HBCI und FinTS: Der Online-Banking-Standard für Deutschland erklärt

Was ist HBCI und wie entstand FinTS?

HBCI und FinTS sind der Rückgrat des deutschen Online-Bankings. HBCI steht für Homebanking Computer Interface und wurde 1998 vom Zentralen Kreditausschuss (ZKA) eingeführt – dem Gremium, das heute als Deutsche Kreditwirtschaft (DK) firmiert. Das Ziel war klar: ein einheitlicher, sicherer und bankenübergreifender Standard für den elektronischen Zahlungsverkehr zwischen Privatkunden und ihren Banken.

Das Kernprinzip von HBCI ist bis heute bemerkenswert robust. Die kryptografischen Schlüssel, mit denen Aufträge signiert werden, verlassen die Chipkarte niemals. Die gesamte Kommunikation zwischen Banking-Software und Bankserver ist Ende-zu-Ende signiert und verschlüsselt. Das bedeutet: Selbst wenn jemand den Datenstrom abfängt, kann er damit nichts anfangen. Dieses Prinzip unterscheidet HBCI fundamental von einfachen Passwort-basierten Systemen.

Im Jahr 2002 wurde HBCI in FinTS (Financial Transaction Services) umbenannt. Das war keine vollständige Neuentwicklung, sondern eine konsequente Weiterentwicklung. Der Standard wurde um das PIN/TAN-Verfahren erweitert und auf eine breitere technische Basis gestellt. Beide Begriffe – HBCI und FinTS – werden im Markt bis heute oft synonym verwendet, was gelegentlich für Verwirrung sorgt. Wenn deine Banking-Software von „HBCI-Zugang“ spricht, meint sie in der Regel FinTS.

Ein entscheidender Vorteil des Standards ist seine Unabhängigkeit: FinTS ist weder an eine bestimmte Bank noch an einen bestimmten Softwareanbieter gebunden. Die Spezifikation ist öffentlich zugänglich – unter fints.org und hbci-zka.de kann jeder Entwickler die technischen Dokumente einsehen und eigene Implementierungen erstellen. Das hat eine lebendige Ökosystem aus Banking-Programmen entstehen lassen.

Das zentrale Merkmal, das FinTS für Nutzer besonders attraktiv macht, ist die Multibankfähigkeit. Du kannst mit einer einzigen Banking-Software Konten bei der Sparkasse, der Volksbank und der DKB gleichzeitig verwalten. Du musst nicht für jede Bank eine separate App installieren oder dich auf verschiedenen Webseiten einloggen. Alles läuft über eine einheitliche Schnittstelle – das war 1998 revolutionär und ist heute noch immer ein starkes Argument für den Standard.

Die Deutsche Kreditwirtschaft schreibt den Standard kontinuierlich fort. Das sichert Langlebigkeit und Anpassungsfähigkeit. Neue Sicherheitsverfahren, neue TAN-Methoden, neue Übertragungsprotokolle – all das fließt in regelmäßigen Abständen in die Spezifikation ein. Kein einzelnes Unternehmen kontrolliert den Standard; er gehört der gesamten deutschen Kreditwirtschaft.

Versionshistorie: Von HBCI 2.01 bis FinTS 4.1

Der Standard hat seit seiner Einführung 1998 mehrere bedeutende Entwicklungsstufen durchlaufen. Jede Version hat neue Sicherheitsverfahren, Protokollverbesserungen oder technische Grundlagen mitgebracht. Ein Blick auf die Versionshistorie zeigt, wie der Standard mit den Anforderungen der Zeit gewachsen ist.

Die frühen Versionen HBCI 2.01 und 2.1 legten das Fundament. Sie definierten die grundlegende Kommunikationsarchitektur zwischen Banking-Software und Bankserver. Ihre Pflege wurde zum 31. Dezember 2005 eingestellt – sie sind heute nur noch historisch relevant.

HBCI 2.2 aus dem Jahr 2000 war ein wichtiger Schritt. Die Sparkassen trieben hier eine entscheidende Erweiterung voran: das PIN/TAN-Verfahren hielt erstmals Einzug in den Standard. Außerdem wurde der Hilfs-Geschäftsvorfall HKTAN eingeführt, der die Challenge-Informationen für die Zwei-Schritt-TAN-Authentifizierung überträgt. HBCI 2.2 wurde bis zum 31. Dezember 2016 gepflegt – viele ältere Banking-Programme basieren noch auf dieser Version.

FinTS 3.0 aus dem Jahr 2002 markiert den offiziellen Namenswechsel und eine inhaltliche Erweiterung. Das PIN/TAN-Verfahren wurde jetzt offiziell in den Standard aufgenommen, nicht mehr nur als Erweiterung. Gleichzeitig kamen chipTAN, mobileTAN und die Unterstützung für den Secoder-Standard hinzu. FinTS 3.0 ist nach wie vor am Markt etabliert und wird von vielen Banken und Banking-Programmen aktiv genutzt.

FinTS 4.0 brachte eine fundamentale technische Änderung: Die Nachrichtensyntax wurde auf XML umgestellt. Das reduzierte die Anzahl der Roundtrips zwischen Client und Server und ermöglichte asynchrone Kommunikation. Allerdings hatte FinTS 4.0 eine kurze Lebensdauer: Es wurde bereits am 20. Februar 2014 durch FinTS 4.1 abgelöst.

FinTS 4.1 ist die aktuellste Version, final veröffentlicht am 23. Februar 2018. Sie bringt explizite Unterstützung für HTTPS und moderne XML-Sicherheitstechniken. Damit ist FinTS 4.1 fit für das mobile Zeitalter. Eine wichtige Änderung: Die TAN-Listenverarbeitung wird in FinTS 4.1 nicht mehr unterstützt. Das klassische Verfahren, bei dem Kunden eine gedruckte Liste mit nummerierten TANs nutzten, ist damit offiziell Geschichte.

Technische Funktionsweise: So läuft eine FinTS-Transaktion ab

Hinter jeder Überweisung, die du über eine Banking-Software tätigst, steckt ein präzise definierter technischer Ablauf. FinTS strukturiert diesen Prozess in vier klare Schritte – und genau diese Struktur macht den Standard so zuverlässig und sicher.

Schritt 1: Auftragserfassung – auch offline möglich. Du öffnest deine Banking-Software und gibst eine Überweisung ein: Empfänger-IBAN, Betrag, Verwendungszweck. Das Besondere: Dieser Schritt erfordert noch keine aktive Internetverbindung. Du kannst Aufträge vorbereiten und in einer Warteschlange sammeln. Das war besonders in den frühen Jahren des Internets mit teuren Einwahlverbindungen ein praktischer Vorteil – und ist heute noch für Nutzer mit instabiler Verbindung nützlich.

Schritt 2: Authentifizierung. Hier trennen sich die Wege je nach gewähltem Sicherheitsverfahren. Beim Chipkartenverfahren steckst du deine HBCI-Chipkarte in den Kartenleser und gibst deine PIN ein. Die Banking-Software sendet den Auftrag an den Chip, der ihn mit dem dort hinterlegten privaten Schlüssel digital signiert. Dieser Schlüssel verlässt die Karte dabei niemals – das ist das entscheidende Sicherheitsmerkmal. Beim PIN/TAN-Verfahren gibst du zunächst deine PIN ein. Dann wird – je nach Verfahren – ein chipTAN-Generator, eine SMS oder eine Push-Nachricht in der Banking-App genutzt, um eine einmalige TAN zu erzeugen.

Der Secoder-Standard, eingeführt im Jahr 2008, verbessert das Chipkartenverfahren zusätzlich. Ein Secoder-Kartenleser hat ein eigenes Display und ein eigenes PIN-Pad. Er zeigt dir an, welche Daten tatsächlich signiert werden – also Betrag und Empfänger. Das schützt dich vor Keyloggern und Trojanern, die auf deinem PC die Daten manipulieren könnten. Sparkassen empfehlen Secoder mindestens ab Version 2.

Schritt 3: Verschlüsselte Übertragung. Der signierte Auftrag wird über eine gesicherte Leitung – in FinTS 4.1 explizit über HTTPS – an den Bankserver übertragen. Die Kombination aus digitaler Signatur und Transportverschlüsselung sorgt dafür, dass der Auftrag weder abgehört noch unbemerkt verändert werden kann.

Schritt 4: Prüfung und Ausführung durch die Bank. Der Bankserver empfängt den verschlüsselten Auftrag, entschlüsselt ihn und prüft die digitale Signatur beziehungsweise die übermittelte TAN. Stimmt alles überein, wird der Auftrag ausgeführt. Gibt es eine Abweichung – etwa weil die TAN bereits verwendet wurde oder die Signatur nicht passt – wird der Auftrag abgelehnt und du wirst informiert.

Dieses vierstufige Verfahren ist seit über zwei Jahrzehnten erprobt. Es gibt keine bekannten erfolgreichen Angriffe auf das Chipkartenverfahren selbst – Angriffe richten sich in der Praxis fast immer gegen den Nutzer (Phishing, Social Engineering) oder gegen unsichere Endgeräte, nicht gegen das Protokoll.

Verbreitung: Wie viele Banken und Produkte nutzen FinTS?

FinTS ist kein Nischenprodukt. Der Standard ist tief in der deutschen Bankenlandschaft verwurzelt – und die Zahlen sprechen eine deutliche Sprache.

Mehr als 3.000 Banken und Sparkassen in Deutschland nutzen FinTS. Davon unterstützen rund 2.000 Kreditinstitute den Standard aktiv, also mit einer vollständig implementierten und gepflegten Schnittstelle. Auf der Kundenseite gibt es mehr als 1.000 registrierte Kundenprodukte – Banking-Programme und Apps –, die auf FinTS aufbauen. Das zeigt: Der Standard hat auf beiden Seiten der Schnittstelle eine enorme Tiefe erreicht.

Welche Banken konkret dabei sind? Praktisch alle relevanten Institute in Deutschland: Sparkassen, Volksbanken und Raiffeisenbanken, Deutsche Bank, Commerzbank, Postbank, ING, DKB, Comdirect, Sparda-Bank, Santander, 1822direkt, HypoVereinsbank (UniCredit), Consorsbank (BNP Paribas), EthikBank, Norisbank, MERKUR PRIVATBANK und die BBBank. Die Liste ist lang – und das ist kein Zufall. FinTS wurde von Anfang an als gemeinsamer Standard der gesamten deutschen Kreditwirtschaft konzipiert, nicht als proprietäre Lösung einzelner Banken.

Öffentlich zugängliche Bankenlisten mit HBCI- und FinTS-Zugängen dokumentieren diese breite Abdeckung. Wer eine Banking-Software einrichten will, findet dort für nahezu jede deutsche Bank die nötigen Zugangsdaten: Bankleitzahl, Server-URL und unterstützte FinTS-Version.

Die kontinuierliche Fortschreibung durch die Deutsche Kreditwirtschaft ist ein wichtiger Faktor für diese Stabilität. Banken müssen nicht befürchten, dass der Standard plötzlich eingestellt wird oder sich in eine Richtung entwickelt, die ihre Interessen nicht berücksichtigt. Die DK ist das Gremium aller relevanten deutschen Bankenverbände – Sparkassen, Genossenschaftsbanken und private Banken sitzen gemeinsam am Tisch.

FinTS vs. PSD2-Schnittstelle: Zwei Standards im Vergleich

Seit dem 14. September 2019 sind alle regulierten Banken in der EU verpflichtet, eine standardisierte Schnittstelle für Drittanbieter bereitzustellen – die sogenannte XS2A-Schnittstelle (Access to Account) gemäß der EU-Zahlungsdiensterichtlinie PSD2. Eine Übergangsfrist lief bis Dezember 2020. Seitdem stellt sich viele die Frage: Macht PSD2 FinTS überflüssig?

Die kurze Antwort lautet: Nein. Beide Standards existieren nebeneinander und erfüllen unterschiedliche Aufgaben. Der entscheidende Unterschied liegt im Funktionsumfang. FinTS deckt nahezu alle Bankgeschäfte ab: Girokonten, Depots, Kredite, Wertpapierhandel, Daueraufträge, Kontoauszüge über Jahre hinweg. PSD2-Schnittstellen sind primär auf Zahlungskonten ausgerichtet – also Girokonten – und beschränken sich auf Zahlungsauslösung und Kontoinformation.

Ein weiterer Unterschied: FinTS ist ein freiwilliger deutscher Standard, der seit 1998 beziehungsweise 2002 gewachsen ist. Er ist erprobt, stabil und von Jahrzehnten der Praxis gehärtet. PSD2-Schnittstellen waren zum Einführungszeitpunkt dagegen noch nicht vollständig ausgereift. Viele Banken hatten erhebliche Probleme mit der Qualität ihrer frühen XS2A-APIs – Ausfälle, fehlende Funktionen, inkonsistente Implementierungen. Das war ein Hauptgrund, warum viele Banken FinTS nicht abschalten wollten und konnten.

Für Drittanbieter (TPPs) ist PSD2 explizit konzipiert: Fintech-Unternehmen, Buchhaltungssoftware-Anbieter und Kontoinformationsdienste können über XS2A auf Kundendaten zugreifen – mit ausdrücklicher Zustimmung des Kunden und unter BaFin-Aufsicht. FinTS war nie primär für diesen Zweck gedacht, auch wenn es technisch möglich ist.

International ist PSD2 klar im Vorteil: Der Standard gilt EU-weit und ist damit für alle regulierten Banken in Europa verbindlich. FinTS ist primär ein deutsches Phänomen. Wer Konten bei einer spanischen oder französischen Bank hat, wird dort keine FinTS-Schnittstelle finden.

Historisch hat FinTS das sogenannte Screenscraping weitgehend verdrängt – das automatisierte Auslesen von Online-Banking-Webseiten durch Software. PSD2 schreibt nun vor, dass Banken dedizierte APIs bereitstellen müssen, sodass Screenscraping als Fallback nicht mehr notwendig sein sollte. In der Praxis hat sich die Umsetzung jedoch als holprig erwiesen.

FinTS vs. EBICS: Welcher Standard für wen?

Neben FinTS gibt es einen weiteren wichtigen deutschen Banking-Standard: EBICS (Electronic Banking Internet Communication Standard). Seit 2006 verfügbar, richtet sich EBICS an eine völlig andere Zielgruppe – und das ist der Schlüssel zum Verständnis beider Standards.

FinTS ist für Privatkunden und kleine Unternehmen konzipiert. Es geht um individuelle Überweisungen, Kontoabrufe, Depotübersichten. Die Transaktionsvolumina sind überschaubar, die Nutzer sind in der Regel Einzelpersonen oder kleine Teams. FinTS ist darauf ausgelegt, mit einer Banking-Software auf dem eigenen PC oder Smartphone zu funktionieren.

EBICS dagegen ist der verbindliche Standard für mittlere und große Unternehmen mit hohem Transaktionsvolumen. Denk an Konzerne, die täglich Tausende von Zahlungen abwickeln, oder an Unternehmen mit internationalem Zahlungsverkehr. EBICS unterstützt sehr große Datenmengen und ist auf Effizienz bei Massenzahlungen ausgelegt.

Ein wichtiges Merkmal von EBICS ist die verteilte elektronische Unterschrift (VEU). Das bedeutet: Mehrere Personen in einem Unternehmen können einen Zahlungsauftrag von verschiedenen Systemen und Standorten aus gemeinsam freigeben – über Apps und verschiedene Plattformen hinweg. Das ist für Unternehmen mit internen Freigabeprozessen unverzichtbar. FinTS bietet diese Funktion nur eingeschränkt.

Geografisch ist EBICS breiter aufgestellt als FinTS. Während FinTS primär in Deutschland genutzt wird, ist EBICS auch in Frankreich, der Schweiz und Österreich verbreitet. Das macht EBICS zur besseren Wahl für Unternehmen mit Bankverbindungen in mehreren europäischen Ländern.

Für die Buchhaltungsintegration ist EBICS ebenfalls besser geeignet. ERP-Systeme wie SAP können direkt über EBICS mit Banken kommunizieren – vollautomatisiert, ohne manuelle Eingriffe. FinTS ist in dieser Hinsicht eingeschränkter, auch wenn es Buchhaltungsprogramme gibt, die FinTS nutzen.

Die Faustregel ist einfach: Als Privatperson oder Selbstständiger mit einem oder mehreren Konten bei deutschen Banken bist du mit FinTS bestens bedient. Sobald du als Unternehmen regelmäßig große Zahlungsmengen abwickelst oder internationale Bankverbindungen hast, ist EBICS die richtige Wahl.