Kontozugriff – viel Technik und ein bisschen Voodoo

Glasskugel verdeutlich den Blilck aufs Konto

Lesezeit: ca. 3 min

Kontozugriff – Viel Technik und ein bisschen Voodoo

Unsere Datenkläuse bloggen

Haben Sie sich schonmal gefragt, was überhaupt nötig ist, damit finos renomierte Kontoanalyse überhaupt funktioniert? Unsere Mitarbeiter aus dem Daten-Atom verraten in einer Serie von Blog-Posts was dahinter steckt. Los geht’s mit dem Notwendigem – dem Kontozugriff.

Die Grundlage der Kontoanalyse sind erst einmal die Daten der Banktransaktionen. Ohne Zugang zu diese Daten ist es unseren intelligenten Services nicht möglich Funktionen, wie Haushaltsrechnungen, Vertragserkennung oder Echtzeit-Bonitätsbewertungen, auszuführen.

In der FinTech- und Banken-Welt nennen wir diesen Vorgang „Access to Account„, oder abgekürzt XS2A. Also den Prozess des Zugangs zu einem Konto unter der Grundvoraussetzung, dass der Kontobesitzer uns diesen Zugang erlaubt, um wiederum unsere Services nutzen zu dürfen.

Zwei Wege zum Kontozugriff

Rein technisch kann dieser Zugang über zwei verschiedene Möglichkeiten durchgeführt werden: Den Schnittstellenstandard FinTS/HBCI oder das sogenannte Web-Scraping. Beide XS2A-Varianten sollen nachfolgend kurz und verständlich beschrieben werden – auch und vor allem für nicht-IT-Nerds.

1. FinTS und HBCI

FinTS“ steht für Financial Transaction Services und ist im Grunde ein Datenübertragungsstandard, der in den 90ern eingeführt wurde. Ursprünglich wurde FinTS als HBCI (=Homebanking Computer Interface) von der deutschen Kreditwirtschaft ins Leben gerufen und erfreut sich noch heute seiner Weiterentwicklung. Damaliges Hauptziel war es jedoch auch Schnittstellen-Probleme im Zuge des wachsenden Online-Bankings vorzubeugen.

Der FinTS-Standard ähnelt in seiner Funktionsweise einem Baukasten aus Sicherheitsverfahren, Geschäftsvorfällen (wie zum Beispiel die Änderung eines Dauerauftrags oder das Initiieren einer Umbuchung), Finanzdatenformaten und dem FinTS-Protokoll.
Für den Zweck, dass Nutzer und Bank sich gegenseitig authentifizieren können, schicken sie sich jeweils einen einzigartigen Schlüssel zu, den wiederum nur sie entschlüsseln können. Dies geschieht sowohl auf dem ursprünglichen Weg mit Chipkarte oder „RSA-Schlüsseldiskette“, als auch mit dem durch FinTS neu eingeführten und heute sehr präsenten PIN/TAN-Verfahren. Um eine möglichst einfache Integration in bestehende Zahlungssysteme zu erleichtern, wurde sich mit Version 4.0 auf den XML-Sprachstandard geeinigt, mit dessen Hilfe plattformübergreifende Kommunikation möglich wurde.

2. Web-Scraping

Web-Scraping, auch Screen-Scraping genannt, bedeutet dagegen zu Deutsch ganz frei übersetzt so etwas wie „am Bildschirm schürfen“ – das wird metaphorisch auch bei dieser Art der Datenbeschaffung getan. Nachdem der Nutzer die benötigten Berechtigungen in Form von Zugangsdaten erteilt hat, ruft das Programm beispielsweise eine Online-Banking-Website auf, gibt die erhaltenen Zugangsdaten ein und filtert dort die angeforderten Daten heraus.

Eben dieser Weg wird zum Teil auch für die Beschaffung von Konto-Transaktionen genutzt. Das Web-Scraping “notiert” sich alle Transaktionen und gibt uns diese im einem handlichen Dateiformat weiter, damit wir letztlich magische – oder einfach nur intelligente und vollautomatisierte – Dinge damit anstellen können, die ihnen das Leben etwas leichter machen.

Kontozugriff nur mit hohen Sicherheitsstandards

Nachdem man diese Zeilen liest, hat man wahrscheinlich die Sorge, dass man auch von Web-Scraping Programmen „ausspioniert“ wird, wenn man keine entsprechende Erlaubnis gegeben hat. Hierfür ist jedoch die explizite Erlaubnis des Nutzers in Form von Zugangsdaten notwendig – ohne diese geht es nicht. Außerdem speichern unsere Services keine Daten bzw. halten diese nur so lange aktiv, bis der Vorgang abgeschlossen ist. Auch läuft jeglicher Datenverkehr über deutsche, nach ISO 27001-zertifizierten, Rechenzentren. Seit Anfang 2018 und dem Inkrafttreten der EU-Richtlinie „PSD2“ müssen Unternehmen wie fino und entsprechende Dienstleister sich bei der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) registrieren lassen.

Ein wichtiger Teil der Registrierung beinhaltet organisatorische und sicherheitsrelevante Vorgaben, wie der Zugriff aufs Bankkonto funktionieren soll – die Nutzer können demnach vertrauen, dass Banken und FinTechs bei der Umsetzung höchste Sicherheitsstandards walten lassen.  Also kann man auch weiterhin ganz entspannt Online-Banking und Serices von fino nutzen, ohne dass persönliche Daten für illegale Zwecke ausgelesen werden.