Nach übereinstimmenden Aussagen der Kreditwirtschaft wickeln von etwa 60 Millionen Kontoinhabern hierzulande gerade einmal zwei bis drei Prozent ihre Bankgeschäfte online ab - die allermeisten über das proprietäre Btx-Verfahren. Gleichwohl erwarten diejenigen Institute, die bereits mit einer Homepage im Internet vertreten sind, gewaltige Steigerungen. So soll der Anteil der Privatkunden, die zum 1. Januar 2000 das Internet für Homebanking nutzen werden, bis zu 30 Prozent betragen. Gegenüber heute eine glatte Verzehnfachung. Davon gehen nach einer Untersuchung des Instituts für Bankinformatik an der Universität Regensburg beinahe 90 Prozent von 154 beteiligten Banken aus.

Was aber hat die Erschließung dieses Marktpotentials bislang verhindert? Beunruhigung auf Verbraucherseite durch die anhaltende Diskussion über die Sicherheitsproblematik, fehlende Unterstützung institutsübergreifender Lösungen und das verhältnismäßig bescheidene Spektrum an Bankanwendungen müssen hier genannt werden. Die im Zentralen Kreditausschuß (ZKA) organisierten Banken, Sparkassen sowie Volks- und Raiffeisenbanken haben mit der Entwicklung des HBCI-Standards reagiert, der nun in der Version 2.0 vorliegt. Die bestehenden Verfahren mit persönlichen Identifikationsnummern (PIN) und Transaktionsnummern (TAN) entsprachen in bezug auf Benutzerfreundlichkeit und Sicherheit nicht mehr den aktuellen Anforderungen.

Die HBCI-Schnittstelle definiert ein aufwendiges Verschlüsselungsverfahren in Verbindung mit digitalen Signaturen, um echte Dokumentensicherheit herzustellen und Unabhängigkeit von der Transportebene zu garantieren. Verschlüsselung und Signatur können momentan noch über Disketten (Software mit RSA-DES-Hybridverfahren) oder mittels einer ZKA-Chipkarte (Triple-DES) erfolgen (vergleiche unten). Ziel ist die einheitliche Verwendung von RSA-Chipkarten, die sich in der Entwicklung befinden. Weiterhin beinhaltet HBCI die sogenannte Multibankfähigkeit. Künftig wird es jedem Kunden möglich sein, in ein und derselben Anwendungsumgebung mit jedem beliebigen Kreditinstitut seiner Wahl gleichzeitig zu kommunizieren - und umgekehrt. Bisher verfügen allerdings nur wenige Kunden über die nötigen Kartenlesegeräte.

Hoher Vertrauensschutz und weitgehende Investitionssicherheit werden dadurch erreicht, daß sich ausnahmslos alle deutschen Kreditinstitute in einem am 1. Oktober 1997 in Kraft getretenen ZKA-Abkommen verpflichtet haben, HBCI umzusetzen. Eine Protokollnotiz räumt den unterzeichnenden Unternehmen jedoch eine Übergangsfrist von einem Jahr ein. "Wir lassen den Dampf allerdings nicht aus dem Kessel, sondern halten den Druck aufrecht, damit die Verpflichtung ernst genommen wird", bekräftigt Joachim Fontaine, zuständiger Referent beim Bundesverband deutscher Banken e.V. (BVB) in Bonn.

Ernst gemacht hat bereits die Volks- und Raiffeisenbank Mainz. Sie bietet seit Januar dieses Jahres Online-Banking via Internet nach dem HBCI-Standard an. Die Erfahrungen seien sehr positiv, so Barbara Frey, Geschäftsführerin der Faktum Softwareentwicklung GmbH aus Nieder-Olm, die das Projekt für die Bank realisiert hat.

Faktum wickelt für die Mainzer auch das gesamte Marketing und die Öffentlichkeitsarbeit rund um das HBCI-Banking ab. Laut Frey drückt sich die Wertschätzung der Kunden für einen weitreichenden Bankenstandard in einem hohen Neukundenanteil seit der Einführung aus.

Gleichwohl wird die Pionierarbeit der Mainzer von den Bankenverbänden kritisch beargwöhnt. "Es gibt ein Institut, das ein bißchen vorgeprescht ist", kommentiert Hans-Peter Dünnwald vom Informatikzentrum der Sparkassenorganisation GmbH (Siz), Bonn, den Sachverhalt. "Es ist ein Unterschied, ob ich für mich als Eigenanwender schnell etwas umsetze oder in einem großem Verbandsrechenzentrum eine zentrale Strategie zu verfolgen habe - wir müssen ein paar 100000 Benutzer anbinden", so Dünnwald. Da sei systemtechnisch einiges zu tun. In der Tat sind die in dem weit über hundert Seiten starken Spezifikationspapier aufgeführten Anforderungen so komplex, daß sich nahezu alle Banken entschlossen haben, die Kräfte zu bündeln.

Für die Sparkassenorganisation erarbeitet das niedersächsische Verbandsrechenzentrum in Hannover derzeit eine Pilotanwendung, deren Ergebnisse von allen anderen Rechenzentren übernommen werden sollen. Diese stellen dann den einzelnen Mitgliedsinstituten eine entsprechende Server-Infrastruktur zur Verfügung. Laut Dünnwald wollen die Sparkassen eine Architektur umsetzen, die eine saubere Trennung zwischen den bankfachlichen Anwendungen (Überweisungen, Festgeld etc.) und der Zugangsebene bietet. Wählt sich ein Kunde über seinen Client in die Bankumgebung ein, so werden die HBCI-Nachrichten von einer zentralen Aufbereitungsschicht aufgefangen. Diese entschlüsselt Daten, überprüft Signaturen und selektiert die einzelnen Aufträge für unterschiedliche Bankanwendungen. Die Aufbereitungsschicht selbst ist von grundsätzlichen HBCI-Funktionen umgeben, die nicht anwendungsabhängig sind - zum Beispiel die Pflege der Statusprotokolle und Bankparameterdateien, die der Finanzsoftware des Kunden bankindividuelle Besonderheiten mitteilen.

Um in den Genuß der neuen Möglichkeiten zu kommen, müssen Kunden natürlich entsprechende Clients verwenden. Die Platzhirsche der Finanzsoftware, Intuit mit "Quicken" und Microsoft mit "Money", "tun sich im Augenblick ein bißchen schwer, weil die ihren eigenen Standard OFX (Open Financial Exchange) pushen wollen", so Dünnwald. Daß dennoch alle Anwender in absehbarer Zeit mit Updates auf HBCI rechnen können, erklären die ZKA-Verantwortlichen mit dem ungeheuren Marktdruck, der durch die verpflichtende Umstellung aller Kreditinstitute innerhalb eines Jahres erzeugt wird. Die alte Software werde zudem laut Fontaine vom BVB nicht "von einem Tag auf den anderen abgeschaltet". Er sieht allerdings eine natürliche Grenze im Zusammenhang mit der Einführung des Euro. Software-Entwickler erhalten übrigens vom ZKA weitreichende Unterstützung in Form eines HBCI-Kernels (quasi einer API). Interessenten können sich unter der Internet-Adresse http://www.hbci-kernel.de registrieren lassen und den Programmierbaustein laden.

In den Bankenverbänden denkt man allerdings schon weiter: "Wir sehen HBCI nicht nur unter dem Zeichen des großen H, also Homebanking, sondern wir haben hier einen Standard geschaffen, den man ganz generell für den sicheren Transport von Daten im Internet und überhaupt in offenen Netzen nutzen kann", erläutert BVB-Referent Fontaine selbstbewußt. Zum 13. November 1997 solle eine englische Übersetzung vorliegen, und dann werde man in die europäische Normierung gehen. Carsten Stockmann, verantwortlich für die eingangs zitierte Studie, relativiert diesen Optimismus freilich ein wenig. Er sehe erhebliche Abstimmungsprobleme bei den Datenformaten und Defizite in der Infrastruktur sowie fehlende internationale Standards bezüglich digitaler Signaturen.

Digitale Signatur ersetzt Unterschrift

Seit August 1997 sind digital signierte Dokumente laut Signaturgesetz beweisfähig und rechtsverbindlich, vorausgesetzt, das vom Gesetzgeber vorgeschriebene RSA-Verfahren kommt zum Einsatz. Diese Abkürzung bezieht sich auf die Namen der drei Erfinder Ravest, Shamir und Adleman.

Jeder Benutzer verfügt über ein Schlüsselpaar, das aus einem privaten und einem öffentlichen Key besteht. Eine elektronische Signatur erzeugt der Unterzeichner mit einem privaten Signaturschlüssel. Eine Kryptosoftware fügt das digitale Siegel automatisch an das elektronische Schriftstück an.

Für die Verifikation der Unterschrift verwendet der Empfänger des Dokuments den öffentlichen Signaturschlüssel des Absenders. Dieser Public Key wird entweder bei der Übertragung mitgeschickt, oder der Leser holt ihn sich aus einem öffentlichen Verzeichnis.

Würde jemand das Dokument während der Übertragung verfälschen, so fiele es dem Empfänger bei der Rücktransformation auf.

Ergänzend zum Kryptogesetz schreibt die Signaturverordnung vor, daß der private Schlüssel sicher zu speichern ist. Derzeit realisieren die Hersteller dies entweder über eine Diskette oder über eine Smart-Card. Bei letzterer handelt es sich um eine intelligente Prozessorkarte. Dazu werden die Endgeräte entweder mit einem externen Kartenleser versehen, oder die Leseeinrichtung ist gleich integriert, etwa in die Tastatur eines PCs.

Ergänzend zur Signatur erhöht sich die Sicherheit, wenn der Versender zusätzlich seine Dokumente verschlüsselt. "Data Encryption Standard" (DES) gehört zu den gängigen Verfahren. Eine Abwandlung davon, Triple-DES, wendet den Algorithmus dreimal an, um so eine höhere Sicherheit zu erzielen.