Hallo zusammen,

ich habe einige Fragen zur Programmierung einer Webapplikation die mit Banken kommuniziert und in diesem Forum scheinen viele Leute zu sein, die sich damit auskennen.

Ich würde mich freuen wenn ich einige Tips bekommen könnte, wie ich die von mir gewünschte Applikation möglichst kostengünstig und zeiteffizient realisieren könnte.

Ersteinmal zu der Applikation:
Das ganze ist schnell erklärt, ich möchte als Bestandteil meiner Webseite genau den Service anbieten, den die payment network AG unter sofortident.de anbietet.
Also Kunden sollen ihre Bankdaten inklusive PIN angeben und wir nutzen diese um bei den Banken die Identität des Nutzers zu erfragen. Mit dieser Information können wir dann einen Datenabgleich bei der Schufa machen um den jeweiligen User zuverlässig zu verifizieren. Allerdings sind die Gebühren die sofortident.de verlangt (3-4€/User) zu hoch für uns.

Auf der Suche nach Möglichkeiten diesen Service selbst zu entwickeln bin ich auf einige Möglichkeiten gestoßen und würde mich über etwas feedback freuen was ihr von den verschiedenen Möglichkeiten haltet.

Möglichkeit 1 (Alles selber machen):
Die Applikation komplett von grund auf selber programmieren. Dies scheint mir aber als zu aufwendig, da es so viele Banken in Deutschland gibt mit denen der Datenaustauch funktionieren muss.

Möglichkeit 2 (Aqbanking und AqHBCI):
Die opensource-Bibliotheken scheinen einem bereits eine Menge Arbeit abzunehmen und da sie kostenlos verwendbar sind wären sie sicher sehr interessant. Aber inwieweit sind sie für mein Vorhaben einer webbasierten Applikation die die Identität eines Nutzers online abfragt hilfreich? Ist die Bibliothek immer ziemlich up-to-date und mit den meisten deutschen Banken einsetzbar?

Möglichkeit 3 (Subsembly jsHBCI Bibliothek):
Diese Bibliothek scheint schon sehr auf Webapplikationen zugeschnitten zu sein und da es eine kommerzielle Bibliothek ist, ist sie sicherlich auch immer up-tp-date und zuverlässig. Allerdings kostet sie natürlich auch Geld im Vergleich zu Aqbanking.

Möglichkeit 4 (DDBAC)
DDBAC scheint der Marktführer für die Bankenkommunikation zu sein. Allerdings auch am teuersten. Welche Vor- und Nachteile hat DDBAC beispielsweise gegenüber Subsembly?

Noch ein paar Hintergrundinfos zur Realisierung dieses Projekts:
Ich selbst habe ein BWL Studium und habe die Geschäftsidee entworfen für die wir diese Applikation nutzen wollen. Für die technische Umsetzung habe ich einen guten Programmierer im Team, welcher allerdings noch keinerlei Erfahrung mit HBCI und dem Datenaustausch mit Banken hat. Die Applikation ist nicht der Kern unserer Geschäftsidee aber spielt eine wesentliche Rolle. Anders als sofortident möchten wir die Verifizierung nur für uns nutzen und nicht über eine Schnittstelle anderen Seiten zugängig machen.

Es wäre super wenn einige Personen die schon Erfahrungen mit dem HBCI Standard und Aqbanking, subsembly, oder DDBAC haben ihre Meinung geben könnten welchen Weg sie für am sinnvollsten halten.

Vielen Dank schonmal!

Kai

Hallo Kai,

sorry, aber ich habe immer so meine Bauchschmerzen, wenn jemand meine Zugangsdaten zur Bank haben möchte.
Selbst dann, wenn er keine Transaktionen auslösen kann (mangels TAN), dreht sich bei mir er Magen um, wenn ich daran denke, wie weit man damit die Hosen gegenüber jemand völlig unbekannten runter lässt!

Mit den Daten, siehst Du meine Umsätze, sprich was ich verdiene, wo ich es ausgebe, welche Versicherung ich für wieviel Geld abgeschlossen habe, wie Kreditwürdig ist, welche weiteren Konten ich selber habe, ggf. für welche fremden Konten ich bevollmächtigt bin........
Nur um festzustellen, dass ich ich bin...........

Viele Grüße

Holger

Meine Daten gibt es auch nicht für so etwas. Zum Glück gibt es neben deiner seriöse Möglichkeiten, sich zu legitimieren.

Hallo, vielen Dank für die Antworten soweit. Mir ist bewusst, dass dieses Thema etwas heikel ist und gerade Leute die sich etwas genauer mit der Marterie auskennen Bedenken haben ihre Zugangsdaten Drittanbietern wie der payment Network AG zugängig zu machen.

Wobei die payment network AG inzwischen schon halbwegs Vertrauen aufgebaut hat (Ist natürlich Ansichtssache, ich persönlich habe kein Problem deren Services zu nutzen). Dieses Vertrauenslevel müssten wir uns als neues Unternehmen natürlich ersteinmal aufbauen.

Aber letztendlich muss jeder Nutzer für sich entscheiden ob er einem Anbieter vertraut, ist ja alles freiwillig.

Da wir aber keine schlechten Absichten haben, habe ich kein Problem damit Nutzern einen solchen Service transparent anzubieten.

@Fellini: Welche anderen Möglichkeiten einer Identitätsverifizierung meinst du?

Wir sind natürlich interessiert andere Methoden zur Verifizierung anzubieten und Nutzern die Wahl zu geben. Allerdings gibt es immer einen trade-off zwischen Zuverlässigkeit (Personalausweis scannen), Verbreitung (Elektronischer Personalausweis), Zeitaufwand (PostIdent) und Kosten (ebenfalls PostIdent).

Das Sofortident Verfahren wäre eine bequeme Möglichkeit für Nutzer.

Also würd mich über ein paar Tips freuen, wie sich ein solches Projekt am besten umsetzen lässt (siehe mein 1. Post). Ich lasse mich auch gern über alternative/bessere Möglichkeiten der zuverlässigen Verifizierung einer Identität aufklären.

Bei sofortueberweisung.de wird das auch gemacht mit der PIN Speicherung. Und da läuft noch eine Klage. Vielleicht sollte man das erst abwarten, bevor man es denen nachmacht...

Im übrigen finde ich es unterste Schublade, dass man ein Identifizierungssystem darauf aufbaut, dass der Kunde zwangsläufig gegen die Onlinebankingbedingungen seiner Bank verstoßen muss.
Das würde ich mir noch ein paar mal überlegen.

Die elektr. Signatur und der RFID Ausweis sind doch für diese Zwecke erfunden worden. Und wenn diese Möglichkeiten zu teuer, zu langwierig oder zu wenig verbreitet sind hat das seinen Grund. Das darf doch nicht dazu führen, dass ich unlautere Methoden anwende, um es trotzdem zu erreichen.
Meine Empfehlung: Sucht euch ein anderes Business wo die Identifizierung nicht so wichtig ist. Für eure jetzige Idee seid ihr und noch viele viele andere einfach zu früh. Das Internet hat sich derzeit noch nicht durchgesetzt als Kanal zur Legitimationserhebung.

Das Bundeskartellamt hat doch bereits eindeutig klargestellt, dass die Banken AGB in diesem Punkt nichtig sind. Desweiteren macht doch jede Finanzsoftware das gleiche und würde theoretisch gegen die Banken AGB verstoßen.

Es geht um die generelle elektr. Speicherung von Zugangsdaten, wie auch der PIN.
Wo kann man deine Behauptung nachlesen?

Wer möchte denn die PIN speichern? Niemand macht das. Die PIN wird lediglich eingegeben und verschlüsselt zur Ausführung des Auftrags genutzt, dabei ist sie nirgendswo ablesbar und wird auch nicht verschlüsselt irgendwo gespeichert.

Bei den Rechtsstreit zwischen giropay und sofortüberweisung geht es darum die Legitimationsdaten Dritten zugängig zu machen. Diese Regelung wurde aber als unzulässig erklärt weil sie bankenunabhängigen Direktüberweisungsverfahren den Marktzutritt verwehrt. Und es ist auch eh blödsinnig, weil jede Home-Banking Software nach der Auslegung gegen die Banken AGB verstößt.

http://www.ecommerce-lounge.de…lung-5829/

Mir ist die Diskussion aber auch nicht so wichtig, ich verstehe beide Seiten und jeder Nutzer sollte für sich entscheiden ob er den Service nutzen möchte oder nicht.

Wir wollen die Möglichkeit eben anbieten und würd mich freuen ein paar technische Ratschläge zur Realisierung eines solchen Projekts zu hören.

Wenn ich eine Home-Banking Software entwicklen wollte müsste ich diese Diskussion doch auch nicht führen obwohl ich da genauso sämtliche Informationen meiner Nutzer auslesen und an meine Server schicken könnte.

sofortueberweisung.de hat das gemacht. Und das ist ein Service von welcher Firma?


Schön wär's. Du bist schlecht informiert.


Mehr ein Wunsch denn Realität....


Klar, dass mehrere laufen. Diese Firma wird es schon in sich haben...
Diesen Streit meine ich aber nicht.


Es geht nicht um Diskussion und für und wider und Recht haben und wohlwollen.
Jeder deutsche Onlinebankingteilnehmer hat unterschrieben, dass er die Nutzungsbedingungen seiner Bank einhält.
Und in allen diesen steht, dass der PIN und auch andere Sicherungsmedien nicht elektr. gespeichert werden dürfen.
Und sobald ich als Nutzer meinen Onlinebanking PIN gegenüber einem System bekannt gebe, dass nicht von der Bank ist mit der ich den Vertrag habe verstoße ich dagegen.


Dann bietet etwas an, was nichts mit dem PIN vom Onlinebanking zu tun hat!


Darum geht es nicht. Das wäre Datenmißbrauch, da bin ich noch garnicht mit meiner Argumentation....Wir sind noch einen Schritt davor.
Auch eine Homebanking Software darf einen PIN nicht speichern. Dass viele Produkte es trotzdem anbieten ist schändlich und zeigt die Lücken des deutschen Rechtssystems auf.
Bei einer Onlinebankingsoftware hätte der Nutzer aber wenigstens die Möglichkeit zu prüfen, ob die PIN gespeichert wurde oder nicht, da sich das auf seiner Festplatte abspielt.
Bei einem Online-System geht das nicht und er handelt deshalb von vorn herein grob fahrlässig, einem System den PIN anzuvertrauen, das nicht von seiner Bank selbst ist.

Sofortüberweisung hat den PIN von Nutzern gespeichert? Nach Abschluss der Transaktion? Würde mich sehr wundern, irgendwelche Quellen hierzu?
Ist mir im Grunde aber auch egal was die payment network macht, wir werden sicherlich nicht die PIN von Nutzern speichern.



Das was du ansprichst ist doch genau der Rechtsstreit den ich angegeben habe und das Bundeskartellamt hat klar Stellung bezogen, dass diese AGB nichtig sind. Von daher sehe ich mich rechtlich abgesichert. Und da ich weder moralische Bedenken habe noch rechtliche Probleme sehe (Die Ansage des Bundeskartellamts war eindeutig), warum sollte ich den Service nicht anbieten?




Machen wir auch, aber die Verifizierung über HBCI wäre eine bequeme alternative Methode die vielleicht nicht alle aber sicher eine signifikante Menge an Nutzern zu schätzen wüsste.

http://www.heise.de/newsticker…52044.html
http://www.ftd.de/it-medien/:d…58669.html

Ganz ehrlich: ich würde mich nicht an die Praktiken dieser Firma ranhängen. Und da kommt noch einiges, glaub mir!

Und eines steht fest: Soweit ein Dienst Abfragen über Umwege macht wird der PIN gespeichert. Ob dies dauerhaft ist oder nicht spielt keine Rolle. Der Nutzer verstößt schlicht gegen die Bedingungen deren Einhaltung er seiner Hausbank unterschrieben hat.

Gegenbeispiel: geldkarte.de Da wirst du zum Bezahlen des Ladebetrags auf die Bankingseite deiner Bank umgeleitet und danach bekommst du eine Schaltfläche "zurück zum Shop".
Das ist eine seriöse Praktik. Da bekommt der Anbieter des Shops - hier geldkarte.de - vom Bezahlvorgang garnichts mit.


Bitte laßt es sein! Damit sind schon andere gescheitert. Onlinebanking ist nicht dafür vorgesehen, Legitimationsdaten zu erheben sondern Onlinebanking zu machen! Ist das so schwer zu verstehen?

Ja die Enthüllungen bezüglich der "Kontodeckungsabfrage" sind mir bekannt. Das wirft natürlich Fragen auf und ich kann auch jeden verstehen, der lieber auf einen solchen Service verzichtet. Aber um mal einen Vergleich zu machen. Nur weil es Gebrauchtwagenhändler gibt die mit fragwürdigen Methoden arbeiten, heißt es doch nicht, dass ich kein ehrllicher Gebrauchtwagenhändler werden kann.


Und diese Bedingungen wurden für nichtig erklärt. Das heißt es ist illegal für die Banken das zu verbieten.



Klar ist es nicht in erster Linie dafür vorgesehen, das heißt aber nicht dass es nicht dafür geeignet ist. Durch die Verbreitung, Zuverlässigkeit und effiziente Schnittstelle ist es sogar hervorragend dazu geeignet. Die Schufa und payment network fahren ganz gut damit.

aus deinem Link:
"Nach Einschätzung des Bundeskartellamtes sind die AGB der Banken und Sparkassen jedoch nichtig soweit sie bankenunabhängige Direktüberweisungsverfahren den Marktzutritt verwehren."

Sorry, aber das Bundeskartellamt ist nicht der BGH, somit ist hier mitnichten etwas nichtig. (wenn ich krank bin frag ich den Arzt, die Meinung des Metzgers ist mir da wurscht).

Der Einwand:

ist Quatsch, da die Datenbank mit der PIN ja in meinem Eigentum (auf meiner Festplatte) liegt, der Hersteller oder werauchimmer hat hier keinen Zugriff auf meine Legitimationsdaten.

Im Übrigen reihe ich mich in den Kreis der Skeptiker hier ein. Allein die angeführten Rechtsstreite würden mich an deiner Stelle schonmal überlegen lassen, ob mir das Risiko eines ähnlichen Streit ins Haus hole und ob ich da Nerven,Zeit & Geld reinstecken möchte.

Tschau
Majo

Du hast recht, es ist noch keine Entscheidung gefallen, aber im Gegensatz zum Metzger und Arzt haben die Aussagen des Bundeskartellamts sicherlich ein hohes Gewicht in der Entscheidung des BGHs.



Falsch. Die Banken verbieten jegliche elektronische Speicherung deiner Legitimationsdaten wie PIN und TANs. Das gilt selbstverständlich auch für deinen eigenen Computer. Ist doch völlig logisch, dadurch soll verhindert werden, dass jeder Depp eine text Datei auf seinen Computer speichert in dem seine PIN und TANs aufgelistet sind und jeder Hacker sich einen Ast freut. Ob die Daten lokal oder wo auch immer gespeichert werden ist Banken doch total Wurst, beides ist laut AGB verboten um sich gegen eventuellen Missbrauch zu schützen. Aber nur weil irgendjemand was in die AGB packt und das unterschrieben wurde, heißt es noch lange nicht dass es rechtlich durchsetzbar ist. Wieviele Banken haben sich denn bisher getraut ihren Kunden Probleme zu machen weil sie die payment network oder homebanking benutzen? Die Banken könnten doch einfach die IPs von payment network AG blocken und den Laden lahm legen. Dass sie es nicht machen zeigt doch, dass sie wissen dass ihre AGBs nicht durchsetzbar sind.



Klar haben wir uns über diese Fragen Gedanken gemacht und wir haben noch keine endgültige Entscheidung getroffen, ob wir diese Form der Verifizierung anbieten wollen. Aber die ganze rechtliche Problematik und die Vertrauensprobleme sind uns bekannt. Was uns noch fehlt um den Kosten/Nutzen Faktor einer solchen Verifizierung einzuschätzen ist der technische Aufwand. Wenn mir dazu niemand was sagen kann müssen wir uns wohl die verschiedenen Möglichkeiten selber durchforsten um die am besten geeignete Lösung zu finden.

Wär halt schön gewesen sowas zu hören wie "die aqbanking reicht völlig aus für euer Projekt", aber ok werden wir halt bei null anfangen mit unserer Recherche.

Doch genau das heißt es: Es ist für Onlinebanking und damit ungeeignet für Legitimationen fremder Systeme.
Im übrigen wäre das unlauterer Wettbewerb, wenn man ein fremdes Legitimationssystem für eigene Zwecke verwendet. Ihr würdet euch damit kostenmäßig gegenüber denjenigen besser stellen, die selbst ein System dafür bauen oder ein vorhandenes extra dafür vorgesehenes System kaufen/mieten.

Daher nochmal eindringlich: Wenn das ein Wettbewerber oder die richtige Bank mitkriegt wird euch der Rechtsstreit die Existenz kosten.
Verwendet für die Legitimationserhebung und -feststellung Systeme, die dafür vorgesehen sind. Und dazu gehört das Onlinebanking der Banken nicht.

Kann ich nicht empfehlen. Da kommst Du nicht mehr dazu irgendetwas anderes zu machen als den Banken hinterherzuprogrammieren.



Ich würde nicht sagen, dass jsHBCI auf Webapplikationen zugeschnitten ist, generell sollte es in jeder Umgebung funktionieren die JavaScript ausführen kann. In jsHBCI werden keine JavaScript Funktionen verwendet, die es nur im Browser gibt. Was den Pros angeht, hast Du sicher schon die Preisliste heruntergeladen.



Der Hauptunterschied ist vor allem mal die Plattform. Suchst Du eine Windows/ActiveX Komponente, dann ist die DDBAC sicher die richtige Wahl.

Es gibt auch noch die Subsembly FinTS API, falls Deine Zielplattform .NET irgendwie unterstützt.

Vielen Dank, das sind schonmal einige nützliche Infos! Hat noch jemand Erfahrungen mit Aqbanking gesammelt?

Ähem. AqBanking untersteht der GPL und darf daher nicht einfach in einem "Closed-Source"-Projekt verwendet werden. Selbiges gilt uebrigens auch fuer HBCI4Java (falls ihr das auch in Erwaegung gezogen hattet).

Siehe http://www.aquamaniac.de/sites/aqbanking/index.php (Absatz "Lizenz"). In Ausnahmefaellen vergibt Martin wohl auch eine individuelle Lizenz. Kannst ihn ja mal fragen. Allerdings kann ich mir nicht vorstellen, dass er sich da fuer ein derartiges Projekt erwaermen kann.

Ich würde auch vorsichtig sein, welche Daten man wo preis gibt. Habt ihr vom Programm Finanzblick gehört? Ist so ein soziales Finanzprogramm. Da ist es glaube ich auch der Fall, dass die Daten bei dem Programhersteller "gecached" wird.

Woraus schließt Du das? M.W. ist Finanzblick eine Onlinebanking-App für iOS bzw. Android. Das hat mit dem in diesem Thread diskutierten 'Geschäftsvorfall' nichts zu tun.

Frohe Ostern
Rautka