imported>AQ am 22. August 2025 um 18:27 Uhr

2025-08-22T18:27:56Z

Neue Seite

'''Homebanking Computer Interface''' ('''HBCI''') ist ein offener [[Standard]] für den Bereich [[Electronic Banking]] und Kundenselbstbedienung. Er wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschuss (ZKA; heute [[Die Deutsche Kreditwirtschaft]]) beschlossen. HBCI ist eine standardisierte Schnittstelle für das Homebanking. Dabei werden Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren definiert.

Seit der Version 3.0 wurde HBCI in '''Financial Transaction Services (FinTS)''' umbenannt.

Für Geschäftskonten wird [[EBICS]] bevorzugt, da es (aufgrund des verpflichtenden [[Abkommen über die Datenfernübertragung zwischen Kunden und Kreditinstituten|DFÜ-Abkommens]]) in Deutschland von allen Kreditinstituten unterstützt wird<ref>{{Internetquelle |url=https://www.ebics.de/de/startseite |titel=Startseite - EBICS |abruf=2024-03-27}}</ref> und auch in Frankreich, der Schweiz und Österreich weit verbreitet ist. Für [[Kreditkarte]]n-, [[Devisen]]- und ähnliche Konten gibt es bisher keine einheitliche Schnittstellen, weshalb Entwickler dort meist auf die Schnittstellen einzelner Anbieter angewiesen sind oder auf [[Screen Scraping]] zurückgreifen müssen.

== Technische Merkmale ==
Herausragende Merkmale von HBCI sind die Bankenunabhängigkeit, die Providerunabhängigkeit und die öffentliche Verfügbarkeit des Standards. Dadurch ist es prinzipiell jedem Programmierer oder Softwarehersteller möglich, eine Implementierung der Client-Seite von HBCI zu erstellen und damit auf alle HBCI-fähigen Banken zuzugreifen. Der Standard sieht dazu mehrere Möglichkeiten der Authentifizierung vor. Inzwischen stellen eine Vielzahl von Anbietern die notwendigen Softwarebausteine bereit.

HBCI kann ohne zusätzliche Hardware mit PIN und TAN (heute iTAN) softwareimplementiert arbeiten. Kryptographische [[Schlüssel]] werden dann z. B. in Dateien gespeichert. Bei der Eingabe wird eine Datenverbindung vom Computer zur Bank aufgebaut. Diese Verbindung nutzt je nach HBCI-Version entweder ein eigenes HBCI-Protokoll auf TCP-Port 3000<ref>HBCI Homebanking-Computer-Interface – Schnittstellenspezifikation – VIII.6.2 TCP/IP</ref> oder das für Webseiten übliche Protokoll [[Hypertext Transfer Protocol Secure|HTTPS]].

Einen höheren Sicherheitsstandard bietet HBCI mit [[Chipkarte]]. Der Schlüssel wird hierbei von der Chipkarte selbst erzeugt und ausschließlich auf dieser gespeichert. Damit dieser nicht kompromittiert werden kann, ist der Schlüssel von außen nicht auslesbar. Die gesamte kryptografische [[Verschlüsselung]] findet daher auf der Chipkarte statt und wird von deren [[Prozessor]] ausgeführt. Die hierbei zum Einsatz kommenden Verfahren sind das symmetrische [[Data Encryption Standard|DES]]-DES-Verfahren (DDV) und das teilasymmetrische [[RSA-Kryptosystem|RSA]]-DES-Hybridverfahren (RDH). Die HBCI-Chipkarten werden dementsprechend der Verfahren nach als DDV-Karten und RDH-Karten bezeichnet und unterschieden.

=== Entwicklungsgeschichte ===
{{Belege fehlen| „die sich bis auf hinzugefügte Geschäftsvorfälle relativ wenig voneinander unterschieden“ ist sehr schwammig formuliert und eine Quelle fehlt}}
HBCI wurde in praxistauglicher Form erstmals im Jahre 1998 als Version 2.01 veröffentlicht; Entwürfe reichen bis ins Jahr 1995 zurück. Es folgten die Versionen 2.1 (1999) und 2.2 (2000), die sich bis auf hinzugefügte Geschäftsvorfälle relativ wenig voneinander unterschieden.<ref>ZKA {{Webarchiv|url=http://www.hbci-zka.de/dokumente/diverse/Unterstuetzung_von_GV-Versionen.pdf |wayback=20120127183255 |text=HBCI/FinTS Versionen Vergleich |archiv-bot=2019-09-10 21:33:44 InternetArchiveBot }} (PDF; 27 kB)</ref>

In der Zeit zwischen HBCI 2.2 und HBCI 3.0 hatte der [[Deutscher Sparkassen- und Giroverband|Deutsche Sparkassenverband]] eine Version namens ''HBCI+'' eingesetzt, bei dem ein PIN/TAN-Sicherheitsverfahren genutzt wurde.

Im Jahre 2002 wurde die HBCI Version 3.0 veröffentlicht, in der das PIN/TAN-Verfahren aus HBCI+ als alternative Sicherheitslösung in den HBCI-Standard aufgenommen, sowie [[Elektronische Signatur|Signaturkarten]] hinzugefügt wurde. Abgesehen davon galten die Strukturen aus den Vorversionen in ähnlicher Form weiter. HBCI 3.0 wurde in [[Financial Transaction Services|FinTS]] 3.0 (Financial Transaction Services) umbenannt.

Schließlich wurde im Jahre 2004 die Version FinTS 4.0 eingeführt. In dieser Version wurden alle internen Datenstrukturen auf [[Extensible Markup Language|XML]] und [[XML Schema|XML-Schemata]] umgestellt, [[Hypertext Transfer Protocol Secure|HTTPS]] als Kommunikationsprotokoll verwendet und weitere neue Schnittstellen (zum Beispiel WWW-Portale) eingeführt.

Nach einer zunächst zögerlichen Einführung wird HBCI seit 2002 von ca. 2000 Banken in Deutschland angeboten, also rund der Hälfte der deutschen Banken. Obwohl ursprünglich auch eine internationale Verwendung des Standards angestrebt war, blieb HBCI rein auf den deutschen Bankenmarkt beschränkt.

=== Verbesserungen der Sicherheit durch Nutzung von Chipkartenlesern ===
Homebanking mit HBCI-[[Chipkarte]] und einem [[Chipkartenleser]], der die PIN-Eingabe (Sicherheitsklasse 2 oder höher) unterstützt, bietet ein höheres Maß an Sicherheit. HBCI mit Chipkarte und Kartenleser nach [[Secoder]]-Standard gelten derzeit als das Nonplusultra an Sicherheit, wobei die jeweilige Bank sowie die Homebanking-Software die Secoder-Erweiterung für HBCI unterstützen müssen.<ref>ZKA [http://www.hbci-zka.de/dokumente/spezifikation_deutsch/fintsv3/FinTS_3.0_Security_Alternative_Sicherheitsverfahren_Rel_20130122_final_version.pdf Spezifikation FinTS 3.0 Alternative ZKA Sicherheitsverfahren] (PDF; 1,2 MB)</ref> Erfolgreiche Angriffe auf diese Konfiguration sind unbekannt. Die nachfolgend genannten theoretischen Angriffsszenarien gelten nur für Kartenleser, die '''nicht''' dem Secoder-Standard entsprechen:

Theoretisch könnte ein Schadprogramm das verwendete Homebanking-Programm manipulieren, so dass dieses statt des angezeigten und erteilten Auftrags heimlich, also für den Benutzer zunächst nicht nachvollziehbar, einen veränderten Auftrag signiert und an den Server der Bank sendet. Die Bank wird den Auftrag ausführen, sofern er korrekt signiert wurde. Allerdings ist so ein Fall noch nicht bekannt geworden – aus gutem Grund: Angreifer nutzen wegen der Streuwirkung in der Regel Sicherheitslücken in Betriebssystemen oder oft genutzten Programmen wie Browsern. Für das vorgenannte Angriffsszenario müsste das Schadprogramm ganz spezifisch auf ein bestimmtes Homebanking-Programm zugeschnitten werden. Da Homebanking im Vergleich zu online-Banking viel seltener genutzt wird und diverse Programme in Konkurrenz stehen, stünde der erhebliche Aufwand aufgrund der kleinen Zielgruppe in einem ungünstigen Verhältnis zum „Nutzen“ – was derartige Angriffe extrem schwierig und damit unwahrscheinlich macht.

Der Kartenleser ist nicht an der Verschlüsselung der eigentlichen Überweisung beteiligt, sondern verschlüsselt lediglich die vom Homebanking-Programm erzeugte Signatur der Überweisung. Dies stellt noch eine Schwäche des Systems dar. Genauso wie die meisten Homebanking-Methoden ist Homebanking per HBCI und Kartenleser also nur unter der Annahme sicher, dass das verwendete Homebanking-Programm auf dem PC nicht durch Angreifer manipuliert werden konnte.

Allerdings kann beim Chipkarten-Verfahren weder der kryptographische Schlüssel der Karte ausgelesen werden, noch ist das Belauschen der PIN-Eingabe mit einem [[Keylogger]] oder [[Trojanisches Pferd (Computerprogramm)|Trojaner]] möglich. Gänzlich unmöglich ist [[Phishing]] bei diesem Verfahren deshalb aber nicht, obwohl man zum erfolgreichen Ausführen einer Transaktion im Besitz der elektronischen Signatur sein muss, d. h. die Chipkarte prinzipiell besitzen muss.

Eine Alternative zum HBCI-Chipkarten Verfahren bieten Verfahren mit [[Transaktionsnummer#TAN-Generator|TAN-Generatoren]].

=== Sicherheitslücken ===
{{Belege fehlen|1=teilweise Plagiat von Website [http://www.anwaltzentrale.de/rechtsanwalt_fachartikel/fachartikel_detail_druck.php?id=848&Fachgebiet_id=17 www.anwaltzentrale.de]}} Im September 2001 gelang es Hackern im Auftrag der ARD-Sendung ''Ratgeber Technik''<ref>{{Webarchiv|url=http://www.verbrauchernews.de/artikel/0000009460.html |wayback=20160214031643 |text=Unsicheres Online-Banking: ARD lässt Bankrechner „hacken“ |archiv-bot=2019-04-17 19:39:42 InternetArchiveBot }} Abgerufen am 14. Februar 2016.</ref> erstmals, einen HBCI-Server der Münchner [[Hypovereinsbank]] mit Hilfe von Trojanern so zu manipulieren, dass die nach dem damaligen HBCI-Standard versandten Überweisungsaufträge mit allen notwendigen Informationen abgefangen und entschlüsselt werden konnten. Obwohl die HBCI-Version aus dem Jahre 2001 bald darauf als überholt galt, gelang es Hackern im Auftrag der HR-Sendung ''Trends'' im Mai 2005 erneut, einen HBCI-Server, nun der [[Dresdner Bank]], zu knacken. Hintergrund dieses Angriffes war, dass die Chipkarte kopiert und durch nichtautorisierte Dritte eingesetzt werden konnte.

Beim heutigen HBCI-Standard werden die Transaktionen nicht mehr mit einer TAN legitimiert. Vielmehr signiert der Bankkunde eine Prüfsumme seiner Transaktionsdaten mit seinem geheimen, auf der Karte gespeicherten Schlüssel und schickt diese Daten an die Bank. Da der Signaturvorgang in der Karte erfolgt (aus der man den geheimen Schlüssel nicht auslesen kann), kann ein Angreifer dem Server der Bank keine autorisierte Transaktion vortäuschen.

Eine weitere Sicherheitshürde besteht darin, dass der Bankkunde, um den Vorgang freizuschalten, zum Signieren außerdem seine PIN eingeben muss.

=== Bestandteile des Standards ===
HBCI spezifiziert im Wesentlichen zwei große Teilbereiche des Online-Banking: Einerseits werden mehrere ''Sicherheitsverfahren'' zur Authentifizierung und Verschlüsselung der Aufträge definiert, zum Beispiel Chipkarten oder PIN/TAN. Andererseits sind mit ''Geschäftsvorfällen'' Datenformate und Abläufe für die Ausführung einzelner Bankgeschäfte festgelegt, zum Beispiel ''Einzelüberweisung'', ''Umsatzabruf eines Kontos'', ''Änderung eines Dauerauftrags'' etc.

== Sicherheitsverfahren ==

=== RSA-Schlüsseldiskette ===
HBCI unterstützt Disketten oder andere Datenträger als Sicherheitsmedium für ein selbsterzeugtes [[RSA-Kryptosystem|RSA]]-Schlüsselpaar. Die Transaktionen werden dabei durch eine [[digitale Signatur]] gegen unautorisierte Änderungen geschützt.

Zum Zeitpunkt der ersten HBCI-Veröffentlichung war eine Diskette noch das vorherrschende beschreibbare Wechselmedium, so dass oft von der „Schlüsseldiskette“ die Rede ist (alternativ: „Schlüsselmedium“), so kann auch jedes andere Speichermedium (zum Beispiel USB-Stick oder RSA-Chipkarte) genauso gut zur Anwendung kommen.

Für die Authentifizierung wird dabei in der Software des Kunden ein [[RSA-Kryptosystem|RSA]]-Schlüsselpaar mit 768 Bit Schlüssellänge erzeugt (HBCI2.x; ab FinTS3.0 auch 1024 bis 2048 Bit, genannt „Sicherheitsklasse RDH-2/3/4“). Danach wird vom Benutzer ein elektronischer Fingerabdruck (''fingerprint'') des öffentlichen [[Elektronische Signatur|Signaturschlüssels]] auf Papier ausgedruckt und unterschrieben an die Bank gesendet. Gleichzeitig wird der öffentliche RSA-Schlüssel elektronisch an den HBCI-Server der Bank gesendet. Die Bank kann anhand des unterschriebenen ''fingerprints'' sicherstellen, dass der elektronisch eingereichte Schlüssel auch tatsächlich und ausschließlich vom unterschreibenden Bankkunden stammt. Damit ist der selbsterzeugte Schlüssel auf sichere Weise authentifiziert und kann nun zur Signatur jedes Auftrages verwendet werden.

Zur Nachrichtenverschlüsselung kommt ein 2Key-[[Data Encryption Standard#Triple-DES|Triple-DES]]-Verfahren zum Einsatz. Für jede Nachricht wird ein neuer 112-Bit-Einmalschlüssel generiert, der dann mit dem dauerhaften RSA- oder DES-Schlüssel verschlüsselt wird. Diese Vermischung des RSA- und DES-Verfahrens wird im HBCI-Standard als [[RSA-DES-Hybridverfahren]] (RDH) bezeichnet.

Das Speicherformat des RSA-Schlüssels auf dem Datenträger ist nicht im HBCI-Standard spezifiziert. Das Datenformat und ein Schutz des Sicherheitsmediums per [[Persönliche Identifikationsnummer|PIN]] wird von jedem Software-Hersteller alleine festgelegt, was häufig dazu führt, dass selbsterzeugte Schlüssel einer HBCI-Software nicht von konkurrierenden HBCI-Programmen weiterverwendet werden können.

=== DES-Chipkarte ===
[[Datei:Reiner chipkartenleser.jpg|mini|HBCI-[[Chipkartenleser]] der Sicherheitsklasse 2]]
Die Authentifizierung einer Chipkarte geschieht implizit dadurch, dass dem Bankkunden die Chipkarte überreicht wird. Die [[Data Encryption Standard|DES]]-Chipkarte enthält dabei Triple-DES-Schlüssel der Länge 112 Bit.

Wie auch beim eben beschriebenen RDH-Verfahren erfolgt die Verschlüsselung der zu übertragenden Daten nach dem 2Key-Triple-DES-Verfahren, das für die Verschlüsselung zwei DES-Schlüssel mit je 56 Bit verwendet. Die Kommunikationsdaten werden zuerst mit dem ersten Schlüssel verschlüsselt, dann wird der Entschlüsselungs-Algorithmus mit dem zweiten Schlüssel auf das Zwischenresultat angewendet und dieses Zwischenresultat mit dem ersten Schlüssel verschlüsselt. Die Entschlüsselung der Daten auf der Empfängerseite erfolgt nach demselben Prinzip in umgekehrter Reihenfolge. Der gesamte [[Data Encryption Standard|DES]]-Schlüssel hat eine Länge von 112 Bit. Durch die Verwendung von zwei Schlüsseln dieser Länge in der beschriebenen Weise wird die Sicherheit der Daten nicht verdoppelt, sondern potenziert.

=== RSA-Chipkarte ===
Bei einer RSA-Chipkarte ergeben sich die gleichen Abläufe wie bei einer Schlüsseldiskette, außer dass der erzeugte RSA-Schlüssel durch den Prozessor auf der RSA-Chipkarte erzeugt wird und der private Schlüssel dadurch nie die Chipkarte verlässt. Dies macht dieses Verfahren besonders sicher, allerdings sind RSA-Chipkarten noch immer recht teuer.

=== PIN/TAN ===
HBCI 2.2 wurde (zunächst inoffiziell) um das [[Persönliche Identifikationsnummer|PIN]]/[[Transaktionsnummer|TAN]]-Verfahren erweitert. Man sprach hierbei von HBCI 2.2 PIN/TAN oder auch HBCI+. Ab der Version FinTS 3.0 können HBCI-Aufträge auch offiziell mit dem PIN/TAN-Verfahren authentifiziert werden. Die in HBCI+ und FinTS 3.0 verwendeten Varianten des PIN/TAN-Verfahrens unterscheiden sich jedoch voneinander.

Die Datenübertragung erfolgt über eine gesicherte [[Hypertext Transfer Protocol Secure|HTTPS]]/[[Transport Layer Security|SSL]]-Verbindung, welche von [[Firewall]]s meistens zugelassen wird ([[Port (Netzwerkadresse)|Port]] 443). Dies stellt einen gewissen Vorteil dar gegenüber dem bisherigen HBCI, welches die Freischaltung von Port 3000 benötigte. Dieses Verfahren nutzt die Vorteile von HBCI zusammen mit der gewohnten Handhabung von TAN-Listen, was besonders aus Sicht der Banken eine Vereinfachung des HBCI-Zugangs bedeutet.

Allerdings verliert man einige Sicherheitsvorteile von HBCI, zum Beispiel werden die Transaktionen bei PIN/TAN nicht mehr elektronisch signiert. Ein weiteres Problem ist das verstärkte Auftreten von [[Phishing]] nach PIN und TAN, also dem Erschleichen von PIN und TAN durch Trickbetrug. Trotzdem bieten immer mehr Kreditinstitute diesen Übertragungsweg an, besonders da bisherige PIN/TAN-Zugänge den veralteten Zugang über T-Online Classic ([[Bildschirmtext|BTX]]) verwendeten, dessen Betrieb nur noch für Banking-Anwendung aufrechterhalten wurde und mit dementsprechend steigenden Kosten verbunden war.

== Geschäftsvorfälle ==
Der HBCI-Server einer Bank meldet mittels Bank-Parameter-Daten (BPD), welche [[Geschäftsvorfall|Geschäftsvorfälle]] diese Bank im Allgemeinen, und mittels User-Parameter-Daten (UPD), welche sie für einen Benutzer im Speziellen erlaubt.

=== Liste von HBCI-Geschäftsvorfällen ===
{{Belege fehlen| Wie wurden die Daten ermittelt? Woher kommen sie?}}
Verfügbare und unterstützte Bankparameter laut ZKA und Server Rückmeldung der jeweiligen Bank.
{| class="wikitable"
|-
! Kennung !! Name !! Spk Ha 450 500 01 !! Postbank Do 440 100 46
|-
| DKPAE || PIN online ändern || x || x
|-
| HIISA || Übermittlung eines öffentlichen Schlüssels || - || -
|-
| HIKIM || Kreditinstitutsmeldung || - || -
|-
| HIPRO || Statusprotokoll rückmelden || - || -
|-
| HIPROS || Statusprotokoll Parameter || - || -
|-
| HISYN || Synchronisierungsantwort || - || -
|-
| HKAOM || [[Europäische Union|EU]]-[[Überweisung (Zahlungsverkehr)|Überweisung]] || x || x
|-
| HKAUB || [[Auslandsüberweisung]] || - || -
|-
| HKCAN || Kontoumsätze/neue Umsätze (camt) || - || -
|-
| HKCAZ || Kontoumsätze im Format camt anfordern / Zeitraum || - || -
|-
| HKCCS || [[Europäischer Zahlungsraum|SEPA]]-Zahlung || x || x
|-
| HKDAB || Dauerauftragsbestand holen || x || x
|-
| HKDAE || [[Dauerauftrag]] einrichten || x || x
|-
| HKDAL || Dauerauftrag löschen || x || x
|-
| HKDAN || Dauerauftrag ändern || x || x
|-
| HKECA || Kontoauszug (camt) || - || -
|-
| HKEKA || [[Kontoauszug]] abholen || x || x
|-
| HKEND || Dialogende || - || -
|-
| HKFPO || Festpreisorder (Eigenhandel) || - || -
|-
| HKIDN || Identifikation || - || -
|-
| HKISA || Anforderung eines öffentlichen Schlüssels || - || -
|-
| HKKAN || Neue Kontoumsätze holen || - || -
|-
| HKKAU || Übersicht Kontoauszüge holen || - || x
|-
| HKKAZ || Kontoumsätze holen || x || x
|-
| HKKDM || Kundenmeldung || x || -
|-
| HKLAS || [[Lastschrift|Einzellastschrift]] || - || -
|-
| HKLSW || Lastschriftwiderspruch || x || -
|-
| HKNEZ || Neuemission zeichnen (Neuemissionen) || - || -
|-
| HKOAN || Orderanzeige anfordern || - || -
|-
| HKPPD || [[Guthabenkarte|Handykarte]] aufladen || x || -
|-
| HKPRO || Statusprotokoll holen || - || x
|-
| HKQTG || Quittung senden || - || -
|-
| HKSAL || Saldo holen || x || x
|-
| HKSLA || [[Sammellastschrift]] || - || -
|-
| HKSLB || Terminierte Sammellastschrift Bestand || - || x
|-
| HKSLE || Terminierte Sammellastschrift einreichen || - || x
|-
| HKSLL || Terminierte Sammellastschrift löschen || - || x
|-
| HKSPA || SEPA-Kontoverbindung anfordern || x || x
|-
| HKSSP || Schlüsselsperre || - || -
|-
| HKSTP || Euro-[[Straight Through Processing|STP]]-Überweisung || - || -
|-
| HKSUB || [[Sammelüberweisung]] || x || x
|-
| HKSYN || Synchronisierungsnachricht || - || -
|-
| HKTAB || TAN-Medien-Bestand anzeigen || x || x
|-
| HKTAU || TAN-Generator an-/ummelden || x || -
|-
| HKTAZ || TAN-Liste anzeigen || x || -
|-
| HKTML || TAN-Medium deaktivieren/löschen || - || -
|-
| HKTSB || Terminierte Sammelüberweisung Bestand || x || x
|-
| HKTSE || Terminierte Sammelüberweisung einreichen || x || x
|-
| HKTSL || Terminierte Sammelüberweisung löschen || x || x
|-
| HKTUA || Terminüberweisung ändern || x || -
|-
| HKTUB || Bestand an Terminüberweisungen holen || x || x
|-
| HKTUE || Terminüberweisung einrichten || x || x
|-
| HKTUL || Terminüberweisung löschen || x || x
|-
| HKUEB || Einzelüberweisung || x || x
|-
| HKUMB || [[Umbuchung]] || - || -
|-
| HKVVB || Verarbeitungsvorbereitung || - || -
|-
| HKWFO || Fondsorder (Fonds) || - || -
|-
| HKWPD || Wertpapierdepotaufstellung holen || - || -
|-
| HKWPK || Wertpapierkursabfrage || - || -
|-
| HKWPO || Wertpapierorder (Aktien, Renten, Optionsscheine) || - || -
|-
| HKWPR || Wertpapierreferenznummern holen || - || -
|-
| HKWPS || Orderstreichung || - || -
|-
| HKWSD || Wertpapierstammdaten anfordern || - || -
|-
| HKWSO || Orderstatus anfordern || - || -
|}

== {{Anker|FinTS}}FinTS – die Weiterentwicklung von HBCI ==
Im Jahre 2002 wurde die Weiterentwicklung von HBCI als ''FinTS Version 3.0'' veröffentlicht.
FinTS steht für „'''Fin'''ancial '''T'''ransaction '''S'''ervices“.

Bereits unter HBCI 2.2 waren seitens der Institute des [[Deutscher Sparkassen- und Giroverband|DSGV]] verbandsspezifische Geschäftsvorfälle unter dem Namen „HBCI-Erweiterung PIN/TAN“ entwickelt und eingesetzt worden. Diese Geschäftsvorfälle wurden dann den Instituten der anderen Verbände des [[Die Deutsche Kreditwirtschaft|ZKA]] zur eigenen Verwendung zur Verfügung gestellt. In der Version FinTS 3.0 wurde dieses Verfahren schließlich als alternative Sicherheitslösung in den ZKA-weiten FinTS-Standard aufgenommen.<ref>{{Internetquelle |url=http://wirtschaftslexikon.gabler.de/Archiv/5965/financial-transaction-services-fints-v5.html |titel=Financial Transaction Services |hrsg=Gabler Wirtschaftslexikon |zugriff=2012-11-22}}</ref>

FinTS beinhaltet Sicherheitsverfahren mit elektronischer Signatur ([[Chipkarte]] oder selbsterzeugte [[RSA-Kryptosystem|RSA]]-Schlüsseldiskette) sowie das Sicherheitsverfahren [[Persönliche Identifikationsnummer|PIN]]/[[Transaktionsnummer|TAN]].<ref name="hbci-zka.de">{{Internetquelle |url=http://www.hbci-zka.de/ |titel=Financial Transaction Services |hrsg=hbci-zka.de |zugriff=2012-11-22}}</ref> FinTS versteht sich als Baukastensystem aus dem zugrundeliegenden FinTS-Protokoll, Sicherheitsverfahren, Geschäftsvorfällen und Finanzdatenformaten. Die verschiedenen Bauteile werden jeweils in eigenen Spezifikationsbänden einzeln definiert. Der Einsatz einzelner Geschäftsvorfälle ab der HBCI-Version 2.0.1 ist dabei nicht an die Version der Spezifikation gebunden, unter der der Geschäftsvorfall ursprünglich veröffentlicht wurde. So kann z. B. ein Geschäftsvorfall aus HBCI 2.2 durchaus unter FinTS 3.0 weiter eingesetzt werden, sofern er selbst sowie ein von ihm transportiertes Fremdformat fachlich bzw. rechtlich noch gültig ist.<ref>{{Internetquelle |url=http://www.hbci-zka.de/dokumente/aenderungen/Unterstuetzung_von_GV-Versionen.pdf |titel=Unterstützung von Geschäftsvorfallversionen |hrsg=hbci-zka.de |zugriff=2013-07-09 |format=PDF; 28 kB}}</ref>

=== FinTS 3.0 – Ausbau der möglichen Sicherheitsverfahren ===
FinTS 3.0 zeichnet sich insbesondere durch die Einführung der [[SECCOS]]-HBCI-Signaturkarte als einheitliches Sicherheitsmedium aus. Mit dieser Signaturkarte kann eine rechtsverbindliche Erklärung im elektronischen Geschäftsverkehr abgegeben werden. Außerdem wurden die Sicherheitsverfahren an den aktuellen Stand der Technik angepasst – zum Beispiel wurde eine Erhöhung der Schlüssellänge vorgenommen. Die bisherige PIN/TAN-Erweiterung wurde in FinTS 3.0 als alternatives Sicherheitsverfahren zu HBCI aufgenommen.

Mit der Einführung von FinTS 3.0 wird die Bezeichnung „HBCI“ für eine bestimmte Gruppe der Sicherheitsverfahren verwendet, in denen die Chipkarten und RSA-Schlüsseldateien als „HBCI-Sicherheitsverfahren“ bezeichnet werden und vom PIN/TAN-Sicherheitsverfahren unterschieden werden. In den vorigen Versionen stand die Bezeichnung „HBCI“ allerdings für die Gesamtheit der Geschäftsvorfälle zusammen mit allen bekannten Sicherheitsverfahren. Insofern wäre es durchaus angemessen, von einer ''Umbenennung'' von HBCI in [[Financial Transaction Services|FinTS]] zu sprechen.

=== FinTS 4.0 – der Wechsel zur XML-Syntax ===
Mit FinTS 4.0 wurde die zugrundeliegende Nachrichtensyntax des Protokolls auf den vom [[World Wide Web Consortium|W3-Konsortium]] spezifizierten [[Extensible Markup Language|XML-Sprachstandard]] umgestellt. Durch den konsequenten Gebrauch von [[XML Signature|XML-Signaturen]], [[XML Schema|XML-Schemata]] und XML-[[Namensraum|Namensräumen]] wird die Integration mit anderen Zahlungssystemen erleichtert.<ref>{{Internetquelle |url=http://www.itwissen.info/definition/lexikon/financial-transaction-service-FinTS.html |titel=Financial Transaction Services |hrsg=itwissen.de |zugriff=2012-11-22 |archiv-url=https://web.archive.org/web/20130111184101/http://www.itwissen.info/definition/lexikon/financial-transaction-service-FinTS.html |archiv-datum=2013-01-11 }}</ref> Darüber hinaus wurden die Möglichkeiten der Kommunikation zwischen Homebanking-Client und Banksystem weiter flexibilisiert. So wurde die Möglichkeit [[asynchrone Kommunikation|asynchroner Kommunikation]] (via [[Simple Mail Transfer Protocol|SMTP]]) geschaffen. Auch kann nun das Banksystem von sich aus aktiv werden und dem Homebanking-Kunden zuvor von diesem abonnierte Informationen (zum Beispiel dessen Kontoumsätze) in einem vom Kunden festgelegten Turnus zusenden.

=== FinTS 4.1 ===
Im November 2018 wurde die Version 4.1 veröffentlicht und Version 4.0 nicht mehr weiter entwickelt.<ref>{{Internetquelle |url=https://www.hbci-zka.de/spec/4_1.htm |titel=FinTS-Spezifikation Version 4.0 |abruf=2019-05-12}}</ref>

=== Verwendung ===
FinTS 4.1 und 4.0 wurden von den meisten Banken nicht implementiert<ref>[https://www.hbci-zka.de/register/bedingungen_bankenliste.htm FinTS-Bankenliste] (nicht öffentlich zugängig) abgerufen am 18. Oktober 2023.</ref>. Einzig der [[Bank-Verlag]] hat eine Implementierung registriert. Der Grund dafür ist, dass FinTS 3.0 von den Banken bereits implementiert wurde und daher kein Bedarf bestand, auf einen neueren Standard zu wechseln.

=== Abschaltung ===
Mit Einführung der [[Zahlungsdiensterichtlinie#Überarbeitete Zahlungsdiensterichtlinie (PSD2)|Überarbeiteten Zahlungsdiensterichtlinie (PSD2)]] wurden die Banken zu deren Implementierung verpflichtet. Bis dies umgesetzt wurde, müssen die Banken einen Notfallmechanismus bereitstellen, was von den deutschen Banken durch FinTS getan wurde.
Sobald die Banken eine Schnittstelle im Sinne der PSD2 geschaffen haben, können sie eine ''Ausnahmegenehmigung von der Bereitstellung eines Notfallmechanismus''<ref>[https://www.bafin.de/DE/Aufsicht/ZahlungsdienstePSD2/Kontoschnittstellen/Ausnahmegenehmigungen/Ausnahmegenehmigungen_node.html Erteilte Ausnahmegenehmigungen von der Bereitstellung eines Notfallmechanismus], abgerufen am 18. Oktober 2023.</ref> beantragen, was dazu führt, dass die Banken mit der Bewilligung der Ausnahmegenehmigung FinTS abschalten dürfen und es aus Kostengründen auch in der Regel tun.

== Siehe auch ==
* [[Electronic Banking Internet Communication Standard]] (EBICS)
* [[Zahlungsdiensterichtlinie|Zahlungsdiensterichtlinie bzw. Payment Services Directive (PSD)]], insbesondere [[Zahlungsdiensterichtlinie#Überarbeitete Zahlungsdiensterichtlinie (PSD2)|PSD2]]

== Literatur ==
* Ulrich Schulte am Hülse, Sebastian Klabunde: ''Das Abgreifen von Bankzugangsdaten im Online-Banking – Zur Vorgehensweise der Täter und neue zivilrechtliche Haftungsfragen des BGB.'' In: ''[[Multimedia und Recht]] (MMR).'' 13. Jg., Nr. 2, 2010, {{ISSN|1434-596X}}, S. 84–90.

== Weblinks ==
* [http://www.hbci-zka.de/spec/spezifikation.htm Homebanking-Computer-Interface (HBCI/FinTS) Schnittstellenspezifikationen]
* [https://fints.org FinTS - Financial Transaction Services (Die Deutsche Kreditwirtschaft)]

== Einzelnachweise ==
<references />

[[Kategorie:Netzwerkprotokoll (E-Banking)]]

Homebanking Computer Interface - Versionsgeschichte

imported>AQ am 22. August 2025 um 18:27 Uhr