Im Zeitalter der globalen Vernetzung werden mittlerweile immer häufiger
Finanztransaktionen über das Internet getätigt. Dem Kunden werden häufige Bankbesuche
und damit verbundene Kosten erspart während im Gegenzug die Banken finanziell immens
durch Material- und Zeitaufwandseinsparungen profitieren. Da diese Entwicklung wirklich vielfältige Vorteile bietet, haben vor allem die Banken ein zunehmendes Eigeninteresse an der Weiterentwicklung Ihrer Homebanking-Verfahren. Der Trend ging und geht auch weiterhin hin zur Selbstbedienung der Kunden und weg vom
Filialgeschäft in den Banken um unter anderem die Quantität zu steigern.1 Natürlich würden
Kunden dies nicht einfa ch akzeptieren, wenn nicht nachweisbar auch eine gewisse Qualität
und in diesem speziellen Fall ein hochgradiger Sicherheitsstandard garantiert werden kann.
Unaufhörlich steigt die Zahl der Online-Konten und mit anteilig 80 Prozent an der
Gesamtzahl der Girokonten bei deutschen Privatbanken zeichnet sich ein eindeutiger Trend
hin zum eBanking ab. Zum Jahresende 2003 existierten laut einer repräsentativen Umfrage
12,4 Millionen Online-Konten.2 Im Folgenden soll nun untersucht werden, welche Sicherheitsvorkehrungen für das eBanking getroffen wurden und welche Technologien zum Einsatz kommen. Zum Zwecke dieser Untersuchung werde ich den Geschäftsprozess eBanking in seine Funktionen untergliedern und schrittweise mögliche Bedrohungen identifizieren und klassifizieren. 1 Bundesamt für Sicherheit in der Informationstechnik (2001) , http://www.bsi.bund.de/literat/faltbl/homebank.htm 2 Bundesverband deutscher Banken (2004), http://www.bdb.de/index.asp?channel=164710&art=1107&ttyp=1&tid=1442
Inhaltsverzeichnis
1. Einleitung
2. Technologiestandards beim Online-Banking
2.1. Traditionelles PIN/TAN Verfahren
2.2. HBCI
2.3. Kryptographische Algorithmen
3. Phasenweise Untersuchung des Ablaufs einer Online-Transaktion
3.1. Verbindungsaufbau zum Internet vom heimischen PC aus
3.2. Dialoginitialisierung zwischen Kunde und Kreditinstitut
3.3. Auftragsübermittlung durch den Kunden
3.4. Auftragsprüfung auf Bankseite
3.5. Auftragsausführung
3.6. Verbindungsabbau
4. Zukunftstechnologien
4.1. Biometrie
4.2. TAN Generatoren
5. Schlussbetrachtung
Zielsetzung und Themen der Arbeit
Die vorliegende Arbeit untersucht die Sicherheitsvorkehrungen und technologischen Standards im Online-Banking. Das primäre Ziel ist es, den Geschäftsprozess einer Online-Transaktion in seine funktionalen Bestandteile zu gliedern, um potenzielle Bedrohungen systematisch zu identifizieren, zu klassifizieren und entsprechende Schutzmaßnahmen zu evaluieren.
- Technologische Grundlagen (PIN/TAN, HBCI, FinTS)
- Kryptographische Absicherungsmethoden
- Sicherheitsrelevante Analyse des Transaktionsablaufs
- Bedrohungsszenarien wie Keylogger, Phishing und Angriffe auf Schnittstellen
- Zukunftsperspektiven durch Biometrie und TAN-Generatoren
Auszug aus dem Buch
3.2. Dialoginitialisierung zwischen Kunde und Kreditinstitut
Nachdem nun die Verbindung zum Internet besteht und entweder der Anmeldebildschirm auf der Webseite des Kreditinstituts oder in der Homebankingsoftware erscheint kommen wir nun zum Anmeldevorgang mit dem die eigentliche brisante Kommunikation zwischen Kundenrechner und Kreditinstitutsrechner beginnt. Beim PIN/TAN-Verfahren kommt üblicherweise das von Netscape entwickelte verbindungsorientierte SSL-Protokoll zum Einsatz, um eine abhörsichere, geschützte Verbindung zu gewährleisten. Bei einigen Kreditinstituten ist das Internet-Banking JAVA-basierend. Voraussetzung ist eine installierte Java Virtual Machine, welche in den meisten aktuellen Browserapplikationen schon integriert ist. Auf ihr können Java Applikationen ohne Anpassungen des Quellcodes ausgeführt werden können. Innerhalb des Browsers erzeugt die virtuelle Maschine eine so genannte „Sandbox“. Dieser begrenzte Bereich innerhalb des Speichers der lokalen Maschine begrenzt die Aktionen des Applets (Java-Anwendung). Das Applet hat keinen Lese- oder Schreibzugriff und auch keinen Zugriff auf Netzwerkverbindungen außerhalb der Sandbox. Somit würden auch nicht unbedingt vertrauenswürdige Applikationen im vertrauenswürdigen System schadfrei ablaufen.
In einer asymmetrisch gesicherten Handshake-Phase authentifiziert sich zunächst der Server gegenüber dem Client mittels einem entsprechendem Zertifikat. Der Kunde ist verpflichtet, die Originalität zu prüfen, indem er auf der Anmeldeseite das zugrunde liegende Zertifikat und den vom Kreditinstitut bereitgestellten Fingerprint vergleicht. Optional kann dies auch zusätzlich in die andere Richtung erfolgen. Zur Sicherung der folgenden Nutzdatenübertragung werden in dieser Phase symmetrische Sitzungsschlüssel mittels der Verschlüsselungsverfahren RSA und DES vereinbart. Für die Dauer einer Verbindung soll somit zwischen den beiden Kommunikationspartnern ein sicherer Kanal vergleichbar mit einer Rohrpost von Teilnehmer zu Teilnehmer hergestellt werden. Erkennbar ist eine SSL-gesicherte HTTP-Verbindung durch die Kennzeichnung per Protokollakronym „https://“. Eine Unterbrechung der Verbindung oder eine Umleitung würde sofort bemerkt werden und die Verbindung würde sofort getrennt werden, weil die Authentifizierung fehlschlägt.
Zusammenfassung der Kapitel
1. Einleitung: Beleuchtung der zunehmenden Bedeutung des eBankings und der Notwendigkeit hoher Sicherheitsstandards für das Vertrauen der Kunden.
2. Technologiestandards beim Online-Banking: Vorstellung der gängigen Verfahren wie PIN/TAN, HBCI/FinTS und die grundlegende Funktionsweise kryptographischer Algorithmen.
3. Phasenweise Untersuchung des Ablaufs einer Online-Transaktion: Detaillierte Analyse des gesamten Transaktionsprozesses von der Verbindung bis zum Abbau, inklusive der sicherheitstechnischen Herausforderungen in jeder Stufe.
4. Zukunftstechnologien: Ausblick auf kommende Entwicklungen wie biometrische Identifikationsverfahren und den Einsatz moderner TAN-Generatoren.
5. Schlussbetrachtung: Fazit über die Sicherheitslage im eBanking, wobei der Mensch als potenzielle Schwachstelle hervorgehoben und die Notwendigkeit von Eigenverantwortung betont wird.
Schlüsselwörter
Online-Banking, Datensicherheit, HBCI, FinTS, PIN/TAN, Kryptographie, RSA, DES, Transaktionssicherheit, Biometrie, TAN-Generator, IT-Sicherheitsmanagement, Session Hijacking, Authentifizierung.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der Datensicherheit beim Online-Banking unter besonderer Berücksichtigung der eingesetzten Technologien und der dabei entstehenden Risiken.
Welche zentralen Themenfelder werden abgedeckt?
Die zentralen Themen sind technologische Standards wie PIN/TAN und HBCI, kryptographische Absicherung, der phasenweise Ablauf von Online-Transaktionen sowie zukünftige Entwicklungen in der Sicherheitstechnologie.
Was ist das primäre Ziel der Untersuchung?
Das Ziel ist die Identifizierung und Klassifizierung möglicher Bedrohungen innerhalb des Geschäftsprozesses Online-Banking, um ein besseres Verständnis für die notwendigen Sicherheitsvorkehrungen zu schaffen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt eine prozessorientierte Analyse, indem der Ablauf einer Online-Transaktion in logische Phasen unterteilt und diese auf Schwachstellen hin untersucht werden.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil analysiert detailliert die technologischen Standards, die kryptographische Verschlüsselung (DES, RSA), den Sicherheitsaufbau von Transaktionen und die Rolle von IT-Sicherheitsmanagementsystemen in Banken.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zu den prägenden Begriffen gehören Online-Banking, HBCI, Kryptographie, Authentifizierung, Sicherheitsklassen und technologische Infrastruktur.
Warum ist die "Sandbox" für die Sicherheit von Bedeutung?
Die Sandbox bei Java-Applikationen dient dazu, die Ausführungsumgebung einer Anwendung innerhalb des Browsers zu isolieren, sodass kein unbefugter Lese- oder Schreibzugriff auf das lokale System stattfinden kann.
Welchen Stellenwert haben "Security-Checks" für Kreditinstitute?
Security-Checks durch externe Anbieter dienen der proaktiven Identifizierung von Schwachstellen und der Erstellung von Maßnahmenkatalogen, um das Sicherheitsniveau der Bankensysteme kontinuierlich zu erhöhen.
- Arbeit zitieren
- Sebastian Oehmig (Autor:in), 2004, Datensicherheit beim eBanking - Technologien und Risiken, München, GRIN Verlag, https://www.grin.com/document/27504
