Datacenter Security

 

 


Home » Datacenter Security » Authentisierung » HBCI

HBCI

Die Abkürzung HBCI steht für „Homebanking Computer Interface“ und ist ein standardisiertes Verfahren zur Authentifizierung von Transaktionen. Da es sich um einen offenen Standard handelt, können Drittanbieter leicht kompatible Software entwickeln.

HBCI unterstützt verschiedene Authentifizierungsmöglichkeiten und kann daher in einigen Umfeldern eingesetzt werden. Die gebotene Sicherheit schwankt hierbei jedoch zwischen den verschiedenen Verfahren stark. Im simpelsten Fall wird HBCI genutzt, um das PIN-TAN Verfahren zu vereinheitlichen. Dieser Ansatz macht es für die gleichen Schwächen verwundbar, die auch bei Angriffen auf die Authentifizierung durch TANs von Angreifern ausgenutzt werden.

HBCI unterstützt jedoch auch die Verwendung von digitalen Signaturen. Der öffentliche Schlüssel ist der Bank hierbei bekannt und seine Gültigkeit wurde auf beliebigem Wege sichergestellt. Der für die Unterzeichnung genutzte private Schlüssel kann auf beliebigen Datenträgern wie beispielsweise CDs, Disketten, USB-Sticks, Flash-Karten oder idealerweise Bank eigenen Chipkarten hinterlegt sein. Durch die Nutzung digitaler Signaturen werden TANs gänzlich überflüssig, was alle mit ihnen verbundenen Sicherheitsprobleme ausräumt. Weiterhin verfügen die eingesetzten Schlüssel über eine Länge, die ein Erraten unmöglich macht. Der Schlüssel selbst ist durch ein Passwort oder eine PIN geschützt.

Schwachstellen von HBCI

Da es sich bei HBCI lediglich um einen Standard zur Vereinheitlichung des Onlinebankings handelt, hängen die möglichen Schwachstellen vom letztendlich eingesetzten Authentifizierungsverfahren ab.