die Chipkarte verlässt, was dieses Verfahren besonders sicher macht.