Hi,

ein Freund hat mich gefragt ob es möglich ist, Kontoauszüge via HSBI bzw. FinTS mit Python abzufragen. Ich habe eine runde gegoogled und so spontan nichts gefunden, außer einer komischen Java2Python Geschichte.

Habe aber sowieso ein paar Fragen dazu, eventuell kennt sich hier ja jemand mit so etwas aus

1) Er macht seine Buchhaltung komplett über ein Webinterface, er würde daher auch die Kontoauszüge über dieses Webinterface haben wollen. Nur - wie sicher ist das? Also es ist im Prinzip schon abgesichert durch alle gängigen mittel, aber das mal ein Hacker seinen Server hackt würde ich nie ausschließen. Also, kann man das ganze so gestalten das selbst wenn jemand Zugriff auf alle am Server befindlichen Daten hat, er trotzdem NICHT auf die Bank Konten zugreifen kann?

2) Kann man den zugriff mit HSBI / FinTS so einschränken, das selbst im schlimmsten Fall (Hacker bekommt alles inkl. Passwort etc) nur der Zugriff auf die Kontoauszüge möglich ist, aber nicht z.B. auf Überweisungen?

3) Gibt es eine Python API? :p


Danke schonmal~
Aya

Hallo,

wie so fast jeder der sich mit HBCI/FinTS beschäftigt, wirst du wohl nicht drum rum kommen, dich in die wahnsinns Doku einzuarbeiten
Das hab ich auch hinter mir und nur so verstehst du, wie das HBCI-Protokoll tickt.
Jedoch einen HBCI-Client zu schreiben, bedarf erstmal Wissen im Bankenwesen und weiteres, wirst du auch ein Demo-Konto benötigen, wo du über HBCI die entsprechenden Kontoauszüge abrufen kannst.
Da hängt es auch wieder davon ab, in welchem Format die jeweilige Bank die Kontoauszüge über HBCI bereitstellt (PDF, MT940 etc)

Zu 2:
Nein, das geht nicht, da die Bank die GV's regelt, auf die der Benutzer zugreifen darf.
Im Fall der Fälle muss das Konton gesperrt werden!

Zu 3:
Ist mir nicht bekannt...

Die Frage ist, was du da genau implementieren willst... willst du einen kompletten HBCI-Client schreiben?
Welches Zugriffsverfahren? PIN/TAN oder über Schlüsseldatei/chipKarte?


P.S.: Bisher kenne ich keinen Fall, wo Hacker wirklich das HBCI-Protokoll gehackt haben

Gruß,
Tobi

Hi,

vielen dank für die Antwort
Das ich - vor allem in einem so Sicherheitskritischen Bereich - nicht um das Doku lesen herumkomme ist mir klar. Allerdings will ich erstmal wissen ob das Vorhaben überhaupt sicher ist und sinn macht bevor ich mich da intensiv mit befasse.

Handycommander hat folgendes geschrieben :

Die Frage ist, was du da genau implementieren willst... willst du einen kompletten HBCI-Client schreiben?

Es sollen nur die Kontoauszüge ausgelesen werden um sie in eine eigene Datenbank zu schreiben, sonst nichts. Also keine Geld-Transaktionen etc.

Handycommander hat folgendes geschrieben :

Welches Zugriffsverfahren? PIN/TAN oder über Schlüsseldatei/chipKarte?

Spontan hätte ich PIN/TAN gedacht, ggf. auch Schlüsseldatei. Entscheidet das die Bank oder der Nutzer?

Aya~

Aya hat folgendes geschrieben :

Hi, vielen dank für die Antwort Das ich - vor allem in einem so Sicherheitskritischen Bereich - nicht um das Doku lesen herumkomme ist mir klar. Allerdings will ich erstmal wissen ob das Vorhaben überhaupt sicher ist und sinn macht bevor ich mich da intensiv mit befasse. Handycommander hat folgendes geschrieben : Die Frage ist, was du da genau implementieren willst... willst du einen kompletten HBCI-Client schreiben? Es sollen nur die Kontoauszüge ausgelesen werden um sie in eine eigene Datenbank zu schreiben, sonst nichts. Also keine Geld-Transaktionen etc. Handycommander hat folgendes geschrieben : Welches Zugriffsverfahren? PIN/TAN oder über Schlüsseldatei/chipKarte? Spontan hätte ich PIN/TAN gedacht, ggf. auch Schlüsseldatei. Entscheidet das die Bank oder der Nutzer? Aya~

Das entscheidet sowohl die Bank als auch der Benutzer
In erster Linie jedoch die Bank, ob diese das verschlüsselte Verfahren überhaupt anbietet. Danach muss der Benutzer sich für dieses Verfahren freischalten lassen.
Bei PIN/TAN gehen die Daten unverschlüsselt über die Leitung, bei der Schlüsseldatei verschlüsselt. Das verschlüsselte Verfahren ist jedoch auch das komplexere zu implementieren (und das hat es wirklich insich, spreche da aus Erfahrung!!)

Du kannst schon einen Client schreiben, der dir nur die Kontoauszüge abruft. Jedoch musst du dich dafür auch erstmal einloggen und dann kannst du diese Kontoauszüge erst abrufen.
Um das Protokoll zu verstehen und bis du da einen eigenen Client hast, vergehen bestimmt wochen wenn nicht Monate... wobei, wie lange sowas in Python dauert, kann ich nicht sagen... geschweige denn, ob sich dafür der Aufwand lohnt

Gruß,
Tobi

Wobei ich eigentlich auch nicht vorhatte den Client wirklich selbst zu schreiben, den Aufwand wäre das ganze nicht wert.

Ich hatte ja auf eine Python Anbindung oder ein Commandline Tool gehofft.
Habe da jetzt aqBanking-CLI gefunden, kennt das jemand? Ist das gut und sicher?


Zum PIN/TAN Verfahren noch eine Frage.. meine eigene Bank hat letztens auf so ein Kästchen umgestellt mit dem ich ein animiertes bild am Monitor scannen muss um eine TAN zu bekommen. Eine klassische TAN Liste habe ich gar nicht mehr - oder gibt es für HSBI dann eigene TANs?

Aya

Zu dem Tool kann ich jetzt nichts sagen, kenn ich nicht

Hmm... das ist ne gute Frage. Ich habe selbst eine FlickerTAN (oder wie die auch bei deiner Bank heißt ) in einem HBCI-Client noch nicht gesehen.
Stell ich mir im Moment auch etwas schwer vor, da meines Wissens die TAN-Abfrage in einem HBCI-Client im Moment rein Textbasiert ist.

Gruß,
Tobi