Wie gibt man die IBAN richtig ein?

Bei Inlandszahlungen und seit 1. Februar 2016 auch bei grenzüberschreitenden Euro-Zahlungen innerhalb des EWR ist kein BIC erforderlich. Sofern der neue Beleg Zahlungsanweisung verwendet wird genügt es, die IBAN der Zahlungsempfängerin/des Zahlungsempfängers anzugeben (sie beinhaltet die Bankverbindung).

Die Internationale Bankkontonummer (englisch International Bank Account Number, IBAN) ist eine internationale, standardisierte Notation für Kontonummern. Sie wird durch die ISO-Norm ISO 13616-1:2020 beschrieben.

Verbreitung der IBAN (Stand 1. November 2021)

Die IBAN wurde entwickelt, um die Zahlungsverkehrssysteme der einzelnen Länder einheitlicher zu gestalten. Die internationale Standardisierung der Struktur aus Prüf- und Kontodaten (Bankidentifikation plus Kontoidentifikation) soll Integrations- und Automatisierungspotentiale für den Datenaustausch zwischen Banken verschiedener Länder erschließen. Darüber sollen international einheitliche Angaben zu Bankverbindungen auch für Unternehmen und Privatpersonen von Vorteil sein, da mögliche Fehlerquellen entfallen.

Seinerzeit von den USA vorangetrieben – die selbst die IBAN aber bis heute nicht umgesetzt haben – sind derzeit die Länder der Europäischen Union die treibende Kraft für die Benutzung der IBAN. Auch außerhalb Europas übernehmen kontinuierlich weitere Staaten diese Notation, insbesondere im Mittelmeerraum, im Nahen Osten und in Mittel- und Südamerika.[1]

Die ISO hat im Januar 2007 die Society for Worldwide Interbank Financial Telecommunication (SWIFT) als Registrierungsstelle für nationale IBAN-Formate benannt.[1]

Die Konventionen zur IBAN-Struktur wurden unter der Prämisse getroffen, dass es nicht praktikabel bzw. durchsetzbar ist, eine international einheitliche Methode zur Kennzeichnung von Bankverbindungen festzulegen. Die Notationen für Bankverbindungen in verschiedenen Ländern variieren erheblich; beispielsweise ist die in Deutschland gebräuchliche Trennung von Bankleitzahl zur Kennzeichnung der Bank und Bankkontonummer zur Kennzeichnung des Kontos nicht einmal in Europa durchgängig verbreitet. Entsprechend wurde die Notation der IBAN darauf ausgelegt, den unterschiedlichen lokalen Notationen für Bankverbindungen Rechnung zu tragen und eine Transformation der unterschiedlichen lokalen Bankverbindungsdaten in eine einheitliche IBAN-Struktur zu ermöglichen. ISO 13616-1:2007 Teil 1 definiert die nachfolgend beschriebenen Details zur Zusammensetzung beziehungsweise Struktur sowie zur Berechnung und Überprüfung der Prüfziffern.

Während die IBAN grundsätzlich als eine global eindeutige Bezeichnung eines Kontos definiert ist, kann diese Funktion derzeit noch nicht für alle Konten der Welt genutzt werden. Hintergrund ist die bis Mai 2020 nur für 77 Länder und Territorien erfolgte Definition der IBAN-Strukturen.[1]

Das bis 2006 existierende Europäische Komitee für Bankstandards (ECBS) erwartete, dass der Prozess der weltweiten Akzeptanz fünf bis zehn Jahre dauern kann. Mindestens bis dahin wäre es notwendig, die gegenwärtige Darstellung von Bankverbindungen (BIC und Kontonummer) gemäß ISO 9362 in Ländern ohne IBAN für die sichere Abwicklung des internationalen Zahlungsverkehrs weiter zu verwenden. Auch danach würde es noch länger bei der Verwendung von BIC und IBAN bleiben, denn die IBAN enthielt für die damaligen Systeme nicht grundsätzlich alle notwendigen Routinginformationen, die mittels BIC definiert werden. Überlegungen, wie zumindest im europäischen Raum die Systeme anzupassen wären, um anschließend auf den BIC verzichten zu können, wurden bereits angestellt.

Mit der Entscheidung für eine IBAN-Pflicht wurde 2012 beschlossen, dass ab dem 1. Februar 2016 die Verwendung des BIC bei SEPA-Überweisungen entfällt.[2][3]

Die IBAN findet hauptsächlich im Zahlungsverkehr innerhalb der Europäischen Union Verwendung. Das gilt sowohl für das Datenträgeraustausch-Verfahren als auch für den Zahlungsverkehr mit Formularen (Zahlungsverkehrsvordrucken). Bankintern wird dagegen nach wie vor mit der Kontonummer und nicht mit der IBAN gearbeitet. Ebenso tragen Schecks nach wie vor die Kontonummer und die alte Bankleitzahl. Auch eine Kartensperre lässt sich weiterhin nur mit Kontonummer und Bankleitzahl veranlassen.

Bei der Einführung der EU-Überweisung gab es noch kein elektronisches Zahlungssystem, das allein mit der IBAN eine europaweite Zahlung ermöglichte – daher musste bei der EU-Überweisung neben der IBAN auch die BIC des international gültigen SWIFT-Zahlungssystems angegeben werden. SWIFT definiert kein Datenformat für Überweisungsinformationen, die Auswertung von Konteninformationen bei einer Überweisung obliegt den beiden beteiligten Banken.

Aufbauend auf der EU-Überweisung wurde die Errichtung des Europäischen Zahlungsraumes (SEPA) als einheitlichem Euro-Zahlungsverkehrsraum beschlossen, der die nationalen Zahlungssysteme ab 1. Februar 2014 vollständig ersetzt.[4] Ziel ist die Standardisierung der Zahlungssysteme, so dass kein Unterschied zwischen einer nationalen und einer europaweiten Zahlung besteht. Zu diesem Zweck wurde ein neues, auf XML basierendes SEPA-Datenformat entwickelt. Seit Januar 2009 sind die Banken verpflichtet, SEPA-Überweisungen, und seit November 2009, ein SEPA-Lastschriftverfahren anzubieten. Da SEPA-Überweisungsdaten auch per SWIFT transportiert werden können, ist auch hier die Abfrage des SWIFT-BIC neben der IBAN üblich.

Zum weiteren Ersatz der nationalen Zahlungssysteme hat der Zentrale Kreditausschuss (ZKA; heute Die Deutsche Kreditwirtschaft) für die Übertragung der Zahlungsverkehrsdaten das neue Zahlungsprotokoll EBICS (Electronic Banking Internet Communication Standard) entworfen, das durch Änderung des DFÜ-Abkommens seit 1. Januar 2008 von allen deutschen Banken zu unterstützen ist. Mit EBICS können Überweisungsinformationen gleichermaßen per IBAN und SWIFT-BIC oder per Kontonummer und BLZ angegeben werden.

Die Bankinstitute der Schweiz empfehlen seit 2009 die generelle Umstellung der bisherigen Kontoinformationen auf IBAN. Obwohl von der deutschen Kreditwirtschaft die SEPA-Überweisung nur für den grenzüberschreitenden Verkehr zwingend vorgesehen ist, werden auch Ziele im Inland damit ausgeführt. Sofern die Bank noch nicht auf ein einheitliches Abwicklungsverfahren („Clearing“) (mit EBICS) umgestellt hat, kann dabei die Überweisung technisch auf unterschiedlichen Wegen erfolgen – in der Konsequenz können Überweisungen mit SEPA/IBAN im Kontoauszug als internationale Überweisung erscheinen, womit auch jenseits von 50.000 Euro eine Unsicherheit besteht, ob die Gebühren identisch abgerechnet werden, und daneben erlaubte die SEPA-Überweisung (übergangsweise bis 2012) noch eine Verrechnung binnen dreier statt eines Arbeitstags. Da mit Ende 2010 die Verpflichtung zur Unterstützung alter Protokolle (FTAM) in Deutschland entfiel, wurde ab 2011 eine allgemeine Vereinheitlichung der technischen Infrastruktur erwartet, die solche Ergebnisse vermeidet.

Eine europaweite Angleichung der Zahlungssysteme wurde für das Jahr 2012 vorgesehen, seitdem SEPA-Überweisungen die nationalen Überweisungen ersetzen können. Voraussetzung dafür ist, dass die SEPA-Standardisierungen auf alle nationalen Zahlungsformen (etwa Scheckzahlung und Kreditkartenzahlung) ausgedehnt werden, um die bisherigen nationalen Zahlungswege abschalten zu können. Die Angabe der IBAN ergibt dadurch in allen Mitgliedsländern eine gültige Kontoverbindung für den nationalen und europaweiten Zahlungsverkehr. Nach einer Übergangsfrist bis 1. Februar 2014 sollen die alten nationalen Kontoverbindungen abgeschaltet werden.

Zum 1. Februar 2016 ersetzte die IBAN in der EU die bestehenden nationalen Kontonummern bei Überweisungen.

Das Europäische Parlament hatte ein Ende der nationalen Verfahren mit einem Endetermin zum 31. Dezember 2012 gefordert.[5] Die Deutsche Bundesbank unterstützte diesen Vorschlag, obwohl es starken Widerstand bei den deutschen Bankinstituten gab.[6] Die Beschlussvorlage der Europäischen Kommission vom 16. Dezember 2010 nannte das Jahr 2013 als Termin für die IBAN-Pflicht bei Überweisungen und das Jahr 2014 für Lastschriftverfahren.[7] Die Übergangsfristen sollten 12 bzw. 24 Monate betragen.[8]

Neben technischen Bedenken, die die Bundesbank für lösbar bis Ende 2011 hielt,[5] wurde gegen die IBAN-Pflicht vor allem angeführt, dass das IBAN-Format Kunden überfordere.[9] Die Möglichkeit, bei IBAN-Überweisungen die BIC fortzulassen, wurde bei einem COGEPS-Treffen (contact group on Euro payments strategy) nicht befürwortet, da in einigen Ländern die IBAN nicht hinreichend Routing-Informationen für das Clearing enthält. Da in Ländern wie Deutschland und Österreich die IBAN die etablierte nationale Bankleitzahl enthält, sind die IBAN-Informationen dort jeweils hinreichend für das Cashclearing von Inlandsüberweisungen, jedoch hatte nur die STUZZA in Österreich dafür 2006 ein Verfahren definiert.[10]

In der Schweiz haben die Banken seit 1. Januar 2006 die Angabe der Kontonummern auf das IBAN-Format mit 21 Stellen umgestellt. In der Übergangsfrist wurden weiter die alten Kontonummern (mit bis zu 16 Stellen) akzeptiert. Seit 1. Januar 2010 ist die Verwendung der IBAN des Begünstigten verpflichtend − Banken dürfen Überweiser ohne IBAN zurückweisen, jedoch machen viele Banken von diesem Recht keinen Gebrauch.[11] Bei Inlandsüberweisungen wird das Routing weiter über die BC-Nummer durchgeführt, die in der IBAN mitkodiert ist. Bei Online-Überweisungen ist es üblich, bei Eingabe der IBAN das Feld mit der BC-Nummer automatisch zu befüllen.[12]

Über die IBAN-Pflicht haben sich EU-Parlament, Rat und Kommission am 20. Dezember 2011 geeinigt; das wurde am 14. Februar 2012 offiziell bestätigt.[2][13] Bis zum 1. Februar 2014 musste die Umstellung der nationalen Zahlungssysteme auf IBAN für die Überweisungen und Lastschriften vollzogen sein; jedoch gab es erneute Übergangsfristen in Deutschland bis 1. August 2014 bzw. 1. Februar 2016, siehe Europäischer Zahlungsraum. Die Verwendung der BIC entfiel für inländische Überweisungen mit der IBAN ebenfalls ab dem 1. Februar 2014; für grenzüberschreitende EU-Überweisungen ist sie seit 1. Februar 2016 entfallen.[2][3] Der Widerstand der deutschen Bankwirtschaft entfiel durch einen Kompromiss, dem zufolge das elektronische Lastschriftverfahren mit Rückgaberecht nach deutschem Muster in den SEPA-Standard aufgenommen wird, eine Vorlage für eine erweiterte Zahlungsdienste-Richtlinie soll bis zum 1. November 2012 vorgelegt werden.[2] Das überarbeitete „Direct Debit Scheme Rulebook“ des SEPA-Lastschriftverfahrens beinhaltet nunmehr zwei Varianten – die „SEPA-Basislastschrift“ (SEPA Core Direct Debit) und die „SEPA-Firmenlastschrift“ (SEPA B2B Direct Debit). Bei der Basislastschrift, und nur dort, besteht die Möglichkeit der Rückbuchung innerhalb von 8 Wochen (56 Tage) ohne Angabe von Gründen. In beiden Varianten ist bei Nachweis eines fehlenden Einziehungsauftrags jedoch ein Antrag auf SEPA-Rücklast binnen einer Frist von 13 Monaten nach dem Belastungsdatum möglich.[14] In der gleichen Verordnung (EU) Nr. 260/2012, die die Verwendung der IBAN fordert, wird die Übernahme der SEPA-Lastschrift zum gleichen Termin 1. Februar 2014 gefordert.[15]

IBAN-Nummer auf einem (fiktiven) britischen Kontoauszug

Für elektronische Vorgänge ist eine Gruppierung durch Trennzeichen nach ISO 13616-1:2007 Teil 1 nicht zulässig, da Computer sonst mit falschen Werten operieren würden bzw. stets die Trennzeichen vor der eigentlichen Verarbeitung entfernen müssen. Mit elektronischen Vorgängen ist jedoch nur die Kommunikation von Computern untereinander gemeint, nicht jedoch die Kommunikation von Computern mit Menschen.
Beispiel:

DE07123412341234123412 „maschinenfreundlich“ ohne Gruppierung

Bei papier- bzw. dokumentenbasierten Vorgängen – beispielsweise Darstellung auf Kontoauszügen, Rechnungen etc. – hat sich durchgesetzt, die Zeichen der IBAN zur besseren Leserlichkeit von links beginnend in Vierergruppen durch Leerraum zu gruppieren. Bei der Dokumentenerstellung, bei digitalen Dokumenten oder etwa Kontoausdrucken wird i. d. R. ein Leerzeichen als Trennzeichen verwendet. Diese Form wird durch die DIN 5008 vorgeschrieben.
Beispiel:

DE07 1234 1234 1234 1234 12 DIN-Form, übliche „Papierform“, durch Leerzeichen gruppiert

Für die Mensch-Maschine-Schnittstelle, also etwa die Eingabe in elektronische Formulare oder die Wiedergabe zur Weiterverwendung, ist die visuelle Vierergruppierung ebenfalls etabliert. Wie unter „Zusammensetzung“ erklärt, kann die Kontonummer auch aus Buchstaben bestehen (z. B. dem Namen des Kontoinhabers). Deshalb erhöht die Vierergruppierung nicht immer die Leserlichkeit. Der ISO-Standard formuliert deshalb bewusst keinerlei Vorgaben oder Einschränkungen zur Implementierung.[16]

Bei der Eingabe: Bei einigen Softwaresystemen werden während der Zeicheneingabe durch den Benutzer automatisch zusätzliche Leerzeichen zwecks besserer Leserlichkeit eingefügt, die vor der eigentlichen Verarbeitung wieder entfernt werden. Diese Implementierung erhöht nicht immer die Leserlichkeit z. B. die IBAN „CH12 0483 5JOS EFMU ELLE R“ ist nicht leserlicher als „CH12 04835 JOSEF MUELLER“. Andere Systeme können eine mit Trennzeichen angereicherte IBAN nicht von sich aus verarbeiten.

Bei der Ausgabe: Die meisten Betriebssysteme mit grafischer Oberfläche und Mausbedienung ermöglichen es, ein einzelnes Wort mittels Doppelklick zu markieren (auszuwählen), sodass es kopiert werden kann. Wird eine IBAN auf einer Webseite in „Papierform“ wiedergegeben, würde ein Doppelklick aufgrund der Leerzeichen nur eine einzelne Zifferngruppe auswählen. Durch Markieren und Kopieren der ganzen IBAN wären auch die Trennzeichen im Kopierten enthalten. Beispielsweise mittels CSS kann eine Zeichenkette auch ohne zusätzliche Trennzeichen visuell gruppiert werden. Ein Doppelklick auf eine so formatierte IBAN markiert diese in Gänze.
Beispiel:

DE07123412341234123412 „menschenfreundlich“, visuell gruppierte Zeichen werden als einzelnes Wort behandelt

Abweichung von der Norm: Einige (deutsche) Banken gruppieren auf ihren Auszügen etc. die IBAN mitunter nach Bankleitzahl und Kontonummer. Dies ist ISO-konform, nach DIN 5008 jedoch nicht zulässig.
Beispiel:

DE07 12341234 1234123412 Abweichung von der Norm, unterstützt bei der Umstellung

Die IBAN setzt sich folgendermaßen zusammen:

Die IBAN kann maximal 34 Stellen umfassen, in den meisten Ländern ist sie jedoch kürzer.

Beispiele:

Kürzere Kontonummern werden nach der Bankleitzahl mit führenden Nullen auf die jeweils notwendige Stellenanzahl aufgefüllt. Als – vereinfachte, manuelle – Ausfüllhilfe in den deutschsprachigen Staaten ergibt sich daraus: Nach zwei Stellen Ländercode und zwei Stellen neuer Prüfsumme wird ab der 5. Stelle die Bankleitzahl (D, A)/BC-Nummer(CH) eingetragen, anschließend die Kontonummer (einschließlich der Unterkontennummer) rechtsbündig (von rechts beginnend „rückwärts“) ab der letzten Stelle – dazwischen verbleibende offene Stellen werden mit Nullen aufgefüllt. Hat die Kontonummer 7 oder weniger Stellen, so werden mitunter zwei der zu ergänzenden Nullen am Ende der IBAN eingetragen, bevor die Kontonummer von da aus rechtsbündig angefügt wird und die weitere Auffüllung mit Null(en) erfolgt.[19]

Die IBAN ohne Länderkennzeichen und ohne die zweistellige Prüfsumme wird auch als Basic Bank Account Number (BBAN) bezeichnet.

Die französischen Überseegebiete haben eigene Länderkennzeichen (GF, GP, MQ, RE, PF, TF, YT, NC, BL, MF, PM, WF), diese werden bei Überweisung jedoch nur im BIC verwendet, während die IBAN mit dem „FR“ für Frankreich beginnt.[22] Den Kronbesitzungen der britischen Krone wurden 2006 eigene Länderkennzeichen zugeordnet (IM, GG, JE), sie verwenden jedoch weiter die IBAN mit „GB“ des Vereinigten Königreichs, über das auch das Clearing läuft.[23]

Die ECBS warnt, dass die Erstellung einer IBAN ausschließlich durch die Bankinstitute erfolgen darf.[19] Das basiert darauf, dass es für die Bildung der IBAN aus herkömmlicher Bankleitzahl und Kontonummer mehrere Varianten gibt, beispielsweise bei der Bildung der Prüfsumme oder dem Wegfall von Filialnummern.

Um den Umstellungsaufwand gering zu halten, haben sich die Deutsche Bundesbank und die Deutsche Kreditwirtschaft (ehemals ZKA) auf den Abschluss eines neuen Zahlungsverkehrsabkommens („Abkommen über IBAN-Regeln“[24]) verständigt, das mit Wirkung vom 1. Januar 2013 die Inhaber einer deutschen Bankleitzahl verpflichtet, die Bildungsregeln der IBAN offenzulegen. Die Bildungsregeln werden zusammengefasst und die Variante als Zusatzfeld in der Bankleitzahlendatei ab dem 3. Juni 2013 veröffentlicht.[25] Die oben dargestellte Bildung der deutschen IBAN mit der standardkonformen Prüfsummenbildung erhielt die Nummer 0000 00 und der Wegfall einer Bankleitzahl die Nummer 0001 00 (Variante 1 in Version 0). Mit der ersten Veröffentlichung wurden 47 darüberhinausgehende Ausnahmen dokumentiert, eine Beschreibung der Sonderregeln umfasst 150 Seiten und gerade für die großen Banken bis zu 20 Seiten.[26]

Seit der Einführung der QR-Rechnung in der Schweiz (30. Juni 2020, ab 30. September 2022 zwingend), wurde der Standard der IBAN ergänzt. Der Bereich von 30000 bis 31999 in der 5-stelligen Bankleitzahl ist für Rechnungen mit Referenznummer bestimmt. In diesem Bereich ist die Referenz obligatorisch, in den anderen Bereichen ist sie nicht zulässig.

Im Rahmen von IPI und ECBS wurde das Prüfziffernverfahren auf den Standard ISO 7064 mod 97-10 festgelegt und von den nationalen Normungsgremien der Banken übernommen.[27] Die Prüfsumme liegt im Bereich „02“ bis „98“, durch abweichende Berechnungsmethoden bei verschiedenen Finanzinstituten kamen aber auch „00“, „01“ und „99“ vor. Die Korrekturen sind weitgehend abgeschlossen. Jedoch kann nicht ausgeschlossen werden, dass weiterhin IBANs mit „falschen“ Prüfziffern existieren.

1. Zur Validierung der Prüfsumme wird zunächst eine Zahl erstellt:
   Diese setzt sich aus IBAN (in Deutschland z. B. 18 Stellen) + Länderkürzel kodiert + Prüfsumme zusammen. Dabei werden die beiden Buchstaben des Länderkürzels sowie weitere etwa in der Kontonummer enthaltene Buchstaben durch ihre Position im lateinischen Alphabet + 9 ersetzt (A = 10, B = 11, …, Z = 35).
2. Nun wird der Rest berechnet, der sich beim ganzzahligen Teilen der Zahl durch 97 ergibt (Modulo 97).
3. Das Ergebnis muss 1 sein, ansonsten ist die IBAN falsch.

Beispiel:

1. IBAN: 0000 DE68 2105 0170 0012 3456 78
2. Umstellung: 2105 0170 0012 3456 78DE 68
3. Modulo: 000 210501700012345678131468 mod 97 = 1

Durch Umkehrung der Validierungsmethode ist es möglich, bezüglich der Prüfsummenbildung korrekt validierende IBANs zu erzeugen.[28] Die European Commerce Banking Services (ECBS) weisen ausdrücklich darauf hin, dass nur die Banken selbst korrekte IBANs herausgeben.[19] Benutzt man eine selbsterrechnete IBAN, so riskiert man im schlimmsten Fall den Verlust seiner Überweisung. Bereits die ISO 13616 legt fest, dass ausschließlich Finanzinstitute eine IBAN generieren dürfen. Hintergrund ist, dass die bisherige Kontonummer nicht immer rechtsbündig in die IBAN eingesetzt wird, sondern gelegentlich um zwei Stellen versetzt – die letzten beiden Ziffern entsprechen dann einem bisherigen Unterkonto.

Ein möglicher Algorithmus zur Berechnung der Prüfziffern ist:

1. Setze die beiden Prüfziffern auf 00 (die IBAN beginnt dann z. B. mit DE00 für Deutschland).
2. Stelle die vier ersten Stellen an das Ende der IBAN.
3. Ersetze alle Buchstaben durch Zahlen, wobei A = 10, B = 11, …, Z = 35.
4. Berechne den ganzzahligen Rest, der bei Division durch 97 bleibt.
5. Subtrahiere den Rest von 98, das Ergebnis sind die beiden Prüfziffern. Falls das Ergebnis einstellig ist, wird es mit einer führenden Null ergänzt.

Beispiel:

1. IBAN: 0000 DE00 2105 0170 0012 3456 78
2. Umstellung: 2105 0170 0012 3456 78DE 00
3. Modulo: 000 210501700012345678131400 mod 97 = 30
4. Subtraktion: 98 − 30 = 68

Im Internet sind zahllose Validierungsmöglichkeiten zu finden. Einige sind länderspezifisch, andere beschränken sich auf die jeweilige Bank. Alle nicht speziellen Validierer prüfen nach der oben beschriebenen Methode, wobei manche zusätzliche länderspezifische Prüfungen mit einbeziehen, zum Beispiel eine Konsistenzprüfung von Bank- und Kontoinformationen.

Die UN CEFACT TBG5 hat einen freien IBAN-Validierungs-Service[29] in 32 Sprachen für alle 57 Länder veröffentlicht, die den IBAN-Standard umgesetzt haben.

Bei der Prüfung der IBAN DE68 2105 0170 0012 3456 78 (siehe obiges Beispiel) wird bei diesem Service zurückgegeben, dass die IBAN korrekt zu sein scheint. Das liegt daran, dass der Ländercode erkannt wird, die interne Struktur zu diesem Ländercode passt und die Prüfsumme konsistent mit dem Rest der IBAN ist. Ein Nachteil dieses Dienstes ist, dass auch die IBAN DE23 2004 1133 0008 3033 07 fälschlicherweise als korrekt erkannt wird. In diesem Fall wurde aus einer korrekten BLZ 20041133 und einer so nicht existierenden Kontonummer 8303307 eine korrekte Prüfsumme berechnet, bei der die IBAN-Regeln wie von der Bundesbank veröffentlicht[30] nicht angewendet wurden. Dies kam in der Anfangszeit der Umstellung auf die IBAN gelegentlich vor, wenn der Umrechnungsalgorithmus nicht vollständig war. Im konkreten Beispiel war 8303307 die Depotnummer, die vom Kunden gleichzeitig – im alten Kontonummernsystem – als Kontonummer verwendet wurde. Intern wurde die Kontonummer jedoch mit zwei nachgestellten 0-en als 830330700 geführt. Dies wurde nur in der IBAN sichtbar, die von der depotführenden Bank dem Kunden zur Verfügung gestellt wurde.

Verwendet man andere Dienste, die sowohl bei der Berechnung der IBAN aus BLZ und Kontonummer als auch bei der IBAN-Prüfung weitere Vorschriften wie das Regelwerk der Bundesbank berücksichtigen (als eines von vielen Werkzeugen), werden korrekte Ergebnisse geliefert. Die scheinbar korrekte IBAN DE68 2105 0170 0012 3456 78 (siehe oben) fällt wegen einer falschen Prüfziffer in der alten Kontonummer durch (vgl. Bundesbankregelwerk Prüfzifferberechnung bei Kontonummern[31]).

Bei dem zweiten Beispiel mit der (vermeintlichen) Kontonummer 8303307 und BLZ 20041133 erkennt der Rechner auf Grund der IBAN-Regeln der Bundesbank, dass er zwei nachgestellte 0-en ergänzen muss, und erzeugt dann die korrekte IBAN DE65 2004 1133 0830 3307 00. Validiert man mit diesem Rechner die mit der falschen Kontonummer erzeugte IBAN DE23 2004 1133 0008 3033 07 (die eine korrekte Prüfsumme hat), so erkennt er einen Prüfzifferfehler in der alten Kontonummer entsprechend der Publikation der Bundesbank zur Prüfzifferberechnung bei Kontonummern.

Wegen solcher Tücken bieten einige Anbieter von kommerziellen Online-IBAN-Validierungen und -Berechnungen Korrektheitsgarantien an.

Forderungen des ISO-Verfahrens, menschliches Vertippverhalten[Bearbeiten | Quelltext bearbeiten]

Im ISO-Standard ist u. a. angegeben, dass ein einzelnes falsches Zeichen immer sowie ein einzelner Zahlendreher zweier benachbarter oder fast benachbarter Zeichen fast immer erkannt werden. Für mehrere gleichzeitige Fehler ist die Wahrscheinlichkeit des Erkennens immer noch sehr hoch. Nicht gefordert wird, dass absichtliche Fälschungen erkannt werden[32].

Damit wird im Wesentlichen auf typisch menschliches Vertippverhalten abgestellt. Für numerische bzw. vorwiegend numerische Eingaben, wie sie auch bei einer IBAN gegeben sind, hat eine Untersuchung zu Patientennummern[33] gezeigt, dass Menschen systematische Fehler machen. Identifiziert wurden: Vertipper in einer einzelnen Ziffer (49 %), Weglassung einer Ziffer (27 %), Zahlendreher (9 %), Verschiebung (6 %), Spiegelung (2 %), doppelte Eingabe einer Ziffer (2 %), andere (5 %). Die ISO-Forderung deckt alle diese menschlichen Fehler ab, Weglassungen oder Verdoppelungen werden bei deutschen IBANs bereits wegen der fixen Länge der IBAN erkannt.

Erläuterung der Funktionsweise des Verfahrens[Bearbeiten | Quelltext bearbeiten]

Dass das Verfahren diese Forderungen erfüllt, ist insofern offensichtlich,

1. da das Berechnungsverfahren die Berechnung von mod 97 vorsieht,
2. die Zahl, die durch 97 geteilt wird, auf 00 endet
3. und die letzten vier Stellen vor der konstanten 00 am Ende aus dem Ländercode erzeugt wurden.

Ein Tippfehler betrifft typischerweise eine oder zwei Ziffern, selten mehr. Damit die Prüfsumme nach wie vor stimmt, muss die Zahl, von der der Rest (modulo) berechnet wird, entweder um ein Vielfaches von 97 erhöht oder verringert werden oder man addiert eine Zahl und subtrahiert eine zweite Zahl, wobei bei beiden Zahlen der ganzzahlige Rest bei mod 97 gleich ist.

Nachfolgend wird das Beispiel DE68 2105 0170 0012 3456 78 aus dem Berechnungsbeispiel weiter oben verwendet.

Für eine einzelne Ziffer ist solch eine Änderung generell ausgeschlossen, da es keine Vielfachen von 97 gibt, die vorne aus einer Ziffer von 1 bis 9 und nachfolgend nur 0-en bestehen.

Ein einfacher Ansatz zur Simulation von Tippfehlern nahe beieinander liegender Ziffern (d. h. Zahlendreher) besteht darin, willkürlich zwei nebeneinander liegende Ziffern zu wählen, 97 an dieser Stelle zu addieren oder zu subtrahieren und dann das Ergebnis ggf. mit Übertrag zurück zu schreiben. Z.B. könnte bei DE68 2105 0170 0012 3456 78 ein DE68 2105 0170 9712 3456 78 (00 wird zu 97), DE68 2105 0170 0982 3456 78 (01 wird zu 98) oder DE68 2105 0170 0109 3456 78 (012 wird zu 109) durch Modifikation von zwei oder drei nahe beieinander liegenden Stellen erzeugt werden. Die so erzeugten „Vertipper“ sind die einzigen Möglichkeiten, zu korrekten Prüfsummen bei nebeneinander liegenden Ziffern zu kommen. Auf diese Weise können keine Zahlendreher von zwei oder drei Ziffern erzeugt werden. Es gibt keine zweistelligen Zahlen, bei denen die Ziffern die Position nach einer Addition (oder Subtraktion) von 97 wechseln. Außerdem kommt es bei Zahlen > 03 bei der Addition und < 97 bei einer Subtraktion zu einem Übertrag, sodass eine dritte Ziffer geändert wird. Die so möglichen und zu einer korrekten Prüfsumme führenden „Vertipper“ sind auf Tastaturen weder bei Zahlenblöcken noch in der Ziffernreihe der Tastatur durch einfaches daneben tippen erzeugbar.

Da ein Tippfehler nur an einer Stelle immer erkannt wird, muss mindestens eine weitere Ziffer modifiziert werden. Bei der Zahl aus dem Beispiel oben 210501700012345678131400 kann z. B. willkürlich die zehnte Stelle von 0 auf 9 als simulierter Tippfehler geändert werden, wodurch 210501700912345678131400 mod 97 = 22 berechnet würde; anstatt 30. - Man hat nun eine IBAN DExx 2105 0170 0912 3456 78, wobei die Prüfsumme xx = 68 nicht mehr stimmt. Dazu muss ein zweiter passender Tippfehler gefunden werden.

Theoretisch reicht es, nun 8 zu addieren, wobei 210501700912345678131408 in die Berechnung einginge, damit die Prüfsumme 68 (bzw. der Teilungsrest = 30) wieder stimmt. Da jedoch die letzten beiden Stellen immer 00 sind, kann dort kein zweiter Tippfehler auftreten, man kann aus dieser Zahl keine IBAN generieren.

Man braucht ein passendes Additiv, um eine IBAN mit der ursprünglichen Prüfsumme zu erzeugen. Konkret bedeutet das, dass man eine Zahl finden muss, die nach der Addition aus der geänderten 0 eine 9 macht, eine zweite Ziffer ändert und ansonsten nichts tut. Man sucht also erstmal nach einer maximal 18-stelligen Zahl, die zwei Ziffern 1 bis 9 enthält (es gibt davon 12393 = 153 * 89, mit 153 die Summe von 1 bis 17) und ansonsten nur aus 0-ern besteht. In diesen 12393 Zahlen gibt es eine Teilmenge von 83 Zahlen, die ohne Rest durch 97 teilbar sind und daher als Additive für die Simulation von Tippfehlern in Frage kommen.

Man kann stattdessen auch nach Tupeln von Zahlen suchen, die bei der ganzzahligen Teilung durch 97 den gleichen Rest ergeben. Dann wird eine der Zahlen addiert und die andere subtrahiert, wobei sich die „verschobenen“ Reste aufheben. Da jeweils wieder nur je eine Ziffer manipuliert werden soll, bestehen die Zahlen im Tupel aus einer Ziffer von 1 bis 9 und ansonsten nur 0-en. Insgesamt gibt es 158 solcher Tupel, wobei das kleinste Tupel (100, 3) ist, mod 97 kommt bei beiden 3 heraus.

Etwas griffiger formuliert: Wenn man sich schon an dieser einen Stelle vertippt hat, dann hat man bei der deutschen IBAN 17 andere Zahlen zur Auswahl, an denen man sich nochmals vertippen kann. Man kann sich in jeder der 17 Stellen 9 mal vertippen, wodurch man 153 Möglichkeiten hat. Für das konkrete Beispiel wäre die zu addierende Zahl 970000000 aus den 83 zur Auswahl stehenden Werten und der passende Vertipper wäre DE68 2105 0170 0982 3456 78. - Sucht man nach einem Tupel für Addition und Subtraktion, so ist der einzige Wert (900000000, 50), nach Addition der 900000000 und Subtraktion von 50 wäre eine neue IBAN DE68 2105 0170 0912 3456 28. - In diesem konkreten Fall hat man zwei Folgetippfehler zur Auswahl, bei denen man mit der Veränderung einer zweiten Stelle auf die ursprüngliche Prüfziffern kommt. Bei zufälliger Auswahl von Ziffer und Stelle kommt man auf 1,3 %, falls in der konkreten IBAN zunächst aus der 0 eine 9 gemacht wurde und dann nach dem Zufallsprinzip eine weitere Ziffern verändert wird.

Wäre der Vertipper jedoch DExx 2165 0170 0012 3456 78, käme als einzige der 83 Zahlen die 6000000000000700 (für die tatsächliche Addition müssen wieder 6 Nuller ergänzt werden) in Frage. Dies würde aber zu einem Übertrag führen, eine dritte Ziffer wird modifiziert und die IBAN würde DE68 2165 0170 0012 3463 78. Als Tupel kommen 6000000000000000 mit 9000, 300000 und 10000000 in Frage. Die Subtraktion von 9000 führt ebenfalls zu einem Übertrag, die beiden anderen Zahlen führen zu passenden Prüfsummen. Man sieht, dass es Konstellationen für bestimmte IBANs gibt, bei denen nach einem ersten Tippfehler die ursprüngliche Prüfsumme nicht mit einem zweiten, sondern nur mit Hilfe weiterer Tippfehler erzeugt werden könnte (z. B. DE56 2105 0170 1000 0456 78 nach DExx 2165 0170 1000 0456 78).

Es reicht nicht aus, sich nur an zwei passenden Stellen zu vertippen. Man muss auch noch „Glück“ mit der IBAN selbst haben, damit man mit zwei Stellen auskommt. Insb. gilt:

• Zahlendreher von zwei nebeneinander liegenden Ziffern sind ausgeschlossen, da das einzige in Frage kommende Additiv 97 ist (mit weiteren 0-en rechts oder links).
• Bei zwei nebeneinander liegenden Ziffern ist nur dann ein passender doppelter Vertipper möglich, wenn die linke Ziffer eine 0 ist und die rechte 0, 1 oder 2 ist (Addition von 97 auf die beiden Ziffern); oder wenn die linke Ziffer eine 9 ist und die rechte eine 9, 8 oder 7 ist (Subtraktion von 97). Damit kommen 6 von 100 Ziffernkombinationen in Frage, die überhaupt einen nicht erkennbaren Vertipper erlauben, dann muss man genau passende falsche Ziffern eintippen und in allen Fällen sind die Ziffern so auf der Tastatur angeordnet, dass man bei beiden Stellen nicht einfach daneben greifen kann, insb. nicht, wenn man z. B. um eine Stelle versetzt in die Tastatur greift.
• Letztendlich sind alle Zahlendreher ausgeschlossen, sofern man Zahlendreher definiert als: Man lost zwei Ziffern aus dem 18-stelligen Ziffernblock (BLZ + Kontonummer) aus und vertauscht sie. Dies liegt daran, dass mit den oben erwähnten 83 Additiven kein Stellentausch simuliert werden kann. Man addiert oder subtrahiert stets, d. h., die beiden betroffenen Ziffern wachsen bei Addition oder schrumpfen bei Subtraktion, bis es zu einem Übertrag und damit zur Änderung einer dritten Stelle kommt. Zum Zifferntausch wäre aber notwendig, dass die kleinere Ziffer wächst und die größere schrumpft. Mit den 158 Tupeln kann ebenfalls kein Stellentausch simuliert werden, da dann die beiden Ziffern ungleich 0 in den Zahlen der Tupel gleich sein müssten. Solche Tupel gibt es aber nicht.

Eine pauschale statistische Aussage zur Möglichkeit falscher Überweisungen durch Tippfehler lässt sich nicht treffen. Man kann lediglich für eine konkrete IBAN, bei der eine bestimmte Stelle modifiziert wurde, eine Aussage treffen, wie wahrscheinlich eine weitere zufällige Änderung an wenigstens einer Stelle ist, um die ursprüngliche Prüfsumme zu behalten. Im ersten Beispiel lag die Wahrscheinlichkeit bei 1 : 153. Im zweiten Beispiel müssen nach dem ersten Tippfehler 2 nebeneinander liegende Ziffern richtig vertippt werden, d. h., nachdem man sich bei der ersten Ziffer mit einer Wahrscheinlichkeit von 1 : 153 vertippt hat, muss man sich zusätzlich bei der zweiten Ziffern mit einer Wahrscheinlichkeit von 1 : 144 vertippen, wobei man jeweils 4 Ziffernpaare „richtig falsch“ eintippen muss.

Normales menschliches (Ver-)Tippverhalten schließt solche Tippfehler so gut wie aus.

Für deutsche IBANs kommt noch erschwerend hinzu, dass die 8-stellige Bankleitzahl nur ca. 3600 verschiedene Werte annehmen kann und dass für die 10-stellige Kontonummer noch institutsspezifische eigene Prüfzifferverfahren existieren. Und selbst dann muss für eine Fehlüberweisung die so zufällig (v)ertippte Bankverbindung auch existieren.

Kritik wird vielfach an der Länge der IBAN geäußert, wobei sie im Falle Deutschlands (22 Zeichen) im Wesentlichen aus den bisher bereits gebräuchlichen Ziffernfolgen Bankleitzahl und Kontonummer besteht, ergänzt um die vorangestellte Buchstabenfolge „DE“ und die zweistellige Prüfzahl.

Um die Lesbarkeit zu vereinfachen, wird die IBAN auf Papierdokumenten oft in Viererblöcke aufgeteilt (siehe #Schreibweise). In elektronischen Medien kann diese Aufteilung allerdings zu Problemen führen, beispielsweise wenn eine IBAN per Copy & Paste in das entsprechende Feld eines Überweisungsformulars im Online-Banking kopiert werden soll. Wird dieser Fall in der Software nicht berücksichtigt und abgefangen, kann es zu Fehleingaben kommen.

Von manchen Gläubigern oder Schuldnern wird die Verwendung einer ausländischen IBAN abgelehnt. Dabei handelt es sich um eine sogenannte IBAN-Diskriminierung, die einem einheitlichen europäischen Zahlungsraum zuwiderläuft.

Kann man IBAN zusammen schreiben?

Wie setzt sich die IBAN Nummer zusammen?

Was kommt bei der IBAN zuerst?

Ist eine IBAN immer gleich lang?