Onlinebanking – HBCI/FinTS einfordern

Manchmal ist Deutschland Vorreiter in IT-Sachen und niemand merkt es. HBCI (Homebanking Computer Interface) bwz. FinTS ist so ein Fall. In quasi keinem anderen Land der Welt gibt es eine vergleichbar standardisierte Schnittstelle zum Onlinebanking ohne Browser und Banken-Homepage. Nun wollen die ersten Banken diese loswerden und die Kunden sollten sich dagegen wehren.

HBCI ermöglicht – vereinfacht ausgedrückt – Onlinebanking mit einem spezialisierten Programm über eine API ohne direkt auf die Banken-Homepage zugreifen zu müssen. Für jedes Betriebssystem gibt es zahlreiche kostenlose und kostenpflichtige Programme. Ein wichtiger Vorteil dieser Programme besteht in der Möglichkeit mehrere Konten in einem Programm zu verwalten.

Der Zugriff via HBCI/FinTS ist aber nicht nur komfortabel, sondern auch noch sehr gut für die Sicherheit. Ursprünglich bot HBCI bessere Authentifizierungsmechanismen, aber hier haben Banken inzwischen nachgezogen. Trotzdem umgeht man immer noch die Browser und ihre zahlreichen Sicherheitslücken. Weiterhin erschwert man bei unbedarfteren Anwendern Phishing-Angriffe. Diese erfordern schließlich immer einen Aufruf einer gefakten Internetseite. Ist der Anwender jedoch so konditioniert, dass er Banking nie über den Browser macht, fällt er deutlich weniger auf solche Angriffe herein.

Den Banken ist HBCI anscheinend ein Dorn im Auge. Die Schnittstelle ist wohl relativ kompliziert und ihre Anpassung an aktuelle Sicherheitsstandards wie PSD 2 mit Arbeit verbunden. Angesichts der wohl ziemlich desaströsen IT bei vielen Banken kommt es da wohl immer wieder zu Anpassungsschwierigkeiten. Außerdem möchten die Banken die Kunden gerne auf die Homepage locken, da diese ein wichtiges Marketinginstrument für Kredite und andere Dienstleistungen sind. An den Konten selbst verdienen Banken schließlich kaum noch. Nicht zu unterschätzen ist außerdem der fehlende LockIn-Effekt. Durch die Programme erscheinen Banken für den Anwender austauschbar, weil die Markenidentifikation leidet. Gesetzliche Neuerungen wie der erleichterte Kontowechsel tun da ein übriges.

Momentan sieht es also so aus, als ob die PSD 2 zwar einen erleichterten Zugriff für neuartige Finanzdienstleister ermöglicht, aber die Banken den Kunden ihre Schnittstelle nehmen wollen. Ich teile da die dahingehende Prognose bzw. Vermutung von Philip Banse und Ulf Buermeyer aus der Folge 157 von „Lage der Nation“.

Kunden sollten dem einen Riegel vorschieben und eine abgeschaltete oder eingeschränkte HBCI Schnittstelle mit einer Kontokündigung beantworten.


Bilder:

Einleitungs- und Beitragsbild von Mudassar Iqbal via Pixabay 

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...