„Stoppen Sie Pishing und Pharming mit einem sicheren Chipkartenleser“, lautet ein Werbespruch der Deutschen Kreditwirtschaft, durch den dem Bankkunden das sogenannte HBCI-Banking-Verfahren (Homebanking Computer Interface) schmackhaft gemacht werden soll. Doch wie sicher ist das HBCI-Verfahren wirklich?
(firmenpresse) - HBCI wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschluss (ZKA) überprüft und freigegeben. HBCI sollte die bisherigen Systeme, wie beispielsweise das inzwischen missbrauchsanfällige PIN/ iTAN-Verfahren verbessern bzw. in Teilen ersetzen. Die Notwendigkeit ergab sich, nachdem es Straftätern vermehrt gelungen war, die Konten von Betroffenen leer zu räumen, die mit dem sogenannten indizierten TAN-Verfahren (iTAN) arbeiteten. Zum übliche Standard des HBCI-Banking-Verfahrens bzw. zu den möglichen Varianten gehört es, dass am Computer des Bankkunden ein externes Chipkartenlesegerät angeschlossen wird. Der Schlüsselcode zur Authentifizierung gegenüber der Bank, soll nur für den Nutzer einsetzbar sein, der über diese Chipkarte verfügt. Bei dieser Annahme wird allerdings unterstellt, dass es technisch nicht möglich ist, die auf der Chipkarte hinterlegten Daten abzufangen (etwa in Form des Skimming) und mit Hilfe einer ggf. gefälschten Zweitkarte den Server der Bank über die Authentizität einer anderen Person zu täuschen.
Seit wann gibt es HBCI-Banking?
Die Ursprünge der technischen Entwicklung von HBCI-Banking reichen bis in die 1990iger Jahre zurück. Seitdem wurde der jeweilige Standard jedoch beständig weiterentwickelt, so dass aktuell teilweise mehrere Versionen des HBCI-Standards nebeneinander gebräuchlich sind, die teils zur älteren, teils zur neueren Generation gerechnet werden müssen. Zunächst setzte der Deutsche Sparkassenverband Anfang der 1990iger Jahre eine ältere Version des heutigen HBCI-Standards ein, bei dem noch das missbrauchsanfällige PIN/TAN-Sicherheitsverfahren genutzt wurde. Die neueren Varianten des HBCI-Verfahrens mittels Signaturkarte existieren seit dem Jahre 2002. Heute wird das HBCI-Online-Banking-Verfahren von rund 2.000 Banken in Deutschland angeboten. Dieser Zahl entspricht gegenwärtig etwa die Hälfte der in Deutschland ansässigen sog. monetären Finanzinstitute (MFIs = Banken).
Allerdings blieb der HBCI-Standard bislang weitgehend auf den deutschen Bankenmarkt beschränkt, der zugleich der größte in Europa darstellt. Bestrebungen, die bereits früh eine internationale Verwendung des Standards anstrebten, konnten sich bislang nicht hinreichend durchsetzen.
Wie sicher ist HBCI-Banking?
Darauf kann es nur eine differenzierende Antwort geben. Die Jubelschreie der Werbeabteilungen der Kreditwirtschaft über HBCI sind ebenso mit Skepsis zu begegnen, wie die pauschale Verunglimpfung des Systems. Letzteres verbietet sich schon deshalb, weil es unterschiedliche Standards und Versionen von HBCI gibt.
Online-Banking mit HBCI-Chipkarte und einem Chipkartenleser bietet zunächst im Vergleich zu den älteren Systemen (iTAN-Verfahren oder gar die heute längst veralteten TAN-Listen-Verfahren ohne indizierte TAN) einen durchaus höheren Sicherheitsstandard im Vergleich zu früher. Betrachtet man jedoch die Entwicklung der Kriminalität im Online-Bereich der letzten Jahre, ist Skepsis mehr angezeigt, als Jubel. Der Praktiker weiß, dass ein Mehr an Sicherheit im Online-Banking stets die technische Anpassung und Aktualisierung der Systeme an die Entwicklungsschritte der Kriminalität abfordert. Von daher bietet HBCI-Banking selbstverständlich ein mehr an Sicherheit als frühere Systeme. Es ist aber nur eine Frage der Zeit, bis dieser Befund wieder überholt ist. Einige Variationen von HBCI-Banking sind technisch längst überholt.
Auch beim HBCI-Banking bestehen deshalb Risiken. Es ist vorstellbar, dass ein Angreifer das beim HBCI-Banking verwendete Programm manipulieren könnte. Im Einzelfall ist dabei die jeweilige Version und der Standard des konkret von einer Bank angebotenen HBCI-Verfahrens zu betrachten. Möglich erscheint, dass Straftäter der kontoführenden Bank einen Auftrag des Kunden vorspielen, ohne dass dies für den Bankkunden zunächst nachvollziehbar ist. Einen solchen veränderten Auftrag könnten die Täter an die Bank senden, indem sie sich zwischen Bank und Bankkunde schalten (Man-in-the-Middle-Angriff), während einer laufenden Transaktion einen veränderten Auftrag signieren oder durch den Bankkunden während eines geschickten Täuschungsmanövers signieren lassen und diesen an den Server der Bank senden. Die Bank würde diesen Auftrag ausführen, wenn er korrekt signiert wurde. Zu bedenken ist, dass der Kartenleser nicht an der Verschlüsselung der eigentlichen Überweisung beteiligt ist, sondern lediglich die vom Homebanking-Programm erzeugte Signatur der Überweisung verschlüsselt. Deshalb ist HBCI-Banking mit Kartenlesern auch nur unter der Prämisse sicher, dass das verwendete Homebanking-Programm auf dem Computer des Bankkunden nicht durch externe Angreifer manipuliert werden kann.
Welche Erfahrungswerte existieren zu Sicherheitslücken?
Im September 2009 berichtete die FAZ in der Rubrik Technik und Motor kritisch über die behauptete Unangreifbarkeit des HBCI-Verfahrens (vgl. P. Welchering, Frankfurter Allgemeine Zeitung Nr. 208 v. 08.09.2009, Seite T 2). In dem Beitrag wurde darauf hingewiesen, dass es Hackern im Auftrag der ARD-Sendung „Ratgeber Technik“ bereits im September 2001 gelungen war, einen HBCI-Server der Münchener Hypo-Vereinsbank mit Hilfe von Trojanern so zu manipulieren, dass die nach dem damaligen HBCI-Standard versandten Überweisungsaufträge mit allen notwendigen Informationen abgefangen und entschlüsselt werden konnten. Obwohl die damalige HBCI-Version aus dem Jahre 2001 inzwischen als überholt gilt, gelang es daraufhin Hackern im Auftrag der Sendung „Trends“ des Hessischen Rundfunks im Mai 2005 erneut einen HBCI-Server der Dresdner Bank zu knacken. Hintergrund dieses Angriffes war, dass die Chipkarte eben doch kopiert und durch nichtautorisierte Dritte eingesetzt werden konnte.
Beim heutigen HBCI-Standard werden die Transaktionen nicht mehr mit einer TAN legitimiert. Vielmehr signiert der Bankkunde eine Prüfsumme seiner Transaktionsdaten mit seinem geheimen, auf der Karte gespeicherten Schlüssel und schickt diese Daten an die Bank. Eine Sicherheitshürde besteht darin, dass der Bankkunde zum Signieren außerdem seine PIN eingeben muss, um den Vorgang freizuschalten. Da der Signaturvorgang in der Karte erfolgt, kann ein Angreifer eine Banktransaktion dem Server der Bank nur dann vortäuschen, ohne autorisiert zu sein, wenn es ihm gelingt, den Schlüssel auf der Karte auszulesen und ihn zu kopieren. Eine typische Sicherheitslücke bei einigen HBCI-Verfahren besteht darin, dass der Bankkunde am Kartenlesegerät nicht sehen kann, welche Transaktion er mit seiner Karte gerade signiert, da eine Reihe der derzeit eingesetzten Kartenleser mit Display keine diesbezüglichen Daten anzeigen. Ein Trojaner würde genau hier ansetzen, indem er die vom Kunden auf dem PC eingegebene Überweisung vor der Übermittlung an den Kartenleser ändert. Das Kartenlesegerät erhält dann eine nicht autorisierte Überweisung. Wenn der Kunde diese anschließend versehentlich autorisiert, weil der den manipulierten Überweisungsauftrag am Kartenlesegerät nicht einsehen und insofern auch nicht Überprüfen konnte, können Konten von Straftätern abgeräumt werden. Eine neuere Generation der Kartenlesegeräte wird deshalb dafür zu sorgen haben, dass auch auf dem Kartenlesegerät des Bankkunden die von ihm freizugebende Transaktion nochmals eingesehen und überprüft werden kann, bevor der Bankkunde sie autorisiert.
Ulrich Schulte am Hülse
Rechtsanwalt
_____________
Unser Büro vertritt bereits seit Jahren Geschädigte, die einen Vermögensschaden durch das Abfangen von Kontozugangsdaten erlitten haben. Wir haben die Thematik umfassend für Sie aufbereitet. Weitere Beiträge finden Sie auf unserer Internetseite unter http://www.ilex-recht.de
_____________
Wir unterstützen Sie bei Ihrer Recherche.