H wie HBCI - der nationale Homebanking Standard

Home Banking Computer Interface (HBCI) ist ein national gültiger Standard, der vom zentralen Kreditausschuss entwickelt wurde. Er soll das Online-Banking sicherer machen und die Kompatibilität zwischen verschiedenen Kundensystemen und Bankrechnern verbessern.

Die Funktionsweise

Über Electronic Cheque läuft der bargeldlose Zahlungsverkehr im Internet in einem gut gesicherten System ab. Die Chipkarte enthält alle für den Geldtransfer wichtigen Daten und die Grundvoraussetzung für die Nutzung ist, dass beide Parteien ein Konto besitzen. Nach der Anmeldung und Identifikation mit einem geschützten Passwort wird die Anweisung zur Bezahlung ausgelöst und die Summe wird auf das Empfängerkonto weitergeleitet. Gleichzeitig erfolgt eine Prüfung der Liquidität des Kunden.

Ist HBCI sicher?

Das HBCI-Verfahren kann im Vergleich zum TAN- oder iTAN-Listen-Verfahren als wesentlich sicherer eingestuft werden. Es bleiben trotzdem Sicherheitsrisiken, weil sich nicht nur die Sicherheit der Bankingsoftware weiterentwickelt hat, sondern auch die Cyber-Kriminalität. Es ist denkbar, dass ein Programm, das für HBCI-Banking genutzt wird, von außen manipuliert wird und damit eine Bank durch fingierte Aufträge in die Irre geführt wird. Die Verschlüsselung passiert nämlich nicht im Kartenleser, sondern erfolgt über die Signatur innerhalb des Programms. Damit gilt, dass ein Verfahren nur so sicher sein kann, wie der Rechner von dem es ausgeführt wird. Das HBCI-Verfahren ist damit angreifbar, wenn der Rechner nicht ausreichend gegen Angriffe von außen geschützt wird.

Die Verbreitung des HBCI-Standards

Vor allem Privatkunden verwenden häufig die TAN-basierten Verfahren, obwohl das HBCI-Verfahren als besonders sicher gilt und die Banken es empfehlen. Allerdings gelten auch mTAN und eTAn als sichere Verfahren. Beim eTan-Verfahren erfolgt die TAN-Erzeugung über die EC-Karte und den TAN-Generator und dieses System gilt als sehr sicher, weil die Empfängerdaten an die erzeugte TAN gekoppelt sind. Das PIN/TAN-Verfahren gilt als überholt und unsicher. Dabei wird der TAN aus einer unbegrenzt gültigen Liste gewählt und in Verbindung mit dem PIN genutzt.