Die Zeit drängt. Bis Oktober dieses Jahres wollen alle Banken und Sparkassen, die ihren Kun-den elektronisches Banking ermöglichen, wirkliche Sicherheit bieten. Die im Zentralen Kreditausschuß der Deutschen Banken (ZKA) vereinten fünf Bankenverbände entwickelten dafür den Homebanking-Computer-Interface-Standard (HBCI). Er soll eine sichere technische Basis für elektronische Transaktionen über das Internet gewährleisten und eine einheitliche Daten-Schnittstelle für im Standard definierte Anwendungen etablieren. Dazu wurden Richtlinien für die Bereitstellung des HBCI und eine Schnittstellen-Spezifikation HBCI als offener Standard veröffentlicht. Seit Februar liegt er in der Version 2.01 vor, abzurufen über das Bonner Sparkassen-Informations-Zentrum unter www.siz.de/siz/hbci. Wie die Banken das selbstgesteckte Ziel innerhalb der nächsten drei Monate erreichen wollen, bleibt ein Rätsel, obgleich einiges an geeigneter Hard- und Software auf dem Markt ist.
Maßnahmenkatalog noch nicht verabschiedet
Grundlage für die Sicherheit bildet das am 1. August 1997 in Kraft getretene, als Multimediagesetz bezeichnete Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste, kurz Informations- und Kommunikationsdienste-Gesetz (IuKDG). Artikel 3 enthält das Gesetz zur digitalen Signatur (SigG). Die seit 1. November 1997 geltende Signaturverordnung (SigV) regelt alles rund um notwendige Genehmigungen für die Betreiber von Zertifizierungsstellen sowie zu Signaturschlüsseln und Identifikationsdaten. Allerdings steht die Verabschiedung des sogenannten Maßnahmenkatalogs mit den Ausführungsbestimmungen noch aus. Auch auf EU-Ebene gibt es Ansätze für eine Richtlinie zu elektronischen Signaturen (www. ispo.cec.be/eif/policy).
Da auf Gesetzesseite noch nicht das letzte Wort gesprochen ist, wird auch der HBCI-Standard in seiner jetzigen Version nicht der letzte sein. Es handelt sich dabei weder um eine Software noch um ein neues Sicherheitssystem. Der Standard legt nur fest, wie bei Transaktionen die Authentifikation, die digitale Signatur und die Verschlüsselung verwendet werden sollen. Nach SigG müssen die zur Erzeugung von Signaturschlüsseln erforderlichen technischen Komponenten so beschaffen sein, daß ein Schlüssel "mit an Sicherheit grenzender Wahrscheinlichkeit" nur einmal vorkommt und sich aus dem öffentlichen Schlüssel nicht der private Schlüssel errechnen läßt.
Die Geheimhaltung des privaten Schlüssels muß gewährleistet sein. Er darf nicht dupliziert werden können. Nach HBCI läßt sich dieser Schlüssel entsprechend dem aktuellen Stand der Krypto-Technik noch in Triple-DES-, langfristig jedoch nur noch in RSA-Verschlüsselung übertragen (zur Technik des Signierens und Verschlüsselns siehe Seite 58: "Security Strategien für Electronic Commerce am Tatort Internet").
Schaut man sich jedoch im Internet um, so herrscht das umständliche PIN/TAN-Verfahren (Persönliche Identifikationsnummer, Transaktionsnummer nach dem veralteten Btx-Standard vor. Bei kaum einem Institut lassen sich Schecks bestellen, Devisen schon gar nicht. Ist dann noch die Leitung langsam oder überlastet, kostet das Zeit und damit Geld, die Deutsche Telekom freut's. Zudem bieten viele Banken das elektronische Verfahren nur über T-Online an, Compuserve- oder AOL-Kunden, also vor allem Geschäftsleuten, aber nicht. Größtes Handicap ist jedoch die Sicherheit, wie der jüngste Coup eines Hamburger Schülers zeigte, der T-Online-Kunden anzapfte. Spätestens jetzt hätte eigentlich jedem Kunden und jeder Bank klar werden müssen, wie wichtig ein sicherer Datenkanal ist.
Ein Server zwischen Firewall und Host
Bisher wirbt nur Faktum, ein Software-Unternehmen aus Nieder-Olm, auf seiner Homepage (www.faktum.de) in einem Laufband mit "Das einzige Homebanking nach dem neuen HBCI-Standard" - einem Superlativ, der Logik vermissen läßt. Faktum wurde vom Vorstand der Raiffeisen-Volksbank Mainz gegründet und versucht seit mehr als einem Jahr, andere Institute für die eigene Lösung zu begeistern. Für den Geschäftskunden ist das bisherige Angebot unattraktiv: Er kann noch nicht einmal sämtliche in HBCI 2.01 genannten Anwendungen online tätigen etwa einen simplen Brief an seine Bank schicken.
Den HBCI-Standard nahm sich auch die Münchner Datadesign AG vor, eine Softwareschmiede, die mit keiner Bank verbandelt ist. Resultat der Entwicklung ist ein Gesamtpaket unter der Bezeichnung "Financial Transaction Systems", das Banken und Kunden in die Lage versetzen soll, bei Bankgeschäften sämtliche elektronischen Möglichkeiten sicher zu nutzen. Gleichgültig, ob beide via PC, Fernsehbox, Multifunk- tionsterminal oder Telefon und Call-Center kommunizieren, der Kunde braucht nur ein Konto, eine Plastikkarte samt Lesegerät mit Verbindung zum PC, einen In- ternet-Anschluß oder ein Telefon beziehungsweise die Fernsehbox.
Der Chip als Bankfiliale
Es handelt sich bei dem System um einen Server, der zwischen Firewall und Host der Bank geschaltet wird. Alle elektronischen Vertriebskanäle der Bank laufen hier auf. Er regelt unter anderem Steuerung, Verarbeitung sowie Ver- und Entschlüsselung jeder Nachricht.
Das erste Bankinstitut, das diese Lösung der Münchner implementiert hat, ist die BfG Bank AG in Frankfurt, die zur Gruppe Crédit Lyonnais gehört. Präsentiert wurde die BfG-Lösung auf der Internet-World in Berlin. Im August dieses Jahres nun will die Frankfurter Bank ins Internet (www. bfg.de) gehen - zwar später als die Konkurrenz, dafür aber nach HBCI 2.01 mit darüber hinausreichenden Anwendungen: Die BfG bietet dann nicht nur den In- und Auslandszahlungsverkehr. Der Kunde soll auch von der Karten- und Scheckbestellung über Devisen- und Reiseschecks bis hin zu Termineinlagen und Wertpapieren sämtliche standardisierbaren Produkte, die die Bank bereitstellt, zum Tagespreis anfordern, kaufen und verkaufen können.
Das Szenario stellt sich folgendermaßen dar: Der Kunde eröffnet bei der BfG ein Konto und bekommt im Gegenzug den Chipdrive von Datadesign: eine RSA-Smart-Card und ein Lesegerät. Die Chipkarte ist fortan der Ausweis. Die neue Karte ist durch eine Null-PIN geschützt, womit sichergestellt wird, das sie noch nie verwendet wurde. Jede Karte enthält ein einmaliges Zertifikat, das die Bank dem Kunden zuordnet. Die von Datadesign favorisierten Karten stammen von Giesecke & Devrient und werden nach der Sicherheitsstufe E4 evaluiert.
Der Kunde schließt das Lesegerät an eine freie serielle Schnittstelle an. Ist die nicht vorhanden, nutzt er die Maus-Schnittstelle mit einer Art Doppelstecker. Verwendet der Kunde eine neue Karte, vergibt er eine PIN seiner Wahl. Weder die Bank noch der PC können darauf zugreifen. Sie ist aus der Karte nicht auslesbar. Die PIN-Eingabe führt zum Aufruf der Applikation zur Schlüsselerzeugung. Der Prozessor generiert den privaten Schlüssel, der nicht auslesbar in der Karte gespeichert wird. Der öffentliche Schlüssel wird an die Bank gesandt. Zur Bestätigung der Echtheit dieses Schlüssels druckt der Kunde einen sogenannten INI-Brief aus, unterschreibt diesen konventionell und schickt ihn an die Bank. Die schaltet daraufhin das Konto frei.
Signaturmechanismen im Prozessor der Karte
Will der Kunde nun aktiv werden, gibt er seine PIN ein. Diese wird zur Prüfung zurück auf die Karte geschickt.
Bei sauberer Übereinstimmung generiert der Prozessor die Initialisierung, die an die Bank geht. Die Bank ordnet die Daten zu und schaltet das Konto frei. Sämtli- che Verschlüsselungs- und Signaturmechanismen, die bei Versand einer Nachricht ablaufen, wer- den im Prozessor der Karte generiert, nicht auf der Festplatte. Sie sind weder einseh- noch dublizierbar.
Das Abkommen zwischen den Banken sieht vor, die Abwicklung von Bankgeschäften per elektronischen Dialog "multibankfähig" zu ermöglichen.
Die RSA-Smart-Card ist eine personenbezogene; technisch gesehen kann damit also auch eine Kontoeröffnung erfolgen, gleichgültig, wer die Karte ausgestellt hat.
Abzuwarten bleibt, wie sich die Softwarehersteller für das Offline-Banking verhalten: Zumindest die nächste Version von "Quicken" wird wohl HBCI-mäßig ausgestattet werden. Selbst wenn Microsoft es bei seinem Produkt "Money" vorziehen sollte, nur den amerikanischen OFX-Standard zu unterstützen, sind die Datadesign-Kunden gewappnet. Die Bankensoftware ist nämlich nicht nur mehrsprachig, sondern auch für OFX ausgelegt.
Ein "hallo" vor dem Terminal
Das von Datadesign vertriebene Lesegerät der ebenfalls in München ansässigen Towitoko Electronics wiegt samt Kabel und Stecker 60 Gramm, weshalb es sich für den Laptop unterwegs eignet. Die gebräuchlichsten Chips sollen sich damit auslesen lassen. Über die Homepage www.datadesign.de gelangt man zu den entsprechenden Anwendungen für Geldkarte, Paycard, Krankenversicherungs-, Telefon- und GSM-Karte. Fehlt eigentlich nur noch der eine Chip, mit dem der Kunde alles kann: sich ausweisen, etwas verschlüsseln und signieren, bezahlen und telefonieren.
Im Finanzbereich arbeitet das Münchner Softwarehaus mit der auf Sicherheit spezialisierten Berliner DCS zusammen, die mit der Fraunhofer-Gesellschaft die sogenannte BioID, gebildet aus Gesicht, Stimme und Lippenbewegung, entwickelt hat. Ein "hallo" vor einem Terminal mit Kamera und Mikrofon genügt, um sich bei der Bank einzuklinken. Mit dem Code in der RSA-Karte dürfte ein Kartenmißbrauch ausgeschlossen sein. Der fälschungssichere Ausweis als Zugangsinstrument zur Überwindung von Grenzen jeder Art scheint damit in Sicht.
Trotz aller vorhandener Technik bleibt das Online-Banking in Deutschland vermutlich noch lange ein rudimentäres Gestöpsel. Denn die Banken haben sich zwar mit dem HBCI-Standard festgelegt, doch eine "Strafe" für Versäumnisse gibt es nicht. Wenn nicht einmal die Finanzvorstände der DV-Branche ihre Bankiers drängen, ihre selbstdefinierten Ziele zu verwirklichen, wer dann.?
ANGEKLICKT
Bei Bankgeschäften hat Sicherheit höchste Priorität. Dazu gehört die Authentifikation, der Beweis, daß der Kunde X auch wirklich selbiger ist und die Bank die Bank Y und keine andere. Des weiteren muß Vertraulichkeit gewährleistet sein, niemand darf während der Übermittlung in die Daten blicken können. Und die zu übermittelnden Daten müssen genau so ankommen, wie sie abgesandt wurden. Last, but not least muß der Vorgang rechtsverbindlich sein. Um diesen vier Kriterien zu genügen, müssen die Daten verschlüsselt und signiert durch den Äther laufen. Die Frankfurter Bank für Gemeinwirtschaft (BfG) startet demnächst zahlreiche Dienstleistungen via Internet, die nach dem Home-Banking-Computer-Interface-Standard (HBCI) gesichert werden.
Online-Wettlauf der Banken
Neben der BfG Bank arbeiten alle großen privaten Geldinstitute an HBCI-fähigen Bankgeschäften über das Internet. Eigentlicher Treiber des Home-Banking waren und sind jedoch die Sparkassen, Deutschlands größte Smart-Card-Verteiler.
Einen einfachen Weg will die Sparkasse Hannover zusammen mit der Nord LB auf der CeBIT Home zeigen: Mit der von der Starfinanz, einer 100prozentigen Tochter der Sparkasse, zusammen mit Starvision entwickelten Software "Money 2.0" bereitet der Kunde seine Transaktion offline vor. Mittels EC- oder Kundenkarte loggt er sich über ein Lesegerät ein.
Die Chips sind bereits jetzt so ausgelegt, daß sich die Zusatzanwendung bis hin zum elektronischen Fahrschein damit ausführen lassen.
Den Gegenpart bietet SK Online, eine Tochter der Kölner Sparkasse und ADI-Software: In einem er- sten Pilotversuch mit der Hamburger Sparkasse wird allerdings auf die Diskette beziehungsweise die CD-ROM gesetzt, über die Signatur und Verschlüsselung laufen.
Die Postbank will im Spätherbst eine Stufenlösung mit schrittweisem Ausbau bieten. Wie der Kunde zu verfahren hat, war noch nicht zu hören. Im Winter dürfte sich zeigen, welche Softwarehäuser, Smart-Card-Emittenden und Institute den Online-Wettlauf gewinnen.
Gerda von Radetzky ist freie Journalistin in München.