Hallo hbcinoob,
die Vorgaben (die die Bundesnetzagentur veröffentlicht) gelten für die SigG relevanten Vorgänge.
Bei HBCI\FinTS handelt es sich um eine Bilaterale Vereinbarung, die nicht an Formvorschriften gebunden ist. Die Bank muss nur über geeignete Mechanismen sicherstellen und nachweisen können, dass der Auftrag von dem Kunden beauftragt und gewollt wurde.
Die Verwendung von elektronischen Signaturen ist eine mögliche Variante dazu. Da der Vorgang aber nicht unter den SigG relevanten Vorgängen fällt, ist die Ausgestaltung nicht SigG relevant. Eine Bank ist daher nicht verpflichtet, sich an den Vorgaben der Bundesnetzagentur zu halten (dort steht ja auch nichts zu TAN Verfahren drin….)
Aber es macht natürlich Sinn, sich bei der Verwendung von elektronischen Signaturen an diesen Vorgaben mindestens zu orientieren. Macht eine Bank das, ist es für die Bank deutlich einfacher zu beweisen, dass das gewählte Verfahren sicher ist, als wenn Sie einen völlig eigenen Weg geht (wenn eine „Methode“ für die höchste Qualität einer elektronischen Signatur gut ist, dann kann sie für weniger anspruchsvolle Vorgänge nicht schlechter sein).
Umgekehrt käme eine Bank natürlich in Erklärungsnot, wenn ein elektronisch signierter Auftrag gehackt werden würde und die Schlüssellängen und Verfahren von der Bundesnetzagentur nicht mehr als sicher angesehen wird.
Wenn man sich die FinTS Spezifikationen zu den einzelnen RDH Profilen und deren Entwicklung anschaut, kann man da sehr gut nachverfolgen, dass die Empfehlungen der Bundesnetzagentur hier eingeflossen sind.
Beim Gesamtpaket Signatur sind die Banken prinzipiell sogar weiter als die Bundesnetzagentur und das SigG. Bei den Banken werden z.B. nur Kartenleser mit sicherer PIN Eingabe empfohlen oder der SECODER ist z.B. eine Konsequenz aus den derzeit üblichen Angriffen auf das Browserbanking. Wenn diese beiden Komponenten z.B. verpflichtend für den neuen Personalausweis wären, hätte es diverse Kritiken zum neuen Personalausweis nicht gegeben.
Viele Grüße
Holger