HBCI / FinTS Standard

Aus Paycenter
Wechseln zu: Navigation, Suche
Hbci fints standard.jpg


HBCI (Home Banking Computer Interface)

Das „Home Banking Computer Interface“ ist mittlerweile ein offener Standard für Finanztransaktionen, mit dem multibankingfähige Finanzsoftware wie beispielsweise
123Banking, StarMoney oder Quicken, mit Bankservern kommunizieren können. Dieses Kommunikationssystem zwischen Bankserver und Kundenrechner, besteht im sichersten Fall aus der HBCI-Chipkarte des Kreditinstituts, einem Kartenlesegerät und einer Banking-Software, wobei die Chipkarte und der Kartenleser beispielsweise beim PIN/TAN Verfahren oder bei Verwendung einer Sicherheitsdatei nicht notwendig sind.

Die Finanzsoftware ist somit über das Internet mit dem jeweiligen Bank-Server verbunden. Will der Kunde nun eine Transaktion durchführen, wird die Überweisung vorerst lokal durch ein Kartenlesegerät und der HBCI-Chipkarte des Kunden und seinem persönlichen PIN-Code bestätigt.

Der PIN-Code dient als elektronische Unterschrift, welche die Identität des Benutzers sicherstellt. Anschließend wird der vorbereitete Auftrag verschlüsselt und an den Bank-Server übertragen, wo er entschlüsselt und bearbeitet wird.

Dieser Auftrag kann nur mit dem privaten Datenschlüssel des Kunden und dem öffentlichen Schlüssel der Bank betrachtet werden. Man kann sich das so vorstellen, als würde man einen Tresor mit einem privaten, für andere unzugänglichen Schlüssel öffnen, ihn mit einem Inhalt versehen und geschlossen zu einer Bank schicken. Diese Bank besitzt den einzigen zweiten Schlüssel und kann auf den Inhalt und die auszuführende Anweisung des Kunden zugreifen und diese bearbeiten.


FinTS (Financial Transaction Services)

Die ersten praxistauglichen Versionen von HBCI bis zur Version 2.2, unterschieden sich bis auf die hinzugefügten Geschäftsvorfälle wenig voneinander.

Das in der HBCI+ Version eingeführte PIN/TAN Verfahren wurde bei HBCI 3.0 zusätzlich neben Signaturkarten als alternative Sicherheitslösung in den HBCI-Standard aufgenommen. Schließlich wurde HBCI 3.0 in FinTS 3.0 umbenannt.

Die Weiterentwicklungen zu FinTS 4.0 und der neuesten Version 4.1 bringen die Umstellung aller internen Datenstrukturen auf XML und XML-Schemata mit sich. Der Gebrauch von XML-Signaturen, XML-Schemata und XML-Namensräumen, erleichtern die Integration mit anderen Zahlungssystemen. Als Kommunikationsprotokoll wird HTTPS verwendet und zahlreiche neue Schnittstellen wurden eingeführt. HBCI 2.2 wird immer noch von vielen Instituten eingesetzt.

Es stellt eine solide Basis für die FinTS-Verarbeitung dar.


HBCI/FinTS Transaktion mit TAN-Generator im Detail

Hbci überweisung tangenerator.jpg
  • Als erstes wird mit einer Banking-Software eine Transaktion angelegt. Dies kann beispielsweise eine Überweisung, eine Umbuchung oder die Einrichtung/Löschung eines Dauerauftrages sein.
  • Der Auftrag wird soweit bestätigt, bis man aufgefordert wird seine Chipkarte in den TAN-Generator zu stecken.
  • Nun hat man die Option des manuellen und optischen chipTAN Verfahrens. Für die optische Variante drückt man auf die F-Taste des Generators und hält ihn auf das optische Feld am Bildschirm. Die Transaktionsdaten werden auf den Generator übermittelt und müssen mit der OK-Taste bestätigt werden. Darufhin wird automatisch eine TAN generiert, die in der Banking-Software eingegeben und bestätigt werden muss. Der Unterschied zum manuellen chipTAN ist lediglich, dass dort nachdem die Karte in den Generator gesteckt wurde die TAN-Taste gedrückt wird und die Transaktionsdaten manuell eingetippt werden.
  • Im nächsten Schritt werden die Daten verschlüsselt an den Server der Bank übertragen.
  • Sind die Daten angekommen, werden sie dort wieder entschlüsselt und mit den bei der Bank hinterlegten Stammdaten verglichen.
  • Bei einer Übereinstimmung wird die Transaktion durchgeführt.


Anmerkungen:

Beim Bezahlen mit einem Chipkartenlesegerät, zum Beispiel in einem Supermarkt, wird beim zweiten Schritt nur die persönliche PIN eingegeben und bestätigt. Die PIN dient als elektronische Unterschrift und ist somit als Legitimation zu sehen.

Bei einer Transaktion per Banking-App, wird im zweiten Schritt ebenfalls nur die PIN eingegeben, woraufhin eine TAN zur Bestätigung der Transaktion mit einem geeigneten TAN-Verfahren generiert wird.

Beim altmodischen und unsicheren PIN/TAN Verfahren, wird die TAN im zweiten Schritt einer Liste entnommen, die man von der Bank erhalten hat. Diese Methode ist allerdings aufgrund der Sicherheitsmängel nicht mehr zu empfehlen.




Img logo 2.jpg

Konnten Sie keine Antwort finden?

Lassen Sie es uns wissen!

Bitte klicken Sie hier, um uns bei der Verbesserung

unseres Wikis zu helfen und uns Ihre Meinung mitzuteilen.