Moin,

ich bin die Tage mal durch die Doku von aqbanking geblättert und dabei ist mir der Part mit dem INI-Brief aufgefallen, den man an die Bank schicken muss.
Kurz gesagt: Ich verstehe das Prinzip dahinter nicht. Also wofür das gut sein soll.
Bei allen meinen bisherigen Banken war es so, dass ich mich mit den gleichen Zugangsdaten einloggen konnte, die für das jeweilige Web-Interface galten und Aufträge auf die gleiche Weise bestätigen konnte (TAN-Generator etc.).
Welchen Zweck genau soll diese Public-Key-Geschichte mit dem INI-Brief erfüllen? Ist das eine Art zusätzlicher Login-Mechanismus? Oder ersetzt es die TAN-Eingabe? In der Doku liest es sich, als wäre es ein zwingend erforderlicher Schritt, aber ich habe es in der Vergangenheit nie gebraucht.

Kann mich da jemand erleuchten?

Es ersetzt TAN-Verfahren. Es wird da ein Schlüsselpaar (Privat/Public-Key) erzeugt und ausgetauscht. Der Kunde signiert dann seine Aufträge mit dem Private-Key und der Bankrechner kann anhand des Public-Key prüfen, ob der Auftrag wirklich vom Kunden korrekt signiert wurde. Das Schlüsselpaar wird (wurde) auf dem PC des Kunden erzeugt und der Public-Teil an den Bankrechner übertragen. Um den Public-Key auf dem Bankrechner zu verifizieren wird der INI-Brief ausgedruckt und vom Kunden unterschrieben. Auf ihm stehen Hash-Werte, mithilfe derer die Bank die Echtheit des eingereichten Key prüfen und diesen freischalten kann.

Dieses Verfahren wurde vor ca. 25 Jahren, als HBCI "erfunden" wurde, anfangs ausschließlich genutzt. Sehr viel später kamen dann div. TAN-Verfahren dazu, wenn man diese verwendet, gibt es natürlich keine elektronische Signatur. Das Ganze sind völlig verschiedene Ansätze. Der Signatur-Ansatz wurde nicht von sehr vielen Banken genutzt. Einige haben heute noch alternativ Verfahren ohne TANs. Hypovereinsbank, Commerzbank, Deutsche Bank haben sowas noch. Anfangs wurde der Private-Key vom Kunden in einer Datei auf einer Diskette gespeichert, später auf USB-Stick, beides wird heute wg. Kopierbarkeit als unsicher empfunden. Es gibt stattdessen div. Lösungen mit Chipkarten, auf denen der Schlüssel unauslesbar gespeichert ist. Für die allermeisten Kunden spielt das Verfahren keinerlei Rolle, zumal es eben auch nur wenige Banken anbieten. Für Kunden mit größeren Mengen an Zahlungen ist es aber praktisch, da die einzelnen Zahlungen dann direkt nacheinander übertragen (und signiert) werden können, ohne jeweils TANs handeln zu müssen.

Danke für die ausführliche Antwort, jetzt verstehe ich den Hintergrund deutlich besser.
Grundsätzlich finde ich Public/Private-Key-Verfahren ja schon recht sympathisch. Wenn es aber für die meisten ohnehin keine Rolle spielt empfinde ich die Darstellung in der Doku doch ziemlich übertrieben.
Kann man denn irgendwo einsehen, ob das eigene Kreditinstitut das entsprechende Verfahren noch unterstützt? Den Gedanken nicht immer den TAN-Generator bemühen zu müssen finde ich schon recht nett.

Dass das in der Doku eine Rolle spielt, ist historisch zu sehen. Wie gesagt gibt das das nur noch bei sehr wenigen Banken. Da müsstest Du die Webseiten der jeweiligen Bank und die Aussagen zum Onlinebanking bemühen, aber selbst da wirst Du meinst nichts finden. Also Anfrage bei Onlinebanking-Spezialisten der Bank, denn der "normale Berater" wird eher weniger darüber wissen.

Um welche Bank(en) geht es denn bei Dir?

In erster Linie eine lokale Sparkasse. (Ich nehme an die verwenden eh alle die gleiche Software, oder ist relevant welche genau)

Alle Sparkassen hängen am Rechenzentrum FI. Somit ist das im Prinzip bei allen Sparkassen gleich. Kleine Ausnahmen sind nur in Einzelfällen da, wenn ein Sparkasse schon ein neueres Serverrelease verwendet und eine andere noch ein älteres. Das kann bei Releasewechseln im RZ kurzzeitig vorkommen.

Zum Thema INI-Brief und Sparkassen: Gibt es da nicht und hat es da noch nie gegeben. Die Sparkassen hatten zwar in der Anfangszeit von HBCI auch eine Variante mit Kryptografieschlüsseln in Betrieb genommen (vor über 20 Jahren). Diese basierte aber nicht auf selbst generierten Schlüsseln, die per INI-Brief freigeschaltet werden mussten, sondern auf Chipkarten. Diese bekam der Kunde von seiner Sparkasse. Auf der Chipkarte war ein Schlüssel fest im Chip hinterlegt und diese Chipkarte wurde bankrechnerseitig mit dem Konto verheiratet. Die war also sofort lauffähig, wenn der Kunde sie bekommen hat.

Ich schreibe das in der Vergangenheitsform, weil diese Art von Zugang in den letzten Jahren nach und nach von allen Sparkassen gekündigt wurde und inzwischen keine Sparkasse diese Form mehr unterstützt und die uralten Server hierfür im RZ seit mindestens einem Jahr abgeschaltet wurden.

Einzige Zugangsmöglichkeit (via HBCI) bei Sparkassen ist PIN/TAN in der Ausprägung pushTAN und chipTAN. Für Kunden mit hohem Zahlungsverkehr eignet sich inzwischen pushTAN auch, da das Verfahren 2.0 (decoupled) nur noch eine Freigabe in der App per Wisch erfordert und eine Eingabe einer angezeigten TAN mehr. Außerdem gibt es in der Variante chipTAN eine Möglichkeit einen Leser via usb anzuschließen, wo dann die Auftragsdaten nicht per QR-Code in den Leser gelangen und die TAN nicht per Eintippen in den Rechner gelangt sonder beides per usb. Damit ist dann pro Vorgang auch nur eine Bestätigung am Leser erforderlich, so dass das schnell und einfach geht.

Kleine Ergänzung:

Beim Verfahren chipTAN wird noch unterschieden zwischen Flicker-Code, einfarbigem QR-Code und buntem Punkte-Code.

Ersterer wird inzwischen auch abgekündigt, und letztere sind zwischen Sparkassen, Volksbanken und anderen Banken auch noch verschieden.
Für Sparkassen und Volksbanken gibt es TAN-Generatoren, die beides beherrschen.