Homebanking via HBCI mit Moneypenny
DIE BEQUEMSTE FILIALE
Homebanking schätzen nicht nur Kunden, die Warteschlangen, begrenzte Öffnungszeiten und den Weg zur Bank scheuen. Ebenso freuen sich die Geldinstitute über das Sparpotential, denn der Kunde füttert direkt den Bank-Computer – und nimmt Angestellten damit die Arbeit ab. So kosten Transaktionen per Überweisungsträger bei vielen Instituten inzwischen sogar eine Gebühr.
Komfortabler und sicherer als die von den meisten Banken angebotenen Web-Interfaces gibt sich die Banking-Software Moneypenny [1]. Sie bietet eine Oberfläche, über die sich auch mehrere Konten verwalten lassen. Mit der Bank kommuniziert Moneypenny statt via WWW über das HBCI-Protokoll. Diesen Standard entwickelte der Zentrale Kreditausschuss (ZKA), ein Zusammenschluss der größten deutschen Bankenverbände. Die meisten Banken, darunter auch die Sparkassen sowie die Volks- und Raiffeisenbanken, unterstützen das Online-Banking via HBCI bereits.
Web-Interfaces verlangen zum Login eine PIN (Persönliche Identifikationsnummer) und für jede Transaktion eine nur einmal verwendbare TAN (Transaktionsnummer). Sind alle TANs verbraucht, muss der Kunde doch den Weg zur Bank auf sich nehmen oder sich per Post neue Transaktionsnummern schicken lassen. HBCI dagegen verwendet eine digitale Signatur und bewährte asymmetrische Verschlüsselungsalgorithmen, über die sich der Benutzer zusammen mit einer PIN bei seiner Bank identifiziert. Die kryptografischen Schlüssel liegen dabei entweder in einer Datei oder auf einer speziellen HBCI-Speicherkarte.
Moneypenny entstand aus einer Projektarbeit an der Fachhochschule Südwestfalen in Zusammenarbeit mit der GAD, der Datenverarbeitungszentrale der Volksbanken. Derzeit befindet sich das freie Programm noch im Beta-Stadium und unterstützt die HBCI-Speicherkarten noch nicht.
Installation
Auf der Heft-CD finden Sie neben dem Quelltext von Moneypenny 0.9beta die Bibliotheken Gwenhywfar [2], OpenHBCI2 [3] und das Kommandozeilenprogramm AQMoney2 [4]. Diese setzt Moneypenny zwingend voraus. Leider liegen sie den verbreiteten Distributionen nicht bei, Sie müssen sie also selbst kompilieren. Dazu benötigen Sie GCC und Automake; für Moneypenny selbst außerdem das Qt-Entwicklerpaket qt-devel
. Darüber hinaus braucht OpenHBCI das Entwicklerpaket der OpenSSL-Bibliothek openssl-devel
.
Beginnen Sie mit der Bibliothek Gwenhywfar. Dazu entpacken Sie das Archiv gwenhywfar-1.9.0.tar.gz
von der Heft-CD. Im neuen Verzeichnis gwenhywfar-1.9.0
genügt die Befehlsfolge ./configure
, make
und abschließend mit Root-Rechten make install
.
Danach ist OpenHBCI2 an der Reihe. Diese Bibliothek liegt im Paket openhbci2-1.9.2.tar.gz
auf der Heft-CD. Entpacken Sie es, wechseln Sie ins Verzeichnis openhbci2-1.9.2
und verfahren Sie ebenso wie bei Gwenhywfar. Es folgt das Kommandozeilenprogramm AQMoney2 aus dem Archiv aqmoney2-1.9.3.tar.gz
auf analoge Weise.
Nun sind die Voraussetzungen zum Kompilieren von Moneypenny erfüllt. Entpacken Sie das Tarball moneypenny-0.9-beta-r2.tar.gz
und wechseln Sie ins Verzeichnis moneypenny
. Dort rufen Sie das Skript ./make_release
auf. Nach dem Kompiliervorgang finden Sie im Unterverzeichnis bin
die ausführbare Datei hobit
. Eine Installation ist nicht nötig: Starten Sie hobit
unter Angabe des Pfadnamens.
Besondere Sicherheit auch vor Mitbenutzern des heimischen PCs erreicht Moneypenny, indem es optional alle relevanten Daten statt auf der Festplatte auf externen Medien wie USB-Sticks oder Disketten speichert. Wie erwähnt soll die nächste Version zu diesem Zweck auch HBCI-Karten unterstützen. Der Zugang zum Programm setzt außerdem ein Passwort voraus, das der Benutzer beim ersten Start festlegt. Wer überhaupt keinen Kontakt mit der lokalen Festplatte möchte, verwendet die Moneypenny-Live-CD (Kasten 1).
Moneypenny-Live-CD
Mit der Moneypenny-Live-CD und einem transportablen Datenträger ausgestattet, wird sicheres Online-Banking an jedem PC möglich. Die Knoppix-basierte Distribution bootet von der CD und startet auf jedem PC direkt Moneypenny. Dann liest sie beispielsweise von einem USB-Speicherstick die persönlichen Bankdaten ein. Zur Festplatte oder zum installierten Betriebssystem des verwendeten PCs entsteht kein Kontakt, so dass Sie selbst einen virenverseuchten Windows-Rechner schnell in ein sicheres Online-Banking-Terminal verwandeln. Die Moneypenny-Live-CD erhalten Sie für 10 Euro über die Projekt-Homepage [1].
Konfiguration
Beim Start von Moneypenny fragt zunächst ein Dialogfenster nach dem Speicherort der Bankdaten und fordert zum Einlegen der entsprechenden Diskette oder zum Anschließen eines USB-Sticks auf. Nachdem Sie einen Memory-Stick angeschlossen haben, fährt Moneypenny nach einigen Sekunden automatisch fort. Dies funktioniert jedoch weder, wenn Sie das automatische Einbinden neuer Geräte ausgeschaltet haben, noch wenn das Gerät bereits vor Programmstart gemountet war.
Anschließend erscheint beim ersten Moneypenny-Start der Einrichtungsassistent. Er fragt nach dem gewünschten Passwort für den Zugriff auf die Bankdaten; künftig benötigen Sie dieses Kennwort bei jedem Programmstart. Danach geben Sie Ihre Verbindungsdaten ein (Abbildung 1). Die Internet-Adresse und den Namen der Bank füllt der Assistent nach der Eingabe der Bankleitzahl bei den bereits bekannten Finanzinstituten automatisch aus.
Nun braucht Moneypenny noch Ihre von der Bank zugewiesene Benutzer- und Kundenkennung. Außerdem möchte es wissen, ob Sie bereits über ein Speichermedium verfügen (Abbildung 2). Hier geben Sie die Art des Mediums ein und den Pfad im Dateisystem, der zur Schlüsseldatei führt. Das Dialogfenster bietet zwar bereits die Möglichkeit, eine HBCI-Chipkarte auszuwählen, trotzdem funktioniert das in der vorliegenden Version noch nicht.
Nachdem Sie die eingegebenen Daten nochmals bestätigt haben, legt Moneypenny daraus einen Kundendatensatz inklusive des Schlüsselpaars aus öffentlichem und geheimen Schlüssel an. Ihn belegt das Programm wiederum mit einem eigenen Passwort. Dabei überprüft Moneypenny die Qualität des Kennworts und gibt diese in einer Skala wieder.
Nun baut das Programm eine Testverbindung zum Server der Bank auf. Dabei lädt es zugleich den Fingerabdruck des Schlüssels der Bank herunter. Ihn vergleichen Sie mit dem per Post zugesandten Fingerabdruck, um eventuelle Manipulationen auszuschließen. Als nächstes wird Ihr öffentlicher Schlüssel an die Bank gesandt. Diese schaltet Ihren Schlüssel und damit das Online-Banking jedoch erst frei, nachdem Sie den so genannten Ini-Brief mit Ihrem öffentlichen Schlüssel nebst zugehörigem Fingerabdruck ausgedruckt und unterschrieben per Post der Bank zurückgeschickt haben.