Die a.trust ist ein österreichisches Unternehmen, das alle Leistungen rund um die elektronische Signatur anbietet. a.trust arbeitet auf Basis des österreichischen Signaturgesetzes und der europäischen Richtlinie, d.h. sie ist ein Zertifizierungsdiensteanbieter für die Ausstellung von qualifizierten Zertifikaten (trust|sign) und sicheren digitalen Signaturen. Die a.trust führt ein öffentliches Verzeichnis mit von ihr ausgestellten Zertifikaten und eine öffentliche, stets aktuelle Widerrufsliste, in der die Nummern aller widerrufenen und gesperrten Zertifikate abgespeichert sind. Sämtliche die technischen und organisatorischen Faktoren und Abläufe von trust|sign beschreibenden Dokumente sind auf der Homepage der a.trust veröffentlicht.
Mit dieser Verschlüsselungsart wird die Digitale Signatur erzeugt, die dann sicher versandt und gelesen werden kann. Dabei existiert ein Schlüsselpaar aus einem öffentlichen frei zugänglichen und dem privaten Schlüssel des Benutzers. Diese Schlüssel werden von Zertifizierungsstellen oder Trustcenters verwaltet. Dort kann sich ein Internet-User persönlich registrieren lassen, erhält dann seine Chipkarte mit dem privaten Schlüssel und kann diesen z.B. für Homebanking mit HBCI nutzen.
Als Authentifizierung bezeichnet man die Überprüfung einer Nachricht, ob der Sender dieser Nachricht auch tatsächlich die Person ist, für die sie sich ausgibt. Eine Authentizifierung wird mit Hilfe von digitalen Signaturen ermöglicht.
Die Authentisierung dient als vorbereitender Schritt zur Feststellung einer Identität, in der Regel handelt es sich um eine Person, die Ihre Identität nachweisen will. Bei der Authentisierung weist die Person sich durch Besitz (z.B. Schlüssel), Wissen (Bsp. Passwort) oder Sein (Bsp. biometrisches Merkmal) aus. Die so präsentierten Nachweise werden dann zur Authentifizierung benutzt.
Nach einer erfolgreichen Authentifizierung, werden in der Regel bestimmte Rechte vergeben. In einem Computersystem zum Beispiel das Recht, auf bestimmte Dateien zuzugreifen. Dieser Vorgang wird als Autorisierung bezeichnet. Meistens beziehen sich die eingeräumten Berechtigungen auf den Zugriff oder die Nutzung bestimmter Ressourcen (z.B. die Nutzung von Dateien) oder die Durchführung bestimmter Transaktionen (z.B. Überweisungen bis zu einer vorbestimmten Höhe).
Die Datensicherung oder das Backup ist ein Vorgang, bei dem Kopien von Daten auf einem Computersystem angefertigt werden, um im Falle des Datenverlusts auf diesem System mit Hilfe der gesicherten Daten einen Zustand wiederherstellen zu können, der dem zum Zeitpunkt des Datenverlusts möglichst nahe kommt. Die Menge der endgültig verlorenen Daten soll durch intelligente Backup-Strategien möglichst gering gehalten werden. Zusätzlich können Backups auch dazu dienen, kompromittierte Systeme auf einen garantiert unkompromittierten Zustand zurückzusetzen. In diesem Fall ist es wichtig sicherzustellen, dass Backups eines Systems in unkompromittiertem Zustand vorhanden und verfügbar sind.
Abkürzung für: Bank Identifier Code
Der BIC ist die internationale Bankleitzahl, wodurch eine weltweite Identifizierung von Kreditinstituten möglich ist. Der BIC besteht aus einer vierstelligen Bankbezeichnung, dem jeweiligen Ländercode, einer zweistelligen Ortsangabe und der Filialbezeichnung. Bei internationalen Überweisungen muss der BIC nur noch bis zum 01. Februar 2016 angegeben werden.
Der Name leitet sich von dem Wort Roboter ab und beschreibt ein Netz von Computern, welche sich unter der Kontrolle eines Angreifers befinden und in der Regel von diesem ferngesteuert werden. Bot-Netze dienen zum Beispiel zur Durchführung verteilter Denial-of-Service-Angriffe (DDoS) oder zum Versenden von SPAM. Häufig wird die Schadsoftware, die dem Angreifer die Kontrolle über einen Rechner ermöglicht, durch unvorsichtiges Klicken auf E-Mail-Anhänge installiert. Es kann aber auch Schadsoftware über Webseiten eingeschleust werden, welche sich Schwachstellen von Internet-Browsern zu nutze machen. Aus diesem Grunde empfiehlt es sich, an dem eigenen PC nicht generell mit Administrator-Berechtigungen zu arbeiten.
Elektronischer Schlüssel zum Chiffrieren von Nachrichten; chiffrierte Nachrichten sind für Dritte nicht lesbar. Kunden- und Institutsschlüssel bilden ein Schlüsselpaar. Beim HBCI-Banking mit Chipkarte ist der Kundenschlüssel im Chip der HBCI-Chipkarte hinterlegt.
Bei Chipkarten handelt es sich in der Regel um Plastikkarten mit eingebautem Chip auf dem häufig ein Microprozessor implementiert ist. Heute finden sich auf Chipkarten Microprozessoren mit kryptografischer Funktionalität mit denen Daten verschlüsselt oder kryptografisch signiert werden können. Gerade die Chipkarten mit kryptografischen Funktionen lassen sich nutzen, um im Zusammenspiel mit entsprechend vertrauenswürdiger Hardware Onlinebanking sicherer zu gestalten.
Chipkartenleser sind „Chipkontaktierer“: Mit einem Chipkartenleser können Sie von Ihrem Computer auf eine Chipkarte und deren Funktionen zugreifen: beispielsweise auf HBCI-Karten fürs Homebanking oder auf die GeldKarte zur bargeldlosen Zahlung. Je nach Ausstattung werden Chipkartenleser in Sicherheitsklassen unterteilt: Ein sog. Klasse-3-Leser besitzt Tastatur und Display, ein Klasse-2-Leser nur eine Tastatur und ein Klasse-1-Leser keines von beidem.
Construction Kits sind Softwaretools, die es auch einem Laien ermöglichen, mit wenigen Mausklicks einen Trojaner zu entwickeln. Die so entstandenen Trojaner können besonders gefährlich sein, wenn sie gezielt in Hinblick auf ein potentielles Opfer entwickelt werden und nicht zur allgemeinen Verbreitung bestimmt sind. Denn in diesem Fall können Virenscanner sie nicht anhand einer Signatur erkennen.
Abkürzung für: Card Terminal Application Programming Interface
Die CT-API ist eine offene Schnittstelle mit der das Handling und die Kommunikation mit Smartcards anwendungsunabhängig realisiert werden kann.
Data Encryption Standard (DES) ist ein häufig eingesetztes symmetrisches Verschlüsselungsverfahren. Wird wegen höherer Sicherheit auch als Triple-DES ausgeführt.
Geheimhaltung von Daten bedeutet, dass niemand, der die Datei abfängt, diese lesen kann. Die Geheimhaltung von Daten wird durch Verschlüsselung erreicht.
Zahlungskarte, die einen Verfügungsrahmen aufweist und mit der ein Karteninhaber Waren oder Dienstleistungen an einer elektronischen Kasse bezahlen kann. Bei Zahlung mit einer Debitkarte wird das Konto des Kunden - in der Regel bereits nach einigen Werktagen - direkt mit dem Zahlungsbetrag belastet. Die Bezahlung wird daher vielmals als "pay now" bezeichnet.
Ein Gremium der deutschen Banken, das u.a. Normen für den Datenaustausch beim Homebanking definiert hat. Bis August 2011 als Zentralen Kreditausschuss (ZKA) bekannt.
Traditionelle, auf Papier verfügbare Zertifikate sind Dokumente, die dem Inhaber eine bestimmte Eigenschaft, eine Fähigkeit oder ein Anrecht bestätigen. Das können Ausweise, Diplome oder Versicherungsverträge sein. Zertifikate sind unterschrieben von einer Autorität, der man vertraut. Digitale Zertifikate sind entsprechend digitale Dokumente, die einer natürlichen Person eine digitale Kennung zuordnen. Diese Kennung ist der öffentliche Schlüssel aus dem individuellen Schlüsselpaar, das dem Zertifikatsinhaber persönlich zugewiesen wird. Das Zertifikat wird ausgestellt von einer Zertifizierungsstelle. Auf diese Weise kann sich die reale Person in der virtuellen Welt ausweisen und rechtsverbindlich unterschreiben. Mithilfe des öffentlichen Schlüssels und des digitalen Zertifikates wird die Signatur verifiziert.
Abkürzung für: Dynamic Link Libary-Injection
Bei der DLL-Injection wird Schadcode durch einen eigentlich vertrauenswürdigen Prozess auf dem Clientsystem ausgeführt. Dabei wird dieser Prozess gezwungen, den Schadcode nachzuladen, der sich in einer Dynamic Link Library (DLL) befindet. Dies kann beispielsweise durch eine Veränderung des Registry-Eintrags geschehen, der bestimmt, welche DLLs beim Start eines Programms zu laden sind.
Abkürzung für: Domain Name System-Protokoll
Das DNS-Protokoll muss auf jedem Internet-Rechner laufen und wandelt Hostnamen (z.B. www.sicherheitsoffensive2007.de) in IP-Adressen (z.B. 85.10.196.145) um und umgekehrt. Ohne diese Umwandlung kann im Internet nicht kommuniziert werden, da die Datenpakete nur anhand einer IP-Adresse dem richtigen Rechner zugeordnet werden können.
Abkürzung für: Domain Name System-Spoofing
Bei DNS-Spoofing handelt es sich um eine häufige Form von Pharming: Ein Angreifer manipuliert die Zuordnung zwischen einem Rechnernamen und der zugehörigen IP-Adresse. Dadurch kann der Angreifer zwei Kommunikationspartnern die Identität des jeweils anderen vortäuschen und somit die Datenpakete beider Partner empfangen.
Eine Doppeleinreichungskontrolle schützt beim Homebanking mit Chipkarte im FinTS-Standard gegen Replay Attacken, d.h. Abhören und mehrfaches Einspielen derselben Überweisung. Die Doppeleinreichungskontrolle besteht aus einer Kombination von Sequenzzähler und einer Liste bereits eingereichter Sequenzen.
Abkürzung für: Evaluation Assurance Level
Es gibt 7 Stufen (Level) der Vertrauenswürdigkeit, die die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe beschreiben.
Abkürzung für: Elektronik Banking Internet Communication Standard
Der EBICS bezeichnet einen multibankfähigen Standard für die Übertragung von Zahlungsverkehrsdaten über das Internet
Darunter versteht man jeden Handel im Internet zwischen Unternehmen (Business to Business = B2B) und Unternehmen zu Endkunden (Business to Consumer = B2C).
Unter E-Government versteht man die elektronische Kommunikation der Behörden mit Unternehmen bzw. Bürgern, z.B. einen Reisepass beantragen, seine Lohnsteuererklärung abgeben etc.
Abkürzung für: Elektronischer Identitätsnachweis
Die Online-Ausweisfunktion des nPA. Sie ermöglicht, sich im Internet und an Automaten sicher und eindeutig mit dem Personalausweis auszuweisen
Signaturen, die nicht auf einem qualifizierten Zertifikat beruhen und/oder mit nicht von einem Trustcenter zur Erstellung sicherer Signaturen empfohlenen technischen Komponenten und Verfahren erstellt wurden, werden einfache digitale Signaturen genannt.
Die elektronische Kommunikation der Banken mit Ihren Kunden nennt man e-Banking. Darunter fällt Internetbanking, Kreditansuchen, Abschluss von Bausparverträgen, Wertpapierhandel, Kontoauszugsservice etc.
Bei dieser Zahlungsart gibt der Karteninhaber seine persönliche Geheimzahl (PIN) ein. Nach Online-Prüfung durch das kartenausgebende Institut und nach erfolgreicher Transaktion hat der Händler eine 100%ige Zahlungsgarantie.
Abkürzung für: Elektronisches Lastschriftverfahren
Beim Elektronischen Lastschriftverfahren (ELV) unterschreibt der Kunde den Zahlbeleg und willigt damit in den Einzug des Betrages per Lastschrift ein.
ELV ist kein offiziell zugelassenes Bezahlverfahren der Deutschen Kreditwirtschaft. Das Terminal liest einfach die Kontonummer und die Bankleitzahl des Karteninhabers aus dem Magnetstreifen und der Karteninhaber legitimiert sich anhand seiner Unterschrift. Die Transaktion erfolgt im Offline-Verfahren und enthält keine Zahlungsgarantie.
Der Fingerprint einer Datei ist der Hashwert dieser Datei. Der Hashwert ist die komprimierte Version einer Datei. Ein Mensch ist durch seinen Fingerabdruck exakt identifizierbar, eine Datei durch ihren Hashwert.
Abkürzung für: Financial Transaction Service
2002 wurde HBCI in FinTS umbenannt. Im Standard werden u.a. Sicherheitsverfahren zur Authentifizierung und Verschlüsselung von Aufträgen definiert. Zu diesen Sicherheitsverfahren gehören sowohl das PIN/TAN-Verfahren als auch Chipkarten mit entsprechenden Lesegeräten durch die HBCI hauptsächlich bekannt geworden ist.
Der geheime Schlüssel befindet sich auf der Chipkarte des Benutzers und ist nicht auslesbar. Er wird verwendet für die Signaturerzeugung: Beim Signieren der Nachricht wird eine Art Kopie der Nachricht angefertigt und mit Hilfe des geheimen Schlüssels verschlüsselt. Das signierte Dokument besteht dann also aus dem Originaldokument und der verschlüsselten Kopie.
Ahnungslose Internetnutzer werden von Betrügern inzwischen zahlhaft über massenhaft versendete E-Mails als Geldboten angeworben. Die durch Online-Banking-Betrügereien erbeuteten Gelder sollen durch Dritte reingewaschen werden. Dabei wird das Opfer durch lukrative Nebenjobs geködert. Es soll sein eigenes Konto für den Empfang eines Geldbetrags bereitstellen, diesen abheben und in bar auf ein weiteres Konto einzahlen. Dabei wird eine gewisse Summe als Entschädigung in Aussicht gestellt. Vorsicht: Diese Transaktionen sind strafbar!
Seit 1997 kann man mit diesem Zahlungssystem in Geschäften Kleinbeträge des täglichen Bedarfs bezahlen - inzwischen geht das auch im Internet. Grundlage ist ein Chip auf girocard- oder anderen Bankkundenkarten, der auch als elektronische Geldbörse bezeichnet wird. Auf diesem Chip wird bei der Bank oder mit einem cyberJack® - Chipkartenleser von zu Hause aus ein Betrag bis max. 200,- € gespeichert. Beim Bezahlen wird der Kaufbetrag im Händler-Terminal oder am heimischen PC vom GeldKarten-Chip abgebucht.
Die frühere ec-Karte heißt heute girocard und wird zur multifunktionalen Debitkarte (Kundenkarte).
Ursprünglich wurde die eurocheque-Karte (kurz: ec-Karte) als Garantiekarte für den Einsatz mit eurocheques entwickelt. Heute ist sie eine multifunktionale Debikarte.
Die mit der vorgelegten Karte nutzbaren elektronischen Dienstleistungen lassen sich anhand der aufgebrachten Pictogramme erkennen und die Karte kann nun von den ausgebenden Instituten individuell gestaltet werden. Die heutigen Debitkarten der Deutschen Kreditwirtschaft können in der Regel alle elektronischen Zahlungsverfahren wie electronic cash, ELV, OLV, POZ und GeldKarte abwickeln. Der kartenakzeptierende Händler entscheidet anhand des ausgewählten Zahlungsverfahrens über eine garantierte Zahlung oder nicht.
Beim Greylisting handelt es sich um eine Methode der SPAM-Bekämpfung bei der ein erster Zustellversuch einer E-Mail temporär abgelehnt wird. Gleichzeitig merkt sich der empfangende E-Mail-Server die Daten des Absenders und akzeptiert die eingehende E-Mail bei einem zweiten Zustellversuch. Zusätzlich führt ein mit Greylisting arbeitender Mailserver in der Regel sogenannte White-Lists in denen zulässige Absender dynamisch eingetragen werden. Das Greylisting ist solange zur SPAM-Bekämpfung erfolgreich wie die SPAMmer nicht echte Warteschlangen zum Versenden von E-Mail nutzen, so wie es reguläre Mailserver tun.
Abkürzung für: Global System for Mobile Communications-Karte
Die Handy-Karte mit einem Chip, der dazu dient, das Telefon mit dem digitalen Mobilfunk-Netz zu verbinden. Außerdem werden auf dieser Karte das persönliche Handy-Telefonbuch und SMS-Nachrichten gespeichert. Mit einem PC-Kartenleser und der passenden Software wie z.B. smartMate können diese Daten auch vom PC aus bearbeitet und gespeichert werden.
Der Gültigkeitszeitraum bezeichnet den Zeitraum der Gültigkeit eines Teilnehmerzertifikates innerhalb einer PKI. Für ein Signaturzertifikat gemäß Deutschem Signaturgesetz beträgt der Gültigkeitszeitraum beispielsweise 3 Jahre.
Eine Hashfunktion (hash function) ist eine Komprimierungsfunktion (Verdichtung) für Informationen. Sie berechnet aus Eingabewerten mit beliebiger Länge Ausgabewerte mit fester Länge. Diese Ausgabewerte werden als Hashwert bezeichnet.
Der Hashwert ist die komprimierte Version einer Datei. Man kann sich den Hashwert als den Fingerprint einer Datei vorstellen. Ein Mensch ist durch seinen Fingerabdruck exakt identifizierbar, eine Datei durch ihren Hashwert. Der Hashwert entsteht dadurch, dass eine beliebige Datei jeder Größe mit Hilfe eines mathematischen Verfahrens - genannt Hashfunktion - komprimiert wird. Die kleinste Veränderung der Datei führt zu einem gänzlich anderen Hashwert. Es gibt verschiedene Verfahren zur Berechnung des Hashwerts. Die Hashfunktion ist eine Einweg-Funktion. Eine solche Hashfunktion ist nicht umkehrbar, was bedeutet, dass eine Wiederherstellung des ursprünglichen Textes nicht möglich ist.
Abkürzung für: Home Banking Computer Interface
HBCI hat sich zum Datenaustausch-Standard beim Homebanking entwickelt. Der HBCI-Standard basiert auf einer dreifachen Sicherung:
• mittels einer Chipkarte,
• dem Kennwort für die Karte, das der Kunde selbst benennen kann,
• und den privaten und öffentlichen Datenschlüsseln,
die für die Kommunikation zwischen Kunde und Bank notwendig sind (siehe Verschlüsselung). Beim Aufbau der Verbindung autorisiert sich der Benutzer per Passwort über seine HBCI-Software am Bank-Server. Dieser schickt anschließend an die Software die Limits für alle Aktionen zurück. Anschließend kann der Benutzer seine Geschäfte erledigen, die nach dem Abschluss in einem Datensegment zusammengefasst an den Server gesendet werden. Sämtlicher Datenaustausch läuft hierbei über eine in der Software integrierte Sicherungs-Technologie.
Kontoabfragen, Überweisungen und Wertpapiergeschäfte von zu Hause aus tätigen - das alles kann man mittels Homebanking am PC über das Internet. Um sich über das Internet bei der Bank anzumelden, gibt man zuerst ein persönliches Kennwort in das PC-Kartenlesegerät ein. Die persönliche Chipkarte wird freigeschaltet und ein darin enthaltener Code an die Bank übermittelt. Stimmen die Daten, wird das Internetkonto freigeschaltet.
Abkürzung für: HyperText Transfer Protocol Secure (dt. sicheres Hypertext-Übertragungsprotokoll)
Standardprotokoll um Daten im Internet abhörsicher zu übertragen.
Abkürzung für: International Bank Account Number, deutsch: Internationale Bankkontonummer
Um den internationalen Zahlungsverkehr zu vereinfachen wurde die IBAN entwickelt und eingeführt. Diese besteht aus einem zweistelligen Ländercode (für Deutschland "DE"), einer zweistelligen Prüfsumme und der Bankleitzahl sowie der Kontonummer. Seit dem 01. Februar 2014 ist die Benutzung der IBAN bei Überweisungen von Unternehmen und Vereinen pflicht. Für Privatkunden gilt der 01. Februar 2016 als Stichtag.
Ein Image oder Abbild eines Rechners ist eine spezielle Backup-Methode mit welcher komplette Rechner in kurzer Zeit in einen vorherigen Zustand zurückversetzt werden können. Die Erstellung von Images ist eine Möglichkeit, ein System zu einem Zeitpunkt an dem das System garantiert unkompromitiert ist zu sichern, um im Falle einer Kompromittierung eine zuverlässige Wiederherstellungsquelle zu haben.
Integrität bedeutet, dass der Empfänger einer Nachricht erkennen kann, ob diese durch einen unbekannten Angreifer manipuliert (verfälscht) wurde. Die Integrität von Daten wird durch die digitale Signatur sichergestellt.
Abkürzung für: Internet-Protocol-Adresse
Nummer, die der Adressierung von Rechnern (und anderen) Geräten in einem IP-Netzwerk wie dem Internet erlaubt. Technisch gesehen handelt es in der derzeitigen Version Ipv4 um eine 32-stellige Binärzahl bzw. eine durch Punkte getrennten Dezimalzahl von 0 bis 255. Beispiel: 56.124.221.156
Abkürzung für: Information Technology Security Evaluation Criteria
Unter dem ITSEC Standard versteht man Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik. Der ITSEC Standard ist ein im internationalen Umfeld anerkannter Standard zur Evaluierung sicherer Signaturerstellungskomponenten. Der Standard ITSEC kennt 7 Evaluationsstufen (E0 bis E6) und 3 Sicherheitsabstufungen (niedrig, mittel und hoch). ITSEC ist aber für die Evaluierung der gesamten Sicherheitsumgebung nicht ausreichend und wird im Bereich Chipkarten durch einzelne Anforderungen aus FIPS 140 und im organisatorischen Bereich durch den British Standard (BS) 7799 ergänzt. Auf europäischer Ebene, aber auch in den USA, wird der Standard ITSEC durch die Common Criteria Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik zur Beurteilung vertrauenswürdiger Sicherheitstechnologien ersetzt werden.
Bei einem Keylogger handelt es sich um eine Software oder ein Stück Hardware, welches alle Tastatureingaben eines Benutzers an einem Computer protokolliert und einem Angreifer zur Verfügung stellt. Gerade zum Ausspähen von Zugangskennungen werden Keylogger eingesetzt. Auf Hardware basierende Keylogger lassen sich durch Software nicht erkennen. Gerade an öffentlichen Rechnern sollte bei deren Benutzung damit gerechnet werden, dass Keylogger installiert sind. Daher sollten keine Angaben gemacht werden, die zur Preisgabe vertraulicher Informationen führen können.
Kryptografie ist ein Teilgebiet der Mathematik, das sich mit der Verschlüsselung von Daten beschäftigt. Wo Informationen nicht durch abgeschlossene Systeme abgesichert sind, kann Kryptografie elektronisch absichern.
Bei einem sogenannten Man-in-the-Middle-Angriff handelt es sich um eine spezielle Angriffsmethode, bei der ein Angreifer die Kommunikation zwischen zwei Parteien angreift, indem er sich zwischen den Parteien befindet und volle Kontrolle über den Datenverkehr ausüben kann. Bei dem Angreifer kann es sich bei Onlinebanking um eine Schadsoftware auf dem Rechner eines Benutzers handeln, welche z.B. die Überweisungsdaten manipuliert. Zum Schutz gegen Man-in-the-Middle-Angriffe sollte jeder Benutzer immer genau überprüfen, wer der direkte Kommunikationspartner ist und auf vertrauenswürdige Endgeräte zurückgreifen. Der eigene PC kann in der Regel nicht als vertrauenswürdig eingestuft werden.
Bei der Asymmetrischen Verschlüsselung werden Schlüsselpaare verwendet, die aus einem öffentlichen Schlüssel (engl. public key) und einem privaten Schlüssel (engl. private key) bestehen. Der öffentliche Schlüssel ist nicht geheim und wird von Trustcentern verwaltet. Er ist notwendig, um öffentliche Operationen durchzuführen, wie z.B. das Verschlüsseln von Nachrichten oder das Prüfen von digitale Unterschriften.
Abkürzung für: Online Lastschriftverfahren
Das Online Lastschriftverfahren (OLV) ist ein eingetragenes Warenzeichen. Es handelt sich hierbei um ein Zahlverfahren, das bei geringen Kosten hohe Sicherheit gibt.
Der Kunde unterschreibt den Zahlbeleg und ermächtigt mit dieser Unterschrift, den Betrag per Lastschrift einzuziehen. OLV steht allen ec-Karten-Inhabern zur Verfügung - auch denjenigen, die ihre Geheimzahl nicht kennen oder Bedenken haben, bei der Eingabe an der Kasse beobachtet zu werden.
Abkürzung für: Password Authenticated Connection Establishment-Protokoll
Bezeichnet ein passwortbasiertes Authentisierungs- und Schlüsseleinigungsverfahren. Das Protokoll wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für den Einsatz im nPA entwickelt.
Software-Korrekturpaket. In der Regel werden durch solche Korrekturpakete (Patches) von Herstellern, Fehlerbeseitigungen oder Softwareverbesserungen ausgeliefert, durch die unter anderem auch häufig bekannt gewordenen Sicherheitslücken geschlossen werden.
Eine Personal Firewall ist eine Firewall für einen einzelnen Rechner. Dabei handelt es sich um eine Software, die darauf ausgerichtet ist, den Rechner vor Angriffen aus einem ungeschützten Netz, z.B. dem Internet, zu schützen und sämtichen Netzwerkverkehr zu kontrollieren.
Pharming-Angriffe richten sich gegen das DNS-Protokoll (Domain Name System). Dabei wird versucht, einem der vielen im Internet erreichbaren DNS-Server falsche IP-Adressen „unterzujubeln“. So wird erreicht, dass der Nutzer beispielsweise statt auf die Webseite seiner Bank zu einer gefälschten Webseite umgeleitet wird.
Das Wort Phishing wurde aus den englischen Begriffen „Password“ (deutsch: Passwort) und Fishing (deutsch: angeln, fischen)zusammengesetzt. Als Phishing bezeichnet man das Ausspionieren von Passwörtern und anderen sensitiven Daten, zum Beispiel mit Hilfe von gefälschten Mails oder Webseiten. Im Onlinebanking versuchen Angreifer auf diese Weise PINs und gültige TANs eines Benutzers zu erbeuten, die dann zur Kontoplünderung eingesetzt werden.
Abkürzung für: Personal Identification Number
Die PIN ist die Zutrittskontrolle zu den Signier- und Entschlüsselungsfunktionen am Chip der Karte und aktiviert den (Signatur-) Schlüssel. Man unterscheidet zwischen Initial-PIN, Signatur-PIN und Entschlüsselungs-PIN.
Ein Proxy-Trojaner führt eine Art Man-in-the-Middle-Angriff durch. Er schaltet sich in die Onlinebanking-Kommunikation zwischen Kunde und Bank ein. Die Besonderheit daran ist, dass er in Echtzeit in der Regel direkt auf dem PC des Opfers aktiv ist und die gesamte Kommunikation nach seinem Bedarf abändert.
Die Public Key Infrastruktur bietet die Basis für sichere Virtuelle Private Netze, e-Mail-Kommunikationen, Portalauthentifizierung oder elektronische Signaturen. PKI verwaltet die erforderlichen Zertifikate und elektronische Schlüssel. Sie verschlüsselt vertrauliche Informationen und Sie sind somit effektiv geschützt vor Angriffen. Sie können nun Ihre elektronischen Geschäftsprozesse sicher durchführen. PKI ist der Überbegriff für die Einheit der Personen, Hardware, Software, Richtlinien und Methoden. Sie ist daran beteiligt die Zertifikate zu erzeugen, zu vergeben, zu speichern zu verwalten und zu widerrufen. PKI ist überwiegend hierarchisch strukturiert.
Abkürzung für: Personal Unblocking Key
Der Signator erhält je einen PUK für die Signatur-PIN (wenn es der Kartentyp zulässt) und einen für die Verschlüsselungs-PIN, die Funktionalität ist gleich. Eine PIN darf maximal 2-mal hintereinander falsch eingegeben werden. Nach der 3. Fehleingabe ist die Funktion der Karte blockiert und kann mit dem PUK deblockiert werden. Der PUK ist numerisch gestaltet und wird dem Kartenbesteller verschlossen im PUK-Kuvert zugesandt. Der PUK muss sicher verwahrt werden. Die Deblockierungs-Funktion mittels PUK-Eingabe kann jedoch nicht unbegrenzt durchgeführt werden. In Folge darf die Deblockierung nur zehnmal erfolgen, also maximal 32-mal hintereinander eine falsche PIN eingegeben werden. Erfolgt nach 10-maligem Deblockieren hintereinander keine richtige PIN-Eingabe, ist die Karte für immer gesperrt.
Ist nach dem deutschen Signaturgesetz (SigG) eine fortgeschrittene elektronische Signatur, die auf einem gültigen, qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde.
Ein qualifiziertes Zertifikat ordnet Signaturerstellungsdaten eindeutig einer Person zu. Das Zertifikat ist in einer öffentlich zugänglichen Datenbank (Verzeichnisdienst) abgespeichert und wird bei der Kartenübergabe auf die Karte des Signators gespeichert. Ein qualifiziertes Zertifikat darf nur ein Zertifizierungsdiensteanbieter ausstellen, der von der staatlichen Aufsichtsstelle eine Bescheinigung über die Ausstellung von qualifizierten Zertifikaten besitzt.
Abkürzung für: RSA-DES-Hybridverfahren
Beschreibt ein gemischtes (hybrides) Verschlüsselungsverfahren bei dem das symmetrische Triple-DES-Verfahren und das asymmetrische RSA-Verfahren zusammen eingesetzt werden.
Bitte beachten Sie: Das Signaturgesetz definiert nur, unter welchen Voraussetzungen die Signatur als sicher anerkannt wird. Die Rechtswirkung der qualifizierten elektronischen Signatur, d.h. in welchen Fällen die qualifizierte elektronische Signatur die handschriftliche Unterschrift ersetzen kann, ist nicht im Signaturgesetz definiert! Diese Regelungen werden im Bürgerlichen Gesetzbuch sowie im Verwaltungsverfahrensgesetz getroffen. Das Signaturgesetz ist zwar sehr umfangreich und oft sehr detailliert; dennoch regelt es längst nicht alle Anwendungsfälle der digitalen Identität. Gegenstand der Regulierung sind nämlich ausschließlich digitale Zertifikate für Personen; Rechner und Softwareobjekte bleiben unberührt. Eine weitere Einschränkung ist, dass ein Personenzertifikat sich in Deutschland auch immer nur auf eine einzige natürliche Person beziehen, nicht etwa auf eine Personengruppe oder eine juristische Person.
Eine Registrierungsstelle ist die Anlaufstelle für die Beantragung von Signaturschlüssel-Zertifikaten. Der Antrag wird an eine Zertifizierungsstelle weitergeleitet. Diese stellt das Zertifikat aus und leitet es zur Ausgabe an die Registrierungsstelle zurück.
Abkürzung für: Regulierungsbehörde für Telekommunikation und Postwesen
Die Regulierungsbehörde für Telekommunikation und Postwesen stellt die oberste Hierarchiestufe der SigG-konformen Trustcenter in Deutschland dar.
Wenn Daten auf einer Leitung abgehört und erneut ans Institutssystem übertragen werden, spricht man von einer Replay Attack: Eine Überweisung an den korrekten Empfänger wird gegen den Willen des Kunden mehrfach durchgeführt.
Abkürzung für: Radio-Frequency Identification
Zu Deutsch etwa Identifizierung mithilfe elektromagnetischer Wellen. RFID ermöglicht die kontaktlose Erfassung von Daten.
Bei einem Rootkit handelt es sich um eine Sammlung von Softwarewerkzeugen, die Angreifer einsetzen, um ihre Spuren nach einem erfolgreichen Einbruch in ein System zu verwischen. Sie dienen im Besonderen dazu, zukünftige Aktivitäten wie zum Beispiel das Einloggen des Angreifers zu verbergen und Dateien und Prozesse zu verstecken. Häufig überschreibt das Rootkit auch Systembefehle.
Abkürzung für: Rivest, Shamir und Adleman
RSA ist ein Verfahren der asymmetrischen Verschlüsselung. RSA wurde 1978 von Ron Rivest, Adi Shamir und Leonard Adleman erfunden.
Bei einem Schlüssel (key) im Sinne der Kryptografie handelt es sich um eine Information, die zur Steuerung von Verschlüsselung und Entschlüsselung genutzt wird.
Bei Schlüsselzertifikaten unterscheidet man zwischen dem (qualifizierten) Zertifikat zum Signieren (Signaturzertifikat) und dem Verschlüsselungs- oder Geheimhaltungszertifikat. Beim qualifizierten Zertifikat handelt es sich um das Zertifikat des öffentlichen Signaturschlüssels, beim Verschlüsselungszertifikat handelt es sich um das Zertifikat des öffentlichen Verschlüsselungsschlüssels. Attributszertifikate beinhalten keine Schlüssel.
Der Secoder-Standard wurde von der Deutschen Kreditwirtschaft spezifiziert. Ziel war es, einen einfachen und primär für das Onlinebanking optimierten Chipkartenleser zu definieren, damit Onlinetransaktionen durch eine Datenvisualisierung im Display des Kartenlesers noch besser abgesichert werden können.Ein Secoder-Chipkartenleser verfügt über:
• Secoder-Siegel des ZKA
• Tastatur zur Eingabe vertraulicher Informationen wie der Karten-PIN
• Display zur Anzeige und Überprüfung von Daten, z.B. bei Zahlbetrags bei einer Online-Zahlung mit GeldKarte
• eine intelligente Firewall, z.B. zur Blockierung des Zugriffs auf die Chipkarte bei Missbrauchsverdacht
Abkürzung für: Single Euro Payments Area (Einheitlicher Euro-Zahlungsverkehrsraum)
Um bei dem Markt mehr Wettbewerb und Effizienz zu erreichen und europaweit einheitliche Verfahren und Standards für die Abwicklung von Euro-Zahlungen zu gewährleisten.
IBAN ersetzt dann die nationale Kontokennung.
Diese einfachen Chipkartenlesern verfügen weder über eine eigene Tastatur noch ein Display, daher können die Daten bei der Eingabe des Benutzers auf dem Weg zur Chipkarte über den PC ausgespäht werden.
Leser der Sicherheitsklasse 2 haben eine eigene Tastatur, aber kein eigenes Display. Die Daten werden ohne Umweg über den PC direkt an die Chipkarte weitergegeben und sind so vor Angriffen durch Viren oder Trojanern geschützt.
Lesegeräte der Sicherheitsklasse 3 haben eine Tastatur und ein eigenes Display, auf dem die Daten unmittelbar vor der Signatur noch einmal dargestellt werden. So kann der Benutzer sicherstellen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden.
Chipkartenleser der Klasse 4 verfügen neben der Tastatur und Display über ein personalisiertes Sicherheitsmodul mit RSA-Funktionen. Damit erhält der jeweilige Kommunikationspartner einen sicheren Nachweis darüber, dass ein Kartenleser der Klasse 4 eingesetzt wurde. Der Nachweis wird durch eine zusätzliche Signatur realisiert, die das Sicherheitsmodul des Kartenlesers über die jeweiligen Daten berechnet. Die Einbettung der Kartenlesersignatur in die Anwendung erfolgt durch anwendungsspezifische Zusatzfunktionen im Leser.
Die Sicherheitsklassen der Deutschen Kreditwirtschaft geben bei Chipkartenlesern an, welchen Grad der Sicherheit die Geräte bei der Datenübertragung bieten
Das Signaturgesetz (SigV) definiert in Verbindung mit der Signaturverordnung einen Sicherheitsstandard für digitale Signaturen. Das Signaturgesetz unterscheidet zunächst eine einfache, eine fortgeschrittene und eine qualifizierte elektronische Signatur. Nur die letztgenannte wird im Einzelnen geregelt und gilt damit als signaturgesetzkonform. Die qualifizierte Signatur muss die Identität des Unterzeichners durch ein Zertifikat erkennbar machen und mit einer sicheren Signaturerstellungseinheit erstellt werden. Als sicher gilt die Signaturerstellungseinheit, wenn sie entweder von einer staatlich genehmigten Prüfungsstelle entsprechend evaluiert wurde oder wenn der Hersteller eine entsprechende Sicherheit zusichert. Weiterhin muss sich diese Signaturerstellungseinheit in der alleinigen Verfügung des Unterzeichners befinden. Und schließlich muss der Zertifizierungsdiensteanbieter sichere Infrastrukturen, Verfahren und Technik gemäß dem Signaturgesetz und seiner Anschlussregelungen anbieten.
Auf einer Signaturkarte wird u.a. der private Schlüssel eines Teilnehmers sicher abgelegt, so dass dieser seine Nachrichten elektronisch signieren und entschlüsseln kann.
Zur Überprüfung der digitalen Signatur benötigt Ihre Signaturprüfsoftware den Signaturprüfschlüssel des Absenders. Dieser Signaturprüfschlüssel befindet sich im Zertifikat des Absenders, das mit der signierten Nachricht mitgeschickt wird. Selbsttätig überprüft die Signatursoftware die Gültigkeit und die Herkunft des Zertifikates sowie die Unversehrtheit der signierten Daten und gibt das Ergebnis der Prüfung in einer Meldung aus.
Nehmen wir an, Sie wollen ein Dokument elektronisch signieren: Nachdem Sie die elektronischen Daten erzeugt haben, legen Sie Ihre Signaturkarte in den Kartenleser ein. In Ihrem Anwendungsprogramm klicken Sie den Befehl Dokument signieren an. Sofern es sich um eine zugelassene technische Signaturkomponente handelt, wird Ihnen nun der Inhalt des Dokuments noch einmal angezeigt, nämlich mit Hilfe der so genannten Darstellungskomponente (secure viewer) Ihrer Signaturanwendungssoftware. Prüfen Sie jetzt, was Sie auf dem Bildschirm sehen, denn dies ist der maßgebliche Inhalt für die elektronische Signatur! Wenn Sie nun den Inhalt bestätigen und Signieren wollen, müssen Sie die PIN Ihrer Signaturkarte eingeben.
SmartCard das heißt clevere, intelligente Karte: Der goldene Chip auf der Karte enthält einen „kleinen Computer“ (Prozessor-Chipkarte mit kryptischem Co-Prozessor) samt Betriebssystem „SECCOS“ und kann Daten lesen, speichern, verarbeiten und ausgeben. Diese Intelligenz des Chips wird gezielt eingesetzt, um das Zusammenspiel von Chipkarte, Anwendung (z.B. Online-Banking, bargeldlose Zahlung, E-Ticketing), Chipkontaktiereinheit (z.B. externes Kartenterminal am PC, Kartenleser im Geldautomaten) und Infrastruktur (z.B. Hintergrundsystem des Kreditinstituts, E-Ticketing-System) gegen Missbrauch abzusichern. Wird als Synonym für Chipkarte verwendet.
Abkürzung für: Unerwünschte Werbe E-Mails
Spam ist der Oberbegriff für unerwünscht zugeschickte Werbe E-Mails. Das Wort hat seinen Ursprung im Englischen, wo Spam billiges Dosenfleisch bezeichnet.
Ein Sperrdienst ist eine Dienstleistung eines Trustcenters über den rund um die Uhr die Sperrung von Zertifikaten beauftragt werden kann. Dies ist z.B. dann wichtig, wenn einem Teilnehmer seine Signaturkarte entwendet wurde oder er nicht mehr vertrauenswürdig erscheint.
Eine Sperrliste (CRL) beinhaltet die Informationen von gesperrten Zertifikaten eines Trustcenterdienstanbieters. Eine Sperrung von Zertifikaten erfolgt beispielsweise bei Verlust oder Diebstahl einer Signaturkarte.
Abkürzung für: Sichere Signaturerstellungseinheit
Wurde in der „Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen“ als konfigurierte Software oder Hardware definiert, die zur Speicherung und Anwendung des Signatursschlüssel verwendet wird (Signaturerstellungseinheit) und die Anforderungen des Anhangs III der Richtlinie erfüllt
Abkürzung für: Secure Socket Layer / Transport Layer Security
SSL ist ein standardisiertes Protokoll zur Verschlüsselung von Nachrichten im Internet. Das Protokoll wurde von Netscape entwickelt und sorgt für eine komplexe 128-Bit-Verschlüsselung der Daten.
TLS ist die standardisierte Form von SSL.
Zur Verschlüsselung und zur Entschlüsselung wird derselbe Schlüssel (DES) verwendet. Man spricht auch von private Key communication. Die Schlüsselübergabe bzw. der Schlüsseltausch (Sender/Empfänger) muss über einen sicheren Transportweg erfolgen, da sonst jeder, der in den Besitz des Schlüssels gelangt, die zwischen Sender und Empfänger ausgetauschten Daten lesen könnte. Das symmetrische Verfahren ist etwa 1000-mal schneller als das asymmetrische Verschlüsselungsverfahren. Der DES-Schlüssel wird im PC des Signators für jeden Verschlüsselungsvorgang mit Hilfe von Zufallszahlen neu generiert.
Abkürzung für: Transaktionsnummer
Eine TAN kommt bei elektronischen Prozessen zum Einsatz und dient der Autorisierung einer Transaktion. Beim Onlinebanking kann beispielsweise jede Transaktion nur durch Eingabe einer korrekten TAN durch den Nutzer abgeschlossen werden. Neben dem klassischen TAN-Verfahren gibt es inzwischen auch Erweiterungen wie eTAN (elektronische TAN), iTAN (indizierte TAN) und mTAN (mobile TAN).
Abkürzung für: Technische Richtlinie
Technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechik (BSI), welche die Anforderungen an Chipkartenleser mit nPA-Unterstützung beschreibt.
Triple-DES bedeutet 3-fache Anwendung des DES-Algorithmus. Der Data Encryption Standard (abgekürzt: DES) ist ein häufig eingesetztes symmetrisches Verschlüsselungsverfahren. So werden im DES-DES-Verfahren (abgekürzt: DDV) elektronische Signatur und Verschlüsselung mittels Triple-DES vorgenommen. Im RSA-DES-Hybridverfahren (abgekürzt RDH) erfolgt die Verschlüsselung mittels Triple-DES und die elektronische Signatur mittels RSA. RSA ist ein asymmetrisches Kryptoverfahren, benannt nach seinen Erfindern Rivest, Shamir, Adleman. Ob beim HBCI mit Chipkarte DDV oder RDH zum Einsatz kommen, hängt von der Chipkartengeneration ab.
Trojaner sind Programme, die entweder scheinbar eine nützliche Funktion haben oder sich als Virus unbemerkt auf dem Rechner des Nutzers installieren. Ihr Zweck ist das Ausspionieren von Daten des Benutzers, z. B. durch das Mitprotokollieren von Passworteingaben. Trojaner werden häufig beim Angriff auf Online-Konten eingesetzt.
Trustcenter gewährleisten die allgemeine Sicherheit einer Public Key Infrastruktur und stellen die zentralen Institutionen des Vertrauens dar, indem sie eine verbindliche dedizierte Zuordnung von Schlüsselpaaren zu Personen vornehmen (Zertifizierung). Zertifizierung bedeutet wörtlich genommen Bescheinigung. Trustcenter bescheinigen, dass ein öffentlicher Schlüssel zu dem Eigentümer des Schlüsselpaares gehört. Um diese Zuordnung von Schlüssel und Eigentümer leisten zu können, stellen Trustcenter die Identität ihrer Kunden zuverlässig fest. Hierzu benötigt das Trustcenter die Angaben eines Antragsformulars und die Vorlage eines gültigen Ausweisdokumentes zur Überprüfung der Angaben. Zusätzlich benötigt das Trustcenter eine von dem Antragsteller unterschriebene Kopie dieses Ausweisdokumentes. Erst nachdem das Trustcenter die Identität des Kunden zweifelsfrei festgestellt hat, erstellt es individuell für den Kunden eine Signaturkarte mit den entsprechenden Zertifikaten.
Abkürzung für: Technischer Überwachungs-Verein-Informationstechnik
TÜV Informationstechnik GmbH mit Sitz in Essen bietet Prüfungen und Zertifizierungen von IT-Produkten.
Verschlüsseln schützt Ihre Dokumente vor unbefugter Einsicht Verschlüsselung und Entschlüsselung bedienen sich ebenfalls des Zusammenspiels von privatem und öffentlichem Schlüssel:
Um eine Nachricht zielgerichtet auf eine bestimmte Person hin zu verschlüsseln, nutzt der Absender ein individuelles Merkmal des Empfängers: Nämlich dessen öffentlichen Schlüssel. Zum Öffnen der verschlüsselten Nachricht muss der Empfänger dann wiederum seinen komplementären, also den privaten Schlüssel aktivieren. Da er den privaten Schlüssel stets unter seiner alleinigen Kontrolle hat, kann niemand anders die für ihn bestimmte Nachricht knacken. Auch wenn bei Signatur und Verschlüsselung jeweils öffentlicher und privater Schlüssel zum Einsatz kommen, so enthält doch jedes qualifizierte Zertifikat zwei Schlüsselpaare: Das eine zum rechtsverbindlichen Signieren, das andere zum Verschlüsseln und Authentifizieren.
Ein Verzeichnisdienst ist eine Dienstleistung eines Trustcenters. In einem Verzeichnisdienst werden die öffentlichen Schlüssel aller zertifizierten Teilnehmer Online zur Verfügung gestellt. Auf Basis des Verzeichnisdienstes kann dann der Empfänger einer verschlüsselten Nachricht die Authentizität des Senders feststellen.
Ein Virenscanner ist eine Software, die einen Rechner vor schadhaften Programmen wie Viren und Trojanern schützen soll. Da täglich neue Viren in Umlauf kommen, ist eine tägliche Aktualisierung des Virenscanners wichtig. So ist der bestmöglichste Schutz vor diesem Schadcode gewährleistet, dennoch kann es passieren, das ein Computer trotzdem befallen wird, wenn er von einem Virus infiziert wird, der dem Virenscanner noch nicht bekannt ist.
Ein Whitepaper ist ein Dokument, das in einer flüssigen Sprache ohne Marketingballast spezifische Themen behandelt: als (Fall-)Studie, Anwenderbeschreibung, Analyse oder Marktforschung. Das eingegrenzte Thema wird auf bis zu 15 Seiten behandelt. Whitepaper werden zunehmend als Kommunikationsinstrument eingesetzt.
Ein Zeitstempel (time stamp) im Sinne des Signaturgesetzes ist eine mit einer digitalen Signatur versehene digitale Bescheinigung einer Zertifizierungsstelle, dass ihr bestimmte digitale Daten zum entsprechenden Zeitpunkt vorgelegen haben.
Ein Zeitstempeldienst (time stamp service) ist eine Dienstleistung eines Trustcenters mit dem beliebige elektronische Dateien (der Hashwert der Dateien) mit einem Zeitstempel versehen werden können.
Unter Zertifizierung (certification) versteht man den Prozess der eindeutigen Zuordnung eines Schlüsselpaares einer Public-Key-Verschlüsselung zu einer natürlichen Person. Dazu gehören die eindeutige Identifizierung dieser Person und der Nachweis über den Besitz eines öffentlichen Schlüssels.
Ein Zertifizierungsdiensteanbieter ist eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die Zertifikate ausstellt und Signatur- und Zertifizierungsdienste erbringt. Ein Zertifizierungsdiensteanbieter stellt Signaturprodukte und -verfahren bereit, ist für die Ausstellung, Erneuerung und Verwaltung von Zertifikaten verantwortlich (Zertifikatserstellung und -verwaltung). Er ist für die Registrierung der Zertifikatswerber zuständig (Registrierungsstelle), er stellt einen Verzeichnis- und Widerrufsdienst sowie einen Beratungsdienst (kostenpflichtige Hotline) zur Verfügung.
Eine Zertifizierungsstelle (certification authority) ist eine natürliche oder juristische Person, die die Zuordnung von Zertifikaten und öffentlichen Signaturschlüsseln zu natürlichen Personen bescheinigt.
Die Zugangskontrolle ist eine Funktion des Micro-Chips auf der Chiparte. Es bedeutet, dass das Auslösen der Signatur (oder des Entschlüsselns) durch eine Zugangsberechtigung in Form einer PIN gesichert ist.