computerwoche.de

Archiv

Internet-Sicherheit/Sicherheitskonzept bei der Norisbank in Nürnberg

Schutzsystem vom PC bis zum Mainframe

29.09.2000
Die Nürnberger Norisbank AG setzt beim Homebanking auf eine eigene Windows-Software für die Kunden. Innerhalb des Kreditinstituts ist der Einsatz von PCs stark reglementiert. Eine zweistufige Firewall-Architektur schirmt die Server-Systeme ab.

Banken haben ein besonderes Sicherheitsbedürfnis, wenn es um Internet-Anwendungen geht. Die Norisbank AG, eine hundertprozentige Tochter der Hypovereinsbank AG mit Hauptsitz in Nürnberg, macht da keine Ausnahme. Das Kerngeschäft des Instituts setzt sich aus Ratenkrediten und dem Fondsgeschäft mit Privatkunden zusammen. Wie viele andere Geldhäuser auch erlaubt es seinen Klienten, mit einem PC über das Internet im Sinne des Internet-Banking - im Jargon der Norisbank "E-Banking" -, Geldgeschäfte zu tätigen. Der via Web angebotene Funktionsumfang und das Layout am Bildschirm entsprechen dem der Selbstbedienungsautomaten des Hauses - abgesehen natürlich von der Bargeldausgabe.

Im Gegensatz zu anderen Banken setzen die Nürnberger jedoch nicht auf eine Internet-Banking-Lösung auf Java-Basis, sondern auf eine eigens dafür entwickelte Windows-Software. Der Homebanking-Kunde hat die Wahl, ob er sich das Programm lieber aus dem Internet lädt oder über einen Datenträger installiert, den ihm die Norisbank zur Verfügung stellt.

Die Homebanking-Software besteht aus einem speziellen Programm für die Kommunikation mit den operativen Systemen der Bank, einem Software-Management-Programm sowie einem Web-Browser. Um beispielsweise eine Überweisung elektronisch einzureichen, öffnet der Kunde zunächst den Browser und klickt auf der Website www.norisbank.de auf Homebanking. Nach Eingabe der Kontonummer und seiner persönlichen Identifikationsnummer (PIN) startet die Windows-Software automatisch. Den Browser kann der User nun schließen: Er dient lediglich zum Hochfahren der Windows-Anwendung. Von diesem Zeitpunkt an kommuniziert der Client des Kontoinhabers nur noch mit dem Communications-Server der Bank. Eine Verschlüsselungsfunktion, die nach dem Data-Encryption-Standard (DES) arbeitet, kodiert die Übertragung dabei mit 168 Bit. Außerdem authentifizieren sich PC-Client und Bank-Server über das RSA-Verfahren. Hierzu dienen asymmetrische Schlüssel mit 1024 Bit Länge. Ein vom amerikanischen Trustcenter Verisign herausgegebenes Zertifikat soll die Echtheit des Authentifizierungsschlüssels garantieren. Für jede Transaktion, beispielsweise eine Überweisung, muss der Kunde eine Transaktionsnummer (TAN) eingeben - ein seit den Zeiten von Btx gängiges Verfahren, mit dem nach wie vor sehr viele Homebanking-Kunden auch bei vielen anderen Kreditinstituten arbeiten.

Das in den Homebanking-Client integrierte Software-Management-Programm "Netdeploy" des australischen Anbieters OSA sorgt dafür, dass die Software auf dem Kundenrechner immer auf dem aktuellen Stand ist. Hierzu vergleicht Netdeploy die lokal vorhandenen Systemdateien des E-Banking-Programms mit denen auf dem Server und überträgt gegebenenfalls Updates über das Netz. Dieses Verfahren setzen auch Online-Dienste wie beispielsweise AOL und T-Online in ihren Einwahlprogrammen ein. Netdeploy trägt zudem zur Sicherheit bei. Würde ein Hacker die Programmdateien des Bankkunden auf seinem PC manipulieren, wäre Netdeploy in der Lage, anhand einer Prüfsummenfunktion, die bei jedem Verbindungsaufbau ausgeführt wird, die gefälschte Datei zu erkennen und sie zu ersetzen. Ein weiteres Sicherheitsmerkmal: Die Software läuft nur, wenn eine Internet-Verbindung besteht. Kappt der Nutzer den Web-Zugang manuell, beendet sich das E-Banking-Programm automatisch. Doch nicht nur die Rechner der Homebanking-Kunden versorgt die Norisbank mit Sicherheitsmechanismen. Auch die PCs der Bankmitarbeiter verfügen über eine Reihe von Schutzfunktionen. So wird die Konfiguration der Rechner bei jedem Systemstart mit den konzernweit vorgegebenen Standardeinstellungen verglichen und der PC gegebenenfalls umkonfiguriert. Dies geht soweit, dass die Server-Routine sogar das Hintergrundbild auf dem Desktop, sollte es der Anwender verändert haben, auf den Bankstandard zurücksetzt. Gleichzeitig lädt der PC während des Hochfahrens aktuelle Virensignaturen vom Netzserver. Auf diese Weise ist die Antivirensoftware auf allen Desktops auf dem neuesten Stand, ohne dass der Benutzer selbst aktiv werden muss. Virenschutzsysteme laufen darüber hinaus auf den Firewalls sowie auf den E-Mail-Servern. Alle Mitarbeiter mit PC-Arbeitsplatz haben einen Internet-Anschluss. Allerdings hat die Bank den Funktionsumfang der Browser stark eingeschränkt. Aktive Inhalte, wie Active-X-Controls, in Web-Seiten eingebettete Javascripts sowie Java-Applets, die der Surfer aus dem Web auf seinen PC lädt, sind bei diesen Web-Programmen deaktiviert. Damit das so bleibt, wurden die Einstelloptionen des Browsers deaktiviert, so dass der Anwender an der Internet-Konfiguration nicht rütteln kann.

Diese strengen Regeln passen eigentlich nicht zum Konzept eines Windows-PCs, der ja im Notfall jedem Nutzer die persönliche Konfiguration seiner Arbeitsumgebung bietet. Willy Düster, Leiter Organisation und Informationstechnologie bei der Norisbank, erinnert sich denn auch an anfängliche Proteste seitens der Anwender. Inzwischen überwiegt die Zufriedenheit darüber, dass die Rechner zu 100 Prozent verfügbar sind und nicht wegen falscher Einstellungen den Betrieb verweigern. Die Sicherheitspolitik der Bank schreibt vor, dass PC-Anwender keine Informationen auf Datenträger speichern oder von dort laden können. So verfügen die Desktops zwar für Wartungszwecke über ein Diskettenlaufwerk, im Normalbetrieb können mit Windows NT ausgestatteten PCs jedoch weder Dateien auf Disketten kopieren noch davon lesen. Nur der Administrator kann das Laufwerk in Betrieb nehmen, und es hat auch nur der User-Support die erforderlichen Zugriffsberechtigungen. Die Softwareverteilung der dezentralen Bankenanwendungen erfolgt deutschlandweit für alle Norisbank-Filialen automatisiert aus dem Nürnberber System-Management-Center des DV-Konzerndienstleisters HVB-Info GmbH.

Die zum Homebanking erforderlichen Anwendungen sind durch eine zweistufige Firewall-Architektur gesichert. Der Web- und der Communications-Server befinden sich hinter der ersten Firewall, sie schottet das Internet von den internen Ethernet-LANs ab. Eine weitere Firewall trennt die für die Internet-Kommunikation bereitgestellten Server von den Applikations-Servern sowie den nachgelagerten Host-Systemen. Zudem überwachen Intrusion-Detection-Systeme die Netze und schlagen Alarm, sollte ein Hacker oder auch ein Angreifer von innen einen Einbruchversuch starten.

Die operativen Systeme, zu denen die Standardsoftware "Kordoba" von Siemens zählt, laufen nicht in Nürnberg, sondern in München bei der Konzernmutter Hypovereinsbank. Die Rechner - "BS2000"-Hosts sowie Siemens-Server vom Typ "RM 400" unter dem Unix-Derivat "Sinix" - betreibt HVB-Info. Um die IT-Sicherheit im Konzern kümmert sich die Secaron AG, deren Hauptinhaber die Hypovereinsbank ist. Secaron formuliert zudem die konzernweit gültigen Sicherheitsregeln.