Cryptography Reference
In-Depth Information
metrischer Operationen durchlaufen muss, bevor er Alice authentifiziert. Mal-
lory kann den Server daher mit Verbindungsaufbau-Anfragen bombardieren, die
dieser schnell nicht mehr bewältigen kann. Den Entwicklern der Secure-Shell-
Protokolle war dieser Mangel bewusst. Sie empfehlen, ein solches Fluten mit
Anfragen durch netzwerktechnische Maßnahmen zu verhindern.
37.4
Online-Banking mit HBCI
Beim Online-Banking sind die Sicherheitsrisiken so offensichtlich, dass bereits
Mitte der neunziger Jahre die ersten kryptografischen Lösungen für diesen
Zweck entstanden. Der heute in Deutschland relevante Standard, der allerdings
längst nicht von allen Banken genutzt wird, hieß ursprünglich
HBCI
(
Homeban-
king Computer Interface
) und wurde inzwischen in
FinTS
(
Financial Transaction
Services
) umbenannt [FinTS]. Es handelt sich dabei um ein kryptografisches
Netzwerkprotokoll für Schicht 7 des OSI-Modells, das vom Zentralen Kreditaus-
schuss (ZKA), also der Interessenvertretung der deutschen Banken, entwickelt
wurde.
37.4.1
Der Standard
Die immer noch weit verbreitete Version 2.2 von HBCI stammt aus dem Jahr
2000. Mit der darauffolgenden Version FinTS 3.0, die 2002 erschien, erfolgte der
besagte Namenswechsel. Inzwischen gibt es auch FinTS 4.0.
HBCI 2.2
Mit HBCI wollte der ZKA einen einheitlichen Standard für das Online-Banking
in Deutschland schaffen. Dieser sollte auf der Seite des Anwenders durch den
Webbrowser oder durch eine geeignete Finanzsoftware unterstützt werden. Alle
gängigen Bankgeschäfte sollten damit möglich sein. Um auf die Anforderungen
verschiedener Banken vorbereitet zu sein, definiert HBCI eine größere Anzahl
von Geschäftsvorfällen - von der Kontostandsabfrage über die Einzelüberwei-
sung bis zum Dauerauftrag. Inzwischen gibt es zudem Geschäftsvorfälle, die sich
nicht auf Bankgeschäfte beziehen und HBCI damit auch für Behörden und andere
Einrichtungen interessant machen. Für jeden Geschäftsvorfall sind spezielle Pro-
tokollnachrichten vorgesehen. Die meisten davon sind jedoch optional, um
Implementierungen nicht unnötig aufzublähen.
HBCI sieht die Verwendung diverser kryptografischer Verfahren vor. Leider
mussten die Entwickler hierbei zwei verschiedene Interessen unter einen Hut
bringen: Der Verband der Privatbanken favorisierte eine Verschlüsselung ohne
spezielle Hardware, während der Deutsche Sparkassen- und Giroverband auf
eine bereits vorhandene Smartcard-Implementierung (die ZKA-Chipkarte) setzte.
Deshalb gibt es zwei HBCI-Varianten: ohne und mit Smartcard.
