Archiv
Pässe für die Internet-Bank

Das Internet ist wie ein großer Marktplatz - und genauso indiskret. Vier deutsche Großbanken bauen deshalb ein eigenes Sicherheitsnetz für die Geschäfte der Zukunft.

Bankgeschäfte beruhen auf einem Versprechen: Sicherheit und Vertraulichkeit sind selbstverständlich. Dafür bürgen in den Filialen der Geldhäuser dicke Tresore und diskrete Berater. Wenn Banken jedoch ihre Schalter ins Internet verlagern, entsteht ein Sicherheitsproblem: Geld und Geheimnisse werden über anonyme E-Mail-Adressen getauscht und können in die Hände von Hackern und Betrügern fallen.

Von dem Problem sind nicht nur Bankgeschäfte, sondern sämtliche Finanztransaktionen im Internet betroffen. So steckt hinter jeder zehnten Zahlung, die mit der Kreditkarte "Eurocard" im Netz getätigt wird, ein Betrug. Um den Zahlungsverkehr vor Missbrauch abzuschotten, bauen die vier deutschen Großbanken eine eigene Sicherheitsinstanz auf: ein so genanntes Trustcenter. Am Hamburger Unternehmen "TC Trustcenter" sind Commerzbank, Deutsche Bank, Dresdner Bank und Hypovereinsbank zu je 25 Prozent beteiligt. "Wir verstehen uns als eine Art Ausgabe- und Kontrollstelle von elektronischen Pässen für das Internet", sagt Olaf Fink, Produktmanager bei TC Trustcenter.

Die Idee klingt einfach: Nur wer sich mit dem Pass korrekt ausweisen kann, wird als Kunde akzeptiert - in der Internet-Bankfiliale ebenso wie auf elektronischen Plattformen des gewerblichen "B2B"-Handels (für "Business-to-Business") oder im Online-Shop, der auch an Privatkunden verkauft. Doch stehen hinter der einfachen Idee höchst aufwändige Verschlüsselungsmethoden, die Schutz vor Missbrauch bieten sollen. Als besonders sicher gilt eine Kombination aus privaten und öffentlich zugänglichen Schlüsselpaaren, die auch als "Public Key Infrastruktur" (PKI) bezeichnet wird

PKI könnte eines Tages ein heute im Online-Banking weit verbreitetes Verfahren ablösen: Dabei benutzen Bankkunden eine persönliche Identifikationsnummer (PIN) und melden jedes einzelne Geschäft mittels einer Liste von Transaktionsnummern (TAN) an.

Die auch "Zertifikate" genannten Internet-Pässe tragen weder Passbild noch Unterschrift. Sie sind elektronische Informationen. Nachdem sich der Kunde in der Bankfiliale oder beim Trustcenter mit seinem echten Personalausweis identifiziert hat, werden seine Daten verschlüsselt und auf einer Chipkarte gespeichert - der so genannten "Smartcard". Ein am Computer angeschlossenes Lesegerät erkennt die Information und erlaubt dem Trustcenter - sollte sich die Idee durchsetzen - selbst im Massenbetrieb jede Transaktion einzeln zu prüfen, bevor ein Geschäft abgewickelt wird. Diesen Service bietet TC Trustcenter auch Wettbewerbern der Betreiberbanken an.

International kooperieren die vier Banken im "Identrus"-Verbund. Unter diesem Namen haben sich mittlerweile knapp 50 Geldhäuser zusammengeschlossen, um ein globales Sicherheitsnetz aufzubauen - dazu gehören unter anderem die WestLB, Citigroup, ABN Amro und BNP Paribas.

Von der Kreditverhandlung bis zum globalen Zahlungsverkehr für Großkunden sind allerlei elektronische Bankgeschäfte denkbar, die von TC Trustcenter abgesichert werden. Die meisten Projekte kamen jedoch noch nicht über den Probebetrieb hinaus. So beteiligten sich an einem internen Pilotversuch der Commerzbank 70 Mitarbeiter, um privates Online-Banking auszuprobieren. Ergebnisse will die Bank jedoch nicht nennen. Weiter als das Teststadium ist bisher nur eine der vier Banken: Die Dresdner wickelt mit rund 200 Online-Händlern Kreditkartengeschäfte über TC Trustcenter ab. "Die Technologie und Handhabung der Smartcards - vom Herstellungsprozess über die Personalisierung bis zur sicheren Ausgabe an den Kunden - sind sehr komplex. Das bedingt längere Vorlaufzeiten", sagt Markus Michels, Senior Researcher bei Entrust Technologies. Das US-amerikanische Unternehmen bietet Sicherheitslösungen an und berät auch den Identrus-Verbund. Bis März 2002, schätzt Ulf Hildebrandt, einer der beiden Geschäftsführer von TC Trustcenter, sollten die Pässe aber einem breiten Kundenkreis der Banken zur Verfügung stehen.

Ob viele schnell davon Gebrauch machen, ist allerdings nicht sicher. Die Sparkasse Wuppertal etwa sieht derzeit keinen Grund, auf bewährte Verfahren zu verzichten, sagt der Internet-Beauftragte Jürgen Harnke. Rund 21 000 private oder gewerbliche Kunden führen über sein Institut ihr Konto im Internet oder tätigen so Wertpapiergeschäfte - entweder mit PIN/TAN- oder anderen Verschlüsselungsmethoden, die sämtlich ohne Trustcenter funktionieren. "Wir bieten seit über 14 Jahren Online-Banking an. Es gab noch keinen Betrugsfall." Zwar beobachte die Sparkasse technische Entwicklungen und die Angebote auf dem Markt - auch die Telekom, die Post und weitere private Unternehmen haben ein Trustcenter. "Aus unserer Sicht mangelt es aber noch an Praxiserfahrung."

TC Trustcenter weist gern auf eine Anwendung in Asien hin, mit der eine Tochter von Singapore Airlines Frachtraum vermarkte. Doch scheint dieses System für große Kapazitäten und viele Marktteilnehmer nicht geeignet: Marcus Niedermeier, Gründer und Geschäftsführer der Internationalen Holzbörse, ist schon länger auf der Suche nach einem sicheren Zahlungssystem. Er beurteilt alle derzeit erhältlichen Lösungen als "technisch unvollkommen", die von TC Trustcenter inklusive. Auf seinem Internet-Marktplatz treffen sich pro Jahr mehr als 5 000 Händler, die über 30 Millionen Zugriffe auf die Websites auslösen.

Das Trustcenter ist heute noch ein Zuschussgeschäft. Anfangsinvestitionen von über 50 Millionen Mark habe im Jahr 2000 ein Umsatz "im einstelligen Millionenbereich" gegenübergestanden, so Ulf Hildebrandt. Zum Teil stammt der Umsatz aus anderen Sicherheitsdiensten für externe Kunden, etwa der Verschlüsselung von E-Mails für BMW oder Lufthansa. Für das kommende Jahr erwartet der Geschäftsführer aber einen "Boom" bei Pässen für Internet-Banking. Deshalb solle noch 2001 die Mitarbeiterzahl von rund 110 auf 150 wachsen. Ab 2003 rechnet Hildebrandt mit schwarzen Zahlen.

Langfristiges Ziel der Banken sei es, mit Unterstützung des Trustcenters eigene Marktplätze aufzubauen oder Sicherheitsdienstleister für bereits bestehende Plattformen zu werden. Unternehmen könnten sich dann - ohne sich zu kennen - aufeinander verlassen. "Denn die Online-Kunden", sagt Produktmanager Fink, "vertrauen nun mal eher ihrer Bank als einer unbekannten Internet-Plattform".

STICHWORT: PUBLIC KEY INFRASTRUKTUR (PKI). Die Grundidee dieser Verschlüsselungsmethode ist die Verwendung von zwei verschiedenen Schlüsseln: Will eine Bank ihrem Kunden eine Botschaft per E-Mail senden, kann sie diese mit einem "Öffentlichen Schlüssel" chiffrieren. Dieser "Public Key" wurde dem Kunden vom Trustcenter zugeteilt. Er ist für jedermann zugänglich und kann von der Homepage des Trustcenters herunter geladen werden. Das dazu passende Gegenstück ist geheim. Dieser "Private Schlüssel" (Private Key) ist einzig und allein dem Kunden bekannt, und nur damit kann die Botschaft der Bank geöffnet werden. Dieses System wird auch als RSA-Chiffrierverfahren bezeichnet, nach den Anfangsbuchstaben der Namen seiner Erfinder Ronald Rivest, Adi Shamir und Leonard Adleman.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%