[A.8] Online-Banking-Hintergrund

[1] Die CEPT-Seiten in T-Online-Classic („BTX“, früher „Bildschirmtext“) für den Dialog-Zugang zur Bank dürften bekannt sein. CEPT ist die Abkürzung für Comite Europeen des Postes et Telecommunications. Diese Konferenz hat den BTX-Darstellungsstandard erarbeitet.

[2] Da fast bei jeder Bank die CEPT-Seiten anders gestaltet waren und auch geändert wurden, ergaben sich oft Banking-Probleme beim Auslesen der Seiten und bei Eingaben auf den Seiten per Makro.

[3] Der deutsche „Zentrale Kredit-Ausschuss“ (ZKA) hat deshalb einen Standard für Onlinebanking geschaffen für (Inlands-)Überweisungen und Kontoauszüge. In diesem ZKA-Protokoll wurden die Formate DTAus (Datenträgeraustausch für Inlandszahlungsverkehr, deutsches Diskettenformat, auch für Band) und MT 940 (internationaler Swift-Nachrichtentyp zur Übermittlung von Auszügen) in etwas vereinfachter Form umgesetzt. MT heißt Message Type und Swift ist die Abkürzung für Society for worldwide interbank financial telecommunications.

[4] Fast alle Rechenzentren der Banken in Deutschland haben den ZKA-Standard auf ihren externen Rechnern. Die Übertragung erfolgt über BTX; die ZKA-Seiten sind leere BTX-Seiten, auf denen eine Art Datei-Übertragung stattfindet. Im Gegensatz zu den BTX-Skripten orientiert sich ZKA nicht an Zeilen, Spalten und Zeichen von CEPT-Seiten.

[5] Doch leider gibt es für diesen ZKA-„Standard“ viele verschiedene Formate. Man zähle im Ordner Money\System die Steuerdateien Rz0000xx.str. Gäbe es nur ein Format, bräuchte man nur eine Steuerdatei. Man kann in dem Verzeichnis übrigens alle Steuerdateien löschen – mit Ausnahme derer, die die eigene(n) Bank(en) verwendet/n.

[6] Einige Banken (zum Beispiel Sparda, Netbank) haben keine ZKA-Seiten, sondern nur CEPT. Da muss in Money 99 V2000 ZKA „simuliert“ werden. Dazu dienen Tricks wie die Screen-Auslese-Dateien Mt0000xx.scr, Mt0000xx.ist, Ub000039.scr und Dp0000xx.scr.

[7] Da ZKA also auch kein richtiger Standard ist und nur für die Geschäftsvorfälle Kontoauszüge und Überweisungen verwendet werden kann, und weil unsere heutigen PC viel intelligenter sind als die „dummen“ Bildschirmtext-Geräte (Multitel) des Anfangs – für die war das PIN/TAN-Sicherheitverfahren gerade richtig – war es Zeit für einen intelligenteren und sicheren Standard, mit dem alle beliebigen Geschäftsvorfälle ausgeführt werden können. Obwohl diesen auch der deutsche „Zentrale Kredit-Ausschuss“ geschaffen hat, ist die Bezeichnung für die Schnittstelle englisch: HBCI (Home Banking Computer Interface).

[8] Mit HBCI ist durch die Verwendung moderner kryptographischer Funktionen (RSA, eine Verschlüsselung mit Primzahlen, erfunden von Rives, Samir und Adleman) und die Nutzung von Chipkarten (das ist jedenfalls das Ziel; bislang gibt es noch Kompromisse) die Transaktionssicherhet über offene Netze wie das Internet gewährleistet. HBCI ist also nicht T-Online-Classic, sondern nur Internet.

[9] Und dort wird anders verschlüsselt. Für den Zugang über Port 516 musste man über T-Online eingewählt sein; Sicherheit ist hier schon durch die Einwahl mit Kennwort gegeben. Für die Transaktion beim Banking benötigt man nur noch PIN und TAN (Unterschrift). Trotz der DFÜ-Einwahl über 0191011 geht man nicht über das Internet, denn der CEPT-Port 192.168.0.1 ist immer unmittelbar beim (T-)Online-Knoten.

[10] T-Online hat die private Adresse 192.168.0.1. für den CEPT-Port gewählt, um gegen das Internet zu schützen. Adressen aus dem privaten Adressraum wie 192.168.0.1 werden nicht im Internet geroutet. Wenn man nicht gerade ausgerechnet die erste private Adresse genommen hätte, wäre es wahrscheinlich kaum aufgefallen und hätte nie gestört. (Hierzu: C.9)

[11] Über classicgate.t-online.de Port 866 geht es über das Internet (Adressen: 194.25.134.208, 194.25.134.209, ...212, ...213, ...240, ...241, ...244, ...245). Der Zugang zu T-Online-Classic ist auch aus fremden Netzen (Ausland) möglich. Deshalb war hier ein besonderes Verschlüsselungsverfahren (per Zufallszahl) nötig: Transport/S.

[12] Beim „normalen“ Internetbankung über die Internetseiten der Bank wird wieder anders verschlüsselt. Aber auch hier sind PIN und TAN nötig. Man muss unterscheiden zwischen der Sicherheit des Transportes und der Transaktion.

[13] Wenn man einen Überweisungsauftrag bei der Bank einwirft, ist das Formular angekommen. Der Transport war also sicher. Doch wenn die Unterschrift fehlt oder falsch ist, wird die Bank die Überweisung (hoffentlich!) nicht ausführen, da die Transaktion nicht sicher ist. HBCI kann nun sozusagen alles zusammen; deswegen ist keine TAN mehr für die Unterschrift nötig.

  

Autor:
Herbert Schmitt

Stand:
2001 -08-18

Titel: Online-Banking-Hintergrund

Kurzbeschreibung:
Der Beitrag erläutert, wie Online-Banking funktioniert.