Hallo zusammen,
ich beschäftige mich momentan mit HBCI und beim durcharbeiten der Spezifikation sind einige Fragen aufgetaucht.

Vielleicht weiß jemand hier genaueres.

1. Es ist immer von DES-Verfahren (symmetrisch, chipkarte) und vom RSA-Verfahren (asymmetrisch, sicherheitsmedium) die rede. Doch was ist mit dem eigentlichen PIN / TAN Verfahren? So lassen sich Umsatzabfragen doch auch ohne DES oder RSA Verfahren durchführen? Ich brauche bei meiner OnlineBankingApp keine chipkarte und kein sicherheitsmedium, lediglich Benutzer-ID und mein selbstgewähltes Passwort. Wo liegt mein Denkfehler und wo finde ich das ganze Dokumentiert?

2. Ist das verschlüsseln der Daten mittels Verschlüsselungskopf und Verschlüsselte Daten pflicht? So wie ich herausgefunden habe, werden bei PIN/TAN Daten garnicht verschlüsselt eingestellt.

3. Warum ist in der Spezifikation nirgendwo erwähnt das Daten Base64 kodiert per SSL Verbindung an das Kreditinstitut gesendet werden müssen?

Ich versuche ganz rudimentär eine Umsatzabfrage mittels C# an meine Bank abzusetzen doch ich werde nur mit "Unbekannter Aufbau" Meldungen bombadiert.

Wäre schön wenn hier jemand ein paar Antworten hätte.
Vielen Dank

Sythus

Hallo Sythus,

die offizielle HBCI Spezifikation kennt kein PIN\TAN und keine SSL Verschlüsselung. Die ist erst mit FinTS 3.0 Bestandteil der Spezifikation geworden.
Zu HBCI 2.2 gibt es allerdings zwei properitäre Erweiterungen, die eine PIN/TAN Unterstützung mitbringen bzw. diese erweitern.
Diese Erweiterung gibt es beim DSGV, da es eigentlich eine Erweiterung der Sparkassen ist. Die Erweiterung wird aber von allen Banken genutzt, die PIN\TAN mit HBCI 2.2 unterstützen.

Ansonsten gilt:
Auch der Umsatzabruf erfolgt mit dem gewählten Sicherheitsverfahren. Sprich Chipkarte, Schlüsseldatei oder SSL\PIN/TAN

Viele Grüße

Holger

Hallo Holger,

wow vielen Dank für deine Antwort. Das ist wirklich eine wichtige Information. Ich war nämlich der Verzweiflung nahe.

Gruß
Sythus