Als Authentifizierung bezeichnet man die Überprüfung einer Nachricht, ob der Sender dieser Nachricht auch tatsächlich die Person ist, für die sie sich ausgibt. Eine Authentizifierung wird mit Hilfe von digitalen Signaturen ermöglicht.
Ein Benutzer AUTHENTISIERT sich an einem System mittels eindeutiger Anmeldeinformationen (z. B. Passwort). Das System überprüft die Gültigkeit der angegebenen Daten - es AUTHENTIFIZIERT den Benutzer.
Bei Chipkarten handelt es sich in der Regel um Plastikkarten mit eingebautem Chip auf dem häufig ein Microprozessor implementiert ist. Heute finden sich auf Chipkarten Microprozessoren mit kryptografischer Funktionalität mit denen Daten verschlüsselt oder kryptografisch signiert werden können. Gerade die Chipkarten mit kryptografischen Funktionen lassen sich nutzen, um im Zusammenspiel mit entsprechend vertrauenswürdiger Hardware Onlinebanking sicherer zu gestalten.
Abkürzung für: Cyberspace, auch als Datenraum bezeichnet. Cyber bedeutet die virtuelle Welt bzw. die von einem Computer gestaltete Umgebung und umfasst das gesamte Internet.
Geheimhaltung von Daten bedeutet, dass niemand, der die Datei abfängt, diese lesen kann. Die Geheimhaltung von Daten wird durch Verschlüsselung erreicht.
Drive-by bedeutet übersetzt: im Vorbeifahren, d.h. im Vorbeifahren und automatisiert werden Sicherheitslücken ausgenutzt und unbemerkt Schadprogramme installiert.
Darunter versteht man jeden Handel im Internet zwischen Unternehmen (Business to Business = B2B) und Unternehmen zu Endkunden (Business to Consumer = B2C).
Abkürzung für: Financial Transaction Service
2002 wurde HBCI in FinTS umbenannt. Im Standard werden u.a. Sicherheitsverfahren zur Authentifizierung und Verschlüsselung von Aufträgen definiert. Zu diesen Sicherheitsverfahren gehören sowohl das PIN/TAN-Verfahren als auch Chipkarten mit entsprechenden Lesegeräten durch die HBCI hauptsächlich bekannt geworden ist.
Abkürzung für: Home Banking Computer Interface
HBCI hat sich zum Datenaustausch-Standard beim Homebanking entwickelt. Der HBCI-Standard basiert auf einer dreifachen Sicherung: • mittels einer Chipkarte, • dem Kennwort für die Karte, das der Kunde selbst benennen kann, • und den privaten und öffentlichen Datenschlüsseln, die für die Kommunikation zwischen Kunde und Bank notwendig sind (siehe Verschlüsselung). Beim Aufbau der Verbindung autorisiert sich der Benutzer per Passwort über seine HBCI-Software am Bank-Server. Dieser schickt anschließend an die Software die Limits für alle Aktionen zurück. Anschließend kann der Benutzer seine Geschäfte erledigen, die nach dem Abschluss in einem Datensegment zusammengefasst an den Server gesendet werden. Sämtlicher Datenaustausch läuft hierbei über eine in der Software integrierte Sicherungs-Technologie.
Bei einem sogenannten Man-in-the-Middle-Angriff handelt es sich um eine spezielle Angriffsmethode, bei der ein Angreifer die Kommunikation zwischen zwei Parteien angreift, indem er sich zwischen den Parteien befindet und volle Kontrolle über den Datenverkehr ausüben kann. Bei dem Angreifer kann es sich bei Onlinebanking um eine Schadsoftware auf dem Rechner eines Benutzers handeln, welche z.B. die Überweisungsdaten manipuliert. Zum Schutz gegen Man-in-the-Middle-Angriffe sollte jeder Benutzer immer genau überprüfen, wer der direkte Kommunikationspartner ist und auf vertrauenswürdige Endgeräte zurückgreifen. Der eigene PC kann in der Regel nicht als vertrauenswürdig eingestuft werden.
Bei der Asymmetrischen Verschlüsselung werden Schlüsselpaare verwendet, die aus einem öffentlichen Schlüssel (engl. public key) und einem privaten Schlüssel (engl. private key) bestehen. Der öffentliche Schlüssel ist nicht geheim und wird von Trustcentern verwaltet. Er ist notwendig, um öffentliche Operationen durchzuführen, wie z.B. das Verschlüsseln von Nachrichten oder das Prüfen von digitale Unterschriften.
Abkürzung für: Online Lastschriftverfahren
Das Online Lastschriftverfahren (OLV) ist ein eingetragenes Warenzeichen. Es handelt sich hierbei um ein Zahlverfahren, das bei geringen Kosten hohe Sicherheit gibt. Der Kunde unterschreibt den Zahlbeleg und ermächtigt mit dieser Unterschrift, den Betrag per Lastschrift einzuziehen. OLV steht allen ec-Karten-Inhabern zur Verfügung - auch denjenigen, die ihre Geheimzahl nicht kennen oder Bedenken haben, bei der Eingabe an der Kasse beobachtet zu werden.
Abkürzung für: One Web, One Key
Eine von REINER SCT entwickelte, einfach zu bedienende Authentifizierungslösung. Die entsprechenden Softwarekomponenten stehen als Freeware zur Verfügung.
Eine Personal Firewall ist eine Firewall für einen einzelnen Rechner. Dabei handelt es sich um eine Software, die darauf ausgerichtet ist, den Rechner vor Angriffen aus einem ungeschützten Netz, z.B. dem Internet, zu schützen und sämtichen Netzwerkverkehr zu kontrollieren.
Pharming-Angriffe richten sich gegen das DNS-Protokoll (Domain Name System). Dabei wird versucht, einem der vielen im Internet erreichbaren DNS-Server falsche IP-Adressen „unterzujubeln“. So wird erreicht, dass der Nutzer beispielsweise statt auf die Webseite seiner Bank zu einer gefälschten Webseite umgeleitet wird.
Das Wort Phishing wurde aus den englischen Begriffen „Password“ (deutsch: Passwort) und Fishing (deutsch: angeln, fischen)zusammengesetzt. Als Phishing bezeichnet man das Ausspionieren von Passwörtern und anderen sensitiven Daten, zum Beispiel mit Hilfe von gefälschten Mails oder Webseiten. Im Onlinebanking versuchen Angreifer auf diese Weise PINs und gültige TANs eines Benutzers zu erbeuten, die dann zur Kontoplünderung eingesetzt werden.
Das photoTAN-Verfahren ist ein Sicherheitsverfahren für die Bankgeschäfte im Online- und Mobile-Banking. Mithilfe einer photoTAN-App lassen sich die Bankaufträge bestätigen.
Abkürzung für: Personal Identification Number
Die PIN ist die Zutrittskontrolle zu den Signier- und Entschlüsselungsfunktionen am Chip der Karte und aktiviert den (Signatur-) Schlüssel. Man unterscheidet zwischen Initial-PIN, Signatur-PIN und Entschlüsselungs-PIN.
Ein Proxy-Trojaner führt eine Art Man-in-the-Middle-Angriff durch. Er schaltet sich in die Onlinebanking-Kommunikation zwischen Kunde und Bank ein. Die Besonderheit daran ist, dass er in Echtzeit in der Regel direkt auf dem PC des Opfers aktiv ist und die gesamte Kommunikation nach seinem Bedarf abändert.
PSD steht für Payment Services Directive - eine EU-Richtlinie der Europäischen Kommision im Zahlungsdiensterecht zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern in der gesamten EU.
PSD2 ist die zweite Zahlungsdiensterichtlinie, verabschiedet im Oktober 2015.
QR-Code (QR steht für "Quick Response") ist ein zweidimensionaler Code, der 1994 von Firma Denso Wave entwickelt wurde und sich mittlerweile in zahlreichen weiteren Anwendungen wiederfindet. Im Online-Banking Bereich wird QR-Code als Bezahlcode mit Informationen einer Überweisung verwendet.
Ist nach dem deutschen Signaturgesetz (SigG) eine fortgeschrittene elektronische Signatur, die auf einem gültigen, qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde.
Abkürzung für: Radio-Frequency Identification.
Zu Deutsch etwa Identifizierung mithilfe elektromagnetischer Wellen. RFID ermöglicht die kontaktlose Erfassung von Daten.
Bei einem Schlüssel (key) im Sinne der Kryptografie handelt es sich um eine Information, die zur Steuerung von Verschlüsselung und Entschlüsselung genutzt wird.
Eine Schlüsseldatei ist eine Datei, die einen oder mehrere kryptografische Schlüssel enthält. Das HBCI / FinTS-Verfahren mit Schlüsseldatei basiert auf dem Einsatz einer elektronischen Signatur, denn jeden Vertrag muss unterschrieben werden. Die Software erzeugt für die Signatur einen Schlüssel, den man auf einem persistenten Spechermedium wie z. B. einem USB-Stick speichert. Bei der Einrichtung wird der öffentliche Teil des Schlüssels online an die Bank übermittelt. Dazu wird von der HBCI-Software ein INI-Brief erzeugt. Der vom Kunden unterschriebener INI-Brief bestätigt der Bank die Authentizität der elektronischen Signatur. Für die Überweisungen wird keine TAN-Nummern mehr benötigt, sondern nur noch die Schlüsseldatei.
Bei Schlüsselzertifikaten unterscheidet man zwischen dem (qualifizierten) Zertifikat zum Signieren (Signaturzertifikat) und dem Verschlüsselungs- oder Geheimhaltungszertifikat. Beim qualifizierten Zertifikat handelt es sich um das Zertifikat des öffentlichen Signaturschlüssels, beim Verschlüsselungszertifikat handelt es sich um das Zertifikat des öffentlichen Verschlüsselungsschlüssels. Attributszertifikate beinhalten keine Schlüssel.
Der Secoder-Standard wurde von der Deutschen Kreditwirtschaft spezifiziert. Ziel war es, einen einfachen und primär für das Onlinebanking optimierten Chipkartenleser zu definieren, damit Onlinetransaktionen durch eine Datenvisualisierung im Display des Kartenlesers noch besser abgesichert werden können.Ein Secoder-Chipkartenleser verfügt über: • Secoder-Siegel des ZKA • Tastatur zur Eingabe vertraulicher Informationen wie der Karten-PIN • Display zur Anzeige und Überprüfung von Daten, z.B. bei Zahlbetrags bei einer Online-Zahlung mit GeldKarte • eine intelligente Firewall, z.B. zur Blockierung des Zugriffs auf die Chipkarte bei Missbrauchsverdacht
Abkürzung für: Single Euro Payments Area (Einheitlicher Euro-Zahlungsverkehrsraum)
Um bei dem Markt mehr Wettbewerb und Effizienz zu erreichen und europaweit einheitliche Verfahren und Standards für die Abwicklung von Euro-Zahlungen zu gewährleisten.
IBAN ersetzt dann die nationale Kontokennung.
Diese einfachen Chipkartenlesern verfügen weder über eine eigene Tastatur noch ein Display, daher können die Daten bei der Eingabe des Benutzers auf dem Weg zur Chipkarte über den PC ausgespäht werden.
Leser der Sicherheitsklasse 2 haben eine eigene Tastatur, aber kein eigenes Display. Die Daten werden ohne Umweg über den PC direkt an die Chipkarte weitergegeben und sind so vor Angriffen durch Viren oder Trojanern geschützt.
Lesegeräte der Sicherheitsklasse 3 haben eine Tastatur und ein eigenes Display, auf dem die Daten unmittelbar vor der Signatur noch einmal dargestellt werden. So kann der Benutzer sicherstellen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden.
Chipkartenleser der Klasse 4 verfügen neben der Tastatur und Display über ein personalisiertes Sicherheitsmodul mit RSA-Funktionen. Damit erhält der jeweilige Kommunikationspartner einen sicheren Nachweis darüber, dass ein Kartenleser der Klasse 4 eingesetzt wurde. Der Nachweis wird durch eine zusätzliche Signatur realisiert, die das Sicherheitsmodul des Kartenlesers über die jeweiligen Daten berechnet. Die Einbettung der Kartenlesersignatur in die Anwendung erfolgt durch anwendungsspezifische Zusatzfunktionen im Leser.
Die Sicherheitsklassen der Deutschen Kreditwirtschaft geben bei Chipkartenlesern an, welchen Grad der Sicherheit die Geräte bei der Datenübertragung bieten
Das Signaturgesetz (SigV) definiert in Verbindung mit der Signaturverordnung einen Sicherheitsstandard für digitale Signaturen. Das Signaturgesetz unterscheidet zunächst eine einfache, eine fortgeschrittene und eine qualifizierte elektronische Signatur. Nur die letztgenannte wird im Einzelnen geregelt und gilt damit als signaturgesetzkonform. Die qualifizierte Signatur muss die Identität des Unterzeichners durch ein Zertifikat erkennbar machen und mit einer sicheren Signaturerstellungseinheit erstellt werden. Als sicher gilt die Signaturerstellungseinheit, wenn sie entweder von einer staatlich genehmigten Prüfungsstelle entsprechend evaluiert wurde oder wenn der Hersteller eine entsprechende Sicherheit zusichert. Weiterhin muss sich diese Signaturerstellungseinheit in der alleinigen Verfügung des Unterzeichners befinden. Und schließlich muss der Zertifizierungsdiensteanbieter sichere Infrastrukturen, Verfahren und Technik gemäß dem Signaturgesetz und seiner Anschlussregelungen anbieten.
Auf einer Signaturkarte wird u.a. der private Schlüssel eines Teilnehmers sicher abgelegt, so dass dieser seine Nachrichten elektronisch signieren und entschlüsseln kann.
Das sm@rtTAN photo-Verfahren mit Persönlicher Identifikationsnummer (PIN) und Transaktionsnummer (TAN) ist eine bewährte Methode, mit der die Online-Banking Aufträge erteilt werden können.
SmartCard das heißt clevere, intelligente Karte: Der goldene Chip auf der Karte enthält einen „kleinen Computer“ (Prozessor-Chipkarte mit kryptischem Co-Prozessor) samt Betriebssystem „SECCOS“ und kann Daten lesen, speichern, verarbeiten und ausgeben. Diese Intelligenz des Chips wird gezielt eingesetzt, um das Zusammenspiel von Chipkarte, Anwendung (z.B. Online-Banking, bargeldlose Zahlung, E-Ticketing), Chipkontaktiereinheit (z.B. externes Kartenterminal am PC, Kartenleser im Geldautomaten) und Infrastruktur (z.B. Hintergrundsystem des Kreditinstituts, E-Ticketing-System) gegen Missbrauch abzusichern. Wird als Synonym für Chipkarte verwendet.
Abkürzung für: Unerwünschte Werbe E-Mails
Spam ist der Oberbegriff für unerwünscht zugeschickte Werbe E-Mails. Das Wort hat seinen Ursprung im Englischen, wo Spam billiges Dosenfleisch bezeichnet.
Abkürzung für: Transaktionsnummer. Eine TAN kommt bei elektronischen Prozessen zum Einsatz und dient der Autorisierung einer Transaktion. Beim Onlinebanking kann beispielsweise jede Transaktion nur durch Eingabe einer korrekten TAN durch den Nutzer abgeschlossen werden. Neben dem klassischen TAN-Verfahren gibt es inzwischen auch Erweiterungen wie eTAN (elektronische TAN), iTAN (indizierte TAN) und mTAN (mobile TAN).
Trojaner sind Programme, die entweder scheinbar eine nützliche Funktion haben oder sich als Virus unbemerkt auf dem Rechner des Nutzers installieren. Ihr Zweck ist das Ausspionieren von Daten des Benutzers, z. B. durch das Mitprotokollieren von Passworteingaben. Trojaner werden häufig beim Angriff auf Online-Konten eingesetzt.
Verschlüsseln schützt Ihre Dokumente vor unbefugter Einsicht. Verschlüsselung und Entschlüsselung bedienen sich ebenfalls des Zusammenspiels von privatem und öffentlichem Schlüssel: Um eine Nachricht zielgerichtet auf eine bestimmte Person hin zu verschlüsseln, nutzt der Absender ein individuelles Merkmal des Empfängers: Nämlich dessen öffentlichen Schlüssel. Zum Öffnen der verschlüsselten Nachricht muss der Empfänger dann wiederum seinen komplementären, also den privaten Schlüssel aktivieren. Da er den privaten Schlüssel stets unter seiner alleinigen Kontrolle hat, kann niemand anders die für ihn bestimmte Nachricht knacken. Auch wenn bei Signatur und Verschlüsselung jeweils öffentlicher und privater Schlüssel zum Einsatz kommen, so enthält doch jedes qualifizierte Zertifikat zwei Schlüsselpaare: Das eine zum rechtsverbindlichen Signieren, das andere zum Verschlüsseln und Authentifizieren.
Ein Virenscanner ist eine Software, die einen Rechner vor schadhaften Programmen wie Viren und Trojanern schützen soll. Da täglich neue Viren in Umlauf kommen, ist eine tägliche Aktualisierung des Virenscanners wichtig. So ist der bestmöglichste Schutz vor diesem Schadcode gewährleistet, dennoch kann es passieren, das ein Computer trotzdem befallen wird, wenn er von einem Virus infiziert wird, der dem Virenscanner noch nicht bekannt ist.
Ein Whitepaper ist ein Dokument, das in einer flüssigen Sprache ohne Marketingballast spezifische Themen behandelt: als (Fall-)Studie, Anwenderbeschreibung, Analyse oder Marktforschung. Das eingegrenzte Thema wird auf bis zu 15 Seiten behandelt. Whitepaper werden zunehmend als Kommunikationsinstrument eingesetzt.