Newsletter abonnieren

FinTS

FinTSBankgeschäfte online abzuwickeln, gehört für die meisten Privat- und Firmenkunden inzwischen zum Alltag. Erstens, weil jederzeit und unabhängig von Öffnungszeiten auf die Finanzen zurückgegriffen werden kann. Zweitens, weil längst nicht mehr nur Direktbanken Onlinelösungen präsentierten. Auf diese Weise entstanden verschiedenste, untereinander nicht kompatible Systeme. Dieses Problem hat die Deutsche Kreditwirtschaft erkannt und reagiert: Um bequem und ohne größeren Aufwand mehrere Konten bei unterschiedlichen Banken über spezielle Software verwalten zu können, wurde in den 90er Jahren ein Online-Banking Standard entwickelt, das Homebanking Computer Interface (HBCI). Dieser Standard ist Ende 2002 in die Financial Transactions Services (FinTS) übergegangen.

Aus HBCI wird FinTS

FinTS stellt somit keine völlig neue Spezifikation dar, sondern ist im Grunde genommen nur ein neuer Name für HBCI. Der alte Standard bildet nach wie vor den Kern, wurde allerdings grundlegend überarbeitet und "modernisiert". FinTS, das mittlerweile in der Version 4.0 vorliegt, gleicht jetzt einem Baukastensystem mit Einzelspezifikationen für das Legitimationsverfahren, die Geschäftsvorfälle, die Formate der Finanzdaten und die Protokolle. Diesbezüglich sind zwei Neuerungen von Bedeutung:

Die bisherige Trennzeichensyntax wurde beim Übergang von HBCI auf FinTC durch XML-Technologien ersetzt, zum Beispiel mit der XML-Signature. Dadurch lassen jetzt auch andere auf XML basierende Lösungen einbinden und wird es leichter, einen internationalen Standard zu erreichen.

FinTS ist auch mit dem PIN/TAN-Verfahren nutzbar

Für Nutzer vermutlich wesentlich interessanter als der rein programmiertechnische Aspekt ist der Umstand, dass mit FinTS nun auch mit der persönlichen Identifikationsnummer (PIN) und Transaktionsnummern (TAN) gearbeitet werden kann. Das PIN/TAN-Verfahren ist den meisten Bankkunden hinlänglich bekannt und wurde im Laufe der Jahre stetig verbessert, hin zur iTAN, den mTAN und jetzt QR-TAN. Der Kunde legitimiert sich mittels der PIN und bestätigt jede Transaktion mit einer TAN. Da dieses Verfahren immer beliebter wurde, konnte sich HBCI nicht so recht durchsetzen. Denn für das alte HBCI bedurfte es einer Chipkarte, auf der ein Schlüssel hinterlegt ist, und eines Kartenlesegerätes. Dieses Verfahren gibt es auch heute noch (FinTS HBCI) und gilt nach wie vor als die sicherste Variante. Ergänzend dazu kann der Schlüssel bei FinTS nun auch auf einer Diskette oder einem USB-Stick hinterlegt werden. Oder der Kunde entscheidet sich für das PIN/TAN-Verfahren (FinTS PIN/TAN).

Softwarebasiertes Banking

Sinnvoll ist FinTS für Verbraucher, die ihre Bankgeschäfte über eine spezielle Software abwickeln möchten. Angeboten werden die Programme auf dem freien Markt oder als spezielle Editionen der Banken. Der Vorteil, die Software bei der Bank zu kaufen, liegt im Preis. Meist lassen sich ein paar Euro sparen. Das gilt insbesondere für Kunden, die mit Chipkarte arbeiten. In dem Fall gibt es die Finanzsoftware und das nötige Lesegerät oft als Paket. Welche Kosten damit verbunden sind, richtet sich nach der Software und dem Lesegerät. Experten raten dabei zu bewährten Produkten, die den aktuellen Sicherheitsstandards entsprechen.

Welche Lösungen und welche Verfahren von den Banken angeboten werden, sollte vorab geklärt werden. Gängig sind die drei bereits erwähnten Methoden:

  • FinTS HBCI mit Chipkarte: Die Karte muss bei der Bank angefordert werden. Benötigt wird darüber hinaus ein entsprechendes Lesegerät. Nach Erhalt kann das Konto in der Software eingerichtet werden. Dazu wird die Karte in das Lesegerät eingeführt, damit die Daten abgeglichen werden können. Das funktioniert nur mit einer PIN, die nicht über die PC-Tastatur, sondern über das PIN-Pad des Kartenlesers eingegeben wird. Das genaue Vorgehen variiert von Programm zu Programm. Die nötigen Daten – insbesondere die Kommunikationsadresse, über die die Verbindung zur Bank hergestellt wird – teilen die Kreditinstitute mit.
  • FinTS HBCI mit Diskette oder USB-Stick: Der Sicherheitsschlüssel wird auf dem Stick oder der Diskette sowie bei der Bank hinterlegt. Danach muss der Schlüssel nur noch freigegeben werden. Das funktioniert entweder auf dem Postweg mit einem sogenannten INI-Brief, der aus dem Programm heraus ausgedruckt und später unterschrieben an die Bank geschickt werden muss. Oder die Daten werden online bestätigt. Auch diesbezüglich unterscheiden sich die Vorgehensweisen der Banken. Um sich später zu legitimieren, muss die Diskette bzw. der Stick eingelegt und der Schlüssel mit der PIN bestätigt werden.
  • FinTS PIN/TAN: Für dieses Verfahren reicht es, die Bankverbindung in der Software anzulegen. Die Zugangs- und Verbindungsdaten stellt die Bank zur Verfügung. Im Anschluss kann dann ganz normal mit PIN und TAN gearbeitet werden – wie beim browserbasierten Banking über die Portale der Institute.

Die Sicherheit bei FinTS

Die Sicherheit bei FinTS basiert auf dem Umstand, dass nicht der gängige Kommunikationsweg, also das Internet, genutzt wird. Damit ist die Gefahr, auf falsche E-Mails oder Internetseiten hereinzufallen, weitgehend gebannt. Stattdessen wird eine direkte Verbindung zwischen Kunde und Bank aufgebaut. Damit Bank weiß, dass es sich tatsächlich um den Kunden handelt und umgekehrt, werden beim HBCI-basierten Verfahren die Sicherheitsschlüssel kontrolliert. Hinzu kommt die PIN, die über den Kartenleser und damit ebenfalls unabhängig vom PC eingegeben wird. Beim PIN/TAN-Verfahren dient ausschließlich die persönliche Identifikationsnummer der Zugangskontrolle. Von daher ist es sicherer, Karte und Lesegerät zu verwenden, wenngleich FinTS auch in der PIN/TAN-Version bereits mehr Sicherheit bietet als das klassische PIN/TAN-Verfahren. Unabhängig davon: Auch wer sich für die Kontoführung per FinTS entscheidet, sollte nicht auf einen guten Virenscanner und eine Firewall verzichten.

Bildmaterial: © Stefan Balk – Fotolia.com