Untersuchung der Marktchancen sowie Realisierung einer HBCI-Banking-Lösung im SOHO-Bereich unter Berücksichtigung der Schnittstellen zu vorhandenen betrieblichen Anwendungen

Inhaltsverzeichnis

VERZEICHNIS VON TABELLEN UND ABBILDUNGEN

0 EINLEITUNG

1 ZAHLUNGSVERKEHR IM UNTERNEHMEN
1.1 DER ZAHLUNGSVERKEHR
1.2 KOSTEN UND LEISTUNGEN
1.3 ZAHLUNGSEIN- UND -AUSGÄNGE

2 HOMEBANKING
2.1 GRUNDSÄTZE FÜR SICHERES HOMEBANKING
2.2 HOMEBANKING
2.2.1 Bankdienste per Post
2.2.2 Telefon-Banking
2.2.3 weitere Verfahren
2.3 ELECTRONIC BANKING
2.3.1 Vorteile für die Nutzer
2.3.2 Abwicklung von Transaktionen im Bankenbereich
2.3.3 BTX
2.4 INTERNET-BANKING
2.4.1 Einführung
2.4.2 Email
2.4.3 WWW
2.4.4 Scriptsprachen und Plugins
2.4.5 Java
2.4.6 Bezahlen im Internet

3 HBCI UND FINTS
3.1 EIN NEUER FINANZTRANSAKTIONSSTANDARD
3.2 STANDARDS INNERHALB VON HBCI UND FINTS
3.3 SICHERHEIT
3.3.1 allgemeines zur Sicherheit
3.3.2 Verschlüsselungsverfahren
3.3.3 digitale Signaturen und Zertifikate
3.3.4 Sicherheitsmedien
3.3.5 PIN/TAN
3.3.6 biometrische Verfahren
3.4 AUSBLICK

4 KONZEPT EINER SOFTWARELÖSUNG FÜR DIE ZAHLUNGSABWICKLUNG
4.1 ANSÄTZE FÜR HILFESTELLUNGEN DURCH HARD- ODER SOFTWARE
4.2 ONLINE-SHOPS
4.2.1 Anforderungen
4.2.2 Beispiele
4.2.3 Zusammenfassung
4.3 ELECTRONIC BANKING
4.3.1 Umfrage
4.3.2 Ausgewählte vorhandene Lösungen
4.4 LÖSUNGSANSÄTZE
4.4.1 Anbindung an betriebliche Systeme
4.4.2 Buchhaltung und Zahlungsabwicklung
4.4.3 Datenübernahme
4.4.4 Privatkunden
4.4.5 Zusammenfassung der Anforderungen

5 IMPLEMENTIERUNG
5.1 VORAUSSETZUNGEN
5.2 KOMMUNIKATION MIT DER BANK
5.2.1 Einpflegen von Banktransaktionen
5.2.2 Die Programmier-APIs
5.2.3 Plausibilitätsprüfung von Banktransaktionen
5.2.4 Abwicklung von Transaktionen
5.3 DAS BEDIENKONZEPT
5.3.1 Einführung
5.3.2 Ordner und Regeln
5.3.3 Senden und empfangen
5.4 DATENHALTUNG
5.5 SCHNITTSTELLEN
5.6 AUSGEWÄHLTE EINGESETZTE TECHNOLOGIEN
5.7 WEITERE GEPLANTE FUNKTIONALITÄT

6 AUSWERTUNG

ANHANG A UMFRAGE
A.1 DECKBLATT
A.2 ANSCHREIBEN
A.3 FRAGEBOGEN
A.4 AUSWERTUNG

ANHANG B ONLINEBANKING - ABKOMMEN & SPEZIFIKATIONEN
B.1 HOMEBANKING-ABKOMMEN
B.2 RICHTLINIEN DER DEUTSCHEN KREDITWIRTSCHAFT
B.3 COMPUTER HBCI-KONFORMITÄTSKRITERIEN
B.4 SCHNITTSTELLENSPEZIFIKATION HBCI
B.5 LASTSCHRIFTABKOMMEN

ANHANG C DATENBANKSTRUKTUR

LITERATURVERZEICHNIS

Glossar

Abbildung in dieser Leseprobe nicht enthalten

Verzeichnis von Tabellen und Abbildungen

Tabellenverzeichnis

Tabelle 2.1 Vorteile des Homebanking [Umfrage]

Tabelle 2.2 Vorteile des Online-Shopping [Studie, deutsche Nutzer]

Tabelle 3.1 Zeitlinie HBCI / FinTS

Tabelle 3.2 Umgang mit Schlüsseln und Passwörtern

Tabelle 5.1 Beispiel Ordnerstruktur mit entsprechenden Regeln

Tabelle 5.2 Beispiel für die Dokumentation im Quelltext

Tabelle A.1 Umfrageauswertung technische Daten

Tabelle A.2 Umfrageauswertung Vorteile des Onlinebankings

Tabelle A.3 Umfrageauswertung Akzeptanz von Verfahren

Tabelle A.4 Umfrageauswertung Zahlungsverkehr

Abbildungsverzeichnis

Abbildung 3.1 Zugangsarten für Onlinebanking

Abbildung 3.2 symmetrische Verschlüsselung

Abbildung 3.3 DDV-Verschlüsselung (2-Key Triple-DES)

Abbildung 3.4 asymmetrische Verschlüsselung

Abbildung 3.5 Chipkarte für HBCI

Abbildung 3.6 Kartenleser Typ 1

Abbildung 4.1 VoBa/RaiBa Web-Banking

Abbildung 4.2 Quicken

Abbildung 5.1 Eingabeformular für eine Überweisung

Abbildung 5.2 Eingabeformular für eine Forderung

Abbildung 5.3 Beispiel Regeldefinition

Abbildung 5.4 Beispiel Ordnerstruktur

Abbildung 5.5 Ansicht als Kontoauszug

Abbildung 5.6 Datenexport am Beispiel von XML

Abbildung 5.7 Debitoren-Import aus einer Buchhaltung

Abbildung 5.8 Buchungsimport aus einer Buchhaltung

Abbildung 5.9 Wizard zum Anlegen eines neuen Kontos

Abbildung 5.10 mit HTMLgen erzeugte Schnittstellendokumentation

0 Einleitung

Danksagungen

Ich möchte mich zuerst bei Herrn Diplomingenieur Lutz Lang bedanken, der es mir ermöglicht hat, im Rahmen meiner Diplomarbeit ein praxisnahes Thema zu bearbeiten und Auftraggeber sowie Ansprechpartner für mein Projekt war. Vielen Dank auch an Herrn Professor Geißler, der mich von Seiten der Hochschule aus betreut hat.

Außerdem möchte ich mich bei allen befragten Unternehmen sowie der Sparkasse und der Volksbank Döbeln für ihre Hilfe und Unterstützung bedanken. Besonderer Dank gebührt auch meiner Familie, meinen Freunden und Bekannten, die während der Zeit der Diplomarbeit viel Verständnis aufbringen mussten.

Hintergrund

Der Zahlungsverkehr im Allgemeinen und Bankgeschäfte im Speziellen haben sowohl im Privatbereich als auch für Unternehmen eine große Bedeutung. Die Transaktionsabwicklung ist dabei durch technische Entwicklungen immer wieder Veränderungen unterworfen.

Vor allem bei Unternehmen muss außerdem ein Datenaustausch zwischen Rechnungslegung und Zahlungseingang (Debitorenbuchhaltung) bzw.

Wareneingang und Zahlungsausgang (Kreditorenbuchhaltung) erfolgen. Große Unternehmen nutzen EDIFACT- und Warenwirtschaftssysteme, um Daten zwischen allen Phasen der Auftragsbearbeitung auszutauschen. Solche Software ist jedoch für kleine und mittlere Unternehmen deutlich zu kostenintensiv.

Privatpersonen auf der anderen Seite benötigen Programme, die vor allem einfach zu bedienen sind. Die wichtigsten Funktionen müssen auf einfache Art und Weise verfügbar gemacht werden.

Im Rahmen dieser Arbeit soll versucht werden, ein Konzept für eine Software zu entwickeln, die die Anforderungen von kleinen und mittleren Unternehmen sowie Privatpersonen erfüllt und ihnen einige der Vorteile teurer Warenwirtschaftssysteme zu einem deutlich günstigeren Preis bietet.

Zielsetzung

Zu Beginn soll zunächst betrachtet werden, wie der Zahlungsverkehr in Unternehmen abläuft. Hierfür spielen sowohl für Zahlungsein- als auch -ausgänge Banktransaktionen eine wichtige Rolle. Thema soll es daraufhin sein, welche Möglichkeiten es gibt, solche Bankgeschäfte abzuwickeln.

Im Zentrum der Betrachtung soll danach der Homebanking-Standard HBCI stehen, der auch als Basis für die Softwarelösung dienen wird, deren Anfertigung einen Großteil der für die Anfertigung der Diplomarbeit zur Verfügung stehenden Zeit beanspruchen wird.

Das aus der Analyse betrieblicher Vorgänge entstehende Sollsystem, welches im Rahmen der Diplomarbeit dann auch grundlegend zu implementieren ist, soll auf die Bedürfnisse der Zielgruppe zugeschnitten werden. Durch die Integration der Software in der Abwicklung des betrieblichen Zahlungsverkehrs schließt sich der Kreis.

Umfrage

Um Erkenntnisse über den Praxiseinsatz von Banking-Software in kleinen und mittleren Unternehmen zu gewinnen, wurde eine nicht repräsentative Umfrage unter 42 Unternehmen aus der Region durchgeführt. Das Spektrum der befragten Firmen war dabei so breit wie möglich und reichte vom kleinen Handwerksbetrieb mit 3 Mitarbeitern bis zum mittelgroßen Unternehmen mit über 100 Mitarbeitern.

Zielsetzung der Umfrage war es, herauszufinden

- welche Software eingesetzt wird
- welche Computertechnik zur Verfügung steht
- wie hoch der Aufwand für Bankdienste ist
- wie die aktuelle Lösung eingeschätzt wird
- welche Kritikpunkte und Wünsche zur Sprache kommen
- wie allgemein die Haltung zu Banktransaktionen über das Internet ist

Der Rücklauf der Umfrageergebnisse war mit nur 11 verwertbaren Antwortbögen wie erwartet eher gering. Dennoch reichten die Daten für eine Auswertung aus und die Umfrage lieferte wichtige Erkenntnisse, die in viele Bereiche dieser Arbeit einfließen. Vor allem bot sich jedoch die Gelegenheit zu Gesprächen mit Unternehmern, Buchhaltern, Bankangestellten und mit dem betrieblichen Zahlungsverkehr betrauten Personen über deren Arbeitsweise.

Der Umfragebogen und die Auswertung befinden sich im Anhang A.

1 Zahlungsverkehr im Unternehmen

1.1 Der Zahlungsverkehr

Eine Unternehmensgründung erfolgt in der Regel mit der Absicht, Waren und Dienstleistungen anzubieten, für die sich auf dem Markt Abnehmer finden lassen. Für die Herstellung der Produkte benötigt das Unternehmen meist selbst Rohstoffe oder Dienstleistungen anderer Unternehmen. Mit dem Gewinn aus dem Verkauf der Produkte werden die Kosten gedeckt und es wird eine Gewinnerzielung angestrebt.

Privatpersonen können nach einem ähnlichen Schema betrachtet werden. Sie bieten ihre Arbeitskraft den Zu Beginn herrschte die Tauschwirtschaft. Waren und Dienstleistungen wurden gegen andere Waren oder Dienstleistungen eingetauscht. Durch die schlechte Vergleichbarkeit und der Schwierigkeit wegen, einen geeigneten Tauschpartner zu finden, führte man schließlich ein universelles und besser teilbares Tauschgut ein - das Warengeld. Dieses rückte als Zwischenwährung zwischen den direkten Tausch zweier Güter.

Entscheidend für den Wert des Geldes ist die breite Akzeptanz unter den Anbietern und Interessenten. So muss es Waren Münzen anfangs durch den Wert des verwendeten Metalls gedeckt, so entwickelte sich das Geld immer mehr zum Platzhalter für einen definierten Wert. Dies fing mit dem Papiergeld an, das ein Siegel der ausgebenden Person oder Bank enthielt und setzt sich mit dem gleichen Prinzip bei heutigen Überweisungen oder Schecks fort.

Wer ein solches Dokument vorlegt, bekommt beispielsweise von der Bank oder dem Händler den entsprechenden Wert Mit dem Schritt zum elektronischen Zahlungsverkehr per Plastikkarte tritt das Geld selbst bzw. sein materieller Gegenwert noch mehr in den Hintergrund und ist nur noch rein virtuell, bzw. als reines Buchgeld vorhanden.

1.2 Kosten und Leistungen

Um die heute in Unternehmen auftretenden Zahlungsvorgänge analysieren zu können, ist es zunächst notwendig, die auftretenden Kosten und Leistungen zu kategorisieren. In der Kosten- und Leistungsrechnung werden Kostenarten nach verschiedenen Kriterien gegliedert.

Nach der Funktion:

- Beschaffungskosten
- Fertigungskosten
- Verwaltungskosten

Nach der Art der Verrechnung:

- Einzelkosten
- Gemeinkosten

Nach der Abhängigkeit von der Produktionsmenge:

- fixe Kosten
- variable Kosten

Nach Produktionsfaktoren:

- Materialkosten
- Betriebsmittelkosten
- Löhne und Gehälter
- sonstige

Es sind auch noch weitere Einteilungen möglich. Zum Zwecke der Untersuchung von Zahlungen für im Unternehmen Materialkosten sind vor allem die Aufwendungen für Rohstoffe, aus denen die Produkte eines Unternehmens hauptsächlich aufgebaut sind. Bei einem Bäcker zählt zu den Materialkosten etwa das Mehl. Im Einzel- bzw. Großhandel werden oft keine Rohstoffe, sondern fertige Waren eingekauft, in der Dienstleistungsbranche gibt es in der Regel gar keine Rohstoffeinkäufe.

Betriebsmittel sind Stoffe, die für die Herstellung von Produkten zwar benötigt werden, jedoch nicht in diese Die Lohnkosten umfassen sowohl Fertigungs- und Hilfslöhne als auch Zuschläge und Sozialkosten. Die Personalkosten für Gehaltsempfänger umfassen neben dem eigentlichen Gehalt ebenfalls Zuschläge und Sozialkosten.

Was in den Bereich der sonstigen Kosten fällt, ist je nach Branche unterschiedlich. So zählt Büromaterial im Im Zuge härterer Konkurrenz u.a. durch den Internationalisierungstrend ist es immer wichtiger, sich mittels Forschung und Entwicklung an aktuelle Entwicklungen anzupassen und zu expandieren. Auch diese Investitionskosten müssen erwirtschaftet werden.

1.3 Zahlungsein- und -ausgänge

Ein Unternehmen kann hauptsächlich durch den Verkauf seiner Waren und Dienstleistungen Erträge erzielen.

Eine sinnvolle Einteilung der verschiedenen Zahlungsvorgänge im Unternehmen könnte so aussehen:

- Zahlungseingänge
- Zahlungseingänge für Waren, Dienstleistungen oder Verkäufe von

Anlagevermögen

- Subventionen und Förderungen
- Steuerrückzahlungen
- Erträge aus Wertpapiergeschäften, Provisionen und Zinserträge
- Zahlungsausgänge
- Zahlungsausgänge für Wareneingänge, Materialien und Betriebsmittel
- Lohn- und Gehaltszahlungen
- sonstige Kosten
- Abgaben, Beiträge, Steuern, Versicherungen und Zinsen

Anhand dieser Einteilung kann man gut die verschiedenen Arten der in der Praxis verwendeten Zahlungsmethoden Von seinen Debitoren (Kunden) erhält das Unternehmen Zahlungen für gelieferte Waren oder erbrachte Dienstleistungen. Das Unternehmen stellt hierfür in der Regel eine Rechnung und erhält die Zahlung per Überweisung. Vor allem wenn die Kreditwürdigkeit des Kunden fraglich ist, kann auch eine Zahlung per Vorkasse gefordert werden.

Erfolgt eine Zahlung des Debitors per Verrechungsscheck, so wird diese nach Einreichung ebenfalls auf dem Konto Wenn das Unternehmen Waren, Materialien oder Betriebsmittel einkaufen muss, so kann dies, wieder je nach Branche und Bedarf, auf unterschiedliche Weise erfolgen. Im verarbeitenden Gewerbe müssen in der Regel regelmäßig Rohstoffe und Betriebsmittel eingekauft werden. Die Menge der Rohstoffe richtet sich dabei direkt, die der Betriebsmittel indirekt nach der Menge der produzierten Waren. Hierbei haben die Unternehmen oft feste Kreditoren (Lieferanten), die sie, beispielsweise bei der Autoindustrie sogar just-in-time, mit den benötigten Materialien beliefern.

Hierbei wird in der Regel eine Rechnung gestellt, die das Unternehmen per Überweisung, Lastschrifteinzug oder In kleineren Unternehmen, speziell in der Dienstleitungsbranche oder dem kleinen Einzelhandel, werden Waren und Betriebsmittel oft im Großhandel eingekauft oder sogar, genau wie vom Endverbraucher, im normalen Ladengeschäft oder Online- Shop. Hierbei zahlt das Unternehmen, wie der Endverbraucher auch, per Lastschrift oder Karte (EC- oder Kreditkarte bzw. Kunden- oder Rabattkarte des Großhändlers).

Eine andere Zahlungsmöglichkeit, vornehmlich unter Geschäftsleuten, ist der Wechsel. Er entstand bereits im 12. Unternehmen und Selbständige sind in der Regel umsatzsteuerpflichtig. Befreit von der Umsatzsteuerpflicht sind u.a. Versicherungen und Selbständige, die unter die Kleinunternehmerregel fallen. Beim Einkauf von Waren und Dienstleistungen kann die gezahlte Umsatzsteuer dem Finanzamt gegenüber als Vorsteuer geltenden gemacht werden. Bei Verkauf der Waren muss die Umsatzsteuer wieder an das Finanzamt abgeführt werden. Der fällige Anteil des Unternehmens an der Umsatzsteuer entspricht also dem, der auf die Wertschöpfung im Unternehmen anfällt.

Die Umsatzsteuererklärung kann monats-, quartalsweise oder jährlich erfolgen. Handelt es sich um eine Zahlungen können per Verrechungsscheck, Einzugsermächtigung (Lastschrift) oder Überweisung erfolgen.

Die Löhne und Gehälter sowie die anfallenden sozialen Leistungen, Lohnsteuern, Zahlungen an die Kassen und Oft werden die Löhne aber auch vom Steuerbüro gerechnet, da die Berechnung vor allem im Baugewerbe recht komplex ist. Der mit dem Zahlungsverkehr betraute Mitarbeiter im Unternehmen muss dann nur die berechneten Nettolöhne überweisen. Kassenbeiträge und Steuern werden, basierend auf der Meldung des Steuerbüros an Kassen bzw. Finanzamt, automatisch eingezogen.

Sonstige Kosten fallen für Aufwendungen an, die nicht direkt mit der Herstellung von Waren oder der Erbringung von Dienstleistungen zu tun haben. Das Unternehmen muss Kosten für Büromaterial, Fahrzeuge, sowie Telekommunikationskosten an die jeweiligen Dienstleister bzw. Lieferanten zahlen. In der Regel erhält es dafür eine Rechnung, die es per Einzugsermächtigung oder Überweisung begleicht. Oft wird aber auch, wie etwa im Falle des Betankens von Fahrzeugen, direkt vor Ort per Karte oder Bargeld gezahlt.

2 Homebanking

2.1 Grundsätze für sicheres Homebanking

Im Kapitel 1.3 wurde bereits festgestellt, dass Banktransaktionen für die Abwicklung von Zahlungsvorgängen in Unternehmen eine wichtige Rolle spielen. Die Art der Kommunikation mit der Bank hat sich dabei im Laufe der Zeit immer der technischen Entwicklung angepasst. Neue Erfindungen wie das Telefon oder später elektronische Netze boten viele Vorteile, oft jedoch auch neue Risiken.

Unter dem Sammelbegriff Homebanking fasst man alle Möglichkeiten zur Abwicklung von Bankgeschäften über ein Transportmedium zusammen. Auch vor dem heutigen Electronic Banking gab es Möglichkeiten, Bankgeschäfte etwa auf dem Postweg oder per Telefon abzuwickeln.

Um eine sichere Durchführung von Bankgeschäften zu gewährleisten, ist eine Reihe von Grundsätzen zu beachten:

1. Authentizität

Sowohl für den Bankkunden als auch für die Bank muss sichergestellt sein, dass der jeweilige Kommunikationspartner auch der ist, der er zu sein vorgibt.

2. Verlässlichkeit

Der Inhalt der Übertragung muss, ähnlich dem Inhalt eines Vertrages, nachweisbar sein, damit ein rechtsgültiges Geschäft zustande kommt.

3. Integrität

Die Daten dürfen beim Transport nicht verändert werden.

4. Vertraulichkeit

Dritte sollen keinen Zugriff auf Daten erhalten, die nicht für sie bestimmt sind.

Beim klassischen Schaltergeschäft sind diese Grundsätze noch relativ einfach umzusetzen. Bankmitarbeiter kennen in der Regel ihre Kunden. Alle wichtigen Transaktionen müssen außerdem mit einer Unterschrift quittiert werden, die der Mitarbeiter mit der in den Akten hinterlegten Signatur vergleichen kann.

Da Überweisungsträger und ähnliche Dokumente auf direktem Wege, nämlich per Übergabe an den Schalterbeamten, an die Bank gelangen, sind unsichere Übertragungswege weitgehend ausgeschlossen. Auch die in den Bankinstituten aufgestellten Briefkästen sind in der Regel gesichert und videoüberwacht.

Das Ausfüllen von Formularen erfolgt im Dialog mit dem Bankmitarbeiter oder zumindest wird es bei der Abgabe von diesem kontrolliert. Dritte sind von der Kommunikation durch den Aufbau von Bankfilialen mit Sicherheitszonen und Trennwänden zwischen den einzelnen Schalter ausgeschlossen.

Beim Homebanking läuft ein Großteil der Kommunikation quasi anonym ab. Die Kommunikationswege sind daher zu sichern. Im Folgenden soll die Entwicklung des Homebankings kurz vorgestellt werden.

2.2 Homebanking

2.2.1 Bankdienste per Post

Eine der ersten Möglichkeiten, Bankgeschäfte ortsunabhängig zu tätigen, bot z.B. die Deutsche Post AG mit dem bereits seit 1909 verfügbaren Postscheckdienst. Dieser flächendeckend verfügbare Dienst erlaubte das Versenden von Verrechnungs- schecks an Gläubiger. Durch die Einführung von Plastikkarten, etwa EC- oder Kreditkarten, ließ die Bedeutung von Schecks vor allem im Privatbereich stark nach und hat heute, auch durch die Abschaffung der garantierten Deckung von 400 DM (etwa 204,52 €) bei EC-Schecks, im privaten Bereich nahezu keine Bedeutung mehr.

Im Geschäftsverkehr spielt der Verrechnungsscheck dagegen immer noch eine wichtige Rolle. Im geschäftlichen Alltag werden auch Überweisungsträger durch Boten an die Bank überbracht oder Überweisungen bzw. Kontoauszüge zwischen Kunden und Bank postalisch versandt. Diese Praxis findet auch heute noch statt, nicht nur bei den so genannten Direktbanken ohne Filiale in der Nähe des Kunden.

Die Sicherheitsüberprüfung erfolgt über die Unterschrift des Kunden. Das Wiedererkennen des Kunden durch den Bankmitarbeiter in der Filiale muss jedoch entfallen. Das Sicherheitsprinzip wird noch durch weitere Angriffsmöglichkeiten geschwächt. Während des Versandes kann der Brief abgefangen, gelesen oder gar modifiziert werden. Die Geschäftspraxis der Post sollte vor solchen Angriffen zumindest elementaren Schutz bieten, schließlich werden auf diesem Wege auch andere vertrauliche Informationen, wie z.B. EC-Karten und PINs, versandt. Daher ist das Risiko als vorhanden, aber vertretbar einzustufen.

2.2.2 Telefon-Banking

Mit der Durchsetzung des Telefons auf breiter Front im geschäftlichen und privaten Bereich etablierte sich auch dieses Medium für Bankgeschäfte. Einer der Vorreiter war hier das amerikanische Unternehmen Citybank.

Im Gegensatz zu postalischen Verfahren ist es beim Telefon-Banking auch möglich, persönliche Gespräche mit einem Berater zu führen und die Zeitverzögerung des Postweges entfällt. Sobald jedoch Bankmitarbeiter und Kunde nicht persönlich bekannt sind, treten Sicherheitsprobleme auf. Durch die Vielzahl von Bankkunden und die mangelhafte eindeutige Identifikationsmöglichkeit lediglich über die Stimme ist die Kommunikation auf diesem Wege generell als anonym einzustufen.

Daher werden zur Absicherung Passwörter oder PINs benutzt. Außerdem kann man in vielen Fällen die durchführbaren Transaktionen einschränken. Es können z.B. Überweisungslimits gesetzt oder bebuchbare Konten festgelegt werden.

Problematisch kann es sein, dass sich Telefongespräche belauschen lassen. Viele Telefone speichern außerdem die zuletzt gewählte Nummer und damit u.U. auch die eingegebene PIN. Gleiches gilt für eventuelle firmeninterne Protokolle oder Telefonanlagen. Diese Problematik wurde mit längeren PINs, aus denen dann nur Teile abgefragt werden sowie Transaktionsnummern (TANs) zu lösen versucht.

Unter dem Kostenaspekt ist Telefon-Banking für den Kunden zumeist günstiger als die postalische Lösung. Für die Banken entstehen jedoch durch die Call-Center hohe Personalkosten, falls keine vollelektronischen Lösungen eingesetzt werden. Im Gegenzug werden dafür aber bei reinen Direktbanken auch keine Filialen in Kundennähe benötigt.

Durch die verwendeten Sicherheitsverfahren ist eine relativ hohe Sicherheit gewährleistet, allerdings setzen diese beim Kunden ein sicherheitsbewusstes Verhalten, etwa die sichere Verwahrung von TAN-Listen oder das Löschen der Telefon-Wahlwiederholung, voraus.

2.2.3 weitere Verfahren

Eine andere Möglichkeit der Abwicklung von Bankgeschäften über das Telefonnetz bietet das Telefax. Faxgeräte haben unter Privatpersonen eine geringe Verbreitung, sind jedoch im Geschäftsbetrieb unerlässlich. Diese Form des Homebankings hat keine größere praktische Relevanz, das liegt auch daran, dass es von den Banken nur in Ausnahmefällen, etwa nach Absprache in Einzelfällen, akzeptiert wird.

Eine Fortsetzung findet der Bankverkehr über das Telefonnetz in seiner neusten Reinkarnation - dem SMS-Banking. Dieser neue Service zielt jedoch eher auf jugendliche Privatkunden ab, besitzt nahezu keine Bedeutung und ist eher als zeitweilige Modeerscheinung einzustufen.

Aktuell könnte die Zahlungsabwicklung per Handy wieder durch neue Dienste wie Paybox werden, wo Waren per Handy bezahlt werden können. Der Betrag wird später mit der Telefonrechung eingezogen. Für den Geschäftsverkehr ist auch dies aber weniger interessant.

2.3 Electronic Banking

2.3.1 Vorteile für die Nutzer

Die elektronische Abwicklung des Zahlungsverkehrs bringt eine große Anzahl von Vorteilen mit sich. An die Stelle evtl. fälliger Versandkosten treten die Kosten für den Internetzugang. Die entstehenden Transaktionskosten sind jedoch um Größenordnungen geringer sowie tendenziell fallend und werden außerdem durch die geringe Verzögerung zwischen Versand und potentieller Verarbeitung mehr als ausgeglichen. Beim Postversand ist, abgesehen von teuren Kurierdiensten, mit einer Verzögerung von mindestens einem Tag zu rechnen. Elektronische Transfers erfolgen innerhalb weniger Sekunden.

Des Weiteren bieten elektronische Systeme auch weitreichende Möglichkeiten zur Plausibilitätsprüfung einer Transaktion. Hierauf wird in einem späteren Kapitel zur Implementierung der Software noch einmal genauer eingegangen. Durch das Handshake-Verfahren bei der Kommunikation mit dem Bankrechner kann außerdem sichergestellt werden, dass eine Transaktion auch wirklich ausgeführt wird.

Im Rahmen der durchgeführten Umfrage (siehe Anhang A) wurden die Unternehmen u.a. befragt, welche Vorteile sie beim elektronischen Banking sehen.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2.1 Vorteile des Homebanking [Umfrage]

Aus diesem Ergebnis wird bereits deutlich, dass sich Unternehmen genau wie Privatpersonen schon zum großen Teil an die Möglichkeiten des zeit- und ortsunabhängigen Zugriffs gewöhnt haben. Diese Entwicklung ist mit dem Boom bei Onlineshops vergleichbar, welche diese Vorteile ebenfalls bieten.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2.2 Vorteile des Online-Shopping [Studie, deutsche Nutzer] Quelle: Dr. H. Popp³⁴

Fortgeschrittene Anwendungen wie die Anbindung an das Rechnungswesen oder selbst generierte Reports sind jedoch noch wenig verbreitet und das papierlose Büro ist ebenfalls für die meisten Unternehmen noch völlig undenkbar.

Im persönlichen Gespräch ergab sich außerdem, dass die meisten Unternehmen doch nicht ganz auf die ortsnahe Bank verzichten möchten. Banking-Software wird zwar zur zeitsparenden Kontrolle benutzt, das Abgleichen mit Forderungen erfolgt jedoch oft noch in althergebrachter Weise anhand des Beleges aus dem Kontoauszugsdrucker der Bankfiliale. Dies hat auch den Grund, dass elektronische Kontoauszüge noch keine Rechtsverbindlichkeit besitzen, da noch keine Regelung verabschiedet wurde, die den Vorgaben des HGB entspricht.

2.3.2 Abwicklung von Transaktionen im Bankenbereich

Schon seit längerer Zeit wickeln die Banken untereinander Transaktionen elektronisch ab. Der Transfer erfolgt mit Hilfe des Datenträgeraustausches (Disketten bzw. Magnetbänder) oder per DFÜ. Hier haben elektronische Datensätze die Belege in Papierform längst ersetzt. Geregelt wird der Datenaustausch zwischen den Banken durch verschiedene Standards.

Eine wichtige Rolle spielt hier der EDIFACT-Standard. Als Basis dient das EDI- Konzept, nachdem es möglich ist, Auftragsdaten von einer Bearbeitungsphase in die nächste zu übernehmen und dadurch Medienbrüche und Mehrfacheingaben zu vermeiden. EDIFACT versucht nun, dieses Konzept branchenübergreifend umzusetzen.

Bankenintern spielt der EDI-Standard SWIFT eine wichtige Rolle. SWIFT bietet sowohl ein eigenes Netz zur Übertragung von Nachrichten, als auch die zugehörigen Übertragungsstandards. Das Spektrum der möglichen Nachrichtentypen ist sehr breit und umfasst etwa Überweisungen, Wertpapiergeschäfte aber auch Edelmetallgeschäfte oder Reiseschecks.

Weitere wichtige Formate sind etwa DTAUS (Inlandszahlungsverkehr) und DTAZV (Auslandszahlungsverkehr), welche dem Datenaustausch mit Kunden dienen. Auf einige Formate wird im Kapitel 3 im Rahmen der Besprechung des Finanzstandards HBCI noch einmal genauer eingegangen, sofern sie dort ebenfalls relevant sind.

Das ab 1. Januar 2002 auch in Deutschland für den Inlandszahlungsverkehr gültige Überweisungsgesetz regelt im wesentlichen Fristen, die Art des Vertragsverhältnisses zwischen Bankkunden und Kreditinstitut, Informationspflichten sowie andere Rechte und Pflichten der Vertragspartner. Durch diese Regelungen und die neuen Fristen, nach denen Verzugszinsen drohen, wird es noch wichtiger, die Integrität und Ausführbarkeit eingehender Finanztransfers zu überprüfen und diese schnell zu verarbeiten.

Dies geschieht durch die Erfassung des Kundenauftrages, etwa einer Überweisung. Liegt sie in Papierform vor, so muss der persönlich oder postalisch überbrachte Überweisungsträger zunächst für die Weiterverarbeitung maschinell oder manuell erfasst werden, um dann auf elektronischem Wege verarbeitet zu werden. Elektronische Transfers gelangen auf direktem Wege in das System der Bank. So kann die Bank die Auftragsbearbeitung zum Kunden verlagern und Personalkosten einsparen.

Die Folge ist ein Umbruch im Bankengewerbe. Das traditionelle Bankgeschäft am Schalter verteuert sich, Filialen werden geschlossen und Bankkunden werden durch günstigere Kontoführungsgebühren dazu motiviert, ihre Bankgeschäfte elektronisch durchzuführen. Es wird geschätzt, dass die elektronische Abwicklung von Geschäften gegenüber Schaltergeschäften eine Kostenreduktion um ca. den Faktor 12 bewirkt.

Durch die Ortsunabhängigkeit verliert der regionale Faktor an Bedeutung. Auch Banken mit vielen Filialen müssen im Internet gleichberechtigt mit Direktbanken konkurrieren, die keine Filialen in der Nähe des Kunden besitzen. Durch die direkte Vergleichbarkeit von Preisen und Leistungen steigt der Konkurrenzdruck stark an.

Durch neuartige Dienste können die Banken versuchen, die Kunden wieder an sich zu binden. Eine wichtige Rolle spielt hier etwa das Online-Brokerage, welches durch hochaktuelle Kurse, geringe Gebühren und schnelle Abwicklung bedeutende Vorteile gegenüber dem alten System bietet.

2.3.3 BTX

Der bedeutendste Auslöser für den Erfolg des Homebankings war das Electronic Banking. Eine bedeutende Vorreiterrolle spielte hier das BTX-System (später in Datex-J umbenannt; Anbieter: Deutsche Bundespost, später Deutsche Telekom). Es erlangte mit über 2 Millionen Kunden eine sehr weite Verbreitung, was vor allem der Verbreitung T-Online als Provider für Online-Zugänge sowie der nahtlosen Integration der entsprechenden Software in die Decoderprogrammsuite zuzuschreiben ist. Mit dem ZKA-Dialog existierte bereits 1987 ein einheitlicher Bankenstandard. Dieser krankte jedoch an der mangelnden Unterstützung der Banken, die den Standard nur teilweise umsetzten. Die Nutzer wurden in den Homebanking-Programmen mit schnell veraltenden Parametrisierungsdateien konfrontiert.

Ende 1996 wurden bereits ca. 3,5% (entspricht 2 Millionen) der Girokonten in Deutschland elektronisch geführt. Zu diesem Zeitpunkt nutzten 80% der 1 Million T- Online-Kunden Banking-Dienste, während die Banken im Internet gerade erst begannen, Dienste wie Online-Börsenkurse oder Stellenangebote anzubieten.

Konkurrenten wie AOL zogen nach und auch die Banken selbst drängten mit proprietären Lösungen auf den Markt. Mit dem Ende von BTX, dem starken Boom des World Wide Web (WWW) und kostengünstigen Internetprovidern entstand der Druck auf das deutsche Bankenwesen, eine sichere und offene Lösung für Bankgeschäfte im Internet zu schaffen.

Globalisierung war Mitte der 90er Jahre längst zum wichtigen Schlagwort in der Wirtschaft geworden, eine Entwicklung, die nicht zuletzt durch das Internet selbst gefördert wurde. So sollten auch Auslandszahlungen und Kontozugriff von jedem Teil der Erde aus nun möglich sein.

Doch mit den neuen Möglichkeiten des gegenüber dem BTX-System wesentlich größeren und unüberschaubaren Internets wuchsen auch die möglichen Gefahren. BTX arbeitete noch in einem geschlossenen Netz. Eine Verschlüsselung war nicht vorgesehen und lediglich ein „man-in-the-middle“-Angriff, also das sich Einschalten eines Angreifers in die Telefonleitung, stellte ein Sicherheitsproblem dar. Dieses Sicherheitskonzept war längst nicht mehr zeitgemäß.

Heute sind 95% etwa BTX-Systems abgeschaltet. Die Kosten zur Aufrechterhaltung des Systems rechtfertigen sich nicht mehr. Lediglich für Banking-Dienste stehen noch CEPT-Zugänge bereit, ansonsten hat das ehemalige BTX-Netz laut einem Unternehmenssprecher keine Bedeutung mehr.

2.4 Internet-Banking

2.4.1 Einführung

Das Internet, das größte weltweite Computernetzwerk, bietet mit seiner netzartigen Architektur deutlich mehr Angriffspunkte. Basierend auf dem ursprünglich für militärische Zwecke geschaffenen ARPANET sollte es größtmögliche Ausfallsicherheit garantieren. Eine gesicherte Übertragung war damals nicht vorgesehen, da die entsprechenden Rechner in geschützten Bereichen standen.

Heute wird es jedoch zum Problem, dass die mittels TCP- und IP-Protokoll durch das Internet geleiteten Datenpakete von jedem Knoten, den sie passieren, prinzipiell eingesehen und geändert werden können. Dadurch geraten Datenintegrität und das Prinzip der Vertraulichkeit in Gefahr. Hier muss mit Verschlüsselungsverfahren angesetzt werden.

Die Authentizität einer Website kann ebenfalls gefälscht werden, indem der Nutzer etwa auf eine falsche Website gelockt wird, die genau wie die der Bank aussieht. Diese schaltet sich nun zwischen die Original-Site und den Nutzer und protokolliert bzw. manipuliert sensitive Daten. Durch nur einmal gültige Schlüssel und SiteZertifikate kann man dieser Gefahr vorbeugen.

Nicht zuletzt ist auch ein direkter Hackerangriff auf den Bankserver bzw. auf den Kunden-PC oder das Einschmuggeln eines Trojanischen Pferdes, welches sensitive Daten ausspioniert und über das Internet an den Hacker sendet, möglich.

Anwendungen des Internets sind u.a. der Dateitransfer (FTP), der Email-Versand oder Terminalverbindungen via Telnet. Das Gopher-System war eines der ersten interaktiven Informationssysteme und wurde vor allem von Universitäten rege genutzt.

2.4.2 Email

Banktransaktionen per E-Mail werden bis heute grundsätzlich nicht durchgeführt. Wenngleich diese mit dem Banking per Post oder SMS vergleichbare Lösung durchaus ihre Vorteile hätte, so sind doch eine Reihe von Problemen zu nennen, die nicht nur mit der Sicherheit zusammenhängen. So laufen Banktransaktionen beispielsweise meist innerhalb eines Dialoges ab. Bei Emails ist dagegen nicht einmal vorhersehbar, ob und wann sie überhaupt ankommen werden. Sichere Übertragung könnte dagegen durch Zertifizierung und Verschlüsselung gewährleistet werden.

2.4.3 WWW

Die „Killer-Anwendung“ des Internets stellt das 1993 am schweizerischen CERN- Institut entwickelte Hypertextsystem WWW dar. Es basiert auf einer Client-Server- Architektur. Der Server hält Textseiten bereit, in denen neben Grafiken oder Tabellen auch so genannte Hyperlinks enthalten sind. Per Klick auf einen solchen Link signalisiert der Nutzer dem Client, dass dieser die entsprechende Folgeseite vom Server anfordern soll.

Durch die Grafikfähigkeit war das WWW von Anfang an deutlich ansprechender und massentauglicher als eine reine Textdarstellung. Außerdem war es möglich, das Design der Firmenwebsite an das anderer Medien anzugleichen (etwa an die firmeneigenen Werbebroschüre) und durch Formulare war die Dialogfähigkeit gegeben. Größter Vorteil war jedoch die einfach Bedienung durch Verweise (Links) in Form von anklickbaren Texten und Grafiken.

Wurde das Internet zuerst vorrangig vor allem von Universitäten und Spezialisten zur Bereitstellung von Informationen genutzt, so entdeckte man schnell die Eignung des Mediums für attraktive Werbung. Die meisten Unternehmen begannen, zunächst zur reinen Repräsentation eine Firmenhomepage bereitzustellen.

Schnell erkannte man jedoch die großen Vorteile des neuen Mediums, welches einen direkten Kontakt zum Kunden ermöglichte. Auf der technischen Seite entstanden maßgeschneiderte Systeme, etwa Webeditoren für Content-Lieferanten und Programmiersprachen und -systeme für Entwickler.

Webeditoren sind heute meist nur noch für Privatanwender interessant. Spezialisten arbeiten mit Generatoren, spezialisierten Design-Tools oder auf reiner Quelltextebene und bei größeren Webseiten hat sich längst ein Wandel von der statischen zu dynamischen bzw. aus einer Datenbank generierten Website vollzogen.

Banking-Dienste arbeiten zwangsläufig mit datenbankgenerierten Internetseiten. Der Nutzer muss sich beim System anmelden und erhält dann einen Dialog, wo er Transaktionen durchführen kann, etwa die Abfrage von Buchungen der letzten Tage.

Möchte er beispielsweise eine Überweisung tätigen, so klickt er auf einen entsprechenden Link, woraufhin eine Seite mit einem entsprechenden Formular geladen wird. Dieses Formular füllt er aus und sendet es mit dem Klick auf den entsprechenden Button an die Bank. In der Regel gibt es hier noch einen Zwischenschritt. Die Nutzereingaben werden auf Plausibilität geprüft und im Erfolgsfall muss der Nutzer durch die Eingabe der TAN die Transaktion autorisieren.

Das WWW ist ein beliebtes Medium und auch das Internet-Banking wird seit vielen Jahren von mittlerweile fast allen Kreditinstituten angeboten. Dennoch ist die Durchführung von Bankgeschäften über die normalen WWW-Standards eine Lösung, die erst seit kurzem verbreitet ist. Der Grund hierfür liegt in den Exportbestimmungen der USA, die lange Zeit die Ausfuhr jeglicher Software mit starker Verschlüsselung verboten.

Amerikanische Browser benutzten die von Netscape entwickelte SSLVerschlüsselung mit 128 Bit, wogegen die internationale Variante auf 40 Bit beschränkt war. SSL ist ein sehr sicheres Verfahren, das auf der Transportebene arbeitet, symmetrische und asymmetrische Verfahren sowie Site-Zertifikate und digitale Signaturen unterstützt. Bei lediglich 40 Bit Schlüssellänge ist jedoch keine hinreichende Sicherheit gegeben.

Da die meisten Softwaresysteme und vor allem Webbrowser aus den USA stammen, konnte man also nicht davon ausgehen, dass über den reinen WWW-Standard eine sichere Verbindung zwischen Nutzer und Bankrechner möglich war. Anfang 2001 wurden diese Restriktionen unter Präsident Bill Clinton deutlich gelockert. Seitdem werden zunehmend Banking-Lösungen im WWW über SSL-Verschlüsselung angeboten.

2.4.4 Scriptsprachen und Plugins

Für die Generierung von Internetseiten wurde eine Vielzahl von Programmier- und Scriptsprachen entwickelt. Diese können in server- und clientseitige Systeme unterschieden werden.

Beispiele für serverseitige Scriptsprachen sind u.a. PHP oder Microsofts ASP. Auf Anforderung des Clients hin wird für diesen eine Internetseite generiert, die fertige Internetseite wird nach der Übersetzung durch den Interpreter der Programmiersprachen an den Client geliefert, der hier nun nur noch reines HTML (bzw. evtl. enthaltene clientseitige Scripts) vorfindet. Der Vorteil liegt vor allem darin, dass die Programmlogik dem Client verborgen bleibt und keine besonderen Anforderungen an den Browser gestellt werden.

Serverseitige Scriptsprachen werden von vielen Webservern und auch von BankingDiensten genutzt, ohne dass der Nutzer dies zwangsläufig merken muss, da er nur die fertig generierten Seiten sieht.

Clientseitige Programmiersprachen setzen beim Browser spezielle Fähigkeiten oder Plugins voraus. Beispiele für solche Scriptsprachen sind u.a. JavaScript oder VBScript. Per Plugin eingebundene Erweiterungen sind z.B. Flash oder Shockwave.

Erst nach dem Laden der Datei im Browser wird das darin eingebettete Script oder Programm gestartet. Da das eingebettete Programm auf dem Rechner des Nutzers ausgeführt wird, ergeben sich dadurch potentielle Sicherheitsprobleme. Diesen wird dadurch begegnet, dass die meisten clientseitigen Programmiersprachen keine sicherheitsrelevanten Funktionen enthalten bzw. diese nur per Zertifikat oder auf Erlaubnis des Nutzers hin, durchführen können.

Trotz allem sind clientseitige Scriptsprachen (von denen außerdem der Quelltext meist sichtbar ist) für sicherheitsrelevante Anwendungen wenig interessant. Ihre Hauptanwendung liegt in optischen Anpassungen und der Kontrolle von Eingaben schon vor dem Versenden an den Server.

Spezielle Plugins spielen für das Banking in der Regel eine geringe Rolle, obwohl es solche Ansätze gab. So bot etwa die Norisbank zeitweise ein Browserplugin für T- Online-Banking im Internet an. Verschlüsselt wurde per SSL, die Authentifizierung erfolgte per 1024 Bit RSA. Auf diese Weise war zumindest eine leichte Migration für ehemalige T-Online-Kunden möglich. Später bot auch T-Online selbst eine ähnliche Lösung an.

2.4.5 Java

1995 läutete Java einen Paradigmenwechsel ein. Die Erfinder bei Sun Microsystems sahen in ihrer neuen Entwicklung nicht nur eine neue Programmiersprache sondern die Möglichkeit zur Umsetzung vollkommen neuartiger Konzepte.

„Think authors, not publishers“ war ein wichtiger Slogan. E-Commerce, der Direktvertrieb von Waren per Internet und neuartige Lizenzmodelle für Software unter dem Begriff Application Services Providing (ASP) sollten ermöglicht, Zwischenhändler ausgeschaltet werden.

Java kann sowohl serverseitig (Servlets) als auch clientseitig (Applets) eingesetzt werden. Durch die Übersetzung in den „Bytecode“ genannten Befehlssatz eines virtuellen Prozessors, der dann erst zur Laufzeit in Instruktionen für den Prozessor des Anwendersystems übersetzt wird, bietet Java Plattformunabhängigkeit und durch die große Klassenbibliothek steht bereits standardmäßig mächtige Funktionalität zur Verfügung.

Zwischen 1997 und 2001 wurde ein Großteil der Banking-Dialoge im Internet über Java-Clients abgewickelt. Die Deutsche Bank und die Volksbanken nutzten dabei die von der Firma Brokat entwickelte Lösung XPresso Security Package. Größter Vorteil dieser Lösung war die Unabhängigkeit von den WWW-Sicherheitsstandards, die verschlüsselte Übertragung sich frei zwischen Banking-Server und Java-Client regeln ließ.

2.4.6 Bezahlen im Internet

Mit dem Anbieten von Waren im Internet stellte sich zwangsläufig auch die Frage nach der Abwicklung von Zahlungen für die erbrachten Leistungen bzw. die elektronisch oder auf dem Postwege versandten Waren. In deutschen Internet-Shops kann man meist per Vorkasse, Lastschrift oder Post-Nachnahme zahlen, teilweise wird auch Kreditkartenzahlung angeboten. Wenn ein Kunde im Ladengeschäft per EC-Karte zahlt, gibt es zwei Möglichkeiten. Beim ECash-Verfahren gibt man die Geheimzahl in ein Terminal ein, diese wird dann per Online-Verbindung vom Bankcomputer verifiziert. Die andere Möglichkeit ist das Lastschriftverfahren, wo sich der Kunde mit seiner Unterschrift authentifiziert, die mit der Unterschrift auf der Rückseite der EC-Karte verglichen werden kann.

Beim Internethandel gibt der Kunde sein Einverständnis zur Lastschrift über eine elektronische Unterschrift. Da es hier noch keine Standards mit breiter Akzeptanz gibt, geschieht dies lediglich per Angabe der Bankverbindung und Bestätigung des Auftrages per Mausklick. Der Verkäufer kann das Geld nun vom Kundenkonto einziehen, der Kunde hat 6 Wochen lang die Möglichkeit zur Rückbuchung von ihm nicht genehmigter Lastschriften. Diese Sicherheit minimiert für den Kunden zumindest bei regelmäßiger Kontrolle der Kontobewegungen, was selbstverständlich sein sollte, das Risiko eines Missbrauchs.

Für den Verkäufer werden Lastschrifteinzüge durch eine Inkassovereinbarung mit der Bank geregelt. In der Regel ist hierbei die schriftliche Ermächtigung durch den Zahlungspflichtigen erforderlich. Ausnahmen, wie sie für den Internethandel notwendig sind, werden durch das Lastschriftabkommen ebenfalls geregelt. Die Banken verlagern jedoch die Haftung und das Risiko der Lastschriftrückgabe hier immer zum Verkäufer und behalten sich auch vor, solche Zusatzvereinbarungen fristlos zu kündigen. Daher sind Lastschriften bei Verkäufern oft nicht sehr beliebt, gehören aber durch die Akzeptanz beim Kunden zum Geschäftsalltag.

Als Zahlungsmittel beim internationalen elektronischen Handel hat sich trotz bestehender Sicherheitsprobleme die Kreditkarte durchgesetzt. Der Grund liegt vor allem bei der problemlosen Abwicklung und den für den Kunden günstigen Konditionen. Wird in Euro abgerechnet, so fallen keine Gebühren an, für Auslandswährungen liegt die Gebühr lediglich bei 1%.

Das bereits 1996 von VISA und Mastercard entwickelte SET-Sicherheitssystem für Kreditkarten hat sich zum heutigen Zeitpunkt noch immer nicht durchgesetzt. Selbst große Internetshops bieten das Verfahren meist nicht an und den Kunden ist es zu kompliziert. Die Vorteile von SET liegen u.a. beim Schutz der Kartendaten vor dem Verkäufer, dem Schutz vor Missbrauch durch digitale Signaturen und der Sicherstellung der Authentizität durch Zertifikate. Bei der Verschlüsselung setzt SET auf SSL auf.

Zur Abwicklung von Zahlungen im Internet per Kreditkarte reicht es heute in der Regel aus, die Kartennummer, den Namen des Inhabers und das Ablaufdatum einzugeben. Alle diese Informationen befinden sich auf der Karte selbst und oft auch auf Tankquittungen und ähnlichen Belegen. Das Kompromittierungsrisiko ist demnach sehr hoch. Die Übertragung der eingegebenen Daten über das Internet erfolgt meist per SSL und stellt kein nennenswertes Sicherheitsrisiko dar.

Für kleine Beträge wird seit Jahren nach einem geeigneten Micropayment-System gesucht. Wie bei der elektronischen Geldbörse in der EC-Karte, dem Geldkartenchip, hat jedoch auch hier noch keine Lösung die breite Akzeptanz der Kunden gefunden. Mit der Verbreitung von Chipkartenlesern zur Durchführung von Banking-Diensten über HBCI (siehe Kapitel 3.3.4. Sicherheitsmedien) könnte sich dies eventuell noch einmal ändern, da die Kartenleser auch Geldkarten lesen und oft sogar aufladen können.

Allerdings ist auch hier davon auszugehen, dass sich diese Lösung nicht durchsetzen wird, da allgemein die Chipkartenlösung für Bankgeschäfte vor allem im Privatbereich viel zu wenig Anklang findet. Mittlerweile wurde der Versuch Geldkarte von einigen Banken auch bereits wieder abgebrochen. Einen neuen Einsatzzweck könnte der Mikrochip dennoch finden, wenn auch in deutlich verkleinerter Form. Momentan läuft ein Versuch, Mikrochips zur Erhöhung der Fälschungssicherheit von Euroscheinen einzusetzen.

MicroPayment-Systeme im Internet wie E-Cash oder NetCash haben noch keine ausreichende Praxisbedeutung. Aufgrund der großen Sicherheitsrisiken bei rein virtuellen elektronischen Geldbörsen muss hier erst das Vertrauen der Kunden gewonnen werden. 3 HBCI und FinTS

3.1 Ein neuer Finanztransaktionsstandard

Nachdem die Einstellung des BTX-Systems bekannt gegeben wurde und im Internet ein Wildwuchs von Banking-Systemen entstanden war, ergab sich die Notwendigkeit zur Etablierung eines neuen gemeinsamen Bankenstandards. Im Gegensatz etwa zu Microsofts OFC sollten die deutschen Banken den Standard kontrollieren können. Mit seiner Kompatibilität und Multibankfähigkeit sollte er Vorteile gegenüber den proprietären Alleingängen einzelner Banken bieten.

Der ZKA-Dialog war auf T-Online bezogen, der 1995 verabschiedete ZKA-Standard „DFÜ mit Kunden“ basierte auf einem Dateitransfer über eine X.25- oder ISDN- Verbindung. Ende 1996 startete der Zentrale Kreditausschuss (ZKA), das gemeinsame Beschlussgremium der Sparkassen, Volks- und Raiffeisenbanken sowie privater und öffentlicher Banken, einen neuen Versuch, einen Homebanking- Standard durchzusetzen, der diesmal auch das Internet unterstützen sollte. HBCI 1.0 wurde verabschiedet.

Bereits ein halbes Jahr später erschien die stark erweiterte Version 2.0, deren Unterversionen dann für viele Jahre lang den Stand der Dinge markierten, bis Ende 2002 HBCI 3.0 erschien, dem dann Ende 2002 FinTS folgte, ein Superstandard, von dem HBCI selbst nur noch ein Teil ist. Im März 2003 wurde FinTS 3 vom ZKA in der endgültigen Fassung freigegeben.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3.1 Zeitlinie HBCI / FinTS

Bei der Entwicklung des neuen Standards HBCI hatte der ZKA aus alten Fehlern gelernt. Um der unterschiedlichen Ausrichtung der verschiedenen Banken gerecht zu werden, definierte man ab der Version 2.0 eine große Anzahl möglicher Geschäftsvorfälle, deren Implementierung jedoch größtenteils optional ist. Außerdem kann sich die Clientsoftware über die Bankparameterdaten auf das Kreditinstitut einstellen und beispielsweise die maximale Länge des Beschreibungstextes für eine Überweisung abfragen.

Um die Multibankfähigkeit zu gewährleisten, besitzt der Standard eine beachtliche Komplexität. Umfasste HBCI 2 bereits ein mehr als 400-seitiges Regelwerk, so bringt es HBCI 3 bereits auf fast 900 Seiten. Beschrieben werden Datentypen und -formate, Zeichensätze, Nachrichtentypen, Syntax, Dialoge, Sicherheitsmechanismen und Geschäftsvorfalle. Letztere umfassten bei HBCI 1 zunächst hauptsächlich Überweisungen, Lastschriften und Kontostandsabfragen. Version 2 des Standards ergänzte etwa Dauer- und terminierte Überweisungen und spätere Unterversionen ergänzten dann eine Vielzahl von Wertpapiergeschäftsvorfällen.

Der Hauptkonkurrent OFC verschwand bereits 1999 gemeinsam mit Microsofts Banking-Programm Money endgültig vom deutschen Markt. Die Software war stark fehlerbehaftet, der Standard konnte sich durch seine zu starke Ausrichtung auf den amerikanischen Markt und die fehlende Multibankfähigkeit nicht durchsetzen. Auch weitere Standardentwürfe, etwa von Intuit (heute Lexware) oder VISA, fanden keine große Verbreitung.

Technisch gesehen vereint HBCI die alte und die neue Welt. Der Transportweg ist nicht vorgeschrieben, sowohl T-Online bzw. BTX als auch TCP/IP werden unterstützt, weitere Protokolle sollen möglich sein. Die Übertragung kann bei TCP/IP über einen beliebigen Provider erfolgen und nutzt den reservierten Port 3000 des Bankservers. Auch der Endgerätetyp ist nicht vorgeschrieben, daher kann HBCI von der Clientsoftware auf dem Windows-PC genauso genutzt werden wie vom Java- Applet im Internetcafé oder im öffentlichen Terminal in der Bankfiliale.

Die Sicherheitsmechanismen von HBCI verlassen sich nicht mehr auf das darunter liegende Netz. Leistungsfähige neue Verfahren garantieren unabhängig von der Übertragung eine erhöhte Sicherheit und einen höheren Bedienkomfort. HBCI ist ein einheitlicher und verbindlicher Standard. Alle deutschen Banken mussten sich verpflichten, spätestens ab dem 1.10.1997 mindestens einen HBCIkonformen Homebanking-Zugang anzubieten, für die Einwahladressen sollte eine gemeinsame Datenbank entstehen. Die Wirksamkeit dieses Vertrages trat allerdings erst ein Jahr später in Kraft. Siehe dazu Anhang B.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3.1 Zugangsarten für Onlinebanking

insgesamt 15 Mio. Benutzer; Stand 10/2002 (Quelle: DataDesign AG³³ )

Wie aus der Abbildung ersichtlich ist, besitzt HBCI auch über 6 Jahre nach seiner Einführung noch keinen großen Marktanteil. Die Nutzung durch die Kunden erfolgt noch eher zögerlich. Lange etablierte Lösungen wie das PIN/TAN-Verfahren oder die gewohnte T-Online-Lösung haben nach wie vor ihre Anhänger.

3.2 Standards innerhalb von HBCI und FinTS

HBCI verwendet den ISO8859-Zeichensatz, die Definition von länderspezifischen Codesets ist möglich. Die Trennzeichensyntax lehnt sich weitgehend an den internationalen ECommerce-Standard EDIFACT an. Durch die Trennzeichensyntax wird eine hohe Flexibilität und eine Minimierung der zu übertragenden Datenmenge

erreicht, da es keine festen Feldlängen gibt. Mit Trennzeichen wie + (Daten- elementende) oder ‚ (Segmentende) können Datenfelder abgetrennt werden.

Feldnamen müssen nicht mit übertragen werden, da diese in den Segmentspezifikationen festgelegt sind. Optionale Datenfelder, die Parameter enthalten, die über den kleinsten gemeinsamen Nenner für die kreditinstituts- unabhängige Abwicklung von Geschäftsvorfällen hinausgehen, befinden sich meist am Segmentende und können weggelassen werden.

Zur Unterstützung von BTX-Zugängen werden die Protokolle CEPT, EHKP und BtxFIF benutzt, darauf soll jedoch nicht weiter eingegangen werden, da dies Interna sind, die die zwischen HBCI und dem Anwenderprogramm liegende Programmierschnittstelle verwaltet.

Hinzu kommen weitere Formate wie DTAUS oder verschiedene SWIFT-Standards, diese sind durchaus interessant, da sie teilweise auch außerhalb von HBCI Verwendung finden und in der Anwendung teilweise konvertiert werden müssen, falls dies nicht auch das API übernehmen kann.

Das DTAUS0-Format erlaubt die standardisierte Speicherung Zahlungsverkehrssammelaufträgen für den Inlandsverkehr auf Disketten. Es wird ein ungepacktes ASCII-Format verwendet. Erlaubt sind alphanumerische Zeichen, bestimmte Sonderzeichen und Umlaute. Die Satzlänge beträgt immer 128 Bytes.

Pro Datei dürfen entweder nur Überweisungen oder nur Lastschriften abgespeichert werden. Diese sind in folgendem Format abzulegen:

Abbildung in dieser Leseprobe nicht enthalten

Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) ist eine Gesellschaft, die in diversen Standards die internationale Übertragung von Finanzdaten zwischen Banken festschreibt.

[...]