Back to Top

PHNETZ - Internetagentur

Marketing für Ihren Erfolg

HBCI

 

HBCI (Home Banking Computer Interface)

 

HBCI ist ein in Deutschland entwickeltes, bankspezifisches Kommunikationsprotokoll, das den sicheren elektronischen Austausch von Finanzdaten zwischen Bankkunden (Privat‑ und Geschäftskunden) und Kreditinstituten ermöglicht. Es wurde in den 1990ern von der Deutschen Kreditwirtschaft in Zusammenarbeit mit Software‑Herstellern standardisiert und dient als Grundlage für das heute weiterentwickelte FinTS‑Protokoll (Financial Transaction Services). HBCI unterstützt verschiedene Bankgeschäfte wie Kontostandsabfragen, Umsatzabrufe, Überweisungen, Lastschriften, Daueraufträge und Termin‑Einzüge, wobei die gesamte Kommunikation verschlüsselt und authentifiziert erfolgt.

 

1. Technische Grundlagen

Ebene
Beschreibung
Transport
TCP/IP über das Internet (Port 443 HTTPS) oder über das gesicherte Intranet (z. B. TLS‑geschützte Verbindungen).
Sicherheits‑Layer
Asymmetrische Kryptographie (RSA 2048 Bit) für Schlüsselaustausch, symmetrische Algorithmen (AES‑256) für Datenverschlüsselung, HMAC‑SHA‑256 für Integrität.
Authentifizierung
Zwei‑Faktor‑Verfahren: PIN + TAN (Transaktions‑Nummer), Chip‑TAN‑Leser, mobile TAN‑Generatoren (mTAN) oder QR‑Code‑basierte TAN‑Verfahren.
Nachrichtenformat
ISO‑20022‑konforme XML‑Strukturen (nach HBCI 3.0) bzw. HL7‑ähnliche Segmente (nach älteren Versionen).
Session‑Management
Aufbau einer sicheren Session (Dialog‑Identifikation, Schlüsselableitung), anschließend mehrere Transaktionen innerhalb einer Session.

2. Ablauf einer typischen HBCI‑Transaktion

  1. Initialisierung: Der Client (z. B.. Banksoftware wie StarMoney, Outbank, Finanzblick) lädt die Bank‑Parameter (z. B. URL, Versions‑ID, Schlüssel‑Material) vom Bank‑Server.
  2. Schlüsselaustausch: Der Client generiert ein zufälliges Sitzungsschlüssel‑Paar, verschlüsselt es mit dem öffentlichen Schlüssel der Bank und sendet es.
  3. Authentifizierung: Der Nutzer gibt seine PIN ein; die TAN wird separat über ein TAN‑Gerät oder per Mobile‑App erzeugt.
  4. Auftragsausführung: Der Client erstellt das XML‑Konstrukt für die gewünschte Transaktion (z. B. Überweisung), signiert es mit dem Sitzungsschlüssel und sendet es.
  5. Bestätigung: Die Bank prüft Signatur, Kontostand, TAN‑Gültigkeit und gibt eine Bestätigung (ACK) zurück.
  6. Session‑Abschluss: Nach Abschluss aller Aufträge wird die Session mit einem „Ende‑Dialog‑Segment“ sicher beendet.
 

3. Funktionen (Beispiele)

  • Konto‑Abfrage (Balance‑Inquiry): Echtzeit‑Abfrage des aktuellen Kontostands.
  • Umsatz‑Abruf (Statement‑Download): Laden von Kontoumsätzen im MT940‑ oder CAMT‑Format.
  • Überweisung (Transfer): Initiieren von In‑Bank‑ und Inter‑Bank‑Transfers inkl. SEPA‑XML‑Format.
  • Lastschrift (ELV/SEPA‑Direct‑Debit): Einziehen von fälligen Beträgen nach vorheriger Genehmigung.
  • Terminzahlungen (Standing Orders): Einrichten von wiederkehrenden Zahlungen.
 

4. Weiterentwicklung zu FinTS

Seit 2012 wird HBCI offiziell durch FinTS 2.2 abgelöst. FinTS erweitert das Protokoll um:

 
  • REST‑ und JSON‑Unterstützung (neue API‑Modelle).
  • Mobile‑Optimierung (z. B. OAuth‑basierte Autorisierung, QR‑Code‑TAN).
  • Erweiterte Sicherheitsstandards (z. B. TLS 1.3, Elliptic‑Curve‑Kryptografie).
 

Die grundlegende Funktionsweise (Sicherer Schlüsselaustausch, TAN‑Verfahren) bleibt jedoch erhalten, sodass bestehende HBCI‑Implementierungen in vielen Fällen weiter betrieben werden können.

 

5. Vorteile

  • Hohe Sicherheit: Starke Kryptographie, getrennte TAN‑Generierung, keine Weitergabe von Passwörtern an Dritte.
  • Standardisierung: Einheitliches Verfahren für alle teilnehmenden deutschen Banken, vereinfacht Integration von Finanzsoftware.
  • Automatisierbarkeit: Batch‑Verarbeitung von Kontoauszügen, Termin‑Einzügen und Massenzahlungen.
 

6. Einschränkungen

  • Komplexität: Implementierung erfordert tiefes Verständnis von Kryptographie, XML‑Schemas und Bank‑Spezifika.
  • Verbreitung: Primär in Deutschland und für deutsche Banken; internationale Banken nutzen meist eigene Protokolle (SWIFT, ISO 20022 APIs).
  • Veraltete Technologien: Ältere HBCI‑Versionen nutzen veraltete Verschlüsselungsalgorithmen (z. B. DES), die nicht mehr als sicher gelten.