HBCI – Homebanking im nationalen Standard
Die Abkürzung HBCI steht für „Home Banking Computer Interface“. Dieser national gültige Standard wurde vom zentralen Kreditausschuss (ZKA) entwickelt und soll das Online-Banking sicherer machen sowie die Kompatibilität zwischen verschiedenartigen Bankrechnern und Kundensystemen erhöhen.
Banking Kernel im Kundensystem – Funktionsweise von HBCI
Der bargeldlose Zahlungsverkehr per Internet läuft mit Hilfe von Electronic Cheque nach einem gut gesicherten System ab. Auf der Chipkarte, die als elektronisches Scheckbuch dient, werden alle wichtigen und für den Geldtransfer relevanten Daten abgespeichert. Grundvoraussetzung für die Nutzung von Electronic Cheque ist, dass beide Parteien ein Konto besitzen. Die Anmeldung und Identifikation erfolgt über ein geschütztes Passwort. Ist die Anweisung zur Bezahlung eines bestimmten Betrags ausgelöst, wird die Summe an das Konto des Empfängers weitergeleitet und über ein Servernetzwerk wird die Liquidität des Kunden geprüft. Insgesamt ähnelt das Bezahlverfahren mit Electronic Cheque der Bezahlung mit herkömmlichen Schecks, lediglich das Medium ist ein anderes. Auch bei Electronic Cheque werden Kontonummer des Ausstellers, Empfänger, Betrag und Währung sowie eine Unterschrift benötigt.
Wie sicher ist HBCI?
Auch wenn das HBCI-Verfahren im Vergleich zum iTAN- oder TAN-Listen-Verfahren als deutlich sicherer eingestuft werden kann, Risiken bestehen auch hier. Denn ebenso wie sich die Sicherheit im Bereich der Banking-Software weiterentwickelt hat, ist dies auch innerhalb der Cyber-Kriminalität geschehen. Denkbar wäre, dass das für das HBCI-Banking verwendete Programm von außen manipuliert wird und die Bank durch fingierte Aufträge getäuscht wird. Zu bedenken ist dabei, dass die Verschlüsselung nicht im Kartenleser passiert, sondern die Signatur vom Homebanking Programm codiert wird. Wie bei allen Transaktionen über das Internet gilt also auch hier: Ein Verfahren ist nur so sicher wie der PC, auf dem es ausgeführt wird. Insgesamt ist also auch das HBCI-Verfahren angreifbar, wenn das PC-System nicht gegen Angriffe von außen geschützt ist.
Die Verbreitung von HBCI
Obwohl das HBCI-Verfahren als besonders sicher gilt und von den Banken empfohlen wird, verwenden vor allem Privatkunden häufig die TAN-basierten Verfahren. Ebenso sicher wie HBCI gelten hier mTAN, also die Versendung einer generierten TAN per Handy und eTAN plus, der TAN-Erzeugung mittels EC-Karte zur Authentifizierung und TAN-Generator. Dieses System gilt aktuell als besonders sicher, da die erzeugte TAN an die Empfängerdaten gekoppelt ist. Ebenfalls im Einsatz ist das PIN/TAN-Verfahren, das mittlerweile als unsicher und überholt gilt. Hier wird die Transaktion vom Kunden mittels PIN und einer beliebigen TAN-Nummer aus einer unbegrenzt gültigen Liste verifiziert.