Diese Karten sind Trumpf
Sicheres Homebanking in der Praxis (Teil II)
Wer beim Online-Banking auf höchste Sicherheit setzt, kommt am HBCI-Verfahren mit Chipkarte nicht vorbei. Dazu braucht man allerdings eine spezielle Hardware: den Chipkartenleser.
Die meisten Anwender nutzen fürs Online-Banking PINs als persönliches Passwort und verschiedene TANs zur Bestätigung von Transaktionen. Doch keine der üblichen PIN/TAN-Methoden ist so sicher wie das Online-Banking mit Chipkarte. Nur das ChipTAN-Verfahren ist ebenso sicher, darf aber nicht mit der HBCI-Chipkarten-Methode verwechselt werden.
Immer mehr Banken bieten die Möglichkeit zum Online-Banking mit der Chipkarte. Einige satteln aus Kostengründen oder aus Unvermögen noch nicht auf die neue bessere Technik um: Warum einige Geldinstitute nach wie vor auf das PIN/TAN-Verfahren setzen, bleibt deren Geheimnis. Wenn Ihre Bank HBCI mit Chipkarte anbietet, sollten Sie dieses Verfahren auf jeden Fall nutzen. Wenn nicht, sollten Sie den Wechsel zu einer Bank in Betracht ziehen, die HBCI mit Chipkarte unterstützt.
Was ist HBCI mit Chipkarte?
Beim HBCI-Standard (Homebanking Computer Interface) werden die Banking-Daten mit einer elektronischen Signatur versehen, bevor sie verschlüsselt an die Bank übertragen werden. HBCI gibt es auch in Verbindung mit den verschiedenen PIN/TAN-Verfahren, macht diese aber keineswegs sicherer.
Denn trotz elektronischer Signatur lassen sich PINs und TANs ausspionieren. Erst durch den Einsatz eines Chipkartenlesers der neuesten Generation wird HBCI zur hundertprozentig sicheren Methode fürs Online-Banking.
Der Kartenleser wird mit einem USB-Anschluss des PCs verbunden. Die Banking-Software übermittelt die Transaktionsdaten an den Kartenleser. Nach Aufforderung schiebt der Anwender seine Bankkarte in das Lesegerät und gibt seine PIN ein. Die Daten werden mit einem auf der Bankkarte gespeicherten Geheimschlüssel digital unterschrieben und an das Geldinstitut übermittelt. Schließlich bekommt der Anwender eine Bestätigung der erfolgreichen Transaktion.
Vor Spionageprogrammen ist HBCI mit Chipkarte nur sicher, wenn es sich um einen Kartenleser der Klasse 2 oder höher handelt. Solche Geräte verfügen über eine eigene Tastatur. Die PIN wird gar nicht erst in den möglicherweise infizierten PC eingegeben, sondern direkt am Kartenleser.
Trotzdem gibt es ein Restrisiko: Denn selbst Kartenleser mit Display (Klasse 3) zeigen dem Anwender nicht an, welche Transaktion er mit seiner PIN freischaltet. Anstatt des eigentlichen Auftrags kann es sich rein theoretisch auch um eine manipulierte Transaktion handeln, auch wenn das unwahrscheinlich ist. Solche Manipulationen würden ein spezielles Schadprogramm voraussetzen.
Sehr sicher: der Secoder-Standard
Beim aktuellen Secoder-Standard zeigen die Kartenleser die Transaktions-Daten zur Kontrolle an. Wird der Secoder-Standard von der Bank unterstützt, ist Online-Banking eine hundertprozentig sichere Sache. Viele Sparkassen, Volks- und Raiffeisenbanken bieten mittlerweile HBCI mit Kartenlesern der neuesten Generation an. Die erfüllen den Secoder-Standard.
Die Lesegeräte müssen jedoch vom Bankkunden erworben werden. Das hält leider einige Kunden vom Umstieg auf HBCI ab. Geräte kosten immerhin zwischen rund 35 und 100 Euro.
Von den zwei bekannten Kartenleser-Herstellern KOBIL Systems und ReinerSCT gibt es eine interessante Auswahl an Geräten. Im Online-Shop der Sparkassen kann man zum Beispiel zwischen drei Geräten mit Secoder- Standard wählen - siehe Kasten "Beispiel Sparkassen: aktuelle Chipkartenleser mit Secoder-Standard".
Natürlich können auch andere Geräte mit Secoder-Standard bei den Sparkassen genutzt werden. Bei vielen Geldinstituten müssen die Kunden den Chipkartenleser ohnehin unabhängig erwerben. Hier sollten Sie vor der Gerätewahl auf jeden Fall die genauen Anforderungen der Bank erfragen.
Mehr als nur Online-Banking
Wer einmal einen Chipkartenleser besitzt, kann sich über weitere Einsatzbereiche des Gerätes freuen. So lassen sich viele Kartenleser zum Aufladen der sogenannten Geldkarte und zum Bezahlen von Internet-Einkäufen mit dieser Technik nutzen. "Offline" kommt die Geldkarte vor allem als Bargeldersatz im öffentlichen Nahverkehr, bei Getränke-, Parkschein- oder Zigarettenautomaten zum Einsatz.
Bundesweit gibt es über 600.000 Akzeptanz-Stellen. Praktisch: Die meisten EC-Karten besitzen den goldenen Geldkarte-Chip und lassen sich somit als Geldkarte verwenden.
Am Geldkarte-Logo erkennen Sie Akzeptanz-Stellen im realen Leben wie im Internet. Damit das Aufladen der Geldkarte am PC funktioniert, ist zumindest ein Kartenlesegerät der Klasse 3 erforderlich. Das Display ermöglicht die Überprüfung der Transaktion und mit der integrierten Tastatur werden wichtige Eingaben am Lesegerät statt am Computer eingetippt.
Ein weiterer Einsatzzweck des Chipkartenlesers: Mit deren Hilfe ist der Zugang zum Computer und zu einzelnen Programmen steuerbar. Die Chipkarte dient dabei quasi als Passwort-Ersatz. Das ist zum Beispiel sinnvoll, wenn sich mehrere Anwender einen Rechner teilen. Ebenso nützlich ist der Einsatz als Signaturkarte, um besonders sensible Dokumente verschlüsselt per Internet zu übertragen.
So signiert der Arbeitnehmer die Steuererklärung und übermittelt diese ans Finanzamt. Der Postversand der ansonsten zusätzlich erforderlichen Kurzfassung zur Steuererklärung entfällt. Schließlich kommen Chipkarten(leser) auch bei der Altersverifikation im Web zum Einsatz: So schützen Sie Ihre Kinder effektiv, indem Sie den Internetzugang mit der Karte regulieren.
Ein Kartenlesegerät macht das Bezahlen per Geldkarte im Internet möglich. Akzeptanz-Stellen erkennen Sie am Geldkarte-Logo.
Sicheres Homebanking in der Praxis (Teil I) finden Sie hier.
