HBCI - Der neue Homebanking-Standard

Verschlüsselung in der Praxis

In der Praxis läuft die Verschlüsselung unter HBCI folgendermaßen ab: Der Kunde erhält nach der HBCI-Anmeldung einen so genannten INI-Brief seiner Bank. Darin steht seine Online-Identifikationsnummer sowie ein Ausdruck des öffentlichen Schlüssels der Hausbank. Der HBCI-Benutzer benötigt jetzt zuerst ein eigenes Schlüsselpaar mit öffentlichem und privatem Schlüssel. Hierfür sind zwei Möglichkeiten vorgesehen, die Speicherung auf Chipkarte oder Diskette. Beide Möglichkeiten bieten ein zusätzliches Maß an Sicherheit, da der Schlüssel portabel ist und nicht auf der Festplatte gespeichert wird (eine Festplattenspeicherung ist zwar möglich, Banken und Softwarehersteller raten jedoch davon ab). Chipkarte oder Diskette lassen sich danach an einem sicheren Ort aufbewahren und bei Reisen mitnehmen.

Da Chipkarten-Lesegeräte im durchschnittlichen Computerhaushalt noch Mangelware sind, setzt zum Beispiel die HypoVereinsbank auf die Diskettenlösung. Diese ist für den Anwender unkompliziert. Beim ersten Start der HBCI-Software generiert der Benutzer ein Schlüsselpaar und speichert es mit einem Kennwort versehen auf einer Diskette ab. Der Schlüssel selbst wird auf Basis von Zufallszahlen erzeugt. Diese basieren entweder auf zufälligen, vom Benutzer eingegebenen Mausbewegungen oder einem internen Zufallsgenerator.

Für jede Onlinebanking-Transaktion ist dann in Zukunft diese Diskette (oder die Chipkarte) notwendig. Bei Verlust oder Zerstörung hilft nur das Sperren des HBCI-Zugangs bei der Bank und die Generierung eines neuen Schlüssels. Eine Sicherheitskopie kann demnach nicht schaden - geschützt ist der Schlüssel immer noch mit der selbstgewählten PIN.