Electronic Banking (oder E-Banking, Onlinebanking, Home Banking oder Elektronisches Bankgeschäft) ist im Bankwesen die Abwicklung von Bankgeschäften über Datenfernübertragung oder Internet mit Hilfe von Personal Computer, Smartphone und anderen elektronischen Endgeräten (Mobile-Banking) oder über Telefonverbindungen mit Hilfe von Telefonen (Telebanking, Telefonbanking oder Phonebanking).
Vor dem Computerzeitalter wurden Bankgeschäfte ausschließlich über Vordrucke wie etwa Überweisungsträger oder Zahlscheine abgewickelt. Diese Vordrucke dienten den Kreditinstituten als Buchungsbeleg für die Verbuchung auf den beteiligten Girokonten. Durch die Einführung elektronischer Zahlungssysteme wie etwa dem elektronischen Massenzahlungsverkehr hat insbesondere der beleggebundene Zahlungsverkehr an Bedeutung verloren.
Zu den Pionieren des Onlinebankings gehörte die Postbank, die im Jahre 1983 zunächst mit dem Bildschirmtext begann.[1] Diese Technik setzte sich nicht wie erwartet durch und wurde 2001 eingestellt, wobei das Programm selbst noch bis 2007 weiterbetrieben wurde. Die Sparda-Bank nutzte ab 1996 die von dem in Ostdeutschland aufgewachsenen Jungunternehmer Jozsef Bugovics entwickelte Hardwarelösung MeChip.[2] In der Anfangszeit war die Abgrenzung gegen Homebanking nicht deutlich, da manche Tätigkeiten (z. B. Überweisungen) auf verschiedenen Wegen durchgeführt werden konnten, d. h. am Bildschirm oder durch Versand mit der Briefpost, während das für zahlreiche andere Bankgeschäfte zumindest für Privatkunden nicht möglich war (z. B. Wertpapierorders). In Einzelfällen können Aufträge an die Bank auch per Telefax übermittelt werden. Mit der Entwicklung des Internets und entsprechender Webbrowser ist ein deutlicher Trend zu beobachten. Allein in Deutschland stieg der Anteil der Online-Nutzung bei Bankgeschäften von 8 % im Jahr 1998 auf 36 % im Jahr 2008.[3]
Jahr | Anteil |
---|---|
1998 | 8 % |
2000 | 11 % |
2002 | 23 % |
2006 | 34 % |
2008 | 36 % |
2010 | 35 % |
2011 | 44 % |
2013 | 45 % |
Nach einer 2017 erstellten Umfrage von RCG-Retailbanking wickelten im Jahr 2015 weltweit 28 % der Privatkunden ihre Bankgeschäfte online ab, 2017 waren es bereits 43 %.[4] 2014 erledigten 55 % der Deutschen ihre Bankgeschäfte online, 2017 nutzten 50 % ausschließlich Online-Angebote. 2008 waren es 24 Millionen Menschen Onlinebanking, das entsprach 38 Prozent der 16- bis 74-Jährigen.[5] Zur Absicherung der Bankgeschäfte gegen Missbrauch haben sich verschiedene Systeme entwickelt, so etwa speziell im Bereich des Wertpapiergeschäfts ein eigenes Portal für Brokerage, Abfragen per SMS, PIN usw.
Electronic Banking unterliegt insbesondere dem Zahlungsdiensterecht der §§ 675c ff. BGB und den §§ 1 ff. ZAG. Ferner gelten die Allgemeinen Geschäftsbedingungen der Kreditinstitute mit ihren „Sonderbedingungen für das Online-Banking“.
Innerhalb des Bankwesens hat Die Deutsche Kreditwirtschaft als Interessenverband der Spitzenverbände der Institutsgruppen den Electronic Banking Internet Communication Standard (EBICS-Standard) in der Schnittstellenspezifikation zum Abkommen über die Datenfernübertragung zwischen Kunden und Kreditinstituten (DFÜ-Abkommen) verankert. Dieser Standard ist seit dem 1. Januar 2008 für alle angeschlossenen Kreditinstitute verbindlich und regelt die technischen Rahmenbedingungen zur Abwicklung des Online-Bankings innerhalb der Institute.
Electronic Banking ist ein Oberbegriff für eine Reihe verschiedener Methoden, um Bankgeschäfte unabhängig von Bankfilialen und Banköffnungszeiten durchführen zu können. Man kann diese Methoden wie folgt abgrenzen:
Die einzelnen Methoden sind für bestimmte Zielgruppen entwickelt worden. So wird z. B. der klassische Datenträgeraustausch bevorzugt von größeren Geschäftskunden genutzt, während das in der Nutzung sehr einfache Telefonbanking, dessen Bedeutung zu Gunsten des E-Banking nach und nach schwindet, eher den Privatkunden anspricht. In der Praxis findet jedoch oft eine Vermischung statt.
Der physikalische Datenträgeraustausch ist neben der elektronischen Übermittlung der Dateien via FTAM / BCS (s. u.) vor allem bei Großunternehmen und Kommunen mit sehr vielen Aufträgen gebräuchlich.
Hierbei werden Überweisungen und Lastschriften in Dateiform auf Disketten oder CD-ROMs, früher auch auf Magnetbändern, an die Bank eingereicht. Der Aufbau der Datei („DTAUS-Datei“) ist von der Deutschen Kreditwirtschaft bankübergreifend vereinheitlicht vorgeschrieben und enthält neben den Auftraggeber- und Empfängerdaten die Auftragsart (Überweisung oder Lastschrift) sowie Summendaten zur Kontrolle.
Die Legitimation und Autorisation der Aufträge erfolgt durch einen Datenträgerbegleitzettel mit Unterschrift eines Kontobevollmächtigten.
Innerhalb der Schweiz gibt es für das DTA-Format einen einheitlichen und standardisierten Aufbau. Das Datenträgeraustausch-Format (DTA) wird durch die SIX Interbank Clearing AG (ein Gemeinschaftswerk der Schweizer Banken) definiert. Das Schweizer Format ist nicht mit dem deutschen Format kompatibel.
Unter Onlinebanking (auch Online-Banking oder Online Banking) versteht man den direkten Zugriff auf einen Bankrechner. (z. B. über Internet oder Direkteinwahl bei der Bank per Datenfernübertragung).
Hier sind zwei Verfahren üblich:
Die Aufträge werden mit Hilfe einer elektronischen Unterschrift unterzeichnet. Hier haben sich mehrere Verfahren etabliert:
Moderne browserbasierte Internetbanking-Systeme zeichnen sich unter anderem durch Portal-Funktionen, Barrierefreiheit, verschiedene Sicherheitsmechanismen (z. B. gegen Phishing), Benachrichtigungsmöglichkeiten (z. B. bei Kontostandsänderung durch SMS oder E-Mail), mobile TAN-Verfahren sowie frei wählbaren Anmeldenamen aus. Alle bekannten browserbasierten Internetbanking-Systeme sind bis heute durch proprietäre Software realisiert.
In Österreich wird hauptsächlich das MBS/IP-Verfahren verwendet.
Es ist zwischen der Sicherheit der eigentlichen Datenübertragung zur oder von der Bank und der Datenverarbeitung am Arbeitsplatz zu unterscheiden.
Bei allen Browser- und Client-basierten Electronic Banking-Systemen ist eine Verschlüsselung der Datenübertragung seitens der Banken gewährleistet. Diese ist nach menschlichem Ermessen nicht – oder nur unter erheblichem Zeit- und Ressourcenaufwand – manipulierbar. Das Übertragungsprotokoll HTTPS kann verschiedene Verschlüsselungsalgorithmen nutzen, die unterschiedlich sicher sind.[6] Beim Verbindungsaufbau handeln Webbrowser und Banken-Server den Verschlüsselungsalgorithmus aus, wobei die meisten Banken mit dem Advanced Encryption Standard mit 256 Bit langen Schlüsseln arbeiten.
Die erste Angriffsmöglichkeit für einen Betrüger ist der heimische PC. So sollten Computer immer durch einen aktuellen Virenscanner und eine Firewall gesichert werden, um die Verbreitung von Schadprogrammen wie z. B. Viren, Keyloggern oder Trojanern zu unterbinden. Mit solchen Schadprogrammen wäre z. B. die Fernsteuerung des Computers möglich.
Durch Phishing, Pharming oder SIM-Swapping wird versucht, direkt an die zur Auftragsunterzeichnung notwendigen Daten (z. B. PIN/TAN) zu gelangen. Jeder Bankkunde kann sich bereits dadurch schützen, indem die von den Banken zur Verfügung gestellten Zugangsberechtigungen nicht weitergegeben bzw. im Computer hinterlegt werden.
Denkbar wäre auch eine Manipulation des Domain Name Systems zur Umsetzung der URL einer Onlinebanking-Seite auf die IP-Adresse eines Angreifers (DNS-Spoofing). Dadurch würde der Webbrowser auf einen anderen Webserver geleitet, obwohl die richtige URL eingetippt wurde.
Einen aufwendigeren Angriff auf das Onlinebanking stellt der Man-in-the-middle-Angriff dar, bei dem der Angreifer sich zwischen Nutzer und Bank schaltet. Es ist also eine direkte Überwachung des Datenverkehrs in Echtzeit erforderlich. Entsprechende Angriffe werden etwa über Trojaner auf dem Rechner des Benutzers ausgeführt.[7] 2012 empfahl die Europäische Agentur für Netz- und Informationssicherheit daher allen Banken, die PCs ihrer Kunden grundsätzlich als infiziert zu betrachten und deshalb Sicherheitsverfahren zu verwenden, bei denen der Kunde noch einmal unabhängig vom PC die tatsächlichen Überweisungsdaten kontrollieren kann, wie etwa – unter Vorbehalt, dass die Sicherheit des Mobiltelefons gewährleistet werden kann – mTAN oder Smartcard-basierten Lösungen mit eigenem Kontrolldisplay wie chipTAN.[8]
Die Voraussetzung für sicheres Onlinebanking ist ein sicheres Verfahren zur Authentisierung und Autorisierung. Im Webbrowser-gestützten Onlinebanking entspricht das chipTAN-Verfahren dem aktuellen Stand (2012) der Technik. Im Bereich des Homebanking, für das auf dem Kundenrechner eine Homebanking-Software installiert werden muss, ist HBCI mit Chipkarte und Secoder-fähigem Kartenleser das sicherste Verfahren, wobei die jeweilige Bank sowie die Homebanking-Software die Secoder-Erweiterung für HBCI unterstützen müssen.[9][10]
Darüber hinaus gibt es eine Vielzahl technischer Maßnahmen, die auf dem Kundenrechner umgesetzt werden können. Dazu zählen beispielsweise die Installation von Antivirensoftware und einer Personal Firewall. Gerade für Nutzer älterer TAN-Verfahren, wie TAN-Listen aus Papier oder einfachen TAN-Generatoren (nicht chipTAN), bei denen die Überweisungsdaten nicht in die TAN-Berechnung mit einfließen, kann auch der Einsatz einer Live-CD beziehungsweise eines Live-USB-Sticks, z. B. mit dem kostenlosen Knoppix[11] sinnvoll sein. Live-Systeme enthalten in aller Regel keine Banking-Trojaner und können dadurch den Nutzer vor der Trojaner-Problematik schützen. Diese Maßnahmen konzentrieren sich auf die technischen Aspekte.
Ein ebenso wichtiger Aspekt für sicheres Onlinebanking ist es, den Wissensstand des Nutzers und sein Bewusstsein für mögliche Betrügereien zu schärfen (siehe auch „Social Engineering“). Banking-Trojaner wie Tatanga oder Matsnu.J haben deutlich gemacht, dass die bewusste Manipulation des Nutzers eine Umgehung der technischen Sicherheitsmaßnahmen gar nicht notwendig macht. Durch das Vortäuschen falscher Tatsachen, z. B. einer angeblichen „Test-“ oder „Rücküberweisung“, unter Ausnutzung der Unwissenheit des Bankkunden wurden schon etliche Bankkunden um erhebliche Beträge betrogen.
Giropay und Sofortüberweisung sind Online-Bezahlverfahren, die auf Überweisungen mittels Online-Banking basieren, sowie speziell für die Anforderungen des E-Commerce optimiert wurden. Seit November 2017 wird die Echtzeitüberweisung im Europäischen Zahlungsraum (SEPA) schrittweise zum Standard.
Beim Telefonbanking werden Kontostandsabfragen, Überweisungen, oft auch Wertpapiergeschäfte über das Telefon abgewickelt. Hier kommen Sprachcomputer, aber auch Call-Center- oder kombinierte Lösungen zum Einsatz.
Auch das Bezahlen mit Kreditkarte, Debitkarte oder Geldkarte fällt in den Bereich des Electronic Banking. Je nach verwendeter Karte erfolgt die Autorisierung der Zahlung per PIN oder Unterschrift. Bei der Geldkarte und manchen VISA-Karten[12] erfolgt eine Authentifizierung nur beim Aufladen.
Siehe auch: Bargeldloser Zahlungsverkehr
In der Schweiz können Firmen elektronische Rechnungen in Form von E-Bills an ihre Kunden (Privatpersonen oder Firmenkunden) versenden; die Kunden können dann über ihr Onlinebanking-Konto einen Rechnungsüberblick über alle Rechnungen einsehen und offene Rechnungen zur Zahlung freigeben.[13][14]