Homebanking: Software und Sicherheit

Homebanking wird immer beliebter. Kein Wunder: Von zu Hause aus Überweisungen, Lastschriften und Abbuchungen zu veranlassen, ist einfach viel bequemer als der Gang zur Bank. Aber Vorsicht: Wer beim Homebanking die Sicherheit vernachlässigt, öffnet Betrug und Abzocke Tür und Tor. Wir zeigen Ihnen, was Sie beim sicheren Online-Banking über das Internet beachten müssen.

Homebanking: Ein kurzer Ausflug in die Technik

Die heute gebräuchlichen Verfahren für Homebanking verwenden als Grundlage eine SSL-verschlüsselte Verbindung. Hierbei wird eine TCP-Verbindung von einem unprivilegierten lokalen Port auf den Port 443 des Servers aufgebaut. Diese Verbindung wird gewöhnlich mit einem 128bit-Schlüssel verschlüsselt. Diese Verschlüsselung stellt nach dem derzeitigen Stand eine hinreichend starke Verschlüsselung dar. Der Aufwand, diese zu knacken, rechtfertigt das zu erwartende Ergebnis bei einem Privatnutzer sicher nicht.

Die meisten Banken verwenden ein für die eigentliche Homebankingtätigkeit ein Java-Programm („Applet“), das eine Benutzerschnittstelle zur Verfügung stellt, die die übertragenen Daten zusätzlich verschlüsselt. Die verwendeten Verschlüsselungsmethoden bieten nach derzeitigem Stand der Kryptographie einen hinreichenden Schutz vor Entschlüsselung. „Hinreichend“ deshalb, weil man – zumindest theoretisch – jede Verschlüsselung knacken kann. Die Unterschiede liegen lediglich im Aufwand. Eine absolut sichere Verschlüsselung kann es nicht geben.

Die verwendeten Techniken stellen dem Angreifer ein ausreichendes Hindernis in den Weg. Selbst bei Einsatz der schnellsten verfügbaren Rechner würde es mehrere Wochen dauern, die Daten zu entschlüsseln.

Was hat der Angreifer gewonnen, wenn er die Daten entschlüsselt?

Stellen Sie sich doch einmal folgende (vermutlich typische) Situation vor: Sie stellen eine Verbindung zur Homepage Ihrer Bank her, geben Ihre Kontonummer und Ihre persönliche Identifikationsnummer ein. Sie rufen Ihren Kontostand ab und prüfen die gebuchten Überweisungen. Anschließend geben Sie mehrere Überweisungen ein und bestätigen diese jeweils mit einer Transaktionsnummer (TAN). Danach bestellen Sie noch Schecks (Bestätigung mit TAN) und stellen eine Anfrage an den Kundenservice („Freier Auftrag“), den Sie wiederum mit einer TAN bestätigen.

Nun nehmen wir einmal an, ein böswilliger Lauscher hätte es geschafft, diese Verbindung mitzuhören und zu entschlüsseln: Der Hacker erfährt also Ihre PIN, Ihren Kontostand und Ihre verwendeten TAN.

Mit der PIN kann er anschließend die Kontoseite aufrufen und Ihren jeweiligen Kontostand abfragen (und die getätigten Umsätze). Dies ist zwar lästig und eine Verletzung der Privatsphäre, aber noch nicht grundsätzlich gefährlich. Dem können Sie entgegenwirken, indem Sie Ihre PIN regelmäßig ändern.

Für die eigentlichen Aufträge an die Bank verwenden Sie die jeweils nur einmal verwendbaren TAN, die nach der Benutzung ungültig werden. Mit diesen Nummern kann man nach der Benutzung nichts mehr anfangen. Eine Rückrechnung auf die anderen (noch gültigen) TAN ist nach derzeitigem Kenntnisstand nicht möglich. Ein Mißbrauch der Informationen ist weitgehend ausgeschlossen.

Kritisch wird es nur, wenn es dem Angreifer gelingt, die TAN vor der Ausführung der eigentlichen Transaktion direkt am Bankserver abzufangen.

Was gibt es zu beachten?

SSL-verschlüsselte Verbindungen sind über Adressen zugänglich, die mit ‚https://‘ statt mit ‚http://‘ beginnen. Nach Aufbau der Verbindung zeigt sich ein kleiner goldener Schlüssel in der Fußleiste des Browsers, beim Internet Explorer wird ein kleines goldenes Schloß angezeigt. Zu diesem Zeitpunkt hat der Browser schon folgendes geprüft:

  • Wurde das Zertifikat von einer als glaubwürdig bekannten Zertifizierungsstelle vergeben?
    Wenn nicht, so wird eine Fehlermeldung angezeigt.
  • Stimmen die Angaben im Zertifikat mit den tatsächlichen Gegebenheiten überein?
    Geprüft werden u.a. die IP-Adresse des Servers und die Webadresse.
  • Ist das Zertifikat noch gültig?
    SSL-Zertifikate werden nicht auf unbestimmte Zeit vergeben, sondern verlieren nach einer bestimmten Zeit (meist 1 – 2 Jahre) ihre Gültigkeit.

Ein Zertifikat braucht jeder Internetserver, der verschlüsselte Übertragungen anbieten will. In Form dieses Zertifikats bestätigt eine vertrauenswürdige Zertifizierungsinstanz, daß die angegebenen Daten mit denen des Antragsstellers überein stimmen und daß die Identität des Antragsstellers entsprechend geprüft wurde. Zertifikate sind an eine bestimmte Webadresse und deren IP-Adresse gebunden (z.B. www.meine-bank.de) und nicht übertragbar.

Nach einem Doppelklick auf das Verschlüsselungssymbol werden die im Zertifikat enthaltenen Angaben angezeigt und können vom Benutzer geprüft werden.

Sie sollten auf diese Weise das Zertifikat hin und wieder prüfen um auch sicher sein zu können, daß Sie mit dem richtigen Gegenüber verbunden sind. Dies ist eigentlich auch schon alles, was der Benutzer prüfen kann.