Folgende Teile dieses Artikels scheinen seit 2017 nicht mehr aktuell zu sein:
Die Nutzung des Internets gegenüber anderen Kommunikationsmitteln sollte inzwischen erdrückend sein. Die letzten Zahlen sind von 2017. Auch FTAM via ISDN und DATEX-P ist nicht mehr wirklich zeitgemäß. SEPA wird überhaupt nicht erwähnt. Insgesamt braucht der Artikel eine Aktualisierung.
Zu den Pionieren des Onlinebankings gehörte die Postbank, die im Jahre 1983 zunächst mit dem Bildschirmtext begann.[1] Diese Technik setzte sich nicht wie erwartet durch und wurde 2001 eingestellt, wobei das Programm selbst noch bis 2007 weiterbetrieben wurde. Die Sparda-Bank nutzte ab 1996 die von dem in Ostdeutschland aufgewachsenen Jungunternehmer Jozsef Bugovics entwickelte Hardwarelösung MeChip.[2] In der Anfangszeit war die Abgrenzung gegen Homebanking nicht deutlich, da manche Tätigkeiten (z. B. Überweisungen) auf verschiedenen Wegen durchgeführt werden konnten, d. h. am Bildschirm oder durch Versand mit der Briefpost, während das für zahlreiche andere Bankgeschäfte zumindest für Privatkunden nicht möglich war (z. B. Wertpapierorders). In Einzelfällen können Aufträge an die Bank auch per Telefax übermittelt werden. Mit der Entwicklung des Internets und entsprechender Webbrowser ist ein deutlicher Trend zu beobachten. Allein in Deutschland stieg der Anteil der Online-Nutzung bei Bankgeschäften von 8 % im Jahr 1998 auf 36 % im Jahr 2008.[3]
Jahr
Anteil
1998
8 %
2000
11 %
2002
23 %
2006
34 %
2008
36 %
2010
35 %
2011
44 %
2013
45 %
Nach einer 2017 erstellten Umfrage von RCG-Retailbanking wickelten im Jahr 2015 weltweit 28 % der Privatkunden ihre Bankgeschäfte online ab, 2017 waren es bereits 43 %.[4] 2014 erledigten 55 % der Deutschen ihre Bankgeschäfte online, 2017 nutzten 50 % ausschließlich Online-Angebote. 2008 waren es 24 Millionen Menschen Onlinebanking, das entsprach 38 Prozent der 16- bis 74-Jährigen.[5] Zur Absicherung der Bankgeschäfte gegen Missbrauch haben sich verschiedene Systeme entwickelt, so etwa speziell im Bereich des Wertpapiergeschäfts ein eigenes Portal für Brokerage, Abfragen per SMS, PIN usw.
Electronic Banking ist ein Oberbegriff für eine Reihe verschiedener Methoden, um Bankgeschäfte unabhängig von Bankfilialen und Banköffnungszeiten durchführen zu können. Man kann diese Methoden wie folgt abgrenzen:
Die einzelnen Methoden sind für bestimmte Zielgruppen entwickelt worden. So wird z. B. der klassische Datenträgeraustausch bevorzugt von größeren Geschäftskunden genutzt, während das in der Nutzung sehr einfache Telefonbanking, dessen Bedeutung zu Gunsten des E-Banking nach und nach schwindet, eher den Privatkunden anspricht. In der Praxis findet jedoch oft eine Vermischung statt.
Datenträgeraustausch
Der physikalische Datenträgeraustausch ist neben der elektronischen Übermittlung der Dateien via FTAM / BCS (s. u.) vor allem bei Großunternehmen und Kommunen mit sehr vielen Aufträgen gebräuchlich.
Hierbei werden Überweisungen und Lastschriften in Dateiform auf Disketten oder CD-ROMs, früher auch auf Magnetbändern, an die Bank eingereicht. Der Aufbau der Datei („DTAUS-Datei“) ist von der Deutschen Kreditwirtschaft bankübergreifend vereinheitlicht vorgeschrieben und enthält neben den Auftraggeber- und Empfängerdaten die Auftragsart (Überweisung oder Lastschrift) sowie Summendaten zur Kontrolle.
Die Legitimation und Autorisation der Aufträge erfolgt durch einen Datenträgerbegleitzettel mit Unterschrift eines Kontobevollmächtigten.
Innerhalb der Schweiz gibt es für das DTA-Format einen einheitlichen und standardisierten Aufbau. Das Datenträgeraustausch-Format (DTA) wird durch die SIX Interbank Clearing AG (ein Gemeinschaftswerk der Schweizer Banken) definiert. Das Schweizer Format ist nicht mit dem deutschen Format kompatibel.
Onlinebanking
Unter Onlinebanking (auch Online-Banking oder Online Banking) versteht man den direkten Zugriff auf einen Bankrechner. (z. B. über Internet oder Direkteinwahl bei der Bank per Datenfernübertragung).
Verwendung eines Onlinebankingprogramms (sog. Clientprogramm), mit dem zunächst offline, also ohne Netzverbindung, die Transaktionen vorbereitet werden, indem etwa ein Überweisungsbeleg ausgefüllt wird. Danach erst wird eine Netzverbindung zur Übertragung der gesammelten Transaktionen aufgebaut.
Die Aufträge werden mit Hilfe einer elektronischen Unterschrift unterzeichnet. Hier haben sich mehrere Verfahren etabliert:
PIN/TAN (mit Papier-TAN-Liste, TAN-Generator, eTAN, sm@rt TAN, chipTAN, optische TAN oder mobile TAN z. B. via SMS)
Banking Communication Standard (BCS), i. d. R. identisch FTAM; meist unter Verwendung von elektronischen Unterschriften hauptsächlich in größeren Unternehmen eingesetzt
Electronic Banking Internet Communication Standard (EBICS): Erweiterung des Banking Communication Standard für die Kommunikation über das Internet unter Verwendung von elektronischen Unterschriften. Zukünftiger Multibankenstandard für das Firmenkundengeschäft über das Internet (flächendeckende Einführung in Deutschland zum 1. Januar 2008)
Moderne browserbasierte Internetbanking-Systeme zeichnen sich unter anderem durch Portal-Funktionen, Barrierefreiheit, verschiedene Sicherheitsmechanismen (z. B. gegen Phishing), Benachrichtigungsmöglichkeiten (z. B. bei Kontostandsänderung durch SMS oder E-Mail), mobile TAN-Verfahren sowie frei wählbaren Anmeldenamen aus. Alle bekannten browserbasierten Internetbanking-Systeme sind bis heute durch proprietäre Software realisiert.
In Österreich wird hauptsächlich das MBS/IP-Verfahren verwendet.
Sicherheit beim Onlinebanking
Es ist zwischen der Sicherheit der eigentlichen Datenübertragung zur oder von der Bank und der Datenverarbeitung am Arbeitsplatz zu unterscheiden.
Bei allen Browser- und Client-basierten Electronic Banking-Systemen ist eine Verschlüsselung der Datenübertragung seitens der Banken gewährleistet. Diese ist nach menschlichem Ermessen nicht – oder nur unter erheblichem Zeit- und Ressourcenaufwand – manipulierbar. Das Übertragungsprotokoll HTTPS kann verschiedene Verschlüsselungsalgorithmen nutzen, die unterschiedlich sicher sind.[6] Beim Verbindungsaufbau handeln Webbrowser und Banken-Server den Verschlüsselungsalgorithmus aus, wobei die meisten Banken mit dem Advanced Encryption Standard mit 256 Bit langen Schlüsseln arbeiten.
Die erste Angriffsmöglichkeit für einen Betrüger ist der heimische PC. So sollten Computer immer durch einen aktuellen Virenscanner und eine Firewall gesichert werden, um die Verbreitung von Schadprogrammen wie z. B. Viren, Keyloggern oder Trojanern zu unterbinden. Mit solchen Schadprogrammen wäre z. B. die Fernsteuerung des Computers möglich.
Durch Phishing, Pharming oder SIM-Swapping wird versucht, direkt an die zur Auftragsunterzeichnung notwendigen Daten (z. B. PIN/TAN) zu gelangen. Jeder Bankkunde kann sich bereits dadurch schützen, indem die von den Banken zur Verfügung gestellten Zugangsberechtigungen nicht weitergegeben bzw. im Computer hinterlegt werden.
Denkbar wäre auch eine Manipulation des Domain Name Systems zur Umsetzung der URL einer Onlinebanking-Seite auf die IP-Adresse eines Angreifers (DNS-Spoofing). Dadurch würde der Webbrowser auf einen anderen Webserver geleitet, obwohl die richtige URL eingetippt wurde.
Einen aufwendigeren Angriff auf das Onlinebanking stellt der Man-in-the-middle-Angriff dar, bei dem der Angreifer sich zwischen Nutzer und Bank schaltet. Es ist also eine direkte Überwachung des Datenverkehrs in Echtzeit erforderlich. Entsprechende Angriffe werden etwa über Trojaner auf dem Rechner des Benutzers ausgeführt.[7] 2012 empfahl die Europäische Agentur für Netz- und Informationssicherheit daher allen Banken, die PCs ihrer Kunden grundsätzlich als infiziert zu betrachten und deshalb Sicherheitsverfahren zu verwenden, bei denen der Kunde noch einmal unabhängig vom PC die tatsächlichen Überweisungsdaten kontrollieren kann, wie etwa – unter Vorbehalt, dass die Sicherheit des Mobiltelefons gewährleistet werden kann – mTAN oder Smartcard-basierten Lösungen mit eigenem Kontrolldisplay wie chipTAN.[8]
Die Voraussetzung für sicheres Onlinebanking ist ein sicheres Verfahren zur Authentisierung und Autorisierung. Im Webbrowser-gestützten Onlinebanking entspricht das chipTAN-Verfahren dem aktuellen Stand (2012) der Technik. Im Bereich des Homebanking, für das auf dem Kundenrechner eine Homebanking-Software installiert werden muss, ist HBCI mit Chipkarte und Secoder-fähigem Kartenleser das sicherste Verfahren, wobei die jeweilige Bank sowie die Homebanking-Software die Secoder-Erweiterung für HBCI unterstützen müssen.[9][10]
Darüber hinaus gibt es eine Vielzahl technischer Maßnahmen, die auf dem Kundenrechner umgesetzt werden können. Dazu zählen beispielsweise die Installation von Antivirensoftware und einer Personal Firewall. Gerade für Nutzer älterer TAN-Verfahren, wie TAN-Listen aus Papier oder einfachen TAN-Generatoren (nicht chipTAN), bei denen die Überweisungsdaten nicht in die TAN-Berechnung mit einfließen, kann auch der Einsatz einer Live-CD beziehungsweise eines Live-USB-Sticks, z. B. mit dem kostenlosen Knoppix[11] sinnvoll sein. Live-Systeme enthalten in aller Regel keine Banking-Trojaner und können dadurch den Nutzer vor der Trojaner-Problematik schützen. Diese Maßnahmen konzentrieren sich auf die technischen Aspekte.
Ein ebenso wichtiger Aspekt für sicheres Onlinebanking ist es, den Wissensstand des Nutzers und sein Bewusstsein für mögliche Betrügereien zu schärfen (siehe auch „Social Engineering“). Banking-Trojaner wie Tatanga oder Matsnu.J haben deutlich gemacht, dass die bewusste Manipulation des Nutzers eine Umgehung der technischen Sicherheitsmaßnahmen gar nicht notwendig macht. Durch das Vortäuschen falscher Tatsachen, z. B. einer angeblichen „Test-“ oder „Rücküberweisung“, unter Ausnutzung der Unwissenheit des Bankkunden wurden schon etliche Bankkunden um erhebliche Beträge betrogen.
Beim Telefonbanking werden Kontostandsabfragen, Überweisungen, oft auch Wertpapiergeschäfte über das Telefon abgewickelt. Hier kommen Sprachcomputer, aber auch Call-Center- oder kombinierte Lösungen zum Einsatz.
Kartengestütztes Bezahlen
Auch das Bezahlen mit Kreditkarte, Debitkarte oder Geldkarte fällt in den Bereich des Electronic Banking. Je nach verwendeter Karte erfolgt die Autorisierung der Zahlung per PIN oder Unterschrift. Bei der Geldkarte und manchen VISA-Karten[12] erfolgt eine Authentifizierung nur beim Aufladen.
In der Schweiz können Firmen elektronische Rechnungen in Form von E-Bills an ihre Kunden (Privatpersonen oder Firmenkunden) versenden; die Kunden können dann über ihr Onlinebanking-Konto einen Rechnungsüberblick über alle Rechnungen einsehen und offene Rechnungen zur Zahlung freigeben.[13][14]
Markus Knüfermann: Angebotsgestaltung im Internet-Banking für Privatkunden deutscher Sparkassen. Springer/Bank-Verlag, Wien/New York 2003, ISBN 3-85136-065-6.
Ernst Stahl, Thomas Krabichler, Markus Breitschaft, Georg Wittmann: Electronic Banking 2007 – Trends und zukünftige Anforderungen im Firmenkundengeschäft. Teil 1. Delphi-Expertenbefragung, IBI Research, Regensburg 2007, ISBN 978-3-937195-14-8.