Electronic Banking

aus Wikipedia, der freien Enzyklopädie

(Weitergeleitet von Telefonbanking)

Datei:Screenshot eBanking bei der Frankfurter Volksbank.png

Exemplarisch: Vornehmen einer Überweisung im Onlinkebanking-Portal einer Bank

Electronic Banking, E-Banking, Online-Banking, Home Banking oder Elektronisches Bankgeschäft (E-Bank) ist die Abwicklung von Bankgeschäften über Datenleitungen mit Hilfe von PCs, Smartphones und anderen elektronischen Endgeräten oder über Telefonverbindungen mit Hilfe von Telefonen und Faxgeräten (Telebanking, Telefonbanking oder Phonebanking).

2013 erledigten 45 % der Deutschen ihre Bankgeschäfte online. (1998 = 8 %; 2000 = 11 %; 2002 = 23 %; 2006 = 34 %; 2008 = 36 %; 2010 = 35 %; 2011 = 44 %<ref>Zahlen lt. Bundesverband deutscher Banken auf bankenverband.de: 'Zahlen, Daten, Fakten der Kreditwirtschaft' (November 2013; PDF, Seite 13)</ref>)

Arten

Electronic Banking ist ein Oberbegriff für eine Reihe verschiedener Methoden, um Bankgeschäfte unabhängig von Bankfilialen und Banköffnungszeiten durchführen zu können. Man kann diese Methoden wie folgt abgrenzen:

Datenträgeraustauschverfahren (DTA oder DTAUS)
Onlinebanking (auch E-Banking, Homebanking und seltener Telebanking genannt)
Telefonbanking (vielfach Telebanking genannt)
kartengestütztes Bezahlen (auch Electronic Cash genannt).

Die einzelnen Methoden sind für bestimmte Zielgruppen entwickelt worden. So wird z.B. der klassische Datenträgeraustausch bevorzugt von größeren Geschäftskunden genutzt, während das in der Nutzung sehr einfache Telefonbanking, dessen Bedeutung zu Gunsten des E-Banking nach und nach schwindet, eher den Privatkunden anspricht. In der Praxis findet jedoch oft eine Vermischung statt.

Datenträgeraustausch

Der physikalische Datenträgeraustausch ist neben der elektronischen Übermittlung der Dateien via FTAM / BCS (s.u.) vor allem bei Großunternehmen und Kommunen mit sehr vielen Aufträgen gebräuchlich.

Hierbei werden Überweisungen und Lastschriften in Dateiform auf Disketten oder CD-ROMs, früher auch auf Magnetbändern, an die Bank eingereicht. Der Aufbau der Datei („DTAUS-Datei“) ist von der Deutschen Kreditwirtschaft bankübergreifend vereinheitlicht vorgeschrieben und enthält neben den Auftraggeber- und Empfängerdaten die Auftragsart (Überweisung oder Lastschrift) sowie Summendaten zur Kontrolle.

Die Legitimation und Autorisation der Aufträge erfolgt durch einen Datenträgerbegleitzettel mit Unterschrift eines Kontobevollmächtigten.

Schweiz

Auch innerhalb der Schweiz gibt es für das DTA-Format einen einheitlichen und standardisierten Aufbau. Das Datenträgeraustausch-Format (DTA) wird durch die SIX Interbank Clearing AG (ein Gemeinschaftswerk der Schweizer Banken) definiert. Das Schweizer Format ist nicht mit dem deutschen Format kompatibel.

Onlinebanking

Datei:Différents modèles de lecteurs de cartes bancaires.jpg

Typischer TAN-Generator für das Online Banking

Unter Onlinebanking versteht man den direkten Zugriff auf den Bankrechner. (z.B. über Internet oder Direkteinwahl bei der Bank per Datenfernübertragung).

Datei:Reiner chipkartenleser.jpg

HBCI-Chipkartenleser

Hier sind zwei Verfahren üblich:

Browserbasiertes Internetbanking über die Website der Bank, meist durch TLS gesichert.
Verwendung eines Onlinebankingprogramms (sog. Clientprogramm), mit dem zunächst offline, also ohne Netzverbindung, die Transaktionen vorbereitet werden, indem etwa ein Überweisungsbeleg ausgefüllt wird. Danach erst wird eine Netzverbindung zur Übertragung der gesammelten Transaktionen aufgebaut.

Die Aufträge werden mit Hilfe einer elektronischen Unterschrift unterzeichnet. Hier haben sich in Deutschland mehrere Verfahren etabliert:

PIN/TAN (mit Papier-TAN-Liste, TAN-Generator, eTAN, sm@rt TAN, chipTAN, optische TAN oder mobile TAN z.B. via SMS)
Homebanking Computer Interface (HBCI) oder Financial Transaction Services (FinTS) mit Legitimation per Chipkarte oder Schlüsseldiskette.
File Transfer and Access Management (FTAM) mit Elektronischer Unterschrift (EU); vor allem im Firmensektor verbreitet; Direkteinwahl zum Bankrechner über ISDN oder DATEX-P.
Banking Communication Standard (BCS), i. d. R. identisch FTAM, findet meist unter Verwendung von elektronischen Unterschriften hauptsächlich bei größeren Unternehmen Verwendung.
Electronic Banking Internet Communication Standard (EBICS): Erweiterung des Banking Communication Standard für die Kommunikation über das Internet unter Verwendung von elektronischen Unterschriften. Zukünftiger Multibankenstandard für das Firmenkundengeschäft über das Internet (flächendeckende Einführung in Deutschland zum 1. Januar 2008).

Moderne browserbasierte Internetbanking-Systeme zeichnen sich unter anderem durch Portal-Funktionen, Barrierefreiheit, verschiedene Sicherheitsmechanismen (z.B. gegen Phishing), Benachrichtigungsmöglichkeiten (z.B. bei Kontostandsänderung durch SMS oder E-Mail), mobile TAN-Verfahren sowie frei wählbaren Anmeldenamen aus. Alle bekannten browserbasierten Internetbanking-Systeme sind bis heute durch proprietäre Software realisiert.

In Deutschland nutzten 2008 24 Millionen Menschen Onlinebanking, das sind 38 Prozent der 16- bis 74-Jährigen.<ref>Online-Banking wächst nur langsam heise.de, 22. Februar 2009</ref>

In Österreich wird hauptsächlich das MBS/IP-Verfahren verwendet.

Sicherheit beim Onlinebanking

Datei:Phishing Stadtsparkasse München.png

Phishing-Versuch: Der Bankkunde soll seine Zugangsdaten auf der vom Betrüger präparierten Webseite preisgeben. Typisch ist die Nachahmung des Designs einer vertrauenswürdigen Stelle.

Es ist zwischen der Sicherheit der eigentlichen Datenübertragung zur oder von der Bank und der Datenverarbeitung am Arbeitsplatz zu unterscheiden.

Bei allen Browser- und Client-basierten Electronic Banking-Systemen ist eine Verschlüsselung der Datenübertragung seitens der Banken gewährleistet. Diese ist nach menschlichem Ermessen nicht – oder nur unter erheblichem Zeit- und Ressourcenaufwand – manipulierbar. Das Übertragungsprotokoll HTTPS kann verschiedene Verschlüsselungsalgorithmen nutzen, die unterschiedlich sicher sind.<ref>Bericht auf Heise über die Benutzung von Verschlüsselungsalgorithmen</ref> Beim Verbindungsaufbau handeln Webbrowser und Banken-Server den Verschlüsselungsalgorithmus aus, wobei die meisten Banken mit dem Advanced Encryption Standard mit 256 Bit langen Schlüsseln arbeiten.

Die erste Angriffsmöglichkeit für einen Betrüger ist der heimische PC. So sollten Computer immer durch einen aktuellen Virenscanner und eine Firewall gesichert werden, um die Verbreitung von Schadprogrammen wie z.B. Viren, Keyloggern oder Trojanern zu unterbinden. Mit solchen Schadprogrammen wäre z.B. die Fernsteuerung des Computers möglich.

Durch Phishing und Pharming wird versucht direkt an die zur Auftragsunterzeichnung notwendigen Daten (z.B. PIN/TAN) zu gelangen. Jeder Bankkunde kann sich bereits dadurch schützen, indem die von den Banken zur Verfügung gestellten Zugangsberechtigungen nicht weitergegeben bzw. im Computer hinterlegt werden.

Denkbar wäre auch eine Manipulation des Domain Name Systems zur Umsetzung der URL einer Onlinebanking-Seite auf die IP-Adresse eines Angreifers (DNS-Spoofing). Dadurch würde der Webbrowser auf einen anderen Webserver geleitet, obwohl die richtige URL eingetippt wurde.

Einen aufwendigeren Angriff auf das Onlinebanking stellt der Man-in-the-middle-Angriff dar, bei dem der Angreifer sich zwischen Nutzer und Bank schaltet. Es ist also eine direkte Überwachung des Datenverkehrs in Echtzeit erforderlich. Entsprechende Angriffe werden etwa über Trojaner auf dem Rechner des Benutzer ausgeführt.<ref>Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, 29. Oktober 2010</ref> 2012 empfahl die Europäische Agentur für Netz- und Informationssicherheit daher allen Banken die PCs ihrer Kunden grundsätzlich als infiziert zu betrachten und deshalb Sicherheitsverfahren zu verwenden bei denen der Kunde noch einmal unabhängig vom PC die tatsächlichen Überweisungsdaten kontrollieren kann, wie etwa - unter Vorbehalt, dass die Sicherheit des Mobiltelefons gewährleistet werden kann - mTAN oder Smartcard-basierten Lösungen mit eigenem Kontrolldisplay wie chipTAN.<ref>“High Roller” online bank robberies reveal security gaps European Union Agency for Network and Information Security, 5. Juli 2012</ref>

Siehe auch: Datenschutz und Verschlüsselung

Maßnahmen zum sicheren Onlinebanking

Die Voraussetzung für sicheres Onlinebanking ist ein sicheres Verfahren zur Authentisierung und Autorisierung. Im Webbrowser-gestützten Onlinebanking entspricht das chipTAN-Verfahren dem aktuellen Stand (2012) der Technik. Im Bereich des Homebanking, für das auf dem Kundenrechner eine Homebanking-Software installiert werden muss, ist HBCI mit Chipkarte und Secoder-fähigem Kartenleser das sicherste Verfahren, wobei die jeweilige Bank sowie die Homebanking-Software die Secoder-Erweiterung für HBCI unterstützen müssen.<ref>Secoder 2.0-Standard in StarMoney starmoney.de, Star Finanz-Software Entwicklung und Vertriebs GmbH, abgerufen am 18. November 2015.</ref><ref>ZKA: Spezifikation FinTS 3.0 Alternative ZKA Sicherheitsverfahren (PDF; 1,2 MB)</ref>

Darüber hinaus gibt es eine Vielzahl technischer Maßnahmen die auf dem Kundenrechner umgesetzt werden können. Dazu zählen beispielsweise die Installation von Antivirensoftware und einer Personal Firewall. Gerade für Nutzer älterer TAN-Verfahren, wie TAN-Listen aus Papier oder einfachen TAN-Generatoren (nicht chipTAN), bei denen die Überweisungsdaten nicht in die TAN-Berechnung mit einfließen, kann auch der Einsatz einer Live-CD beziehungsweise eines Live-USB-Sticks mit dem kostenlosen Knoppix<ref>Webpräsenz von Knoppix</ref> oder c't Bankix<ref>Projekt der Zeitschrift c't zum sicheren Onlinebanking</ref> sinnvoll sein. Live-Systeme enthalten normalerweise keine Banking-Trojaner und können dadurch den Nutzer vor der Trojaner-Problematik schützen. Diese Maßnahmen konzentrieren sich auf die technischen Aspekte.

Ein ebenso wichtiger Aspekt für sicheres Onlinebanking ist den Wissensstand des Nutzers und sein Bewusstsein für mögliche Betrügereien zu schärfen (siehe auch: „Social Engineering“). Banking-Trojaner wie Tatanga oder Matsnu.J haben deutlich gemacht, dass die bewusste Manipulation des Nutzers eine Umgehung der technischen Sicherheitsmaßnahmen gar nicht notwendig macht. Durch das Vortäuschen falscher Tatsachen, z.B. einer angeblichen „Test-“ oder „Rücküberweisung“, unter Ausnutzung der Unwissenheit des Bankkunden wurden schon etliche Bankkunden um erhebliche Beträge betrogen.

Bekannte Onlinebankingprogramme (Auswahl für den deutschsprachigen Markt)

Deutschland

ALF-BanCo
Bank X (Mac OS X)
GnuCash (freie Software)
Hibiscus (Java, freie Software)
HVB eFIN (Unicredit-Gruppe)
iOutBank (Apple iOS)
KMyMoney (freie Software)
MacGiro (Mac OS X)
MoneyMoney (Mac OS X)
Moneyplex
OutBank (Mac OS X)
Pecunia (freie Software) (Mac OS X)
Profi cash (Volks- und Raiffeisenbanken)
Quicken
SFirm (Sparkassen)
Steganos Online-Banking
StarMoney
VR-NetWorld (Volks- und Raiffeisenbanken)
windata
WISO Mein Geld

Österreich

ELBA MBS: BKS, BTV, CAPITAL Bank – GRAWE Gruppe AG, Hypo Oberösterreich, Hypo Salzburg, Hypo Steiermark, ING Bank N.V. Vienna Branch, Oberbank, Raiffeisen, Sanpaolo IMI S.p.A., Sparkasse, Erste Bank, BAWAG/P.S.K. Gruppe, Societé Generale, Svenska Handelsbanken AB, VKB-Bank, ZVEZA BANK reg.z.z o.j, Sparda Bank
Business Line, Business Net: Bank Austria
HBP MBS: Volksbanken Sektor, Hypo Vorarlberg, Hypo Tirol, Hypo Alpe-Adria-Bank, Hypo Niederösterreich, Schoellerbank AG, Bank für Ärzte und Freie Berufe, Investkredit Bank AG, Bankhaus Schelhammer & Schattera, direktanlage.at, Renault Bank AG, Bankhaus Carl Spängler & Co. AG, Gärtnerbank rGmbH, IMMO-BANK AG, Österreichische Apothekerbank

Schweiz

Datei:Efinance.jpg

Benutzeroberfläche des PostFinance-eigenen Electronic Bankings E-Finance.

mammut ENTERPRISE
CLX.PayMaker
Office Wings
E-Finance
DirectNet
e-Services for Avaloq
CLX.E-Banking

Zahlungsverfahren, die auf Onlinebanking basieren

Giropay und Sofortüberweisung sind Online-Bezahlverfahren, die auf Überweisungen mittels Online-Banking basieren, sowie speziell für die Anforderungen des E-Commerce optimiert wurden.

Telefonbanking

Beim Telefonbanking werden Kontostandsabfragen, Überweisungen, oft auch Wertpapiergeschäfte über das Telefon abgewickelt. Hier kommen Sprachcomputer, aber auch Call-Center- oder kombinierte Lösungen zum Einsatz.

Datei:Bankomat 050421.jpg

Geldautomat

Kartengestütztes Bezahlen

Auch das Bezahlen mit Kreditkarte, Debitkarte oder Geldkarte fällt in den Bereich des Electronic Banking. Je nach verwendeter Karte erfolgt die Autorisierung der Zahlung per PIN oder Unterschrift. Bei der Geldkarte erfolgt keine Autorisierung.

Siehe auch: Bargeldloser Zahlungsverkehr

Literatur

Jürgen Krumnow (Hrsg.): Management-Handbuch eBanking. Schäffer-Poeschel, Stuttgart 2001, ISBN 3-7910-1841-8.
Heinz Sauerburger (Hrsg.): Zahlungssysteme / E-Banking. HMD 224, dpunkt.verlag, Heidelberg 2002, ISBN 3-89864-154-6.
Markus Knüfermann: Angebotsgestaltung im Internet-Banking für Privatkunden deutscher Sparkassen. Springer/Bank-Verlag, Wien/New York, 2003, ISBN 3-85136-065-6.
Ernst Stahl, Thomas Krabichler, Markus Breitschaft, Georg Wittmann: Electronic Banking 2007 – Trends und zukünftige Anforderungen im Firmenkundengeschäft. Teil 1. Delphi-Expertenbefragung, IBI Research, Regensburg 2007, ISBN 978-3-937195-14-8.

Weblinks

Deutschland

Online-Banking – bequem und sicher – Informationsbroschüre des Bundesverbands Deutscher Banken
Studienzyklus der Universität Regensburg zum Electronic Banking im Firmenkundengeschäft
Trojanersichere Online Accounts – Bernd Borchert, Universität Tübingen
Die Sicherheit von TAN-Verfahren und HBCI

Schweiz

SIX Interbank Clearing AG

Österreich

Studiengemeinschaft für Zusammenarbeit im Zahlungsverkehr (Normierungsinstitut der Banken in Österreich u. a. der MBS-Norm)
a.trust

Einzelnachweise

Ihr Inhalt steht unter der GNU-Lizenz für freie Dokumentation.
Wikipedia® ist eine registrierte Marke der Wikimedia Foundation Inc.
Über Seekgo
Haftungsausschluss