FinTS / HBCI

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

FinTS steht für Financial Transaction Services und ist die Weiterentwicklung des 1995 erstmals vom ZKA (Zentraler Kreditausschuss) veröffentlichten Standards "Homebanking Computer Interface (HBCI)". Nach der Verabschiedung der Startversion 1.0 Ende 1996 folgten bis zum Jahr 2002 die Versionen 2.0 (1997), 2.0.1 (1998), 2.1 (1999), 2.2 (2000). FinTS 3.0 wurde 2002 veröffentlicht, aktuell (5.2008) liegt FinTS 4.0 vor. Mit dieser Version wurde der Standard komplett in XML spezifiziert. FinTS wird damit kompatibel zu anderen internationalen Finanzdatenstandards http://www.hbci.de

HBCI wurde nach seiner Verabschiedung als Standard zur Kommunikation zwischen Kunden- und Bankenrechnern zur Durchführung von Homebanking-Transaktionen in Deutschland eingeführt. Etwa zur gleichen Zeit wurden vergleichbare Standardisierungen im Ausland begonnen. Von besonderer Bedeutung sind hierbei OFX und IFX.

OFX (Open Financial Exchange) http://www.ofx.net wurde von Microsoft, Intuit und Checkfree geschaffen und ist auf das Internet als Transportmedium zugeschnitten. Die Geschäftsvorfälle wurden für den amerikanischen Markt spezifiziert und sind daher für den deutschen Markt nicht ohne Anpassung nutzbar.

IBM etablierte kurz nach dem Erscheinen von OFX mit GOLD eine konkurrierende Spezifikation. Dies führte auf Initiative amerikanischer Banken zur Gründung eines Konsortiums aus Herstellern und amerikanischen und kanadischen Banken, um Einheitlichkeit auf der Ebene von Geschäftsvorfällen zu erzielen. Diese können dann mit unterschiedlichen Verfahren und Protokollen ausgeführt werden. Der vom Konsortium erarbeitete Standard IFX (Interactive Financial Exchange) liegt in der Version 1.8. vor [http://www.ifxforum.org].

Weitere relevante Standards wurden vom SWIFT-Konsortium [http://www.swift.com]; [http://fixprotocol.org] und der EDIFACT Community vorgelegt http://www.ebxml.org.

Die Inhalte der oben aufgeführten Standards werden sowohl von Hersteller- und Bankeninteressen als auch von Marktentwicklungen und technologischen Neuerungen geprägt. Ob ein Standard ein Erfolg wird, ist nicht nur von der Güte der Spezifikation, sondern auch von der Güte ihrer Umsetzung in Produkte abhängig.

Standards sollten immer auf der Basis eines klar definierten und zwischen den Parteien (Banken, Hersteller, Kunden) abgestimmten Anforderungskatalogs definiert werden. Da die Umsetzung und Verbreitung eines Standards in der Regel einen längeren Zeitraum erfordert, ist es wichtig, auch zukünftige Entwicklungen zu berücksichtigen. Nachfolgend werden die relevanten Anforderungen an einen modernen Standard für das Homebanking genannt und den entsprechenden Inhalten des FinTS Standards gegenübergestellt:

Anforderungen Umsetzung im FinTS Standard
Multibankfähigkeit: Kunden sollen mittels eines standardkonformen Produktes mit jeder Bank Homebanking Transaktionen ausführen können, d.h. Kunden von mehreren Banken sollten mit nur einem Produkt alle Kontoverbindungen verwalten können.

Um die Multibankfähigkeit in Deutschland zu realisieren, haben sich alle Banken und Sparkassen über ihre Dachverbände auf den HBCI Standard geeinigt und 1997 die verbindliche Umsetzung beschlossen. Zur Implementierung wurde eine Übergangsfrist von einem Jahr vereinbart. Obwohl mittlerweile von einem hohen Abdeckungsgrad gesprochen werden kann, blieb die Umsetzung lückenhaft. Als Gründe werden von Herstellern und Banken die Komplexität und der unterschätzte Zeitbedarf für die Implementierung genannt. Obwohl sich das PIN/TAN-Verfahren (PIN, TAN) im BTX-Homebanking trotz der bekannten Sicherheitsprobleme hoher Akzeptanz erfreute, wurde versäumt, dieses Verfahren von Beginn an in den Standard zu übernehmen. Durch proprietäre Implementationen des SSL-Protokolls mit 128 Bit Schlüsselstärke durch deutsche Firmen (z.B. Brokat, MeTechnology, Netlife) wurde das PIN/TAN-Verfahren zum konkurrierenden Marktstandard im Internetbanking. Mittlerweile werden die Hersteller-Implementationen des SSL-Protokolls (heute ebenfalls mit 128 Bit Schlüsselstärke) als ausreichend sicher angesehen und das PIN/TAN-Verfahren im Rahmen browserbasierter HTML-Anwendungen von fast allen Banken angeboten. Erst in der Version FinTS 3.0. wurde PIN/TAN als zusätzliches Sicherheitsverfahren integriert. Insbesondere die Unterstützung der ZKA Banken-Signaturkarte soll sicherstellen, dass sich FinTS als Industriestandard durchsetzt. Die Bereitstellung von rechtsgültigen Signaturen (Digitale Signatur) für das E-Business wird ebenfalls als bedeutsam angesehen. Welche Rolle FinTS im europäischen und internationalen Raum zukünftig spielen wird, ist wegen der konkurrierenden Standards ungewiss. Als richtiger Schritt zur Steigerung der Attraktivität des Standards ist die Verwendung von XML in FinTS 4.0 zu werten.

Unabhängigkeit von einem bestimmten Übertragungsnetz: Insbesondere sollte die Datenschnittstelle unabhängig vom Transportmedium sein, d.h. es sollten nur Nettodaten (ohne eine bestimmte Präsentation) übertragen werden. Damit sinken Datenvolumen und Übertragungskosten. Der Forderung nach Unabhängigkeit von einem bestimmten Übertragungsnetz wird durch eine logische Schichtenbildung Rechnung getragen. Die Definition von zugelassenen Protokollsäulen schränkt diese Unabhängigkeit jedoch wieder ein, denn im Standard wurden zunächst restriktiv drei Zugangsvarianten festgelegt: T-Online Classic, TCP/IP (Port 3000) und HTTPS (für PIN/TAN). Entsprechende Festlegungen sind jedoch notwendig, wenn zwei Kommunikationspartner ohne weitere Abstimmungsprozesse sofort austauschfähig sein sollen. Mit FinTS 4.0 werden nun die Standard-Internetprotokolle HTTP und HTTPS durchgehend für alle Verfahren unterstützt. Die Kommunikation über TCP/IP Port 3000 entfällt mit dieser Version. Mit FinTS 4.0 erfolgte zugleich der Einstieg in Web-Services durch Unterstützung von SOAP und WSDL. Diese Version unterstützt auch die asynchrone Kommunikation mittels SMTP zur Realisierung von Push-Services und Publish / Subscribe Verfahren.Die geforderte Nettodatenschnittstelle wurde mit Dialog- und Blockstruktur ohne Einschränkungen realisiert.
Sicherheit: Durch den Einsatz moderner und leistungsstarker Sicherheitsverfahren sollen die relevanten Sicherheitsziele (Integrität, Nichtbestreitbarkeit, Authentizität, Vertraulichkeit, Validität) auch in offenen und unsicheren Netzen mit einem tragbaren Restrisiko (Kunden, Banken) erreicht werden können.

FinTS bietet heute unterschiedliche Sicherheitsverfahren mit verschiedenen Sicherheitsniveaus an, was die Einführung von geschäftsvorfalls-spezifischen Sicherheitsklassen zur Folge hatte. Folgende Verfahren sind möglich: (1) PIN/TAN mit SSL (2) RDH (asymm. RSA-DES-Hybridverfahren) und (3) DDV (symm. DES-DES-Verfahren) (Verschlüsselung). DDV ist mit dem Nachteil der Nichtbeweisbarkeit der Herkunft versehen und daher kann auch keine rechtsgültige Signatur gebildet werden. Zur sicheren Speicherung der Schlüssel und zur Ausführung sensitiver kryptograpischer Prozesse ist zudem ein Sicherheitsmedium erfordert (ZKA-Chipkarte, eC-Chipkarte (Geldkarte)(Chipkarte)). Beim RDH-Verfahren können die gesamten kryptografischen Funktionen im Endgerät durchgeführt werden. Die Diskussionen über die Internetsicherheit haben jedoch auch für RDH zur Forderung nach Einsatz eines Sicherheitsmediums geführt. Mit FinTS 3.0 wurde die ZKA Banken-Signaturkarte zur Verfügung gestellt, mit der neben den erforderlichen Signaturen von Nachrichten auch rechtsgültige elektronische Unterschriften erzeugt werden können. FinTS stellt damit ein System moderner und leistungsstarker Sicherheitsverfahren mit Ende-zu-Ende-Sicherheitsmechanismen dar, mit dem alle Sicherheitsziele erreicht werden können.

Unabhängigkeit von bestimmten Endgeräten: Homebanking sollte mit PCs und möglichst auch mit Mobiltelefonen und PDAs möglich sein. Aus Banksicht sollte der Standard auch für sonstige Kundensysteme (z.B. SB-Geräte) nutzbar sein. Mit FinTS konnte eine gewisse Unabhängigkeit von Endgeräten erreicht werden. Hierbei müssen zwei Anwendungsfälle unterschieden werden:
(1) Der Einsatz von komplexeren Finanz-Management-Programmen zur zentralen Verwaltung der Bankgeschäfte und
(2) die komfortable Abwicklung von Einzeltransaktionen.
Für den ersten Anwendungsfall sind folgenden Eigenschaften von FinTS von Vorteil: Multibankfähigkeit, Nettodatenübertragung, Flexibilität hinsichtlich Transportdienst und Sicherheitsverfahren. Es sind auch mittlerweile Produkte mit spezifischem Funktionsumfang und eigener Darstellung von Banken auf den Markt gebracht worden. Durch den Einsatz dieser eigenen Kundenprodukte kann erreicht werden, dass die einheitliche Schnittstelle nach FinTS als primärer Zugang dient. Es stehen auch bereits browsergestützte HBCI-Clients zur Verfügung. Dabei sind grundsätzlich zwei Ansätze zu unterscheiden:
(1) Einsatz einer vollständigen HBCI-Implementation, z.B. aus einem Java-Banking-Kernel und lokaler Speicherung der Programme auf Basis der Java Signed Applet Technologie oder
(2) Einsatz von Kryptoklassen als Java-Applets/ActiveX-Controls und Verwenden eines Web-Servers für Business Logik und Präsentation.
Im ersten Fall wird die Finanzsoftware durch die Java-Applikation realisiert, im zweiten Fall steht eine Anwendung mit nur begrenzter Funktionalität zur Verfügung und die Existenz eines Chipkartenlesers oder eines Diskettenlaufwerkes ist erforderlich.
Für Nutzung von Mobiltelefonen gibt es bereits Lösungen am Markt, welche Kontostandsabfragen, Umsatzanzeigen und auch teilweise Überweisungen ermöglichen. Die ersten dafür erstellten WAP-Anwendungen waren zu unkomfortabel, zu langsam und zu teuer. Mit UMTS und WAP 2.0 stehen heute bessere Technologien zur Verfügung. WAP-Anwendungen sind prinzipiell als Browser-Applikationen zu betrachten und im Normalfall wird das PIN/TAN-Verfahren zum Einsatz kommen. Gegen die Verwendung von SMS spricht die fehlende Transportsicherheit.
PDA-Anwendungen gleichen vom Datenfluss her den WAP-Lösungen. Da PDAs die Möglichkeit des Abspeicherns von Schlüsseln bieten, sind bereits Produkte am Markt, die eine vollständige HBCI-Abwicklung ermöglichen.
Da FinTS als reine Datenschnittstelle verwendet wird, kann eine Multikanallösung erstellt werden, die als gemeinsame Datenschnittstelle FinTS verwendet und andere Protokolle in dieses Standardformat umsetzt. Somit ist FinTS auch als Basis für Callcenter-Anwendungen, SB-Geräte und Kiosk-Systeme nutzbar.
Flexibilität und bankspezifische Erweiterbarkeit: Das Angebot an verschiedenen Transaktionen sollte einfach und schnell erweiterbar sein. Neben den Standardtransaktionen sollten auch institutsspezifische Geschäftsvorfälle im Sinne eines differenzierten und/oder erweiterten Angebotes von Banken angeboten werden können. Durch die Definition einer FinTS-Basisfunktionalität und die ständige Weiterarbeit der Verbände an einer Standardisierung neuer Geschäftsarten wird FinTs im Zeitablauf immer attraktiver. Mit FinTS 3.0 kann bereits davon ausgegangen werden, dass alle multibankfähig relevanten Geschäftsvorfälle spezifiziert sind. Es wurden ebenfalls verbandsspezifische Geschäftsvorfälle entwickelt, so dass auch die bankspezifische Erweiterbarkeit gegeben ist. Dies wird unter anderem dadurch erreicht, dass ein Mindestumfang von Datenelementen, der für die reibungslose Abwicklung eines Geschäftsvorfalls nötig ist, als MUSS-Felder definiert ist, wogegen Informationen, die nicht alle Institute verarbeiten können, in optionalen KANN-Feldern abgelegt werden. Dadurch wird zum einen die bankenübergreifende Definition erreicht, zum anderen die Flexibilität nicht eingeschränkt. FinTS V4.0 bietet eine Vielzahl von Erweiterungen, wie z. B. Datagrammverarbeitung, E-Mail/Push-Services oder verteilte Signaturen.
Offenheit: Die Verwendung bereits vorhandener und anerkannter Normen, Standards und Verfahren soll die Kompatibilität zu anderen Produkten herstellen, damit eine vorhandene Standardfunktionalität nicht wiederholt definiert, implementiert, gepflegt und als Software vom Kunden beschafft werden muss. Bei FinTS wird auf eine Reihe anerkannter Normen, Standards und Verfahren zurückgegriffen. Als Beispiel sei nur auf die Verwendung des international anerkannten Zeichensatzes ISO 8859 hingewiesen, womit eine nationale Anpassung möglich wird.

Die Gegenüberstellung von Anforderungen an das Homebanking und Inhalten des FinTS Standards zeigt auf, dass bereits heute FinTS nicht nur die Anforderungen eines multibankfähigen Homebanking gut abdeckt, sondern als Protokoll für alle elektronischen Vertriebswege geeignet ist und daher als Integrationsbasis für ein Multikanalbanking dienen kann.

FinTS wurde Mitte 2004 von mehr als 2000 Kreditinstituten unterstützt, die Tendenz ist steigend. Namhafte Hersteller von Online-Banking-Software unterstützen den Standard, so dass der Kunde aus einer Vielzahl von Produkten wählen kann. Für Kunden hat sich allerdings oftmals die Erstinitialisierung des Zuganges und die korrekte Installation eines Chipkartenlesers als Problem herausgestellt. Deshalb sollten die Anforderungen an Chipkartenleser und deren Konfiguration bald festgelegt werden.

Es sei ausdrücklich darauf hingewiesen, dass alle FinTS/HBCI-Spezifikationen im Internet unter http://hbci-zka.de verfügbar sind.


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 6. November 2015 um 12:24 Uhr von Peter Hohl geändert. Basierend auf der Arbeit von Oliver Wege, Admin und Erhard Petzel.

Anzeigen