Geldverkehr Glossar Geldverkehr
Transcription
Geldverkehr Glossar Geldverkehr
Geldverkehr Glossar Geldverkehr 1 Index Geldverkehr Account Aggregation ACH, automated clearing house ACID, atomicity, consistency, isolation, durability AML, anti-money laundering Bankensystem BCS, banking communication standard BIC, bank identifier code Bitcoin, BTC Chip/TAN-Verfahren Clearinghaus CNP, card-not-present transaction Cybermoney DTA, Datenträgeraustausch DTAUS-Format E-Geld EBICS, electronic banking Internet communication standard EBPP, electronic bill presentation and payment ECBS, European committee for banking standards EDD, electronic direct debit EFT, electronic funds transfer EGG, Elektronisches Geschäftsverkehr-Gesetz eTAN, electronic transaction number FinTS, financial transaction service HBCI, home banking computer interface Homebanking IBAN, international bank account number IFRS, international financial reporting standard IFX, interactive exchange ILN, international location number IOTP, Internet open trading protocol IPI, international payment instruction IrFM, infrared financial messaging 2 Geldverkehr iTAN, indexed transaction number M-Banking Macropayment Merchant Account Micropayment MiFID, markets in financial instruments directive mTAN, mobile transaction number NFC-Payment OFC, open financial connectivity OFX, open financial exchange OLV, Online-Lastschriftverfahren Online-Banking OTP, open trading protocol pay before Paybox PIN/TAN-Verfahren Scoring Secoder SEPA, single Euro payments area SEPP, secure electronic payment protocol SET, secure electronic transaction SmartTAN SWIFT, society for worldwide interbank financial telecommunication Transaktionsnummer, TAN, WYSIWYC, what you see is what you confirm ZKA, Zentraler Kreditausschuss Impressum 3 Geldverkehr Account Aggregation Unter Account Aggregation versteht man die übersichtliche Zusammenstellung verschiedenster Finanzkonten. Dabei kann es sich um Geschäftskonten, Bankkonten, Anlagekonten, Konten von Kreditkarten und anderen Konten handeln, die von einem System automatisch gesammelt und in einer Datenbank oder in übersichtlicher Form zusammengestellt werden. Account Aggregations können Web-basierte Anwendungen sein und als Cloud im Internet residieren. Sie dienen primär zu Aggregation von Finanzdaten. Je nach Tool zeigt das Account Aggregation die Anzahl an Transaktionen, das Transaktionsdatum, die Brutto-, Netto- und Provisionsbeträge, den zeitlichen Umsatzverlauf der verschiedenen Konten und vieles. Unterstützt wird das Account Aggregation durch Online-Banking, durch Account-Tools oder Finanz-Apps. Der Vorteil des Account Aggregation liegt darin, dass der Benutzer einen schnellen und umfassenden Überblick über die Finanzkonten, Transaktionen und Umsätze erhält. ACH, automated clearing house Ein Automated Clearing House (ACH) ist ein Gironetz, das von Finanzdienstleistern für Überweisungen, Zahlungsavis, Barauszahlungen und Lastschriften benutzt wird. Es handelt sich um einen Electronic Funds Transfer (EFT) mit dem elektronische Transaktionen zwischen den Finanzagenturen übermittelt und Zahlungen auf vorgegebene Konten bei den entsprechenden Geldinstituten getätigt werden. Angeschlossen an das Gironetz sind alle Geldinstitute mit deren Geschäftsstellen und Bargeldautomaten. Automated Clearing Houses arbeiten mit Stapelverabeitung, bei dem die Überweisungen nacheinander in der Reihenfolge der Auftragseingänge abgewickelt werden. Die Aufträge für das Automated Clearing House (ACH) werden von nationalen Geldinstituten vergeben und von Clearinghouses durchgeführt. 4 Geldverkehr ACID, atomicity, consistency, isolation, durability Um das Internet für geschäftliche Aktivitäten nutzen zu können, muss es bestimmte Voraussetzungen erfüllen, damit Transaktionen korrekt ausgeführt und Fehler im Prozessablauf automatisch korrigiert werden. Es geht dabei um die Einhaltung bestimmter Kriterien, die für fehlerfreie Online-Transaktionen gegeben sein müssen. Für diesen Zweck hat man die ACID-Paradigmen definiert, die die Voraussetzungen für Transaktionen im Internet bilden. ACID steht für Atomizität, Konsistenz, Isolation und Dauerhaftigkeit. Die Atomizität ist durch die Aussage „ganz oder gar nicht“ gekennzeichnet. Das bedeutet, dass Transaktionen von einem Ursprungszustand in einen Ergebniszustand übergehen; sie können nicht geteilt werden und werden entweder erfolgreich abgeschlossen oder aber abgebrochen. Bei einem Abbruch erfolgt keine Änderung in der Datenbank. Die am Prozess beteiligten Systeme werden wieder auf ihren Ausgangszustand zurückgesetzt. Bei der Konsistenz geht es um die Integrität und Plausibilität der Datenbestände. Diese werden bis zur abgeschlossenen Transaktion in einem konsistenten Zustand gehalten und werden bei der Transaktion in einen anderen konsistenten Zustand überführt. Damit nicht mehrere Transaktionen gleichzeitig ausgeführt werden können, gibt es Sperrmechanismen, die das gleichzeitige Zugreifen und Manipulieren eines Datensatzes verhindern. Die Isolation besagt, dass Transaktionen vollkommen getrennt voneinander ablaufen. Das Ergebnis und dessen Auswirkungen sind erst nach Beendigung einer Transaktion erkennbar. Mehrere, parallel ablaufende Transaktionen haben keine Wechselbeziehung untereinander. Mit der Dauerhaftigkeit von Transaktionen wird deren nachhaltige Wirkung beschrieben. Ist eine Transaktion durchgeführt, dann bleibt das Ergebnis bis zur nächsten Transaktion dauerhaft bestehen. So bleibt bei einer Geldtransaktion der Kontostand bis zur nächsten Transaktion bestehen. 5 Geldverkehr AML, anti-money laundering Beim Anti-Money Laundering (AML) geht es um die Verhinderung von Geldwäsche. Anti-Money Laundering ist eine Software für das Aufspüren von verdächtigen Finanzströmen und die Analyse von Kundendaten. Die AML-Software filtert Kundendaten, klassifiziert verdächtige Transaktionen und Anomalien in den Finanzströmen. Dabei kann es sich um sprunghaft ansteigendes Kapital oder um große Geldbeträge handeln, die von Konten abgehoben werden. Kleine Transaktionen, die bestimmte Kriterien erfüllen, werden ebenfalls als verdächtig behandelt. Solch ein Kriterium kann dann erfüllt sein, wenn ein Kunde mehrere kleiner Geldbeträge innerhalb einer kurzen Zeitspanne deponiert. Bankensystem Im Kontext von ITWissen ist ein Bankensystem ein speziell für die Aufgaben in Geldinstituten ausgestattetes Computersystem mit besonderen geräte- und softwaretechnischen Lösungen. Dazu gehören Computer, Systeme, Arbeitsplätze mit Druckern und Einheiten für den Schalterverkehr, die Kassenterminals mit Belegleser und Belegdrucker, Bildschirmarbeitsplätze für die Kundenberatung und für allgemeine Büroaufgaben, Überwachungs- und Sicherheitseinrichtungen in Form von Video- und Meldeanlagen, automatischen Kassentresoren, Unterschriftskontrollsystemen usw. sowie Geldausgabeautomaten, Kontoauszugsdrucker, Informationsterminals usw. an denen sich die Kunden selbst bedienen können. BCS, banking communication standard Im Gegensatz zu Home Banking Computer Interface (HBCI) und Open Financial Exchange (OFX), die für das Online-Banking zwischen Privatkunden und Geldinstituten entwickelt wurden, ist der Banking Communication Standard (BCS) ein Standard für gesicherte Finanztransaktionen und Bankaufträgen zwischen den Geld- und Finanzinstituten. 6 Geldverkehr Der Banking Communication Standard wurde vom Zentralen Kreditausschuss (ZKA) verabschiedet und ist damit verbindlich für alle deutsche Bankinstitute. Die Anforderungen an den BCS-Code sind entsprechend höher und umfassen Datenübertragung, die Verschlüsselung und Datenkompression. BIC, bank identifier code BIC-Code Der Bank Identifier Code (BIC) ist ein international standardisierter Code für die weltweit eindeutige Identifikation von Banken. Er ist nicht identisch aber vergleichbar mit der in Deutschland benutzten Bankleitzahl (BLZ), hat aber internationale Gültigkeit. Im BIC-Code werden neben dem Land und dem Bankennamen auch die Bank-Filialen erfasst. Der BIC-Code ist 8- bzw.11-stellig und Bestandteil der International Bank Account Number (IBAN). Die ersten vier Stellen des 11-stelligen BIC-Codes sind alphanumerisch und enthalten die Bankbezeichnung. Sie sind frei wählbar, so hat die Deutsche Bundesbank beispielsweise die Bankbezeichnung MARK. Die folgenden beiden Stellen enthalten den Ländercode nach ISO. Darin hat Deutschland den Ländercode „DE“. Es folgen zwei weitere Aufbau des BIC-Codes Stellen für die Ortsangabe. Die letzten drei Stellen sind der Filialbezeichnung vorbehalten. Der BIC-Code wird von SWIFT für grenzüberschreitende Geldtransaktionen in dem gleichnamigen SWIFT-Netz benutzt. 7 Geldverkehr Bitcoin BTC, bitcoin Bitcoin ist eine virtuelle Währung, die in reale Währungen, wie Euro oder Dollar, konvertiert werden kann. Die virtuelle Bitcoin-Währung hat die Währungs-Einheit „BTC“, die mit dem entsprechenden numerischen Zahlungsbetrag versehen wird; z.B. 50 BTC. Kleinere BitcoinEinheiten werden als Milli-Bitcoin (mBTC) gekennzeichnet. Bitcoin kann als Cybermoney für E-Cash beim Power-Shopping oder im E-Commerce eingesetzt werden. Es unterstützt Transaktionen zwischen Geschäftspartnern im Internet, die über einen Bitcoin-Client verfügen. Der Besitz an der virtuellen Währung wird durch kryptografische Schlüssel nachgewiesen. Alle Bitcoin-Transaktionen werden erfasst und in einer Datenbank gespeichert. Die Fälschungssicherheit wird durch digitale Signaturen sichergestellt. Bitcoin-Handel unter bitcoin.de 8 Geldverkehr Die Internet-Währung Bitcoin wird frei gehandelt. Sie wird also zum Kauf und Verkauf angeboten. Der Handelsplatz ist die in Japan ansässige Bitcoin-Börse Mt. Gox. Dort werden auch die Wechselkurse zu den harten Währungen festgelegt. Der Gesamtwert aller BitcoinEinheiten ist fest, er ist nicht variierbar oder erweiterbar. Bedingt durch den Handel und die damit verbundenen Spekulationen steigt und fällt der Bitcoin wie andere reale Währungen. Der Gesamtwert an Bitcoins wird nach einem mathematischen Modell festgelegt und kann in mehreren Jahren den Wert von 21 Millionen BTC erreichen. Dieser Wert kann je nach Wechselkurs einem Euro-Wert zwischen € 210.000.00 und € 500.000.000 entsprechen. BTP, business transaction protocol BTP-Protokoll chipTAN-Verfahren Das Business Transaction Protocol (BTP) ist ein Protokoll für geschäftliche Transaktionen. Es wurde von der OASIS entwickelt und basiert auf einem mehrschichtigen Transaktionsmodell im Web, durch das die Anwender vom Ressource-Management unabhängig werden. Die geschäftlichen Interaktionen über das Internet nehmen rapide zu und benötigen für die asynchron arbeitenden Systemumgebungen ein entsprechendes Transaktionsprotokoll. Mit dem BTP-Protokoll sollen Anwendungsprogramme auf andere Anwendungen in anderen Systemen und Organisationen zugreifen und dort Daten ändern und modifizieren können. Das Business Transaction Protocol ist ein XML-basiertes Protokoll für B2B-Anwendungen über das Internet. Mit dem BTP-Protokoll können komplexe XML-Nachrichten zwischen den kommunizierenden Business-Instanzen ausgetauscht werden. Das chipTAN-Verfahren gehört zu den sicheren Transaktionsverfahren für das Online-Banking. Es ist ein Zweiwege-Verfahren mit getrennten Geräten für die Erzeugung der Transaktionsnummer (TAN) und für deren Übertragung im PIN/TAN-Verfahren. Bei diesem Verfahren erzeugt ein spezieller TAN-Generator in Kombination mit der Chipcard des 9 Geldverkehr Kreditinstituts eine Transaktionsnummer (TAN), die der Kunde als mobile Transaktionsnummer in sein Smartphone oder seinen Personal Computer für eine Transaktion eingeben kann. Beim chipTAN-Verfahren wird die Geldüberweisung eingegeben und auf dem Bildschirm wird ein Startcode eingeblendet. Zur Erzeugung der chipTAN wird die Chipcard des Kreditinstituts in den TAN-Generator eingesteckt und über das Ziffernfeld des TAN-Generators der eingeblendete Startcode eingegeben. Nach dem die Kontonummer des Überweisungsempfän- Lichtbalken mit denen die ChipTAN zum TANGenerator übertragen wird gers und der Überweisungsbetrag eingetippt wurden, wird eine transaktionsbezogene Transaktionsnummer berechnet. Diese wird mittels optischer Übertragung über fünf Lichtbalken in den Bildschirm geblendet und kann vom TANGenerator, der auf der Rückseite fünf Fotodioden hat, gescannt werden. 10 Geldverkehr Die Transaktionsnummer wird anschließend in das TAN-Feld für die Geldüberweisung eingegeben. Das ChipTAN-Verfahren gilt als sicher gegen Phishing und Man-in-the-Middle-Angriffe. Mit gesperrten Chipkarten erzeugte Transaktionsnummern werden abgelehnt. Clearinghouse Ein Clearing House ist eine Agentur oder ein eigenständiges Unternehmen, das Geldmarktoder Finanztransaktionen gegen eine Gebühr abwickelt. Als Verrechnungsstelle für die Handelsabwicklung von Finanzgeschäften zeichnet das Clearing House verantwortlich für die Einhaltung der Transaktion, der Verrechnung von Forderungen und Verbindlichkeiten, des Lieferdatums und des Geldflusses. Die Verantwortung ist mit der Transaktion beendet. Clearinghäuser übernehmen häufig Termingeschäfte, -handel und -kontrakte. CNP, card-not-present transaction Eine Card-not-Present Transaction wird in Deutsch als Distanzzahlung bezeichnet. Bei dieser Zahlungsart, bei der der Kunde nicht am Point of Sale (POS) anwesend ist, wird die Kreditkarte nicht vorgelegt und folglich auch nicht durch den Kartenleser gezogen. Der Kunde teilt seine Kartendaten - Kartennummer, Kartenlaufzeit, CSC-Code - lediglich telefonisch oder über Online-Eingaben mit. Card-not-Present-Transaktionen werden vorwiegend beim OnlineShopping und beim Teleshopping durchgeführt und leider auch zum Kreditkartenbetrug benutzt. Zur Verhinderung von Kreditkartenbetrügereien hat die Kreditkartenindustrie verschiedene Sicherheitsverfahren entwickelt. Dazu gehören das Address Verification System (AVS) mit dem die Anschrift des Kreditkartenbenutzers verifiziert wird, und der Card Security Code (CSC), mit einer zusätzlichen mehrstelligen Ziffer, die die Authentizität des Besitzers sicherstellen soll. 11 Geldverkehr Cybermoney Als Cybermoney wird virtuelles Geld, E-Geld oder andere Zahlungsmittel im Internet bezeichnet. Cybermoney ist Netzgeld im Gegensatz zu E-Geld, das auch als Zahlungsmittel mit Handys und auf Geldkarten benutzt werden kann. Reales Geld kann durch Umtausch in Cybermoney konvertiert werden. Dieses virtuelle Geld kann über das Internet auf eine elektronische Geldkarte geladen werden, es ist als Netzgeld nicht auf Kartensysteme oder die Geldkarte angewiesen. Der Handel mit Cybermoney erfolgt über Guthabenkonten durch den Versand von digitalen Zeichenfolgen, die ausschließlich über das Internet oder andere elektronische Wege versandt werden. Zur Sicherheit des E-Money werden die Zeichenfolgen aus denen die Währung, der Geltungsbereich, Betrag und Emittent hervorgehen, mit standardisierten Verschlüsselungsverfahren wie dem RSA-Verfahren verschlüsselt. Der Empfänger von Cybermoney kann die Gültigkeit und Echtheit durch asymmetrische Verschlüsselungsverfahren überprüfen. Cybermoney kann auch für Buchungen von Kleinstbeträgen, wie sie beim Micropayment vorkommen, genutzt werden. Ein Beispiel für Cybermoney ist Bitcoin (BTC). DTA, Datenträgeraustausch Der bargeldlose Datenträgeraustausch (DTA) ist ein einheitliches Verfahren im elektronischen Zahlungsverkehr. Das Datenträgeraustauschverfahren wurde Mitte der 70er Jahre vom Zentralen Kreditausschuss (ZKA) vereinbart und dient dem beleglosen Austausch von Dateien mit Zahlungsavis, die auf Magnetbändern, Compact Discs, Speicherkarten oder anderen Medien gespeichert werden. Die Übertragung kann auch mittels Datenfernübertragung erfolgen. Das entsprechende Dateiformat ist das DTA- oder DTAUS-Format, das entsprechende Format für den Auslandszahlungsverkehr ist das DTAZV-Format. data medium exchange 12 Geldverkehr Daten für das Datenträgeraustauschverfahren können gleichermaßen bei Privatkunden anfallen, sie werden aber vorwiegend in den Buchhaltungen und Personalabteilungen von Unternehmen erzeugt. So bei der Offline-Eingabe von Buchungsbelegen, Überweisungsavis, Daueraufträgen sowie bei Gehalts- und Lohnabrechnungen von Mitarbeitern. Da das Datenformat standardisiert ist, bereitet ein Austausch mit verschiedenen Instituten keinerlei Kompatibilitätsprobleme. DTAUS-Format Für den bargeldlosen Datenträgeraustausch (DTA) hat der Zentrale Kreditausschuss (ZKA) mit dem DTAUS-Format ein einheitliches Datenaustauschformat für den elektronischen Zahlungsverkehr, also für Überweisungen, Daueraufträge oder Lastschriften festgelegt. DTAUS-Dateien bestehen aus drei einzelnen Datensätzen, die den Header, den Body und den Trailer (Footer) bilden. Der Header und der Trailer bestehen jeweils aus 128 Bytes, der Body, der pro Zahlungsverkehr einmal auftritt, umfasst 256 Zeichen. Der Header wird durch den Datensatz A gebildet und umfasst die Transaktion zwischen Kunde und Bank und die Namen des Auftraggebers sowie dessen Bankleitzahl und Kontonummer. Im Body, gebildet durch den Datensatz C, geht es um die eigentliche Art der Transaktion, ob Überweisung, Lastschrift, Gutschrift usw. Und beim Trailer, gebildet durch Datensatz E, geht es um Kontrollsummen und Plausibilitäten. E-Geld E-Geld ist elektronisches Geld, auch als Cybermoney bezeichnet. Es ist ein voller Ersatz für Münzen und Geldscheine und wird elektronisch gespeichert. Nach den in Europa geltenden gesetzlichen Bestimmungen darf E-Geld nur von einem Bankinstitut oder einer Sparkasse ausgegeben werden und kann wie Bargeld als Zahlungsmittel genutzt werden. e-money 13 Geldverkehr Neue Gesetzesinitiativen der EU-Kommission sollen die restriktive Haltung in Bezug auf die Emittenten lockern und weiteren Anbietern die Ausgabe von E-Geld ermöglichen. Mit dieser Lockerung soll der europäische Binnenmarkt für E-Geld geöffnet werden. Danach sollen der Wert des E-Geldes definiert, dessen Speicherung und die Ausführungen für Zahlungsvorgänge spezifiziert werden. Als Zahlungsmittel kann E-Geld auf Geldkarten, in elektronischen Geldbörsen (e-purse) oder auch als Netzgeld in Servern gespeichert werden. Je nachdem wie und wo das E-Geld gespeichert ist, kann der Zahlungstransfer von der Geld- oder Chipkarte aus erfolgen, vom Handy oder über das Internet transferiert werden. Durch Kryptologie und Zertifizierung soll mit dieser Internet-Währung, wie beispielsweise Bitcoin, das Bezahlen von Micropayments oder Macropayments, also kleinen Cent- und größeren Geldbeträgen ermöglicht werden. Dazu wird von der Hausbank des Benutzers ein Betrag in E-Geld gewandelt und auf ein elektronisches Konto überwiesen, über das der Benutzer die Leistungen bezahlen kann. Der Vorteil liegt darin, dass der Benutzer anonym bleibt und keine Informationen über seine Bankverbindung oder über seine Kreditkarte preisgibt. Außerdem kann die Bank den Bezahlprozess nicht nachverfolgen. Sie kann nicht feststellen wer, was, wann und wo zu welchem Betrag gekauft wurde. EBICS, electronic banking Internet communication standard EBICS (Electronic Banking Internet Communication Standard) ist ein zum 1. Januar 2008 eingeführter Kommunikationsstandard für das Online-Banking, der von den Banken unterstützt werden muss. EBICS ist ein offener Standard, der vom Zentralen Kreditausschuss (ZKA) spezifiziert wurde und das Internet als Kommunikationsnetz festschreibt. 14 Geldverkehr Der Online-Banking-Standard nutzt XML und HTTPS um gesicherte Transaktionen mit Authentifizierung und Verschlüsselung über das Internet zu übertragen. Bei der Autorisierung von Transaktionen wird mit einer kryptografischen Signatur, dem A004-Schlüssel, gearbeitet. EBICS kennt ein mehrstufiges Unterschriftskonzept, mit denen geografisch und organisatorisch verteilte Autorisierungen für eine Transaktion eingeholt werden können. Eine solche Mehrfach-Unterschrift wird als verteilte elektronische Unterschrift (VEU) bezeichnet So kann beispielsweise die Buchhaltung eine Zahlungsanweisung ausfüllen und von einem Bevollmächtigten unterzeichnen lassen. http://www.ebics-zka.de EBPP, electronic bill presentation and payment Beim Electronic Bill Presentation and Payment (EBPP) geht es um das elektronische Rechnungswesen. Dabei geht es darum, die bislang üblichen papierbasierten Strukturen bei der Erstellung, dem Versand und dem Bezahlen von Rechnungen elektronisch abzuwickeln. Da die Rechnungserstellung durch firmeneigene Finanzstrukturen geprägt ist, können elektronische Rechnungen als Anhang einer E-Mail, via WWW oder mittels Electronic Data Interchange (EDI) versendet werden. Der Rechnungsempfänger erhält somit auf unterschiedlichen Wegen Rechnungen mit den verschiedensten Dateiformaten. Dies soll durch das EBPP-Verfahren vereinheitlicht werden. Ansatzweise besteht die Möglichkeit dem Schuldner eine Zusammenstellung aller Rechnungen zukommen zu lassen. Dieses konsolidierende Modell nennt sich auch so, nämlich Consolidator Model (CM). ECBS, European committee for banking standards Die European Committee for Banking Standards (ECBS) ist eine europäische Organisation und ein Normungsgremium für die Standardisierung und Weiterentwicklung elektronischer Zahlungssysteme wie eCash oder E-Geld. 15 Geldverkehr Die ECBS, die sich aus mehreren europäischen Organisationen gebildet hat, arbeitet eng mit dem European Telecommunications Standards Institute (ETSI) und dem European Payments Council (EPC) zusammen. http://www.ecbs.org/ EDD, electronic direct debit Electronic Direct Debit (EDD) ist ein Online-Lastschriftverfahren (OLV), das im E-Commerce eingesetzt wird. Das EDD-Verfahren wurde von deutschen Banken entwickelt und entspricht dem Bankeinzugsverfahren, das der Kunde allerdings elektronisch erteilt. Autorisiert wird das elektronische Lasteinzugsverfahren, das das Pendant zu dem Bankeinzug per Lastschrift darstellt, durch die digitale Signatur des Kunden. Mit dieser Autorisierung kann der Lieferant das Konto mit dem autorisierten Betrag belasten. Die Bank überweist den Betrag auf das Konto der autorisierten Person oder des autorisierten Unternehmens. Die Transkation erfolgt so, dass der Lieferant die Bankdaten des Kunden nicht erfährt. EFT, electronic funds transfer Electronic Funds Transfer (EFT) ist der Oberbegriff für die verschiedensten Arten des elektronischen Zahlungsverkehrs. Allgemein ist darunter der papierlose Zahlungsverkehr zu verstehen, bei dem der Zahlungsbetrag im Online-Banking oder Online-Billing vom Käuferkonto auf das Lieferantenkonto überwiesen wird. Der Zahlungsverkehr kann zwischen Konten des gleichen Geldinstituts oder zwischen verschiedenen Geldinstituten abgewickelt werden. Electronic Funds Transfer bietet Überweisungssicherheit, es ist schnell und kostengünstig. Die Palette des Electronic Funds Transfer umfasst alle elektronischen Geldtransaktionen wie 16 Geldverkehr Automated Clearing House (ACH) über Online-Dienste, Home-Banking, Geldkarten, elektronische Schecks oder andere im Online-Business benutzte Zahlungsmodalitäten. http://www.efta.org EGG, Elektronisches GeschäftsverkehrGesetz Das Elektronisches Geschäftsverkehr-Gesetz (EGG) setzt den rechtlichen Rahmen für ECommerce in Deutschland. Es ist eine der zentralen Vorschriften des Internetrechts. Die deutsche Gesetzgebung setzt damit die Vorgaben der Europäischen E-Commerce-Richtlinie vom 8.6.2000 um. Das Gesetz änderte vor allem das Teledienstgesetz (TDG) und das Teledienstdatenschutzgesetz (TDDSG). Das EGG ist seit dem 21. Dezember 2001 in Deutschland in Kraft. eTAN, electronic transaction number Wie die anderen TAN-Verfahren auch, soll das e-TAN-Verfahren Transaktionen gegenüber Phishing sicherer machen. Die eTAN wird elektronisch von einem TAN-Generator erzeugt. Es handelt sich dabei um einen kleinen TAN-Rechner mit Display, der vor jeder Transaktion eine Transaktionsnummer (TAN) generiert und auf dem Display anzeigt. Vor der Generierung der Transaktionsnummer muss allerdings eine Kontrollnummer eingegeben werden. Ein ähnliches Verfahren wird bei der Bankey-Technik angewendet, bei dem der Bankey-Token auf Knopfdruck eine Transaktionsnummer für die nächste Transaktion erzeugt. Elektronische Transaktionsnummer FinTS, financial transaction service Der zentrale Kreditausschuss (ZKA) hat den HBCI-Standard in der Version 3.0 in Financial Transaction Service (FinTS) umbenannt. Bei FinTS ist die Kommunikation zwischen Client und Server mit verschiedenen kryptografischen Verfahren abgesichert. FinTS benutzt zur Sicherung der Vertraulichkeit kombinierte Verschlüsselungsverfahren wie das DES-DES-Verfahren (DDV) oder die Kombination aus RSA-Verfahren und DES-Verfahren das RSA-DES-Hybrid (RDH). Zur 17 Geldverkehr Sicherung des PIN/TAN-Verfahrens wurde das HTTPS-Protokoll mit dem SSL-Protokoll verschlüsselt. FinTS unterstützt indizierte Transaktionsnummern (iTAN) und mobile Transaktionsnummern (mTAN). Die Nachrichten werden mit Dreifach-DES verschlüsselt, wobei die mit einem Zufallsgenerator erzeugten Nachrichtenschlüssel mittels Hybrid-Verschlüsselung übertragen werden. Dabei handelt es sich um eine Kombination aus der symmetrischen Verschlüsselung und der asymmetrischen Verschlüsselung. HBCI, home banking computer interface Das Home Banking Computer Interface (HBCI) ist ein sicheres Übertragungsprotokoll für Finanztransaktionen in offenen Netzen wie dem Internet. HBCI ist auf der Anwendungsschicht angesiedelt, basiert auf EDIFACT und bietet multibankfähigen Clients und Bankservern die Möglichkeit, auf beliebigen Protokollen zu kommunizieren, so auch auf TCP/IP. Das Protokoll wurde von den deutschen Bankenverbänden als Standard-Protokoll für das Online-Banking ausgewählt und soll Finanztransaktionen nach dem PIN/TAN-Verfahren ablösen. Das HBCISystem ist ein Kommunikationssystem zwischen Bank- und Kundenrechner. Es besteht aus der HBCI-Chipkarte des Kreditinstituts, dem Kartenlesegerät und dem Kundenrechner mit der Banking-Software. Der Kundenrechner ist über einen Onlinezugang mit dem Bank-Server verbunden. Die Aufträge werden lokal vorbereitet und vom Kunden mit seiner HBCI-Chipkarte und seinem PIN-Code am Kartenlesegerät bestätigt. Es folgt die digitale Signatur mit dem Signier-Schlüssel. Daraufhin wird der vorbereitete Auftrag vom Kunden-Client verschlüsselt an den Bank-Server übertragen, wo er bearbeitet wird. HBCI ist flexibel in Bezug auf die Bank-Benutzer-Schnittstelle, es ist multibankfähig und kann auch für andere Transaktionsdienste wie Online-Brokerage eingesetzt werden. Darüber hinaus 18 Geldverkehr zeichnet es sich durch eine hohe Sicherheit mit dreifachem Schutz aus: Dazu gehört die Verschlüsselung mit dem DES-DES-Verfahren (DDV) oder dem RSA-Verfahren und die Übertragung mit dem SSL-Protokoll, die digitale Signatur sowie die öffentlichen und privaten Datenschlüssel für die Kommunikation zwischen Kunde und Bank. Die Autorisierung erfolgt beim Verbindungsaufbau, bei dem der Benutzer sich mittels Passwort bei seinem Bank-Server anmeldet. Nach Angabe der Limits kann der Benutzer seine Transaktionen durchführen, die mit der digitalen Signatur abgeschlossen werden. Die digitale Signatur verwendet eine RSASignatur-Chipkarte, die mit einem Schlüsselpaar arbeitet. Ein anderes in HBCI benutztes Arbeitsschritte für einen HBCI-Auftrag 19 Geldverkehr Verfahren arbeitet mit dem Message Authentication Code (MAC) mit zwei Schlüsseln, die nur der Bankkunde und das Kreditinstitut kennen. Ein Schlüssel ist der Schlüssel für die digitale Signatur, der zweite dient der Verschlüsselung. In der Version 2.2 (HBCI+) ermöglicht HBCI neben der Legitimation per Chipkarte und Diskette auch die Legitimation mit persönlicher Identifikationsnummer (PIN) und Transaktionsnummer (TAN). In der Version 3.0 wird für die HBCI-Technik die Bezeichnung FinTS benutzt, wobei in dieser Version entweder HBCI oder das PIN/TAN-Verfahren benutzt wird. HBCI wird in Europa benutzt, in den USA wird Open Financial Exchange (OFX) eingesetzt. http://www.hbci.de Homebanking Homebanking, Telebanking, Online-Banking oder E-Banking umfassen alle Arten von Bankgeschäften, die ein Bankkunde von seinem Personal Computer aus über das Internet ausführen kann. Voraussetzung für das Home-Banking sind eine sichere Verbindung und die Zugriffsberechtigung für die Bankdienste. Beim Home-Banking loggt sich der Kunde mit seinem Personal Computer in das Rechnernetz der Bank ein, wo er sich authentifizieren muss. Nach der Authentifizierung erhält er Zugriff auf sein Konto und die entsprechenden Bankdienste. Der Benutzer kann dann seine Bankgeschäfte über das Internet ausführen. Er kann Kontoauszüge abrufen und diese mit der Faktura überprüfen, Überweisungen und Daueraufträge tätigen, sein Depot pflegen und mit Wertpapieren handeln. Für sichere Transaktionen gibt es das PIN/TAN-Verfahren in seinen verschiedensten Varianten und das vom Bankenverband eingeführte Home Banking Computer Interface (HBCI). IBAN, international bank account number Die IBAN (International Bank Account Number) ist eine international anerkannte Bankkontonummer, die für den grenzüberschreitenden Geldverkehr genutzt wird. Die International Bank Account Number (IBAN) ist eine aus alphanumerischen Zeichen 20 Geldverkehr bestehende Kennzeichnung für das Online-Banking und Einzelüberweisungen. Die Länge der IBAN ist von Land zu Land verschieden. In Deutschland beträgt die Gesamtlänge immer 22 Zeichen. Die IBAN beginnt immer mit zwei alphanumerischen Zeichen, dem Ländercode, für die Landeskennzeichnung. Dieser Ländercode wurde von der internationalen StandardisierungsOrganisation (ISO) festgelegt. Für Deutschland sind das die Buchstaben DE. Dem Ländercode folgt eine zweistellige Prüfziffer mit der die Prüfsumme für die nationale Kontonummer übermittelt wird. Es folgen die achtstellige Bankleitzahl und die Kontonummer, die immer zehnstellig eingegeben wird. Fehlende Stellen werden von links mit Nullen aufgefüllt. Die Struktur der IBAN, die eine maximale Länge von 34 Feldern hat, wurde von der ISO unter ISO 13616 festgelegt, darin wird eine verbindliche Schreibweise vorgeschrieben, ohne Sonderzeichen, Bindestriche und Leerzeichen. Für internationale Geldtransfers wird neben der IBAN noch eine Kombination aus IBAN und dem Bank Identifier Code (BIC) benötigt, allerdings nur noch bis 2014. Danach ist europaweit die Single Euro Payments Area (SEPA) verbindlich vorgeschrieben und der Bank Identifier Code ist nicht mehr erforderlich. Die IBAN wird von dem kontoführenden Kreditinstitut errechnet und zugewiesen und auf dem Kontoauszug ausgedruckt. IFRS, international financial reporting standard Internationale Bankkontonummer International Financial Reporting Standards (IFRS) sind Normen für die Rechnungslegung, die von der Europäischen Union (EU) nach einem Beschluss aus dem Jahre 2002 von börsennotierten Unternehmen übernommen werden müssen. Ziel dieser Regelwerke ist die Vergleichbarkeit von Unternehmensdaten und -abschlüssen in der Europäischen Union. 21 Geldverkehr IFX, interactive exchange Interactive Exchange (IFX) ist ein De-facto-Standard für Web-basierte Abrechnungssysteme, vergleichbar Open Financial Exchange (OFX). Im Gegensatz zu OFX, das die Transaktionen und Rechnungen in der Standardized Generalized Markup Language (SGML) formatiert, werden bei IFX sämtliche Spezifikationen und Extensible Markup Language (XML) implementiert. XML definiert kundenspezifische Markup-Sprachen für mehrere Dokumentklassen, wie Rechnungen, Bestellscheine oder Produktkataloge. Sie kann dies tun, weil XML in SGML implementiert wurde. ILN, international location number Die International Location Number (ILN) ist ein internationaler Code für die eindeutige Identifikation der Industrie-, Handels- und Dienstleistungsbetriebe im interbetrieblichen Daten- und Warenaustausch. Der Code soll als Bestandteil der Kunden- und Lieferantennummer benutzt werden und wird in zwei unterschiedlichen Spezifikationen eingeführt. Typ 1 ist ausschließlich für die Identifikation von Unternehmen im Geschäftsverkehr bestimmt, im Typ 2 ist darüber hinaus die europäische Artikelnummer (EAN) enthalten. Internationale Lokalisationsnummer IOTP, Internet open trading protocol Das Internet Open Trading Protocol (IOTP) ist ein interoperables Framework für den elektronischen Handel, den E-Commerce. Das IOTP-Protokoll ist eine Weiterentwicklung des Open Trading Protocol (OTP), es unterstützt elektronisch ausgeführte Kauftransaktionen und macht diese für den Kunden, die Bank, den Verkäufer und andere in die Transaktionen eingeschlossene Parteien konsistent und transparent, und zwar unabhängig vom Zahlungssystem. IOTP-Protokolle unterstützen diverse Zahlungssysteme wie E-Cash, EChecks, Geldkarte und Kreditkarten, wobei die sensiblen Benutzerdaten und die transferierten Beträge in der IOTP-Nachricht eingebettet sind. Das Handling mit dem IOTP-Protokoll schließt 22 Geldverkehr Die verschiedenen Finanztranskationen des IOTP-Protokolls alle an der Transaktion Beteiligten ein. So den Kunden und Verkäufer sowie den Händler und Kreditprüfer des Geldinstituts. IOTP benutzt die Extensible Markup Language (XML) um alle für die Transaktion benötigten Daten zu beschreiben. Alles, was in der realen Bankenwelt durch Verhandlungen für die Zahlungsmodalitäten geregelt wird, übernimmt das IOTP-Protokoll. Dazu gehören u.a. das Aushandeln der Konditionen, die Zahlungsmethode und das Zahlungsziel, Alle diese Zahlungsmodalitäten werden sicher und vertrauenswürdig ausgeführt. 23 Geldverkehr Das Internet Open Trading Protocol (IOTP) wurde unter Beteiligung von Hewlett Packard, IBM, MasterCard, Sun Microsystems und einigen Großbanken entwickelt. Beschrieben ist es im RFC 2801 aus dem Jahr 2000. IPI, international payment instruction Mit der International Payment Instruction (IPI) haben die europäischen Geldinstitute die Voraussetzungen für einen internationalen elektronischen Zahlungsbeleg geschaffen. Der IPI-Standard arbeitet mit der internationalen Bankkontonummer (IBAN) und dem 2D-Code PDF417. Das Codefeld des PDF417-Codes wird mit Scannern oder Lesestift ausgelesen; der Datenaustausch zwischen Finanzinstitut und Kunde erfolgt in bekannter elektronischer Form. IrFM, infrared financial messaging Infrared Financial Messaging (IrFM) umfassen die Richtlinien für Transaktionen über Infrarotlicht. Die IrFM geben detaillierte Informationen zu Benutzer-Anwendungsmodellen, Richtlinien für die Implementierung in Terminals und Mobilgeräte sowie für das Senden und Empfangen von Transaktionen zwischen Kassen- und Mobilgeräten. iTAN, indexed transaction number Beim normalen PIN/TAN-Verfahren wird bei jeder wirtschaftlichen Transaktion eine beliebige Transaktionsnummer aus einer Liste in das TAN-Feld eingetragen. Dies hat erheblichen Nachteile, da beim Phishing die Transaktionsnummern abgefragt und für Betrugstransaktionen benutzt werden können. Aus diesem Grund haben einige Geldinstitute die indizierte Transaktionsnummer, iTAN, eingeführt. Dabei handelt es sich um eine Liste mit fortlaufenden Nummern, denen jeweils eine zufällig indizierte Transaktionsnummer zugeordnet ist. Bei der indizierten Transaktion fragt die Bank nicht nach einer x-beliebigen, sondern nach einer bestimmten TAN aus der TAN-Liste, beispielsweise nach der 43. TAN-Nummer, die dann eingetragen werden muss. Die Transaktion Indizierte Transaktionsnummer 24 Geldverkehr Auszug aus einer elektronischen Transaktion mit indizierter TAN (iTAN) wird nur dann bestätigt, wenn der Kunde die richtige Transaktionsnummer eingetragen hat. Dies schränkt das Phishing enorm ein. Eine Aushebelung des iTAN-Verfahrens ist nur in Echtzeit möglich, in dem der Angreifer die Kommunikation zwischen Geldinstitut und Kunden über sich umleitet, den Datenstrom ausliest und Teile davon blockiert. M-Banking mobile banking Mobile Banking (M-Banking) ist eine Art des Online-Banking. Wie beim klassischen E-Banking kann der Bankkunde seine Transaktionen von seinem mobilen Endgerät aus vornehmen. Er 25 Geldverkehr nutzt dabei für die Online-Übertragung über das Internet das mit Sicherheitsmechanismen ausgestattete HTTPS-Protokoll, und baut darüber eine sichere Verbindung zum Bank-Server aus. Bei Einsatz der mobilen Endgeräte in WLANs erfolgt die gesicherte Verbindung über Wireless Transport Layer Security (WTSL) bzw. über Secure Socket Layer (SSL). Seine Finanztransaktionen führt der Bankkunde wie beim klassischen Online-Banking nach dem PIN/TAN-Verfahren aus und kann dafür mobile Transaktionsnummern (mTAN) nutzten, die er für jede einzelne Transaktion vom Bank-Server abruft. Als Standard für die Transkationen hat der deutsche Bankenverband das Home Banking Computer Interface (HBCI) für Finanztransaktionen eingeführt, mit dem gesicherte Transaktionen durchgeführt werden können. Mobile Banking wird von den Kreditinstituten durch Apps unterstützt, die mit den gängigen Smartphone-Betriebssystemen Android, Brew MP oder Windows Mobile arbeiten. Neben ortsunabhängigen Transkationen über Smartphones, BlackBerrys, PDAs, Tablets oder Notebooks kann der Bankkunde auch andere Bank-spezifische Dienste wie die Kontenführung, Einzel- und Dauer-Überweisungen, Auflistungen der Transaktionen, den Aktienhandel und die Depotverwaltung usw. als mobilen Service nutzen. Einige dieser Apps arbeiten auch mit Smartphone-Browsern und können darüber auf die Services der Kreditinstitute zugreifen. Kritische Faktoren des Mobile Banking liegen in der Netzwerksicherheit, die durch Verschlüsselung den unberechtigten Zugang sowie die Manipulation von Daten verhindert. Die Standardisierung des Mobile Banking erfolgt duch die internationale StandardisierungsOrganisation (ISO) nach ISO 12812: Mobile Financial Services. Macropayment Wenn Micropayment das Bezahlen von kleinen Geldbeträgen im Internet darstellt, dann ist das Macropayment das Bezahlen von größeren Geldbeträgen mittels Kreditkarte oder 26 Geldverkehr Lastschrift. Die Betragsgrenzen sind dabei fließend. Einige E-Commerce-Spezialisten geben € 5,- als unteren Bezahlbetrag an, bei anderen gehört ein solcher Betrag noch zum Micropayment. Merchant Account Ein Merchant Account ist ein spezielles Konto bei einer Bank. Es erlaubt E-CommerceUnternehmen Kreditkartenzahlungen durchzuführen und die Umsätze daraus zu erhalten. Der Teil des Finanz-Fulfillment wird in der Regel ausgelagert (Outsourcing) und als Merchant Services von professionellen Finanzdienstleistern bezogen. In der Regel sind mindestens drei Parteien an der Abwicklung einer Kreditkarten-Transaktion beteiligt: Die Merchant-Bank des Konsumenten, das Clearing-House und die Merchant-Bank des ECommerce Unternehmens. Sobald die Kreditkarteninformationen vorliegen wird über eine Merchant-Software die Transkationen über das Clearinghouse vorbereitet. Es authentifiziert Kreditkarten und überprüft die Kreditlimits der Karte. Micropayment Das Bezahlen von Dienstleistungen, Waren oder Content, der nur wenige Cent kostet, wird als Micropayment bezeichnet. Man spricht dann von Micropayment wenn angeklickte kostenpflichtige Artikel einer Website nur einige wenige Cent kosten. Geldbeträge zwischen 0,01 Euro und 5 Euro sind dem Micropayment zuzurechnen, wobei es allerdings bei den Kleinstbeträgen zu Überschneidungen mit dem Picopayment, bei größeren Beträgen mit dem Macropayment kommt. Das Micropayment kann direkt mit dem Anklicken eines kostenpflichtigen Artikels ausgelöst werden, es kann aber auch über guthabenbasierte Systeme oder über scheckkartengroße Micromoney-Karten abgewickelt werden. Beim Online-Billing wird der Kunde auf das Micropaymentsystem umgeleitet und muss die Transaktion durch seinen Login und sein 27 Geldverkehr Passwort bestätigen. Der Online-Shop erhält von dem System eine Rückmeldung über die korrekte Transaktion und kann den oder die Artikel ausliefern. Der Abrechnungsbetrag, der sich aus der Summe von vielen kleinen Einzelbeträgen zusammensetzt, wird über so genannte Payment-Provider oder Micropayment-Provider abgerechnet. Diese Payment-Provider übernimmt die Rechnungsstellung an den Kunden und das Inkasso. Bei den Micropaymentsystemen erfolgt die Abrechnung mit dem Kunden vorwiegend über Kreditkarten, es kann aber auch über Lastschrift erfolgen. Eines der bekanntesten Micropaymentsysteme ist Firstgate. International tätige Micropayment-Firmen haben den Vorteil, dass sie unterschiedliche Valuta akzeptieren. MiFID, markets in financial instruments directive Markets in Financial Instruments Directive (MiFID) ist eine europäische Richtlinie, die es privaten und institutionellen Anlegern erleichtert Investitionen innerhalb der Europäischen Union und über deren Grenzen hinaus vorzunehmen. Mit dieser Richtlinie werden in Europa einheitliche Rechtslagen für den Vertrieb von Finanzprodukten und die Ausführung von Anlegeraufträgen geschaffen. Betroffen von dieser Richtlinie sind der Wertpapierhandel und somit Börsen, Banken und Broker. MiFID stellt für die handelnden Unternehmen eine Art Zertifizierung dar mit der der Händler europaweit tätig werden kann. Die MiFID-Richtlinie hat für Kunden einige Vorteile, so wird durch MiFID der Handel transparenter, er wird vor unseriösen Händlern geschützt und kann, was den Wertpapierhandel betrifft, die schnellste und günstigste Auftragsabwicklung erwarten. Das hehre Ziel von MiFID verpflichtet den Finanzdienstleister im Interesse des Kunden ehrlich und redlich zu handeln. Ansonsten sieht MiFID Sanktionen vor. 28 Geldverkehr mTAN, mobile transaction number Mobile Transaktionsnummer Die verschiedenen PIN/TAN-Verfahren für das Online-Banking - iTAN, eTAN, smartTAN und mTAN - unterscheiden sich in der Sicherheit der Transaktionen. Die mobile Transaktionsnummer (mTAN) ist wie SmartTAN ein so genanntes Zwei-Schritt-Verfahren, bei denen die Transaktion und die Übermittlung der Transaktionsnummer (TAN) getrennt in zwei Schritten erfolgt. Bei der mobilen Transaktionsnummer erzeugt der Bank-Server vor jeder Transaktion eine passende Transaktionsnummer und sendet sie per Kurznachrichtendienst (SMS) auf das Handy des Besitzers. Daher auch die Bezeichnung smsTAN. Die auf das Handy übermittelte smsTAN dient zur Freigabe einer einzigen OnlineTransaktion. Danach ist sie nutzlos. Eine erhöhte Sicherheit ist dadurch gegeben, dass im Übermittlung der mTAN über SMS, Foto: Postbank Kurznachrichtendienst (SMS) 29 Geldverkehr das Zielkonto und der Betrag übertragen werden. Dadurch kann der Kunde vor Eingabe der Transaktionsnummer überprüfen, ob sein Auftrag richtig gebucht wurde. Die mTAN ersetzt die vorgefertigte TAN-Liste und ist überall mobil verfügbar. Das mTAN-Verfahren ist dadurch wesentlich sicherer gegen Phishing und Pharming. NFC-Payment Die Nahfeldkommunikation (NFC) ist eine berührungslose Technik auf Induktionsbasis, die in einem geringen Abstand von einigen Zentimetern zwischen den Kommunikationspartnern Laden eines NFC-Smartphones mit einem Geldbetrag, Foto: smartphone-top5.de arbeitet. Über die Nahfeldkommunikation können Geräte, die mit den entsprechenden NFC-Tags ausgestattet sind, untereinander Daten austauschen. Banken benutzen die NFC-Technik für geldwerte Transaktionen, für das NFCPayment. Die NFC-Technik kann in mobilen Endgeräten, in Smartphones oder Handys eingesetzt werden, wobei das mobile Endgerät mit einem Geldbetrag geladen und direkt für Mobile Payment benutzt werden kann. Der Benutzer kann damit in Geschäften oder Tankstellen seine Rechnungen begleichen. Die NFC-Technik kann aber auch in die Geldkarte implementiert sein. Der Benutzer kann die Geldkarte am 30 Geldverkehr Geldautomaten aufladen und sie in gleicher Form zum Bezahlen nutzen. Er braucht sie dazu lediglich in die Nähe des Lesegerätes halten. Im Gegensatz zu anderen Transaktionen erfolgt die Bezahlung mit der Geldkarte ohne Eingabe von Konten-, PIN- oder Transaktionsnummern. Da es sich bei Geldtransaktionen um hochsensitive Anwendungen handelt, müssen bestimmte den Common Criterias (CC) unterlegene Sicherheitsanforderungen erfüllt und zertifiziert werden. Dies bezieht sich auf die Handy- und Smartphone-Betriebssysteme, an die die Software angepasst werden muss. OFC, open financial connectivity Open Financial Connectivity (OFC) ist ein älteres Dateiformat von Microsoft für Finanztransaktionen über das Internet. Aus dem OFC-Dateiformat und dem Open Exchange Format (OEF) ist in den 90er Jahren als Standardformat für Finanztransaktionen das Open Financial Exchange (OFX) hervorgegangen. OFX, open financial exchange Open Financial Exchange (OFX) ist ein von Microsoft und Intuit Quicken entwickeltes Format für Finanztransaktionen über das Internet. In OFX wurden die älteren Transaktionsformate Open Financial Connectivity (OFC) und Open Exchange Format (OEF) eingebracht. OFX ist ein offener Standard für den Austausch von Finanzdaten, der in den USA benutzt wird. Der OFX-Standard ist systemunabhängig und formatiert die Transaktionen und Rechnungsdaten in Standardized Generalized Markup Language (SGML). OFX wird u.a. als Abrechnungssystem von für IP-basierte Cloud-Services benutzt. Ein vergleichbares AccountingSystem ist Interactive Exchange (IFX), das allerdings die Dokumente, Rechnungen in Extensible Markup Language (XML) implementiert. In Europa heißt der zu OFX vergleichbare Standard für Finanztransaktionen Home Banking Computer Interface (HBCI). 31 Geldverkehr OLV, OnlineLastschriftverfahren online debit advice procedure Online-Banking Elektronische Lastschriftverfahren (ELV) und Online-Lastschriftverfahren sind individuelle Verfahren für den Geldtransfer zwischen zwei Beteiligten. Da es keine gesetzlichen Regelungen für die elektronischen Lastschriftverfahren gibt, werden sie zwischen dem Händler und dem Käufer vereinbart. Diese Lastschriftverfahren finden häufig beim Kauf von Produkten und Dienstleistungen Anwendung, ohne, dass es der Kunde als solches erkennt. Der Vorteil dieser Verfahren liegt in den geringeren Kosten, da keine Instanz zwischengeschaltet ist und der Händler den Betrag unmittelbar vom Käuferkonto abbucht. Der Käufer identifiziert sich durch seine Magnetkarte oder Smartcard der der Händler die Kontonummer und die Bankleitzahl entnimmt. Vor dem Geldtransfer unterschreibt der Kunde die einmalige Einzugsermächtigung. Online-Banking, Electronic Banking (E-Banking) oder Home-Banking umfasst alle elektronischen Bankgeschäfte zwischen Bankkunde und Kreditinstitut. Online-Banking nutzt die elektronischen Kommunikationseinrichtungen und -netze und setzt eine Online-Verbindung voraus. In der Regel erfolgen die Finanztransaktionen von einem Personal Computer (PC) aus über das Internet. Aus Sicherheitsgründen wird dabei statt des HTTP-Protokolls das mit Sicherheitsmechanismen ausgestattete HTTPS-Protokoll für die Online-Übertragung benutzt. Erfolgt die Transaktion von einem Smartphone, einem Tablet-PC oder einem mobil eingesetzten Notebook aus, spricht man von Mobile Banking (M-Banking). Das Online-Banking kann mittels persönlicher Identifikationsnummer (PIN) und Transaktionsnummer (TAN) ausgeführt werden. Neben diesem PIN/TAN-Verfahren wurde vom deutschen Bankenverband das Home Banking Computer Interface (HBCI) als Standard für Finanztransaktionen eingeführt, mit dem gesicherte Transaktionen durchgeführt werden 32 Geldverkehr können. Zum Datenschutz stützt sich das Online-Banking in Europa auf HBCI, dagegen wird in den USA der Open Financial Exchange (OFX) benutzt. Zu den geschäftlichen Transaktionen zwischen Privatkunden und Kreditinstitut gehören die Kontoauskunft, Einzel- und Dauer-Überweisungen, Auslistungen der Transaktionen, der Aktienhandel usw. Kritische Parameter liegen in der Netzwerksicherheit, die durch Verschlüsselung den unberechtigten Zugang sowie die Manipulation von Daten verhindert. Im Gegensatz zu HBCI und OFX, die für das Online-Banking zwischen Privatkunden und Geldinstituten entwickelt wurden, ist der Banking Communication Standard (BCS) ein Standard für Finanztransaktionen zwischen den Geld- und Finanzinstituten. OTP, open trading protocol OTP-Protokoll Mit dem Open Trading Protocol (OTP) gibt es einen Rahmen für elektronische Geschäftstransaktionen und den elektronischen Zahlungsverkehr. Da es verschiedene proprietäre Zahlungsverfahren gibt, wie beispielsweise die Secure Electronic Transaction (SET) oder E-Cash, die allerdings untereinander inkompatibel sind, werden mit dem OTP-Protokoll bestimmte Mechanismen in den Geschäftstransaktionen und dem Zahlungsverkehr über das Internet standardisiert, wodurch die proprietären Lösungen vereinheitlicht werden. Zu den erwähnten Mechanismen von Geschäftstransaktionen gehören das Angebot und die Bestellung, die Lieferung und Rechnungsstellung bis hin zur Bezahlung, so etwa durch Überweisungen oder den Austausch von Quittungen und Belegen. Das Open Trading Protocol (OTP) soll diese Transaktionen und Geschäftsprozesse vereinheitlichen und sichern. Als Auszeichnungssprache benutzt OTP XML, als Transportprotokoll das HTTP-Protokoll. OTP-Transaktionen sind im Umfeld von E-Commerce, M-Commerce, M-Business und E-Business bei B2B-Applikationen zu sehen. 33 Geldverkehr pay before Vorauskasse Pay Before ist eines von mehreren Zahlungsverfahren, das sowohl im klassischen Zahlungsverkehr als auch im elektronischen Handel benutzt wird; die weiteren sind Pay Now und Pay Later. Pay Before bedeutet Vorauskasse. Der Betrag für die Dienstleistung oder das erworbene Produkt muss also vor der Lieferung oder der erbrachten Leistung überwiesen werden. Pay Before sagt lediglich etwas über den Zeitpunkt aus, wann die Zahlung oder Überweisung erfolgen muss, nicht aber über die Bezahlweise: ob bar, per Scheck, per Überweisung, mit Geldkarte, Kreditkarte oder auf andere Weise. Das Zahlungsverfahren Pay Before wird häufig mit Kostenvorteilen angeboten. Beispiele für Pay Before sind Prepaid- und Guthabenkarten und das Abbuchen des Betrags vor der Lieferung. Bei Pay Now erfolgt die Zahlung unmittelbar mit dem Erwerb eines Produktes. Klassische Beispiele sind das Geschäft, bei dem man Waren mit dem Zahlvorgang erwirbt oder die Nachnahme durch Versand. Im Internet ist es die Überweisung mittels Online-Banking oder die Abbuchung von einer Bankkarte, die zeitgleich mit dem Kauf erfolgt. Bei Pay Later erfolgt die Zahlung nach der Lieferung. Der Kunde hat das Produkt bereits erhalten und kann die Überweisung nach Erhalt der Rechnung tätigen. Paybox Paybox ist ein Handy-basiertes Zahlungssystem, das von der Paybox.net AG angeboten wird und als Inkassosystem arbeitet. Paybox funktioniert unabhängig von Mobilfunkanbietern und ist so konzipiert, dass sensitive Daten verschlüsselt übertragen werden. Paybox selbst ist eine Kontrollinstanz, die zwischen dem Händler, dem Konto bei einem Geldinstitut und dem Käufer agiert. 34 Geldverkehr Die Bezahlung über Paybox kann nur dann erfolgen, wenn der Kunde einen entsprechenden Account eingerichtet und Paybox eine Einzugsermächtigung erteilt hat. Wenn der Kunde beim Online-Shopping im Internet die Bezahloption Paybox ausgewählt hat, gibt er seine Mobilfunknummer an den Online-Shop, der daraufhin eine sichere Datenverbindung zu Paybox aufbaut und die Rufnummer übermittelt. Über einen Rückkanal stellt Paybox eine Datenverbindung zum Mobiltelefon des Kunden her und prüft die Kaufdaten, wie den Betrag. Sind diese ok, dann wird der Betrag per Lastschrift vom Geldinstitut eingezogen und an den Online-Shop überwiesen. PIN/TAN-Verfahren Das PIN/TAN-Verfahren ist ein Transaktionsverfahren für Bankgeschäfte mittels OnlineBanking. Es ist ein älteres Verfahren, das aber immer noch breiten Einsatz findet und von Home Banking Computer Interface (HBCI) abgelöst werden soll. Das PIN/TAN-Verfahren unterteilt sich in den Zugang zum Konto, der mit der persönlichen Identifikationsnummer (PIN) erfolgt, und der eigentlichen geschäftlichen Transaktion, die mit der Transaktionsnummer (TAN) erfolgt. Mit der PIN-Nummer erhält der Teilnehmer den Zugang zu seinem Konto. Es handelt sich dabei um eine mehrstellige Zahlenkombination, die dem Teilnehmer in einem versiegelten Umschlag zugesandt wird und die im Bankrechner gespeichert ist. Die PIN-Nummer behält bis zur Änderung durch den Benutzer oder durch Neuausgabe für alle Kontenzugänge und Transaktionen ihre Gültigkeit. Im Gegensatz dazu verliert eine Transaktionsnummer nach jeder geschäftlichen Transaktion ihre Gültigkeit. Bei den Transaktionsnummern handelt es sich um sechsstellige Zufallszahlen, die dem Benutzer als Liste in einem versiegelten Umschlag zugesandt werden. Was die TAN-Verfahren betrifft, so gibt es davon verschiedene mit unterschiedlichen Sicherheitsanforderungen. Neben dem einfachen TAN-Verfahren wird eine aus vielen 35 Geldverkehr Transaktionsnummern aus einer TAN-Liste für eine Transaktion ausgesucht. Daneben gibt es die indizierte Transaktionsnummer (iTAN). Dabei handelt es sich um eine bestimmte Transaktionsnummer aus einer TAN-Liste. Eine weitere Sicherheitserhöhung stellt die mobile Transaktionsnummer (mTAN), auch als smsTAN bezeichnet, dar. Weitere Transaktionsnummern sind die smartTAN, eTAN und die chipTAN. Der Einsatz des PIN/TAN-Verfahrens beschränkt sich immer auf ein Kreditinstitut und ist nicht multibankfähig. Scoring Mit dem Scoring wird im Online-Handel das Zahlungsverhalten von Kunden eingeschätzt. Es gibt Auskunft über die Kreditwürdigkeit eines Kunden. Ein solches Kredit-Scoring erfolgt durch die Auswertung vom Kauf- und Zahlungsverhalten in der Vergangenheit sowie anderen soziodemografischen Daten wie z.B. dem Einkommen, Familienstand, Wohnort, Beruf etc. Diese automatische Abschätzung von zukünftigem Zahlungsverhalten ist eine wichtige Entscheidungsdeterminante für die Auftragsverarbeitung und die Entscheidung, ob z.B. über Rechnung statt Vorauskasse geliefert wird. Secoder Secoder ist die Bezeichnung für einen Chipkartenleser für Internet-Transaktionen, der vom Zentralen Kreditausschuss (ZKA) mit den darin vertretenen Verbänden der deutschen Kreditwirtschaft entwickelt wurde. Der Secoder kann für gesicherte Transaktionen im Online-Banking benutzt werden; einerseits zum Online-Shopping und zum Bezahlen im Internet, andererseits kann über den Secoder die Geldkarte wieder aufgeladen werden. Er eignet sich für das Home-Banking ebenso wie für den Einsatz in Büros. Der Secoder wird über die USB-Schnittstelle an den Personal Computer 36 Geldverkehr angeschlossen, er hat eine Firewall über die die Geldkarte und die Autorisierungsdaten geschützt werden. Die Herstellermodelle werden auf ihre Sicherheit hin überprüft und mit dem Secoder-Siegel zertifiziert. SEPA, single Euro payments area SEPA (Single Euro Payments Area) ist der einheitliche Euro-Zahlungsraum. In diesem Zahlungsraum gibt es keine Unterscheidungen mehr zwischen nationalen und grenzüberschreitenden oder inländischen und ausländischen Zahlungen. Alle Zahlungsarten werden gleich behandelt, ob Überweisungen, Lastschriften, Bankeinzüge oder Kartenzahlungen, alle werden so behandelt, wie Secoder für Geldtransaktionen, Foto: reinerman es bisher von den inländischen Zahlungsen sct.com her kannte. Auf SEPA-Überweisungen werden als Kontonummer die internationale Bankkontonummer (IBAN) angegeben und anstelle der Bankleitzahl (BLZ) tritt der Bank Identifier Code (BIC). Seit Inkrafttreten der SEPA am 1.1.2008, gibt es nur noch den SEPA-Raum. Der deutsche Gesetzgeber hat eine Verordnung verabschiedet, die die Abschaffung der nationalen Zahlungsverfahren mit der internationalen Bankkontonummer (IBAN) und dem BIC-Code zugunsten des SEPA-Zahlungsverkehrs ab Februar 2014 vorschreibt. Durch die standardisierten 37 Geldverkehr Überweisungen und Lastschriften wird der Zahlungsverkehr europaweit vereinheitlicht. Das SEPA-Datenformat basiert auf XML, wodurch eine Interoperabilität des Zahlungsverkehrs gewährleistet wird. Insgesamt umfasst der SEPA-Raum 32 Länder, dazu gehören alle EU-Staaten mit den Ländern der Euro-Zone, die drei Mitgliedsstaaten des Europäischen Wirtschaftsraumes (EWR) mit Liechtenstein, Island und Norwegen, und auch die Schweiz. SEPP, secure electronic payment protocol SEPP-Protokoll Das SEPP-Protokoll (Secure Electronic Payment Protocol) ist ein von IBM, Netscape, Mastercard und Cybercash entwickeltes Verfahren für sichere elektronische Geldtransaktionen, aus dem zusammen mit der von Visa und Microsoft entwickelten Secure Transaction Technology (STT) das SET-Protokoll hervorgegangen ist. SET, secure electronic transaction Secure Electronic Transaction (SET) ist ein elektronisches Zahlungssystem, das auf digitalen Signaturen basiert und daher die höchstmögliche Sicherheit für Kunden und Lieferanten bietet. SET wurde von den Kreditkartengesellschaften MasterCard und VISA in Verbindung mit IBM, Netscape und Microsoft entwickelt, um Transferdaten bei Kreditkartenzahlungen im Internet zu schützen. Bei diesem Verfahren werden digitale Zertifikate verwendet, um sensible Daten vor der Übertragung zu verschlüsseln. SET, entstanden aus dem Secure Electronic Payment Protocol (SEPP) und der Secure Transaction Technology (STT), verschlüsselt mit 128 Bit und identifiziert alle beteiligten Parteien durch Zertifikate und digitale Unterschriften. Dazu gehören der Karteninhaber, die Kreditkartenfirma, die Bank und den Anbieter. Beim SET-Verfahren lässt sich der Karteninhaber bei seiner Bank unter Angabe des Namens, der Kartennummer und dem zu belastendem Konto registrieren. Die Bank verschlüsselt diese Informationen und überträgt sie über eine gesicherte Verbindung zu der SET-Protokoll 38 Geldverkehr Kreditkartengesellschaft. Diese sendet dem Karteninhaber die Software mit integriertem Zertifikat und eine nach dem RSA-Verfahren verschlüsselte digitale Signatur. Damit kann der Karteninhaber bei allen Firmen einkaufen, die ebenfalls ein gesichertes Zertifikat der Kreditkartenfirma besitzen. Das Verfahren erfüllt höchste Sicherheitsanforderungen und verhindert, dass Unberechtigte Zugriff auf Kreditkarten- oder Kundendaten erhalten. Das Verfahren wird zunehmend von Banken unterstützt. SmartTAN Das SmartTAN-Verfahren ist ein gesichertes Transaktionsverfahren für das Online-Banking, das in zwei Schritten arbeitet und deswegen auch die Bezeichnung Zwei-Schritt-TAN-Verfahren trägt. Bei den Zwei-Schritt-Verfahren, zu denen auch die mobile Transaktionsnummer (mTAN) gehört, erfolgen die Transaktion und die Übermittlung der Transaktionsnummer (TAN) getrennt in zwei Schritten. Zwischen dem Online-Auftrag und der generierten Transaktionsnummer wird eine logische Verbindung hergestellt. Wie bei allen anderen TAN-Verfahren auch, kann die Transaktionsnummer nur einmalig benutzt werden, in diesem Fall nur für den entsprechenden Online-Auftrag. Dem Verfahren nach wird bei SmartTAN die Überweisung im Online-Banking ausgeführt und an die Bank übertragen. Bei diesem Vorgang werden dem Kunden auf seinem Terminal die Transaktionsdaten und ein Code für den Geschäftsvorgang angezeigt. Nach Vergleich und Eingabe des Transaktionscodes mit der Empfängerkontonummer wird die Transaktionsnummer (TAN) generiert und angezeigt. Sie muss dann vom Kunden eingegeben werden. Danach erfolgt die gesicherte Transaktion. Das Smart-TAN-Verfahren gibt es noch in einer weiteren Sicherheitsstufe als SmartTAN plus, geschützte Schreibweise: Sm@rtTAN plus. 39 Geldverkehr SWIFT, society for worldwide interbank financial telecommunication SWIFT ist eine Organisation der Banken mit Sitz in La Hulpe, Belgien, die ein eigenständiges Netzwerk für internationale Transaktionen im Zahlungsverkehr betreibt. Angeschlossen an das SWIFT-Netzwerk sind Banken aus über 80 Ländern weltweit. Eine eindeutige Kennzeichnung der Banken erfolgt mit dem so genannten SWIFT-Code, so wird auch der weltweit standardisierte Bank Identifier Code (BIC) bezeichnet. Über das SWIFT-Netz, das mit Verschlüsselung arbeitet, werden Devisentransaktionen, Zahlungs- und Wertpapieraufträge abgewickelt aber auch Finanz- und Börsennachrichten übertragen. http://www.swift.com Transaktionsnummer Der Einsatz der Transaktionsnummer (TAN) ist ein gängiges Sicherheitsverfahren beim HomeBanking oder Online-Banking. Bei der Transaktionsnummer handelt es sich um eine 6-stellige Zufallszahl, die dem Bankkunden als Liste von seinem Finanzinstitut oder seinem Finanzdienstleister überreicht wird. Vor der Transaktion autorisiert sich der Kunde durch seine persönliche Identifikationsnummer (PIN) und führt seine Transaktionen mit den nur ihm bekannten Transaktionsnummern aus. Jede einzelne Transaktion zwischen Kunde und Finanzinstitut, sei es eine Überweisung oder ein Aktienkauf, erfolgt über eine eigene nur einmal nutzbare Transaktionsnummer. Diese verliert nach der Transaktion ihre Gültigkeit. Bei diesem Online-Banking sind die Autorisierung und die Transaktion miteinander verbunden, deswegen spricht man auch vom PIN/TAN-Verfahren. Eine Verbesserung der TAN-Sicherheit wird mit iTAN, dem indizierten TAN-Verfahren erreicht. Bei indizierten TANs fragt die Bank nicht nach einer beliebigen, sondern nach einer bestimmten TAN auf der TAN-Liste, die immer an eine bestimmte Transaktion gebunden ist. TAN, transaction number 40 Geldverkehr Weitere TAN-Verfahren, die ebenfalls der Erhöhung der Sicherheit dienen, sind mTAN oder smsTAN, smartTAN, eTAN und chipTAN. WYSIWYC, what you see is what you confirm ZKA, Zentraler Kreditausschuss central credit committee Die Abkürzung WYSIWYC hat zwei Bedeutungen: Sie steht für „What You See Is What You Confirm“ und bedeutet übersetzt: „Was du siehst, ist das, was du bestätigst.“, ebenso wie für „What You See Is What You Choose“ und bedeutet übersetzt: „Was du siehst, ist das, was du ausgewählt hast.“ Bei Geldtransaktionen nachdem PIN/TAN-Verfahren verdeutlicht WYSIWYC (Confirm), dass es keinen weiteren Überprüfungsschritt für die Überweisungsdaten gibt. WYSIWYC dient damit sowohl der Benutzerfreundlichkeit als auch der Sicherheit. Bei einigen Transaktionsverfahren wie dem mit Mobile Transaction Number (mTAN) kann kein WYSIWYC erreicht werden. Der Zentrale Kreditausschuss (ZKA) ist eine Vereinigung, die sich aus Verbänden der deutschen Kreditwirtschaft zusammensetzt. Ihm gehören der Deutsche Sparkassen- und Giroverband (DSGV), der Bundesverband der Deutschen Volks- und Raiffeisenbanken (BVR), der Bundesverband deutscher Banken (BdB) und der Verbund öffentlicher Banken (VÖB) an. Das ZKA erarbeitet u.a. Richtlinien für den bargeldlosen Zahlungsverkehr und den OnlineGeldverkehr. So hat der Zentrale Kreditausschuss (ZKA) für die Sicherheitsanforderungen an Chipkartenterminals Richtlinien für deren Ausstattung und Funktionalität erarbeitet und diese in ZKA-Klassen eingeteilt. Der ZKA wird durch einen Vorsitzenden geleitet, der aus den genannten Verbänden kommt. 41 Impressum Geldverkehr Urheber Klaus Lipinski Datacom-Buchverlag GmbH 84378 Dietersburg ISBN: 978-3-89238-256-0 Geldverkehr V2.0 E-Book, Copyright 2013 Trotz sorgfältiger Recherche wird für die angegebenen Informationen keine Haftung übernommen. Dieses Werk ist unter einem Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland Lizenzvertrag lizenziert. Erlaubt ist die nichtkommerzielle Verbreitung und Vervielfältigung ohne das Werk zu verändern und unter Nennung des Herausgebers. Sie dürfen dieses E-Book auf Ihrer Website einbinden, wenn ein Backlink auf www.itwissen.info gesetzt ist. Layout & Gestaltung: Sebastian Schreiber Titel: © Viktor Kuryan - Fotolia.com Produktion: www.media-schmid.de Weitere Informationen unter www.itwissen.info 42