Homebanking Computer Interface (HBCI) - ist das Online-Banking wirklich sicher?
Im Jahr 1997 wurde durch vor allem private Bankenguppen das Homebanking Computer Interface (HBCI) eingeführt und als äusserst sicher gefeiert. Das HBCI fürs Online-Banking wird derzeit jedoch lediglich von einer Minderheit der Bankkunden genutzt.
Dies könnte u. a. daran liegen, dass für das Online-Banking ein gewisser technischer Aufwand betrieben werden muss. So wird zum Beispiel ein Chipkartenlesegerät und/oder eine entsprechende HBCI-taugliche Software benötigt.
Durch die Erzeugung eines privaten und eines öffentlichen Schlüssels, mit dem sowohl der Bankserver als auch der Server des Bankkunden überprüft und verglichen werden, ist es schier unmöglich, mit herkömmlichen Phishing-Methoden dort auf Datenfang zu gehen.
Und durch ein ganz konventionelles Prüfverfahren durch die Bankangestellten, den Vergleich des öffentlichen Schlüssels mit der hinterlegten Unterschrift des Kunden, wird eine weitere Abgleichung vorgenommen.
Und erst nach diesen beiden Authentifizierungshürden wird das HBCI-Verfahren für den Kunden freigeschaltet.
Und durch die Erzeugung eines Einmalschlüssels für jede Überweisung oder Umbuchung sowie eine digitale Unterschrift der Transaktion ist eine sehr hohe Sicherheit beim online-banking garantiert.
Aber trotz allem gibt es auch hier in diesem Verfahren einige Angriffspunkte für Cyber-Kriminelle:
Entscheidend ist z. B., wo der öffentliche Schlüssel der Bank gespeichert wird. Ein Wechseldatenträger z. B. bietet einen zusätzlichen Schutz vor Trojanern oder Spyware.
Natürlich kann auch das Homebanking-Programm selbst schon von sich aus mit Viren befallen sein. Und bei manipulierter Software kann der Bankserver nicht unterscheiden, ob es ein korrekter Überweisungsauftrag ist oder nicht. Denn so lange die Signation übereinstimmt, werden die Daten auch als entsprechend richtig weitergegeben und freigeschaltet.
Im Auftrag von zwei Fernsehsendern wurden schon HBCI-Systeme “gehackt”.
Im Jahr 2001 gelang es, den Server der damaligen Münchner Hypo-Vereinsbank so zu manipulieren, dass die für Überweisungen genutzten Daten abgefangen und entschlüsselt werden konnten.
Im Jahr 2005 gelang dies in ähnlicher Form auch beim HBCI-Server der Dresdner Bank.
Auch haben ehemalige Mitarbeiter des Moskauer Instituts für Strahlenphysik sog. Seitenkanalattacken auf Chipkarten erfolgreich druchgeführt. Ein kompliziertes Verfahren ermöglichte es, den auf der Chipkarte gespeicherten Schlüssel zu rekonstruieren.
Noch ist dieses Verfahren zu aufwendig und kostenintensiv, um flächendeckende Angriffe auf HBCI-Buchungen vorzunehmen.
Doch wenn der Preis sinkt und das Verfahren an sich auf Aktenkoffergröße geschrumpft ist, könnte sich diese Seitenkanalattacke auf die beim HBCI Online-Banking eingesetzte Chipkarte zu einem lukrativen Erwerbszweig für die im Netz organisierte Kriminalität entwickeln.
