HBCI mit PIN/TAN Erweiterung
Bereits in HBCI Version 2.20 wurde dem Standard das PIN/TAN Verfahren als Erweiterung hinzugefügt. Es wird offiziell als "PIN/TAN Interface" bezeichnet, ist aber auch unter den Namen "HBCI+", "HBCI mit PIN/TAN" oder "PIN/TAN Erweitert" bekannt. Die Datenübertragung erfolgt über eine gesicherte SSL-Verbindung. Dieses Verfahren verknüpft die Vorteile von HBCI mit einer noch höhere Flexibilität und Geräteunabhängigkeit.
Was ist FinTS?
FinTS 3.0 versteht sich als Nachfolge-Standard von HBCI. FinTS steht für "Financial Transaction Services" und beinhaltet das Sicherheitsverfahren HBCI 3.0 (signaturgestütztes Sicherungsverfahren mit Chipkarte oder Schlüsseldatei) sowie das Sicherheitsverfahren PIN/TAN. Es kann als Baukastensystem gesehen werden. Legitimationsverfahren, Geschäftsvorfälle und Finanzdatenformate werden vom Protokoll getrennt. Es zeichnet sich insbesondere durch die Einführung der Signaturkarte als einheitliches Sicherheitsmedium aus. Mit dieser Signaturkarte kann eine rechtsverbindliche Erklärung im elektronischen Geschäftsverkehr abgegeben werden. Außerdem wurden die Sicherheitsverfahren an den aktuellen Stand der Technik angepasst, d.h. z.B. eine Erhöhung der Schlüssellänge. Die bisherige PIN/TAN-Erweiterung wurde in FinTS als alternatives Sicherheitsverfahren zu HBCI aufgenommen.
HBCI-PIN/TAN ist nicht FinTS
Fälschlicherweise wird HBCI mit PIN/TAN von vielen Kreditinstituten und Softwareherstellern mit FinTS gleichgesetzt. Zurzeit nutzen die meisten Rechenzentren (alle?) beim PIN/TAN-Verfahren die PIN/TAN-Erweiterung der HBCI Version 2.20, jedoch nicht den in FinTS 3.0 spezifizierten PIN/TAN-Sicherheitsmechanismus. Selbst wenn das Rechenzentrum FinTS einsetzten würde, müsste es in diesem Zusammenhang korrekt "FinTS mit PIN/TAN-Verfahren" lauten. Der PIN/TAN-Mechanismus der Spezifikation FinTS 3.0 weicht in einigen Punkten von der PIN/TAN Erweiterung der HBCI Version 2.20 ab. FinTS ist ein baukastenbasierendes Kommunikationsprotokoll (siehe oben) aber kein einzelnes Sicherheitsverfahren.
Weiterführende Infos: http://www.hbci-zka.de/dokumen…m_v3.0.pdf
http://www.hbci-zka.de/dokumen…endium.pdf
Bereits in HBCI Version 2.20 wurde dem Standard das PIN/TAN Verfahren als Erweiterung hinzugefügt. Es wird offiziell als "PIN/TAN Interface" bezeichnet, ist aber auch unter den Namen "HBCI+", "HBCI mit PIN/TAN" oder "PIN/TAN Erweitert" bekannt. Die Datenübertragung erfolgt über eine gesicherte SSL-Verbindung. Dieses Verfahren verknüpft die Vorteile von HBCI mit einer noch höhere Flexibilität und Geräteunabhängigkeit.
Was ist FinTS?
FinTS 3.0 versteht sich als Nachfolge-Standard von HBCI. FinTS steht für "Financial Transaction Services" und beinhaltet das Sicherheitsverfahren HBCI 3.0 (signaturgestütztes Sicherungsverfahren mit Chipkarte oder Schlüsseldatei) sowie das Sicherheitsverfahren PIN/TAN. Es kann als Baukastensystem gesehen werden. Legitimationsverfahren, Geschäftsvorfälle und Finanzdatenformate werden vom Protokoll getrennt. Es zeichnet sich insbesondere durch die Einführung der Signaturkarte als einheitliches Sicherheitsmedium aus. Mit dieser Signaturkarte kann eine rechtsverbindliche Erklärung im elektronischen Geschäftsverkehr abgegeben werden. Außerdem wurden die Sicherheitsverfahren an den aktuellen Stand der Technik angepasst, d.h. z.B. eine Erhöhung der Schlüssellänge. Die bisherige PIN/TAN-Erweiterung wurde in FinTS als alternatives Sicherheitsverfahren zu HBCI aufgenommen.
HBCI-PIN/TAN ist nicht FinTS
Fälschlicherweise wird HBCI mit PIN/TAN von vielen Kreditinstituten und Softwareherstellern mit FinTS gleichgesetzt. Zurzeit nutzen die meisten Rechenzentren (alle?) beim PIN/TAN-Verfahren die PIN/TAN-Erweiterung der HBCI Version 2.20, jedoch nicht den in FinTS 3.0 spezifizierten PIN/TAN-Sicherheitsmechanismus. Selbst wenn das Rechenzentrum FinTS einsetzten würde, müsste es in diesem Zusammenhang korrekt "FinTS mit PIN/TAN-Verfahren" lauten. Der PIN/TAN-Mechanismus der Spezifikation FinTS 3.0 weicht in einigen Punkten von der PIN/TAN Erweiterung der HBCI Version 2.20 ab. FinTS ist ein baukastenbasierendes Kommunikationsprotokoll (siehe oben) aber kein einzelnes Sicherheitsverfahren.
Weiterführende Infos: http://www.hbci-zka.de/dokumen…m_v3.0.pdf
http://www.hbci-zka.de/dokumen…endium.pdf