Sicherheitsvorkehrungen für Online-Banking?

Hallo zusammen,

ich spiele schon seit einiger Zeit mit dem Gedanken, eine eigene Online-
Banking-Software (wahrscheinlich als WebApp) zu programmieren.

Hier würde mich mal interessieren, welche Sicherheitsvorkehrungen (wie
bspw. HTTPS-Zertifikat, ...) dafür zwingend notwendig sind - gibt es da
rechtliche Voraussetzungen?

Vielleicht kann mir der eine oder andere dazu ein wenig was sagen!?

VG, Perry

Hallo Holger!

Nehmen wir mal als Beispiel 'Finanzblick'.

Warum genau macht es keinen Sinn, meine Frage zu beantworten?
Ich wollte ganz allgemein etwas zu diesem Thema wissen.

Mein Fehler,
dass ich nicht genau definiert habe,
was ich mit WebApp meinte - sorry.

VG, Perry

Hallo Perry,

ok. hibiskus hat es ja schon angesprochen.
Du möchtest eine Weblösung für ein sehr komplexes Themenfeld bauen. Neben technsichen Dingen die man klären muss, kommen noch ganmz viele fachliche und auch noch einige rechtliche Fragen dazu. D.h. wenn man soetwas Entwickeln möchte, sollte man sich schon mal ein wenig mit dem thema beschäftigt ahben und zumindest ein paar grundsätzliche Themen für sich beantwortet oder recherchiert haben.

Deine Frage betrifft eine Grundsatzfargestellung, nämlich wie komme ich an die Daten die die Bank ihrem Kunden zur Verfügung stellt. Die Frage die Du stellst, ist so grundsätzlicher Natur, das der Eindruck entsteht, dass Du dich mit dem Thema -ausser eine Idee zu haben- scheinbar noch kein bisschen beschäftigt hast. Wenn ich als Programmierer die Webseite zum Onlinebanking aufrufe, sollte ich sofort erkennen, dass die https gesichert ist. Damit kann man sich die Frage schon beantworten. Wenn man Programmierer ist, sollte man auch eine Vorstellung haben, dass die Webseiten jeder Bank anders aufgebaut sind, man also nicht so ohne Weiteres was einheitliches hierzu programmieren kann, damit würde sich eher die Frage stellen, ob es schon Leute gibt, die hierfür Ansätze gefunden haben, doer ob es Alternative Zugangswege gibt -> Die Frage würde auch schon zeigen, dass Du dich wohl nicht sehr intensiv damit beschäftigt hast.

D.h. zunächst solltest Du dich darüber informieren was geht und was nicht udn welche Schnittstellen es gibt.
Das Thema WebApp würde ich an deienr Stelle ganz weit nach hinten schieben, da das derzeit im Rahmen der PSD II europaweit reguliert werden wird. Je nachdem was dabei raus kommt, könntest Du deine Ansätze dann für die Tonne entwickelt haben...

Viele Grüße

Holger

Wie sieht denn deine Zielgruppe aus?
Php setzt ja normalerweise einen Server voraus, das bedeutet aber, dass womöglich geheime Daten einem Server anvertraut werden. Wo steht der Server? Wenn der bei jemandem zuhause steht, mag das in Ordnung sein, aber auf einem gehosteten System halte ich es schon für sehr sehr schwer, eine geeignete Absicherung zur Verfügung zu stellen.
Aber auf einem Raspberry zuhause, natürlich mit einem "ordentlichen" Wirtssystem, fände ich persönlich ein solches Projekt schon sehr interessant.
Gruß
Raimund

Das Produkt soll jedem zugänglich gemacht werden, der an einer WebApp mit Banking-Anbindung interessiert ist - also der allgemeinen Öffentlichkeit quasi. Um es demnach einem großen Kundenkreis zugänglich zu machen, sollte der Server schon in einem Rechenzentrum stehen. Ich tendiere zu einem eigenen Server in einem Rechenzentrum.

Mhhh, die Kernaussage ist zwar vom Grundsatz her richtig, aber alles andere nicht. So einfach macht eine Bankgruppe einen Zugang nicht dicht, insbesondere wennd er Dritte für den Kunden arbeitet.
Rechtliche Hürden sind auch -derzeit- nicht die Zugänge zur Bank, sondern Datenschutz allgemein.
Aber mit PSD 2 wird exakt der Zugang von Services wie Kontoblick reguliert. Nach aktuellem Diskussionsstand würde ich persönlich bei WebApplikationen keine Entwicklung vorrantreiben, die zwingend auf eine der existierenden Verfahren aufsetzt und ich würde auch warten, bis die PSD2 in nationales Recht überführt ist, damit ich weiß welche rechtlichen und organisatorischen Auflagen ich als "Dritter" hier zu erfüllen habe und welche leistungen ich überhaupt noch anbieten kann.

Ich würde mal vermuten, das Mitte/Ende diesen Jahres alles so fix ist, dass man hierzu mehr weiß.

Ansonsten:
Ok, Perry d.h. Du hast gar nicht -wie es zuerst geklungen hat- vor, dir den Bankzugang selber zu entwickeln. Ganz wichtige Information und eine kluge Entscheidung (wenn man mal PSD 2 aussen vor lässt). Damit verhält sich deine Webanwendung zunächst mal wie jedes andere Kundenprodukt auch und wird seitens der Banken auch so "behandelt". D.h. mit der Dokumentation von HBCI4PHP solltest Du die für dich wichtigsten Infos schon haben. Was vermutlich fehlt ist die Spezifikation der transportierten Daten wie die Umsatzinformationen,. es sei denn HBCI4PHP parst die auch und stellt die über eine Schnittstelle zur Verfügung.

Viele Grüße

Holger

Vielen Dank erstmal, für eure Informationen.

Ja, das hätte ich noch erwähnen sollen, dass der Bankzugang bereits über eine Schnittstelle (HBCI4PHP) realisiert wird.

Das mit der PSD II werde ich dann mal beobachten und auf einen Entschluss bzw. auf weitere Informationen diesbezüglich warten.

Die Dienstleistung würde ich gegen ein kleines Entgeld anbieten. HBCI4PHP stellt die Umsatzinformationen ebenfalls über eine Schnittstelle zur Verfügung.

dazu wären meines Erachtens die Banken oder Bank-Rechenzentralen verpflichtet, sobald vorliegende Fehler und Risiken dies nötig machen und konkrete Gründe dafür vorliegen, z.B. eine mangelhafte Absicherung.
Es geht dabei nicht um die Schnittstelle FinTS als solches, sondern um die ankommenden Verbindungen.
Auf einem "normalen" Feld/Wald/Wiesen-Server wäre dies schon sehr wahrscheinlich der Fall und wenn es bankseitig tatsächlich ignoriert würde, würde darüber breit berichtet und in den Medien vor der Nutzung gewarnt.

Worauf ich hinaus will:
Eine einigermaßen für einen Dienstleister akzeptable und taugliche Sicherheit würde schon einiges kosten, das erst einmal investiert gehört. Das geht imho nur mit einem größeren Etat und da wäre ein Investment in einen fertigen Server auch eine Option.

Gruß
Raimund

Darauf würde ich mich nicht verlassen, ich bin davon überzeugt, dass sich die Spielregeln hier verschärfen (müssen).
Wenn eine Schnittstelle missbraucht wird, wird auch das nicht einfach hingenommen werden, siehe die Diskussion mit der Sparkasse, die Abrufgebühren einführen wollte.
Aus eigener Erfahrung kann ich sagen, dass man natürlich erstmal den Dialog mit dem End-Kunden führen würde.

Meinst du eigentlich Sofortüberweisung oder wie sie jetzt heißen? Von einem Datenleck habe ich nämlich gar nichts mitbekommen. Die schätze ich inzwischen auch als 2big ein, um da einfach den Hahn abzudrehen.

Massenhoster heißt übrigens nicht automatisch, dass die Systeme unsicher sind. Passwörter im Klartext geht natürlich gar nicht, da ist unser Forum ja besser geschützt, trotz fehlender Verschlüsselung.