Online-Banking
- Es können die Server des Backend in der Bank von einem Trojaner/Virus oder direkt von einem Hacker befallen sein.
- Der Webserver der Bank, zu dem wir Online eine Verbindung herstellen, kann durch einen Trojaner/Virus oder Hacker
infiziert sein.
- Der eigene PC kann von einen Trojaner/Virus oder Hacker befallen sein.
Kein Netz und keine Verbindung ist wirklich 100% sicher.
Es gibt immer verschiedene Angriffsmöglichkeiten, also auch bei der Abwicklung von Bankgeschäften über das Internet.
Vorsicht
Die Banken entziehen sich bei Online Transaktionen der Haftung, der geschädigte Kunde ist der Dumme.
Und sie wiegen einen in vorgetäuschter Sicherheit "unterliegen Ihre Bankgeschäfte einem Höchstmaß an Sicherheit".
Beim Onlinebanking gibt es drei Sites die Angegriffen werden können.
Es gibt immer verschiedene Angriffsmöglichkeiten, also auch bei der Abwicklung von Bankgeschäften über das Internet.
Vorsicht
Die Banken entziehen sich bei Online Transaktionen der Haftung, der geschädigte Kunde ist der Dumme.
Und sie wiegen einen in vorgetäuschter Sicherheit "unterliegen Ihre Bankgeschäfte einem Höchstmaß an Sicherheit".
Beim Onlinebanking gibt es drei Sites die Angegriffen werden können.
- Dies wollen wir hier ausschließen, was nicht heißen soll das es nicht möglich sein könnte.
- Leider sehen die meisten Unternehmen Sicherheitlücken auf den Webservern nicht als große Gefahr
(siehe Web-Server)
-
Durch die offenen Sicherheitslücken ist es für Hacker eine leichtes Spiel sich Zugang zum Webserver zu verschaffen.
Benutzt man nun noch eine Verbindung beim Online Banking die keine End-to-End Verschlüsselung unterstützt,
wie z.B. das PIN/TAN (Persönlichen Identifikations Nummern / Trans Aktions Nummern)
Verfahren kann von "größtmöglicher Sicherheit" eigentlich keine Rede mehr sein.
Bei Verwendung von PIN/TAN wird eine SSl Verschlüsselung (https über Port443) zwischen Browser und Webserver aufgebaut.
SSL - Verschlüsselung
Der Webserver hat einen Zertifizierten öffentlichen Schlüssel ("Public-Key-Verfahren" ähnlich wie bei PGP), beim Verbindungsaufbau muss man diesen in den meisten Browsern bestätigen. Der Home PC generiert nun einen eigenen öffentlichen Schlüssel verschlüsselt diesen mit dem öffentlichen Schlüssel des Webservers, und sendet diesen zurück. Der Webserver generiert nun einen symetrischen Schlüssel, verschlüsselt diesen mit den öffentlichen Schlüssel des Home PC und sendet diesen zu. Der Home PC entpackt den symetrischen Schlüssel und stellt damit die eigentliche Verbindung her.
Die Verschlüsselungrate ist abhängig von der Browser Version. Bei veralteten Browsern wird eine 40bit Verschlüsselung verwendet, bei den neuen bis 128bit.
Zwischen dem Webserver, und dem Rechenzentrum wird eine spezifische Verschlüsselung der Bank eingesetzt.
Auf dem Webserver werden hierfür alle SSL verschlüsselten Pakete entschlüsselt und mit dem spezifischen Schlüssel der Bank wieder verschlüsselt, um die Daten ist Rechenzentrum zu senden.
- Ist der private Schlüssel bei HBCI auf Diskette abgelegt, kann diese mit
einem Schreibschutz versehen werden. Besser ist es, wenn der Schlüssel auf einer Chipkarte abgelegt ist. Das derzeitige
Optimum, das minimum das man nutzen sollte, ist ein Chipcartenleser der Klasse2. Dort wird das Kennwort für den
privaten Schlüssel direkt an dem Kartenleser eingegeben, und kann nicht von einem Trojaner erfast/mitgelesen werden.
Genau hier ist das große Risiko des PIN/TAN Verfahrens. Hat ein Angreifer erstmal Zugang zum Webserver erhalten,
z.B. über nicht aufgespielte Sicherheitspachtes (es gab (und gibt bestimmt immer
noch) Banken, bei denen dies seit über zwei Jahren nicht geschah) kann er entschlüsselte Daten manipulieren,
oder sogar eine Bankverbindung vortäuschen (Ihr Auftrag wurde erfolgreich ausgeführt). Dabei kann er die PINs
& einmaliegen TANs (die das Rechenzentrum niemals erreicht haben) sammeln und zu einem späteren Zeitraum mißbrauchen.
Bei den HBCI (Homebanking Computer Interface) Verfahren wird eine End-to-End Verschlüsselung durch den Webserver hindurch (auf Port 3000) mit einer Verschlüsselung von derzeit 768bit hergestellt. Die Datenpakete werden auf dem Webserver nicht entschlüsselt, sondern nur durchgeleitet.
Bei den HBCI (Homebanking Computer Interface) Verfahren wird eine End-to-End Verschlüsselung durch den Webserver hindurch (auf Port 3000) mit einer Verschlüsselung von derzeit 768bit hergestellt. Die Datenpakete werden auf dem Webserver nicht entschlüsselt, sondern nur durchgeleitet.
HBCI setzt auf die bislang sicherste Lösung zur Datenverschlüsselung und Authentifizierung.
Es ist im Auftrag der Spitzenverbände der deutschen Kreditwirtschaft als ein Standard für zukunftsweisendes Homebanking entwickelt wurden.
Der Kunde hat die freie Wahl der Software und des Internetproviders, lediglich die IP-Adresse der Bank muss bekannt sein. Jedes Programm, das die HBCI-Normen erfüllt lässt sich für das neue Internetbanking einsetzen.
Den professionellen Finanzprogrammen ist dadurch Unabhängigkeit gegeben.
HBCI - Verschlüsselung
Dabei handelt es sich um ein asymmetrisches Verschlüsselungsverfahren "Public-Key-Verfahren" ähnlich wie bei PGP, das zwei unterschiedliche Schlüssel einsetzt:
einen öffentlichen Schlüssel zum verschlüsseln
einen privaten Schlüssel zum entschlüsseln
Es ist im Auftrag der Spitzenverbände der deutschen Kreditwirtschaft als ein Standard für zukunftsweisendes Homebanking entwickelt wurden.
Der Kunde hat die freie Wahl der Software und des Internetproviders, lediglich die IP-Adresse der Bank muss bekannt sein. Jedes Programm, das die HBCI-Normen erfüllt lässt sich für das neue Internetbanking einsetzen.
Den professionellen Finanzprogrammen ist dadurch Unabhängigkeit gegeben.
HBCI - Verschlüsselung
Dabei handelt es sich um ein asymmetrisches Verschlüsselungsverfahren "Public-Key-Verfahren" ähnlich wie bei PGP, das zwei unterschiedliche Schlüssel einsetzt:
einen öffentlichen Schlüssel zum verschlüsseln
einen privaten Schlüssel zum entschlüsseln
-
Bereits im Jahre 2000 war es Hackern des Chaos-Computer Club gelungen, die Eingabe der PIN unter Verwendung eines
einfachen Chipkartenlesers der Klasse 1 über ein eingeschleustes Trojanisches Pferd auszuspähen und mit Hilfe dieser
Information eigene Transaktionen durchzuführen.
Ist der eigene PC von einen Trojaner oder einem Virus (z.B. ActiveX Virus) befallen, muss man aber denoch davon ausgehen, dass ein Angreifer auch alle Möglichkeiten auschöpfen kann. Dies muss selbstverständlich verhindert werden, z.B. durch eine Firewall und einem Antivirussystem.
Übersicht aller veröffentlichter HBCI Versionen
Detaillierte Informationen zu HBCI
Informationen zu Angriffsverfahren von CCC