Electronic Banking

Abwicklung von Bankgeschäften über Datenleitungen
(Weitergeleitet von Online-Banking)

Electronic Banking (oder E-Banking, Onlinebanking, Home Banking oder Elektronisches Bankgeschäft) ist im Bankwesen die Abwicklung von Bankgeschäften über Datenfernübertragung oder Internet mit Hilfe von Personal Computer, Smartphone und anderen elektronischen Endgeräten (Mobile-Banking) oder über Telefonverbindungen mit Hilfe von Telefonen (Telebanking, Telefonbanking oder Phonebanking).

Exemplarisch: Vornehmen einer Überweisung im Onlinebanking-Portal einer Bank

Allgemeines

Bearbeiten

Vor dem Computerzeitalter wurden Bankgeschäfte ausschließlich über Vordrucke wie etwa Überweisungsträger oder Zahlscheine abgewickelt. Diese Vordrucke dienten den Kreditinstituten als Buchungsbeleg für die Verbuchung auf den beteiligten Girokonten. Durch die Einführung elektronischer Zahlungssysteme wie etwa dem elektronischen Massenzahlungsverkehr hat insbesondere der beleggebundene Zahlungsverkehr an Bedeutung verloren.

Entwicklung

Bearbeiten

Zu den Pionieren des Onlinebankings gehörte die Postbank, die im Jahre 1983 zunächst mit dem Bildschirmtext begann.[1] Diese Technik setzte sich nicht wie erwartet durch und wurde 2001 eingestellt, wobei das Programm selbst noch bis 2007 weiterbetrieben wurde. Die Sparda-Bank nutzte ab 1996 die von dem in Ostdeutschland aufgewachsenen Jungunternehmer Jozsef Bugovics entwickelte Hardwarelösung MeChip.[2] In der Anfangszeit war die Abgrenzung gegen Homebanking nicht deutlich, da manche Tätigkeiten (z. B. Überweisungen) auf verschiedenen Wegen durchgeführt werden konnten, d. h. am Bildschirm oder durch Versand mit der Briefpost, während das für zahlreiche andere Bankgeschäfte zumindest für Privatkunden nicht möglich war (z. B. Wertpapierorders). In Einzelfällen können Aufträge an die Bank auch per Telefax übermittelt werden. Mit der Entwicklung des Internets und entsprechender Webbrowser ist ein deutlicher Trend zu beobachten. Allein in Deutschland stieg der Anteil der Online-Nutzung bei Bankgeschäften von 8 % im Jahr 1998 auf 36 % im Jahr 2008.[3]

Jahr Anteil
1998 8 %
2000 11 %
2002 23 %
2006 34 %
2008 36 %
2010 35 %
2011 44 %
2013 45 %

Nach einer 2017 erstellten Umfrage von RCG-Retailbanking wickelten im Jahr 2015 weltweit 28 % der Privatkunden ihre Bankgeschäfte online ab, 2017 waren es bereits 43 %.[4] 2014 erledigten 55 % der Deutschen ihre Bankgeschäfte online, 2017 nutzten 50 % ausschließlich Online-Angebote. 2008 waren es 24 Millionen Menschen Onlinebanking, das entsprach 38 Prozent der 16- bis 74-Jährigen.[5] Zur Absicherung der Bankgeschäfte gegen Missbrauch haben sich verschiedene Systeme entwickelt, so etwa speziell im Bereich des Wertpapiergeschäfts ein eigenes Portal für Brokerage, Abfragen per SMS, PIN usw.

Rechtsgrundlagen

Bearbeiten

Electronic Banking unterliegt insbesondere dem Zahlungsdiensterecht der §§ 675c ff. BGB und den §§ 1 ff. ZAG. Ferner gelten die Allgemeinen Geschäftsbedingungen der Kreditinstitute mit ihren „Sonderbedingungen für das Online-Banking“.

Innerhalb des Bankwesens hat Die Deutsche Kreditwirtschaft als Interessenverband der Spitzenverbände der Institutsgruppen den Electronic Banking Internet Communication Standard (EBICS-Standard) in der Schnittstellenspezifikation zum Abkommen über die Datenfernübertragung zwischen Kunden und Kreditinstituten (DFÜ-Abkommen) verankert. Dieser Standard ist seit dem 1. Januar 2008 für alle angeschlossenen Kreditinstitute verbindlich und regelt die technischen Rahmenbedingungen zur Abwicklung des Online-Bankings innerhalb der Institute.

Electronic Banking ist ein Oberbegriff für eine Reihe verschiedener Methoden, um Bankgeschäfte unabhängig von Bankfilialen und Banköffnungszeiten durchführen zu können. Man kann diese Methoden wie folgt abgrenzen:

  • Datenträgeraustauschverfahren (DTA oder DTAUS)
  • Onlinebanking (auch E-Banking, Homebanking und seltener Telebanking genannt)
  • Telefonbanking (vielfach Telebanking genannt)
  • kartengestütztes Bezahlen (auch Electronic Cash genannt).

Die einzelnen Methoden sind für bestimmte Zielgruppen entwickelt worden. So wird z. B. der klassische Datenträgeraustausch bevorzugt von größeren Geschäftskunden genutzt, während das in der Nutzung sehr einfache Telefonbanking, dessen Bedeutung zu Gunsten des E-Banking nach und nach schwindet, eher den Privatkunden anspricht. In der Praxis findet jedoch oft eine Vermischung statt.

Datenträgeraustausch

Bearbeiten

Der physikalische Datenträgeraustausch ist neben der elektronischen Übermittlung der Dateien via FTAM / BCS (s. u.) vor allem bei Großunternehmen und Kommunen mit sehr vielen Aufträgen gebräuchlich.

Hierbei werden Überweisungen und Lastschriften in Dateiform auf Disketten oder CD-ROMs, früher auch auf Magnetbändern, an die Bank eingereicht. Der Aufbau der Datei („DTAUS-Datei“) ist von der Deutschen Kreditwirtschaft bankübergreifend vereinheitlicht vorgeschrieben und enthält neben den Auftraggeber- und Empfängerdaten die Auftragsart (Überweisung oder Lastschrift) sowie Summendaten zur Kontrolle.

Die Legitimation und Autorisation der Aufträge erfolgt durch einen Datenträgerbegleitzettel mit Unterschrift eines Kontobevollmächtigten.

Innerhalb der Schweiz gibt es für das DTA-Format einen einheitlichen und standardisierten Aufbau. Das Datenträgeraustausch-Format (DTA) wird durch die SIX Interbank Clearing AG (ein Gemeinschaftswerk der Schweizer Banken) definiert. Das Schweizer Format ist nicht mit dem deutschen Format kompatibel.

Onlinebanking

Bearbeiten
 
Typischer TAN-Generator für das Online Banking

Unter Onlinebanking (auch Online-Banking oder Online Banking) versteht man den direkten Zugriff auf einen Bankrechner. (z. B. über Internet oder Direkteinwahl bei der Bank per Datenfernübertragung).

 
HBCI-Chipkartenleser

Hier sind zwei Verfahren üblich:

  • Browserbasiertes Internetbanking über die Website der Bank, meist durch TLS gesichert
  • Verwendung eines Onlinebankingprogramms (sog. Clientprogramm), mit dem zunächst offline, also ohne Netzverbindung, die Transaktionen vorbereitet werden, indem etwa ein Überweisungsbeleg ausgefüllt wird. Danach erst wird eine Netzverbindung zur Übertragung der gesammelten Transaktionen aufgebaut.

Die Aufträge werden mit Hilfe einer elektronischen Unterschrift unterzeichnet. Hier haben sich mehrere Verfahren etabliert:

Moderne browserbasierte Internetbanking-Systeme zeichnen sich unter anderem durch Portal-Funktionen, Barrierefreiheit, verschiedene Sicherheitsmechanismen (z. B. gegen Phishing), Benachrichtigungsmöglichkeiten (z. B. bei Kontostandsänderung durch SMS oder E-Mail), mobile TAN-Verfahren sowie frei wählbaren Anmeldenamen aus. Alle bekannten browserbasierten Internetbanking-Systeme sind bis heute durch proprietäre Software realisiert.

In Österreich wird hauptsächlich das MBS/IP-Verfahren verwendet.

Sicherheit beim Onlinebanking

Bearbeiten
 
Phishing-Versuch: Der Bankkunde soll seine Zugangsdaten auf der vom Betrüger präparierten Webseite preisgeben. Typisch ist die Nachahmung des Designs einer vertrauenswürdigen Stelle.

Es ist zwischen der Sicherheit der eigentlichen Datenübertragung zur oder von der Bank und der Datenverarbeitung am Arbeitsplatz zu unterscheiden.

Bei allen Browser- und Client-basierten Electronic Banking-Systemen ist eine Verschlüsselung der Datenübertragung seitens der Banken gewährleistet. Diese ist nach menschlichem Ermessen nicht – oder nur unter erheblichem Zeit- und Ressourcenaufwand – manipulierbar. Das Übertragungsprotokoll HTTPS kann verschiedene Verschlüsselungsalgorithmen nutzen, die unterschiedlich sicher sind.[6] Beim Verbindungsaufbau handeln Webbrowser und Banken-Server den Verschlüsselungsalgorithmus aus, wobei die meisten Banken mit dem Advanced Encryption Standard mit 256 Bit langen Schlüsseln arbeiten.

Die erste Angriffsmöglichkeit für einen Betrüger ist der heimische PC. So sollten Computer immer durch einen aktuellen Virenscanner und eine Firewall gesichert werden, um die Verbreitung von Schadprogrammen wie z. B. Viren, Keyloggern oder Trojanern zu unterbinden. Mit solchen Schadprogrammen wäre z. B. die Fernsteuerung des Computers möglich.

Durch Phishing, Pharming oder SIM-Swapping wird versucht, direkt an die zur Auftragsunterzeichnung notwendigen Daten (z. B. PIN/TAN) zu gelangen. Jeder Bankkunde kann sich bereits dadurch schützen, indem die von den Banken zur Verfügung gestellten Zugangsberechtigungen nicht weitergegeben bzw. im Computer hinterlegt werden.

Denkbar wäre auch eine Manipulation des Domain Name Systems zur Umsetzung der URL einer Onlinebanking-Seite auf die IP-Adresse eines Angreifers (DNS-Spoofing). Dadurch würde der Webbrowser auf einen anderen Webserver geleitet, obwohl die richtige URL eingetippt wurde.

Einen aufwendigeren Angriff auf das Onlinebanking stellt der Man-in-the-middle-Angriff dar, bei dem der Angreifer sich zwischen Nutzer und Bank schaltet. Es ist also eine direkte Überwachung des Datenverkehrs in Echtzeit erforderlich. Entsprechende Angriffe werden etwa über Trojaner auf dem Rechner des Benutzers ausgeführt.[7] 2012 empfahl die Europäische Agentur für Netz- und Informationssicherheit daher allen Banken, die PCs ihrer Kunden grundsätzlich als infiziert zu betrachten und deshalb Sicherheitsverfahren zu verwenden, bei denen der Kunde noch einmal unabhängig vom PC die tatsächlichen Überweisungsdaten kontrollieren kann, wie etwa – unter Vorbehalt, dass die Sicherheit des Mobiltelefons gewährleistet werden kann – mTAN oder Smartcard-basierten Lösungen mit eigenem Kontrolldisplay wie chipTAN.[8]

Maßnahmen zum sicheren Onlinebanking

Bearbeiten

Die Voraussetzung für sicheres Onlinebanking ist ein sicheres Verfahren zur Authentisierung und Autorisierung. Im Webbrowser-gestützten Onlinebanking entspricht das chipTAN-Verfahren dem aktuellen Stand (2012) der Technik. Im Bereich des Homebanking, für das auf dem Kundenrechner eine Homebanking-Software installiert werden muss, ist HBCI mit Chipkarte und Secoder-fähigem Kartenleser das sicherste Verfahren, wobei die jeweilige Bank sowie die Homebanking-Software die Secoder-Erweiterung für HBCI unterstützen müssen.[9][10]

Darüber hinaus gibt es eine Vielzahl technischer Maßnahmen, die auf dem Kundenrechner umgesetzt werden können. Dazu zählen beispielsweise die Installation von Antivirensoftware und einer Personal Firewall. Gerade für Nutzer älterer TAN-Verfahren, wie TAN-Listen aus Papier oder einfachen TAN-Generatoren (nicht chipTAN), bei denen die Überweisungsdaten nicht in die TAN-Berechnung mit einfließen, kann auch der Einsatz einer Live-CD beziehungsweise eines Live-USB-Sticks, z. B. mit dem kostenlosen Knoppix[11] sinnvoll sein. Live-Systeme enthalten in aller Regel keine Banking-Trojaner und können dadurch den Nutzer vor der Trojaner-Problematik schützen. Diese Maßnahmen konzentrieren sich auf die technischen Aspekte.

Ein ebenso wichtiger Aspekt für sicheres Onlinebanking ist es, den Wissensstand des Nutzers und sein Bewusstsein für mögliche Betrügereien zu schärfen (siehe auch „Social Engineering“). Banking-Trojaner wie Tatanga oder Matsnu.J haben deutlich gemacht, dass die bewusste Manipulation des Nutzers eine Umgehung der technischen Sicherheitsmaßnahmen gar nicht notwendig macht. Durch das Vortäuschen falscher Tatsachen, z. B. einer angeblichen „Test-“ oder „Rücküberweisung“, unter Ausnutzung der Unwissenheit des Bankkunden wurden schon etliche Bankkunden um erhebliche Beträge betrogen.

Zahlungsverfahren, die auf Onlinebanking basieren

Bearbeiten

Giropay und Sofortüberweisung sind Online-Bezahlverfahren, die auf Überweisungen mittels Online-Banking basieren, sowie speziell für die Anforderungen des E-Commerce optimiert wurden. Seit November 2017 wird die Echtzeitüberweisung im Europäischen Zahlungsraum (SEPA) schrittweise zum Standard.

Telefonbanking

Bearbeiten

Beim Telefonbanking werden Kontostandsabfragen, Überweisungen, oft auch Wertpapiergeschäfte über das Telefon abgewickelt. Hier kommen Sprachcomputer, aber auch Call-Center- oder kombinierte Lösungen zum Einsatz.

 
Geldautomat

Kartengestütztes Bezahlen

Bearbeiten

Auch das Bezahlen mit Kreditkarte, Debitkarte oder Geldkarte fällt in den Bereich des Electronic Banking. Je nach verwendeter Karte erfolgt die Autorisierung der Zahlung per PIN oder Unterschrift. Bei der Geldkarte und manchen VISA-Karten[12] erfolgt eine Authentifizierung nur beim Aufladen.

Siehe auch: Bargeldloser Zahlungsverkehr

In der Schweiz können Firmen elektronische Rechnungen in Form von E-Bills an ihre Kunden (Privatpersonen oder Firmenkunden) versenden; die Kunden können dann über ihr Onlinebanking-Konto einen Rechnungsüberblick über alle Rechnungen einsehen und offene Rechnungen zur Zahlung freigeben.[13][14]

Siehe auch

Bearbeiten

Literatur

Bearbeiten
  • Jürgen Krumnow (Hrsg.): Management-Handbuch eBanking. Schäffer-Poeschel, Stuttgart 2001, ISBN 3-7910-1841-8.
  • Heinz Sauerburger (Hrsg.): Zahlungssysteme / E-Banking. HMD 224, dpunkt.verlag, Heidelberg 2002, ISBN 3-89864-154-6.
  • Markus Knüfermann: Angebotsgestaltung im Internet-Banking für Privatkunden deutscher Sparkassen. Springer/Bank-Verlag, Wien/New York 2003, ISBN 3-85136-065-6.
  • Ernst Stahl, Thomas Krabichler, Markus Breitschaft, Georg Wittmann: Electronic Banking 2007 – Trends und zukünftige Anforderungen im Firmenkundengeschäft. Teil 1. Delphi-Expertenbefragung, IBI Research, Regensburg 2007, ISBN 978-3-937195-14-8.
Bearbeiten

Deutschland

Bearbeiten

Österreich

Bearbeiten

Einzelnachweise

Bearbeiten
  1. Online-Banking und Sicherheit (Memento des Originals vom 5. März 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.postbank.de auf postbank.de, abgerufen am 10. Oktober 2017
  2. "110 Jahre Sparda-Bank Hamburg. Von der Eisenbahn auf die Daten-Autobahn (Memento vom 8. September 2017 im Internet Archive)
  3. Zahlen lt. Bundesverband deutscher Banken auf bankenverband.de: 'Zahlen, Daten, Fakten der Kreditwirtschaft' (Dezember 2015; PDF, Seite 13)
  4. 3/2017 Printausgabe S. 288
  5. Online-Banking wächst nur langsam heise.de, 22. Februar 2009
  6. Bericht auf Heise über die Benutzung von Verschlüsselungsalgorithmen
  7. Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, 29. Oktober 2010
  8. “High Roller” online bank robberies reveal security gaps European Union Agency for Network and Information Security, 5. Juli 2012
  9. Secoder 2.0-Standard in StarMoney (Memento vom 18. November 2015 im Internet Archive) starmoney.de, Star Finanz-Software Entwicklung und Vertriebs GmbH, abgerufen am 18. November 2015.
  10. ZKA: Spezifikation FinTS 3.0 Alternative ZKA Sicherheitsverfahren (PDF; 1,2 MB)
  11. Webpräsenz von Knoppix
  12. Webseite visa.de, Zahlung mit Visa
  13. eBill – Rechnungen digital stellen und bezahlen. In: ebill.ch. Abgerufen am 1. Dezember 2019.
  14. Nicole Roos: E-Banking: E-Bill mit Kinderkrankheiten. In: srf.ch. 22. Februar 2019, abgerufen am 1. Dezember 2019.