HBCI/PinTan Web-Schnittstelle gesucht

Gibt es bereits einen Anbieter der eine einfach Web-Schnittstelle zum ausführen von HBCI/PinTan Vorgängen bietet?

Wenn nein, besteht ein Interesse, dass so etwas entwickelt wird. Ich denke dabei an einen Server auf dem HBCI4Java läuft und welcher auf Web-Schnittstelen anfragen reagiert und entsprechende Daten ermittelt. Das lästige verwalten der Bankeneinstellungen könnten dann einmalig gelöst werden.

Wie seht ihr das?

Ja, ich bin Programmierer und wir erstellen gerade eine Anwendung wo wir Zugriff auf Bankdaten brauchen. Da es ansonsten mittlerweile für so ziemlich alles gute Web-APIs gibt, wundert es mich dass ich bis jetzt keine Lösung gefunden habe und wir offensichtlich alles zu Fuß machen müssen. Evtl. liegt das aber halt auch daran, dass es nicht oft gebraucht wird oder die Anwendungsfälle zu speziell sind. Insbesondere die Tatsache, dass die Bankeinstellungen mit den HTTPS-HBCI Servern immer gepflegt werden müssen machen mich etwas stutzig, dass das wirklich alles z.zt. noch selber machen?!

Hast Du Links zu den Sachen die Du kennst?

Nur am Rande: eine solches Vorhaben steht und fällt oft aus rein rechtlichen Gründen: wenn Du dieses Web-Interface nicht nur SELBST für Deine eigene Bank-Verbindung nutzen willst, sondern dieses Web-Interface potentiellen KUNDEN anbieten willst, die damit IHRE Bankgeschäfte erledigen können, wird schnell das Problem auftreten, dass es Deinen potentiellen Kunden gar nicht erlaubt ist, ihre Bankzugangsdaten (konkret: PIN, TANs) einem "Dritten" (Dir) zu geben, damit Du in deren Namen Aufträge ausführst.

Direkt "strafbar" macht sich damit wohl niemand (steinigt mich, falls ich falsch liege) - aber in dem Moment, wo einer dieser "Kunden" einmal PIN (und evtl. auch TAN) an Deine Web-App übergibt, verliert er sämtliche Haftungsansprüche für Online-Banking-Schäden...

-stefan-

vielen dank für die infos stefan. das wäre in der tat ein problem mit der web-schnittstelle.

verstehe ich das richtig, dass kein problem besteht wenn wir hbci4java direkt in einer web-anwendung verwenden über welche die kunden dann ihre bankdaten abrufen die wir in unserer db speichern, also dass wir den pin nur durchreichen? oder ist es zwingend notwendig dass die applikation wirklich auf dem client rechner läuft?

Das verstehst Du falsch. Wenn EURE Web-Anwendung (die auf EUREM Server läuft) diese Daten von der Bank abruft, braucht ihr Nutzerkennung + PIN vom jeweiligen Kunden - streng genommen darf er beides nicht an Dritte weitergeben...

Die Lösung, das eigentliche ABHOLEN der Kontoumsätze von einer clientseitigen Applikation erledigen zu lassen und nur die empfangenen Kontoumsatzdaten dann an euren Server weiterzureichen, liegt außerhalb des "verbotenen Bereichs" (aus Sicht der Bank-AGB). Ob ihr aber eure potentiellen Kunden davon überzeugen könnt, ihre Kontoauszüge in eurer Datenbank abzulegen, ist ein anderes Problem...

Je nachdem, was eure Anwendung können soll, werden die Probleme aber noch größer: will ein Kunde z.B. eine Überweisung einreichen, müsste auch das über eine client-seitige Applikation erledigt werden. Ihr dürft höchstens die eigentlichen Überweisungs-Daten speichern (Empfänger, Betrag, VWZweck usw.), die euch die client-seitige Applikation "hinterum" übermittelt - aber auch das ist rein datenschutzrechtlich schon nicht mehr wirklich schön.

-stefan-

Wenn man jetzt als Anbieter dieser Webschnittstelle mit dem Kunden eine schriftliche Vereinbarung treffen würde, dass weder Anmeldename noch PIN noch TAN gespeichert werden, wäre dann der Onlinebanking-Kunde raus?

Denn andersherum gibt der Kunde bei Nutzung einer Onlinebankingsoftware und Speicherung der PIN auch seinen PIN weiter. Sollte eine solche Software mal gehackt oder durch Trojaner komprimittiert werden hat der Kunde ja auch ein Problem, oder?

OK, dieser Aussage entnehme ich, dass man den PIN in stationär installierten Softwareprodukten ebensowenig speichern darf. Insbesondere, weil ja auch die elektr. Speicherung explizit in den AGB meistens ausgeschlossen ist.

Damit verhält sich dann m.E. eine solche Webschnittstelle die das Speichern von BKN+PIN garnicht erst anbietet und das auch im Hintergrund nicht tut sogar aus Sicht des Onlinebankingteilnehmers noch AGB konformer als eine stationäre Software. Insofern m.E. halb so wild und kein Argument gegen eine solche Schnittstelle. Zumindest würde ich mich als Anbieter einer solchen Schnittstelle davon nicht abhalten lassen.

@fkoehler: Ich/Wir würden sie trotzdem nutzen.

Die elektronische Speicherung ist per Sonderbedingungen verboten, ja. Ohne ausdrückliche Konfiguration des Kunden wird dies aber auch von Software wie zB Proficash garnicht vorgenommen.

Ich such hier auch keine Argumente gegen die Web-Schnittstelle. Ich persönlich würde sie einfach nicht nutzen, da ich mich damit nicht auskenne. Die Grundsatzdiskussion, was dem Kunden erlaubt ist und was er zB aus Bequemlichkeit trotzdem macht, gibt es ja schon wesentlich länger.