Wie funktioniert eine Überweisung/Geldtransfer?

#1 · 18. August 2020, 15:28

Hallo,

könnt ihr mir erklären, wie eine Überweisung oder Geldtransfer technisch funktioniert?

Was ich mich in dem Zusammenhang frage:

Wieso ist das Geld sofort da, auch sonntags, wenn ich per PayPal bezahle?
Es gibt m.W. auch bei Banken inzwischen die "Instant" Überweisung, was war daran jahrelang so schwer umzusetzen? Ist es nicht ähnlich dem Instant Messaging?
Was passiert alles beim Clearing?
Wieso passieren keine Fehler bei einer Überweisung (scheint zumindest so)? Also kann es nicht sein, dass mal Geld abgebucht wird, aber nicht woanders ankommt, genauso wie mal eine SMS oder E-Mail nicht ankommen?
Es muss doch internationale technische Schnittstellen geben, die Überweisungsdaten müssen strukturiert sein, wie sieht das aus? XML + REST Schnittstelle?
Wird der Empfang einer Überweisung quittiert an die sendende Bank? Wenn ja, wie genau?
Wie zur Hölle würde man 1.9 Mrd. EUR an eine Bank auf den Phillipinen überweisen, kam ja mit dem Wirecard Skandal so auf? Oder allgemein hohe staatliche Hilfszahlungen an andere Länder? Sind da extra hohe Sicherheitsvorkehrungen notwendig? Wieso kann man überhaupt einer Bank in einem Schwellenland vertrauen?
Wieso kann man Überweisungen nicht manipulieren, z.B. den Empfänger umlenken. Also ich denke da an den bösen Bankmitarbeiter, der sich ins System einhackt. Hier muss es doch kryptografische Verfahren geben, Verschlüsselung, Signaturen usw. um so etwas abzusichern.
Wie hat man früher in den 80er/90er Jahren Geld in andere Länder überwiesen, als es noch kaum Digitalisierung und auch noch keine IBAN gab?

Mir fallen noch viele weitere solche Fragen ein, aber das soll erstmal reichen. Vielleicht hat jemand Ahnung davon.

#2 · 18. August 2020, 17:55

In meiner Bankzeit vor 30 Jahren wurden internationale Zahlungen via SWIFT ausgeführt. Da gab es noch kein SEPA. Aber Geld fließt nicht durch die Datenleitung (SWIFT), sondern von einem Bankkonto zu einem anderen Bankkonto. Wollten wir also an eine Bank auf den Philippinen überweisen, dann ging die SWIFT-Nachricht mit den Zahlungsinformationen an die Philippiner, die Anweisung, Geld zu zahlen ging bspw. an unsere Korrespondenzbank in den USA, bei denen wir ein USD-Dollarkonto unterhielten. Entweder hatte die Philippinenbank auch ein Dollarkonto dort (dann einfach Umbuchung beim US-Institut) oder unsere Korrespondenzbank überwies die Dollars auf das Dollarkonto der Philippiner bei einer anderen US-Bank.

Die tausend anderen Fragen schlägst Du am besten selbst in einem Berufschulbuch für Bankkaufleute nach. Kann auch ein gebrauchtes älteres sein.

#3 · 18. August 2020, 21:30

Zitat von TheWanderer am 18. August 2020, 21:30 Uhr
Hallo @csh, das sind viele Fragen, die sich nicht mit 1-2 Sätzen beantworten lassen. Ich schnapp mir auch mal eine raus:

Wieso kann man Überweisungen nicht manipulieren, z.B. den Empfänger umlenken. Also ich denke da an den bösen Bankmitarbeiter, der sich ins System einhackt. Hier muss es doch kryptografische Verfahren geben, Verschlüsselung, Signaturen usw. um so etwas abzusichern.

Browser-Banking ist auf mehreren Ebenen abgesichert:

Die Banking-Website ist nur verschlüsselt über HTTPS erreichbar. Angreifer auf dem Übertragungsweg, z.B. ein Virus in deinem Router oder ein böswilliger Admin bei deinem Provider, können die übertragenen Daten darum weder lesen noch unbemerkt verändern. Außerdem prüft der Browser das von der Website gelieferte Zertifikat. Sofern dein Browser selbst nicht manipuliert wurde, kannst also sicher sein, dass du wirklich mit dem in der URL angegebenen Server redest.

Damit die Bank weiß, wer du bist, loggst du dich mit deinen Zugangsdaten ein. Danach kannst du "unkritische" Dinge im Banking tun, z.B. Umsätze abrufen.

Überweisungen und andere Transaktionen sind über eine zusätzliche Signatur abgesichert. Mittlerweile gibt es diese Signatur auch beim Login. Die Signatur funktioniert z.B. bei Überweisungen vereinfacht gesagt so:

Du gibst die Überweisungsdaten ein und bestätigst sie.

Die Website der Bank leitet die Daten an bankinterne Backend-Server weiter.

Das Backend erzeugt einen Schlüssel (z.B. eine TAN) und verschlüsselt damit die Überweisungsdaten und speichert sie zwischen.

Das Backend liefert dem Kunden die wichtigsten Überweisungsdaten (Betrag und Empfängerkonto) sowie den Schlüssel (z.B. die TAN) auf einem zusätzlichen Kanal. Je nach Verfahren ist das z.B. eine SMS oder eine App. Der Kunde kontrolliert Betrag und Empfängerkonto und gibt dann die erhaltene TAN auf der Website ein.

Die Website sendet die TAN ans Backend.

Das Backend entschlüsselt die zwischengespeicherten Überweisungsdaten mit der TAN und führt die Überweisung bei erfolgreicher Entschlüsselung aus.

Jetzt nehmen wir mal ein, ein Hacker hat deinen Browser unter seine Kontrolle gebracht, so dass er dir verfälschte Inhalte anzeigen oder etwas anderes als gefordert an die Website senden kann. Er könnte jetzt heimlich der Banking-Website eine andere (seine eigene) Empfänger-IBAN statt die von dir gewünschte IBAN schicken. Er kann aber nicht verhindern, dass in deiner SMS bzw. App die verfälschte IBAN angezeigt wird. Darum ist es so wichtig, Empfänger und Betrag vor der TAN-Eingabe wirklich zu prüfen. Das ist dein eigener, entscheidender Beitrag zur Sicherheit beim Banking. Tust du das nicht, ist dein Banking nur so sicher wie dein eigenes Gerät (also ziemlich unsicher ). Prüfst du gewissenhaft, dann könnte selbst ein Hacker, der die Website der Bank unter Kontrolle hat, oder ein böswilliger Bankmitarbeiter dir keine falschen Daten unterjubeln. Die einzigen, die das rein theoretisch könnten, wären Admins mit direktem Zugriff auf die Backendsysteme der Bank. Das ist ein sehr eingeschränkter Personenkreis und deren seltene manuelle Aktivitäten werden durchgängig mit 4-Augen-Kontrollen überwacht.

Teilweise bieten die Banken außerdem Banking per App an, wo man die Signatur direkt in derselben App bestätigt. Das ist praktisch aber unsicherer, weil die Sicherheit dann nur noch daran hängt, dass die App nicht manipuliert wurde. Würde ich persönlich nicht empfehlen.

Zusätzlich suchen die Banken in den Überweisungen per Mustererkennung nach Betrugsfällen, die dem Endkunden ggf. nicht aufgefallen sind.

Für alles Beschriebene gibt es EU-Richtlinien und technische Standards, an die sich die Banken halten müssen. Bekannt geworden sind z.B. die Änderungen durch PSD2 vor einem Jahr, dank der Banking-Sessions nun immer schon nach fünf Minuten auslaufen. Die Umsetzung der Vorgaben wird von Wirtschaftsprüfern und Aufsicht (Bafin + EZB) aktiv überwacht.

Ich hoffe, das gibt dir ein wenig Vertrauen in die Technik. Die Sicherheit steht und fällt wie gesagt auch mit deinem eigenen Verhalten: Kontrolle der angesurften Website in der URL-Zeile, Kontrolle der Transaktionsdaten, konsequente Nutzung von zwei getrennten Geräten für Überweisungen. Das kann ich gar nicht oft genug wiederholen. 😉

Hallo @csh, das sind viele Fragen, die sich nicht mit 1-2 Sätzen beantworten lassen. Ich schnapp mir auch mal eine raus:

Wieso kann man Überweisungen nicht manipulieren, z.B. den Empfänger umlenken. Also ich denke da an den bösen Bankmitarbeiter, der sich ins System einhackt. Hier muss es doch kryptografische Verfahren geben, Verschlüsselung, Signaturen usw. um so etwas abzusichern.

Browser-Banking ist auf mehreren Ebenen abgesichert:

Die Banking-Website ist nur verschlüsselt über HTTPS erreichbar. Angreifer auf dem Übertragungsweg, z.B. ein Virus in deinem Router oder ein böswilliger Admin bei deinem Provider, können die übertragenen Daten darum weder lesen noch unbemerkt verändern. Außerdem prüft der Browser das von der Website gelieferte Zertifikat. Sofern dein Browser selbst nicht manipuliert wurde, kannst also sicher sein, dass du wirklich mit dem in der URL angegebenen Server redest.
Damit die Bank weiß, wer du bist, loggst du dich mit deinen Zugangsdaten ein. Danach kannst du "unkritische" Dinge im Banking tun, z.B. Umsätze abrufen.
Überweisungen und andere Transaktionen sind über eine zusätzliche Signatur abgesichert. Mittlerweile gibt es diese Signatur auch beim Login. Die Signatur funktioniert z.B. bei Überweisungen vereinfacht gesagt so:
- Du gibst die Überweisungsdaten ein und bestätigst sie.
- Die Website der Bank leitet die Daten an bankinterne Backend-Server weiter.
- Das Backend erzeugt einen Schlüssel (z.B. eine TAN) und verschlüsselt damit die Überweisungsdaten und speichert sie zwischen.
- Das Backend liefert dem Kunden die wichtigsten Überweisungsdaten (Betrag und Empfängerkonto) sowie den Schlüssel (z.B. die TAN) auf einem zusätzlichen Kanal. Je nach Verfahren ist das z.B. eine SMS oder eine App. Der Kunde kontrolliert Betrag und Empfängerkonto und gibt dann die erhaltene TAN auf der Website ein.
- Die Website sendet die TAN ans Backend.
- Das Backend entschlüsselt die zwischengespeicherten Überweisungsdaten mit der TAN und führt die Überweisung bei erfolgreicher Entschlüsselung aus.

Jetzt nehmen wir mal ein, ein Hacker hat deinen Browser unter seine Kontrolle gebracht, so dass er dir verfälschte Inhalte anzeigen oder etwas anderes als gefordert an die Website senden kann. Er könnte jetzt heimlich der Banking-Website eine andere (seine eigene) Empfänger-IBAN statt die von dir gewünschte IBAN schicken. Er kann aber nicht verhindern, dass in deiner SMS bzw. App die verfälschte IBAN angezeigt wird. Darum ist es so wichtig, Empfänger und Betrag vor der TAN-Eingabe wirklich zu prüfen. Das ist dein eigener, entscheidender Beitrag zur Sicherheit beim Banking. Tust du das nicht, ist dein Banking nur so sicher wie dein eigenes Gerät (also ziemlich unsicher ). Prüfst du gewissenhaft, dann könnte selbst ein Hacker, der die Website der Bank unter Kontrolle hat, oder ein böswilliger Bankmitarbeiter dir keine falschen Daten unterjubeln. Die einzigen, die das rein theoretisch könnten, wären Admins mit direktem Zugriff auf die Backendsysteme der Bank. Das ist ein sehr eingeschränkter Personenkreis und deren seltene manuelle Aktivitäten werden durchgängig mit 4-Augen-Kontrollen überwacht.

Teilweise bieten die Banken außerdem Banking per App an, wo man die Signatur direkt in derselben App bestätigt. Das ist praktisch aber unsicherer, weil die Sicherheit dann nur noch daran hängt, dass die App nicht manipuliert wurde. Würde ich persönlich nicht empfehlen.

Zusätzlich suchen die Banken in den Überweisungen per Mustererkennung nach Betrugsfällen, die dem Endkunden ggf. nicht aufgefallen sind.

Für alles Beschriebene gibt es EU-Richtlinien und technische Standards, an die sich die Banken halten müssen. Bekannt geworden sind z.B. die Änderungen durch PSD2 vor einem Jahr, dank der Banking-Sessions nun immer schon nach fünf Minuten auslaufen. Die Umsetzung der Vorgaben wird von Wirtschaftsprüfern und Aufsicht (Bafin + EZB) aktiv überwacht.

Ich hoffe, das gibt dir ein wenig Vertrauen in die Technik. Die Sicherheit steht und fällt wie gesagt auch mit deinem eigenen Verhalten: Kontrolle der angesurften Website in der URL-Zeile, Kontrolle der Transaktionsdaten, konsequente Nutzung von zwei getrennten Geräten für Überweisungen. Das kann ich gar nicht oft genug wiederholen. 😉

#4 · 18. August 2020, 22:12

Hallo TheWanderer,

danke für deine ausführliche Erläuterung. Der Weg vom Endkunden zur eigenen Hausbank war mir noch relativ klar.

Sorry, ich war vielleicht missverständlich.

Interessant ist es, wie es dann weiter geht. Also von Bank zu Bank. Gibt es eine Art Bankennetz, wo Banken sich über eine SSL Verbindung Überweisungsdaten zusenden? Diese Überweisungsdaten müssen doch strukturiert sein, damit Banken miteinander kommunizieren können, also jede Bank der Welt muss doch zum Beispiel wissen, wo der Verwendungszweck in den Daten zu finden ist. Es muss doch auch ein technisches Protokoll für die Kommunikation geben?

Und Admins können nicht im Backend-System der Bank rumfuschen, einen neuen Eintrag in der Datenbank vornehmen und somit Geld generieren, was dann an irgendjemanden überweisen wird?

Bei großen Banken ist das sicherlich gut überwacht, aber wie sieht das bei so kleinen Fintech Start-ups aus?

#5 · 18. August 2020, 22:44

Zitat von csh am 18. August 2020, 22:12 Uhr

Interessant ist es, wie es dann weiter geht. Also von Bank zu Bank. Gibt es eine Art Bankennetz, wo Banken sich über eine SSL Verbindung Überweisungsdaten zusenden?

Hatte Dir doch schon von SWIFT geschrieben ... https://de.wikipedia.org/wiki/SWIFT

#6 · 18. August 2020, 23:00

Hallo csh, ja das war wirklich missverständlich. Welches tiefere Wissen über Interbanken-Zahlungsverkehr erwartest du denn in einem Frugalistenforum? 🙄

Im einfachsten Fall bleibt alles im selben Rechenzentrum, z.B. Zahlungen zwischen verschiedenen Sparkassen. Für alles andere gibt es geschützte Netzwerke (SSL ist Schnee von gestern, wir reden von TLS :-)) Im Grunde greifen dort die gleichen Mechanismen wie beim Endkundenverkehr: Verschlüsselung, Zertifikate usw. Frag mich bitte nicht nach Details. Vorteil ist, dass diese Systeme weit vom offenen Internet wegstehen und nicht so einfach von außenstehenden Angreifern erreicht werden. Über Schutz vor Insidern hatte ich oben ja schon etwas geschrieben.

Je nach Abwicklungsweg kommen i.d.R. XML-basierte ISO 20022 Nachrichten zum Einsatz, hier gibts eine Übersicht: https://www.iso20022.org/iso-20022-message-definitions.

Es werden verschiedene Plattformen genutzt, google mal nach Begriffen wie "EMZ", "Target2", "TIPS". Die werden von neutralen Stellen wie z.B. der Bundesbank betrieben, denen vertraut wird. Sofern zwischenzeitlich Forderungen zwischen den Banken entstehen, müssen diese im Liquiditätsmanagement der Banken berücksichtigt werden.

Fintechs nehmen i.d.R. nicht auf dieser Ebene am Zahlungsverkehr teil, sondern nutzen Banken als Vermittler. Sie sprechen mit den Banken üblicherweise über andere Schnittstellen als die Endkunden (Stichworte zum Googlen: XS2A, PSD2). Die wenigen Fintechs, die selbst Bank spielen, müssen sich beim ZV an dasselbe Regelwerk halten wie andere Banken auch.

#7 · 18. August 2020, 23:04

Zitat von Christine am 18. August 2020, 22:44 Uhr

Zitat von csh am 18. August 2020, 22:12 Uhr

Interessant ist es, wie es dann weiter geht. Also von Bank zu Bank. Gibt es eine Art Bankennetz, wo Banken sich über eine SSL Verbindung Überweisungsdaten zusenden?

Hatte Dir doch schon von SWIFT geschrieben ... https://de.wikipedia.org/wiki/SWIFT

Bin da nicht up-to-date, aber der normale Massenzahlungsverkehr geht meine ich üblicherweise nicht übers SwiftNet, oder? Kenne ich nur in Zusammenhang mit AZV, Wertpapieren, Edelmetallen, Dokumentärgeschäft usw. und bei Target2 als reine Transportschicht.