HBCI  „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel:  169792

1.  Was ist HBC?I  5

1.1.  Einsatz  5

1.2.  Varianten.  8

1.2.1.  Datex- J- Screen-Dialog  8

1.2.2.  ZKA-Dialog  8

1.2.3.  Fazit  8

1.3.  Der Umgang mit HBCI.  9

2.  HBCI  10

2.1.  Komponenten von Twister HBCI- Banking.  10

2.1.1.  HBCI- Server (Gateway)  10

2.1.2.  Twister Services und Twister Accessoren  10

2.1.3.  Administration  11

2.1.4.  HBCI- Client.  11

2.2.  Syntax  11

2.2.1.  Zeichensatz  11

2.2.2  Trennzeichensatz  11

2.2.3  Syntaktische Einheiten  12

2.2.4  Nachrichtenaufbau.  13

2.3  Dialogablauf  14

2.3.1  Dialoginitialisierung.  14

2.3.2  Rückmeldecodes  15

2.3.3  Statusprotokoll  15

2.4  Parameterdaten in HBCI  16

2.4.1  Aufbau der BPD (BankParameterDaten)  16

2.4.2  Aufbau der UPD (UserParameterDaten)  17

2.5  Sicherheit  17

2.5.1  Sicherheitsverfahren.  17

2.5.2  Authentisierung.  20

2.5.3  Nachweis der Herkunft  20

2.5.4  Integrität elektronische Herkunft  20

2.5.5  Geheimhaltung - Verschlüsselung / Chiffrierung/  21

2.5.6  Valität - Doppeleinrichtungskontrolle  21

2.5.7  Sicherheitsmedien  21

2.6  Geschäftsvorfälle  22

2.6.1  Mehrfachunterschriften/ Off- Line- Fähigkeit  22

2.6.2  Schlüsselverwaltung (Key- Management)  22

2.6.3  Einzelaufträge.  23

2.6.4  Sammelüberweisung und Sammellastschrift.  23

2.6.5  Umsatzinformationen.  23

2.6.6  Saldenabfrage  24

2.6.7  Termineinlagen  24

2.6.8  Wertpapiere  24

2.6.9  Zahlungsverkehr Ausland  24

2.6.10  Karten, Schecks und Formulare  25

2.6.11  Informationen.  25

2.6.12  Freitextmeldungen  25

2.6.13  Formatierte Meldungen.  25

2.7  Transportmedienspezifische Festlegungen.  26

2.7.1  T-Online mit ETSI 300 072 ("CEPT") / EHKP / BtxFIF  26

2.7.2  TCP/ IP  26

2.7.3  Sonstige Kommunikationsmedien  27

3.  Schlußbetrachtungen  27

3.1  Sicherheitsbedenken.  27

3.1.1  Kundensystem angreifbar, wenn HBCI-inaktiv :  27

3.1.2  Angreifbar durch Schwachstelle Benutzer :  28

Dienstag  , 19 Dezember 2000  2/31

HBCI  „Elektronische Zahlungssysteme“ WS00/01 Prof. Dr. P. Peinl Claus Strobel:  169792

3.1.3  Fazit :  28

3.1.4  Schutz durch PIN/TA-N Verfahren :  28

3.1.5  Schutz durch gesonderter Hardware :  28

3.1.6  Fazit :  28

3.2  Referenzen.  29

3.3  Perspektiven für HBCI.  29

4.  Begriffserklärungen.  30

5.  Abbildungsverzeichnis  31

6.  Quellen  31

Dienstag  , 19 Dezember 2000  3/31

HBCI (Homebanking Computer Interface)

In unserem heutigen Alltagsleben regieren Stress und Zeitmangel. Da kommt das Informationszeitalter gerade recht. Über Internet ist es jedem Menschen auf diesem Planeten nun möglich, Informationen abzufragen bzw. Dienstleistungen von Instituten weltweit zu nutzen.

Eines dieser Dienstleistungen soll besonders fokussiert werden. Es ist das Homebanking. Derzeit existieren 1,4 Millionen Online-Konten.

Im Folgenden verdeutlicht die Grafik wie heutzutage Homebanking abgewickelt wird :

Über eine Datex-J- oder BTX- Verbindung verbinden sich die Kunden mit den Bankrechner des Rechenzentrums. Jeder Kunde besitzt eine eigene PIN (Personal Identification Number)-Nummer und eine TAN (TransAaktionsNummer)- Liste, die dazu verwendet wird, die Transaktion der Buchung eindeutig zu identifizieren. Die Nachteile liegen auf der Hand. - PIN-TAN- Verfahren nur Datex- J/ BTX geeignet - Umständliche TAN- Listenverwaltung auf Kunden- und Institutseite - Keine Datenverschlüsselung möglich - Funktionsarm : wenig Geschäftsvorfälle möglich

Dienstag, 19. Dezember 2000 Seite 4/31

1. Was ist HBCI?

Da das Thema Homebanking zunehmend an Bedeutung gewinnt erarbeiteten die deutschen Kreditinstitute daher einen gemeinsamen Standard, mit dem Homebanking noch sicherer, komfortabler und umfangreicher wird. Dabei berücksichtigt man bestehende Standards und Datenformate wie EDIFACT und DTA- Format.

Außerdem sind im Wandel der Zeit neue Geschäftsvorfälle entstanden, die durch den konventionellen Weg nicht mehr genügend abgedeckt werden können. Die folgende Grafik zeigt eine Übersicht darüber:

Dieses Homebanking- Computer-Interface (HBCI) wurde vom Zentralen Kreditausschuß (ZKA) der deutschen Kreditwirtschaft am 10. Mai verabschiedet und liegt mittlerweile in der Version 2.2 vor. Unter "http://www.HBCI-ZKA.de/spezifikation.html" liegt der Standard zum Download bereit.

Der HBCI-Standard erlaubt dank der Verwendung moderner kryptographischer Funktionen und der Nutzung von Chipkarten eine sichere Kommunikation über offene Netze wie das Internet.

Insbesondere deshalb aber auch wegen seiner Flexibilität in bezug auf die unterstützten bankfachlichen Geschäftsvorfälle ist HBCI für die deutschen Kreditinstitute der Homebanking-Standard der Zukunft.

1.1. Einsatz

Mit dem Kundensystem können verschiedene Nachrichten erzeugt werden, wie die Erteilung von Aufträgen z. B. für den Inlands- und Auslandszahlungsverkehr, die Abholung von Konto-und Umsatzinformationen oder Statusprotokollen sowie die Initialisierung. Diese Nachrichten werden per Datenfernübertragung an das Kreditinstitut übermittelt.

Dienstag, 19. Dezember 2000 Seite 5/31

Hinweise zur Nutzung der Homebanking- Funktionen werden vom Kundensystem angezeigt und/oder können dem vom Hersteller des Kundensystems gelieferten Benutzerhandbuch entnommen werden.

Aus der anschließenden Grafik wird ersichtlich, in welchen Bereichen HBCI eingesetzt wird bzw. welchen Zweck es hat :

Allerdings fordert die Zukunft schon heute wesentlich mehr. Die folgende Übersicht stellt die jeweiligen Einsatzbereiche zusammen, die HBCI gewachsen ist :

Aber Homebanking soll nicht von Ort und eingesetzter Technologie transparent sein, sondern alle Dienstleistungen, die man ebenfalls über den Bankschalter abwickelt, sollte auch jeder selbst von seinem PC aus tätigen können.

Dienstag, 19. Dezember 2000 Seite 6/31

Zusammenfassend zeigt die nachfolgende Grafik das wesentliche Prinzip von HBCI mit den damit verbundenen Vorzügen :

HBCI wird als Schnittstelle zwischen PC und Bankrechner über ein WAN- Netzwerk eingesetzt. Das Internet in Verbindung mit anderen erweiternden Netzwerken dient dazu als Übermittlungsmedium, das nicht besonders hohe Sicherheitsanforderungen bietet. Doch durch elektronische Signatur, Verschlüsselung und Netz- und Transportdienstunabhängigkeit ist HBCI trotzdem für den Homebankingeinsatz geeignet.

Des weiteren schützt HBCI Kreditinstitutrechner gegen ungebetenen Zugriff aus dem Internet, macht Homebanking-Dienste verfügbar und betriebssicher. Der Kunde kann leistungsgerecht abgerechnet werden.

Im Folgenden zeigt die Abbildung die Entwicklung von HBCI gegenüber CEPT:

1.2. Varianten

Derzeit wird Homebanking ausschließlich auf der Basis T-Online betrieben - das Engagement zahlreicher Pioniere im Internet einmal vernachlässigt. Auch bei T-Online muss man zwei Varianten unterscheiden:

1.2.1. Datex- J- Screen-Dialog

Wie der Name schon sagt, handelt es sich hierbei um einen Online-Dialog auf der Basis von Btx-Seiten (CEPT), wo 24 x 40 Zeichen auf einer Bildschirmseite dargestellt werden können. Auf diese Weise werden nachempfundene Überweisungsformulare vom Kunden (oder einem Makro) ausgefüllt und an das Kreditinstitut gesendet.

Das Ganze findet in einer durch die T-Online-Infrastruktur gesicherten Umgebung statt. Zur Absicherung des Banken-Dialoges wird bei Sessionaufbau zum Bankrechner eine sog. „Persönliche Identifikations-Nummer“ (PIN) gesendet und geprüft. Eine bankfachliche Transaktion wird zusätzlich jeweils durch eine einmalig gültige „Transaktionsnummer“ (TAN) abgesichert.

Transaktionsnummern werden dem Kunden in Form von TAN-Listen per Briefpost mitgeteilt. Die Verwaltung dieser Listen ist auf Kunden- und Bankseite sehr aufwendig und umständlich. Auf bestehende theoretische Sicherheitsprobleme durch Abhören und Modifizieren von Btx-Aufträgen soll hier nicht eingegangen werden. Dieses Verfahren findet auch bei den meisten der derzeitigen Internet-Lösungen Anwendung - aus dem einfachen Grunde, weil meist mit Hilfe von Gateways die bestehenden T-Online-Anwendungen angezapft werden.

1.2.2. ZKA-Dialog

Das unter Screendialog Gesagte gilt im übertragenen Sinn auch für den ZKA-Dialog. Dieser "Standard" wurde 1987 vom "Zentralen Kredit Ausschuss" (ZKA) verabschiedet, um die Kommunikation im Bereich Homebanking professioneller zu gestalten. Die Daten werden hierbei im Nettoformat (also graphisch nicht aufbereitet) in logisch komprimierter Form zwischen Kunde und Kreditinstitut ausgetauscht.

Leider werden hierfür nach wie vor CEPT-Seiten benutzt, was dazu führt, dass die Übertragung zum einen an T-Online gebunden ist, zum anderen auch dessen Optimierungsmöglichkeiten (Transparente Daten) nicht nutzt. Erschwerend kommt hinzu, dass die Standardisierung des ZKA-Dialoges nur sehr halbherzig erfolgte, was dazu geführt hat, dass es zahlreiche Dialekte gibt, die den gewünschten Normierungseffekt zunichte machen.

Bei beiden genannten Alternativen besteht zusätzlich ein Problem in puncto Betriebssicherheit: Tritt bei der Übertragung einer Transaktion ein Leitungsabbruch auf, so kann der Status dieses Auftrags erst im Kontoauszug überprüft werden. Eine Online-Abfragemöglichkeit besteht nicht.

1.2.3. Fazit

Fazit aus dieser kurzen Betrachtung kann nur sein, dass es im Bereich Homebanking derzeit de facto keinen Standard gibt, was einer der Hauptgründe für das Entstehen von HBCI ist. Die bestehenden CEPT-Anwendungen mit dem aufwendigen PIN/TAN-Sicherungsverfahren entsprechen - trotz der vehement steigenden Anschlusszahlen von T-Online und der

Dienstag, 19. Dezember 2000 Seite 8/31