zurück zu Seite 1

b) Das HBCI-Verfahren

Das HBCI-Verfahren ist speziell für das Online-Banking entwickelt worden.[12] Der Kunde benötigt ein spezielles Chipkartenlesegerät, das über eine Standardschnittstelle an jeden Computer angeschlossen werden kann. Auf einer Chipkarte sind alle sensiblen Daten des Kunden gespeichert, insbesondere ein Signaturschlüssel und der Verschlüsselungsschlüssel des Kunden.[13] Die Chipkarte ist nicht kopierbar.[14] Die Abwicklung erfolgt wie zuvor beschrieben, lediglich die Autorisierung der Transaktion durch die TAN wird durch die Bestätigung mittels der Chipkarte ersetzt. Über eine zusätzliche elektronische Signatur auf der Chipkarte soll sichergestellt werden, dass die Transaktion nur mittels der Chipkarte durchgeführt und der Kunde somit identifiziert werden kann.[15] Der Kunde muss sich vor den Zugriff auf die Chipkarte dieser gegenüber durch Eingabe einer PIN legitimieren. Hierbei handelt es sich um eine zufällig generierte PIN. Jeder Besitzer der Chipkarte, der die PIN kennt, hat somit den vollen Zugriff auf das Konto (Prinzip von Verfügungsmacht kraft Besitz und Wissen). Dieses Verfahren ist insoweit vergleichbar mit der EC-Karte.

B) Sicherheitsbewertungen

Unterstellt man die Sicherheit des Datentransfers als solchen, verbleibt das Risiko, dass Daten an den Endstellen des Datentransfers manipuliert werden können, also bei der Bank oder beim Kunden, bevor die sichere Verbindung aufgebaut wurde. Hier werden nur etwaige Manipulationsmöglichkeiten beim Kunden untersucht.

1.) Typisches beim PIN/TAN-Verfahren

Die Sicherheit des noch vorherrschenden PIN/TAN-Verfahrens hängt von der Geheimhaltung dreier Daten ab, nämlich der Kontonummer, der frei wählbaren PIN sowie der nicht errechenbaren, zufälligen und der nach einmaligen Gebrauch verfallenden TAN.[16] Die Kontonummer ist kein Sicherheitscode i.e.S., da diese weitläufig bekannt ist. Die PIN ist durch den Kunden beliebig wähl- und veränderbar. Hierdurch soll gewährleistet werden, dass nicht einmal die Angestellten der Bank Kenntnis der PIN erhalten. Ferner ermöglicht die Abänderbarkeit ein häufiges Wechseln der PIN. Praktisch stehen jedoch bei fast 80 % der verwendeten Passwörter diese im direkten Zusammenhang mit der Person des Verwenders.[17] Eine Änderung der Passwörter bzw. der PINs erfolgt quasi nie. Dies resultiert aus dem natürlich begrenzten Vermögen des Menschen, sich viele unterschiedliche Passwörter zu merken, v.a. wenn sich diese regelmäßig ändern. Die Tatsache, dass die PINs erwartungsgemäß in einem engen Verhältnis zum Benutzer stehen, macht sie anfällig gegen systematisches Ausprobieren. Soweit nicht mit dem Verwender im Zusammenhang stehende, „kreative PINs“ gewählt werden, besteht die Tendenz, sich diese zu notieren, um sie nicht zu vergessen, was letztlich eine natürliche Verhaltensweise des Verwenders darstellt. Monatlich steigt die Zahl der PINs, die sich der Verwender im Alltag merken muss, was gleichzeitig die Kapazität des Menschen, sich geheime Daten ohne ausspähbare Notizen zu merken, reduziert. Folglich kann die Absicherung durch PINs nicht als sonderlich sicher angesehen werden. Für einen erfahrenen Datendieb stellt das gezielte Ausspähen regelmäßig kein größeres Problem dar.[18] Bleibt als maßgebliches Sicherungsmittel die rein zufällige und nicht errechenbare TAN. Eine Missbrauchsmöglichkeit besteht, wenn die TAN bei der Übersendung mit der Post abhanden kommt oder sie beim Kunden ausgespäht wird. Die erste Möglichkeit ist allein der Bank zuzurechnen, die das Risiko beispielsweise durch Versendung per Einschreiben o.ä. vermindern kann.[19] Kommt die TAN abhanden, benötigt der Abgreifende nur noch die Kontonummer und die PIN, was nach oben Geschilderten leicht zu ermitteln ist. Ein Täter kann dann ebenso viele Verfügungen wie abgefangene TANs bis zur Höhe der Verfügungsgrenze, falls vorhanden, vornehmen. Kommen die TANs beim Kunden an, so hat grundsätzlich er alleine die Möglichkeit, die Vertraulichkeit sicherzustellen.

Weiterlesen auf Seite 3