EBICS – auf dem Weg zum europäischen Marktstandard

Axel Weiß, Chairman of Board of Directors EBICS

Für Firmenkunden ist es in Deutschland schon seit 1995 möglich, Zahlungsverkehr mit einem Standardprodukt und einer Elektronischen Signatur mit jedem Kreditinstitut sicher abzuwickeln.

Bereits im Jahre 2003 wurde die Erweiterung des DFÜ-Abkommens um eine internetbasierte Variante initiiert. Diese Variante des DFÜ-Verfahrens wurde als EBICS "Electronic Banking Internet Communication Standard" bezeichnet. Mit dieser Erweiterung erfüllte die deutsche Kreditwirtschaft die Forderung von Kunden und Instituten nach internetbasierten Lösungen im Electronic Banking.


Ziel dieser Erweiterung war es, den einheitlichen und multibankfähigen Bankenstandard "DFÜ mit Kunden" für Übertragungsmöglichkeiten im Internet auszubauen und die damit verbundenen Anwendungsmöglichkeiten zu erweitern. Hierfür werden den aktuellen Sicherheitsanforderungen entsprechende Sicherungsmechanismen wie HTTPS mit einer zusätzlichen starken Authentifizierung für die Kommunikationssicherheit eingesetzt.

EBICS zeichnet sich durch folgende Eigenschaften aus:
  • ein Standard für alle Kreditinstitute und Kunden, d. h. Firmenkunden erreichen mit einer Software jedes Kreditinstitut, das EBICS anbietet
  • offener Standard, d. h. Firmenkunden können Standardprodukte oder  individuelle Software einsetzen
  • moderne Technologie, lizenzfreie internationale Standards wie XML, HTTPS, TLS, ZIP
  • höchste Sicherheitsstandards, z. B. Verschlüsselung auf Transportebene und Ende-zu-Ende
  • ein Transportmittel für alle Geschäftsprozesse wie Lastschriften, Überweisungen, Kontoauszüge, Cash-Management, Wertpapierorder und vieles mehr
  • Einbeziehung von Dienstleistern durch mehrstufiges Unterschriftskonzept
  • standortunabhängige Freigabe von Aufträgen
  • Preis und Leistung bestimmen den Wettbewerb, nicht die Technik und die mit einem Wechsel der Bankverbindung verbundenen Umstellungsaufwände
Neben der Kunde-Bank-Kommunikation wird EBICS in Deutschland und zunehmend auch in anderen Ländern der EU für den sicheren und sehr kostengünstigen Austausch von Zahlungstransaktionen zwischen den Banken eingesetzt. Nicht zuletzt die Bereitstellung eines Auflieferungskanals für EBICS-Transaktionen bei der EBA Clearing führte zu einer signifikanten Steigerung der über EBICS im Interbankenbereich ausgetauschten Transaktionen, sodass mittlerweile rund fünf Prozent aller von der EBA Clearing verarbeiteten SEPA-Transaktionen über die EBICS-Kommunikation abgewickelt werden. Neben dem Einsatz im bilateralen Clearing von Zahlungen wird EBICS zunehmend auch als Backup-Lösung neben den bereits bestehenden Kommunikationskanälen, wie z. B. SWIFT sie anbietet, genutzt.

Die im Jahr 2003 gewählte englische Bezeichnung „EBICS“ unterstrich bereits damals den Anspruch, mit diesem Kommunikationsstandard nicht nur auf nationaler Ebene, sondern vielmehr auch auf europäischer Ebene eine sowohl für Banken als auch für deren Kunden interessante Alternative zu bestehenden Verfahren anzubieten.

In Deutschland bestand bereits seit 1. Januar 2008 die bankseitige Verpflichtung zur Unterstützung von EBICS. Der alte Standard FTAM wurde hier mittlerweile vollständig durch EBICS ersetzt.
Im Jahr 2008 wurde ein Kooperationsabkommen zwischen Deutschland und Frankreich hinsichtlich EBICS geschlossen. Die französische Kreditwirtschaft hatte im Vorfeld nach einer umfangreichen make-or-buy-Analyse erkannt, dass EBICS die Anforderung der französischen Banken und deren Kunden am umfassendsten abdeckt und somit das größte Potenzial für eine Ablösung des bis dahin verwendeten ETEBAC-Kommunikationsstandards besaß. Schnell kristallisierte sich für die beteiligten Banken und Verbände heraus, dass eine rechtssichere Verwendung von EBICS durch alle Nutzer am besten durch Gründung einer gemeinsamen EBICS-Gesellschaft sichergestellt werden kann. Der Zweck der EBICS-Gesellschaft liegt dabei vor allem in der Weiterentwicklung und Pflege des EBICS-Standards und dem Halten der Markenrechte.

Nach intensiven Verhandlungen zwischen der deutschen und der französischen Kreditwirtschaft konnte im Juni 2010 die EBICS-Gesellschaft gegründet werden. Bei der Gestaltung der nach belgischem Recht gegründeten EBICS SCRL wurde streng darauf geachtet, dass die Gesellschaft nicht profitorientiert ist und sehr schlank, d.h. zu minimalen laufenden Kosten, aufgesetzt wird. Zudem wurde dafür gesorgt, dass die Gesellschaft offen für den Zugang anderer an EBICS interessierter Kreditwirtschaften ist.

Mit der Gründung der Gesellschaft wurde somit die Basis für den europaweiten Einsatz und damit der Weiterentwicklung des EBICS-Verfahrens hin zu einem europäischen Marktstandard geschaffen. Im April dieses Jahres erfolgte mit der Beitrittserklärung der SIX Interbank Clearing als Vertreter der Schweizer Kreditwirtschaft ein weiterer wichtiger Schritt in Richtung Europäisierung von EBICS.
Erklärtes Ziel ist es nunmehr, auch Kreditwirtschaften in anderen EU-Ländern von den Vorteilen einer Nutzung und vor allem Mitgestaltung von EBICS zu überzeugen – die Türen für eine Beteiligung an der EBICS-Gesellschaft stehen weit offen.

Axel Weiß

EBICS und der mobile Zahlungsverkehr in Frankreich

In der Reihe „EBICS als europäischer Standard für Mobile Payments“ wollen wir heute den Fall Frankreich näher betrachten.
Eine mobile Lösung, die es jedem Nutzer ermöglicht, Transaktionen von unterwegs - gemäß EBICS TS-Protokoll - zu unterschreiben, würde den Bedürfnissen der immer zahlreicher werdenden „Nomaden“ unter den Unterzeichnern entsprechen, die darauf hoffen, dass Mobile Banking mit EBICS endlich Realität wird.


Voraussetzung wäre, dass eine solche Lösung ausreichend flexibel ist, d. h. auf der großen Mehrheit von Mobiltelefonen und Tablets läuft, unabhängig von deren Betriebssystem (zumindest iOS, Android, Windows Mobile), und genauso ein hohes Sicherheitsniveau bietet wie die EBICS TS-Signatursoftware für PCs, die täglich tausendfach verwendet wird.

Natürlich hat bereits der eine oder andere Softwarehersteller mobile Applikationen entwickelt, doch bleiben diese allesamt unbefriedigend und werden wenig genutzt, weil ihnen die nötige Flexibilität und Benutzerfreundlichkeit fehlt. Um den Spezifikationen des CFONB (französisches Komitee für Organisation und Normierung im Bankwesen) aus dem Implementation Guide zu entsprechen, muss jede Unterschrift über ein persönliches Unterschriftszertifikat auf einem physikalischen Träger verfügen, das von einer von der Bank anerkannten Zertifizierungsstelle ausgestellt wird. Und genau da liegt der Hund begraben: Es ist zwar möglich, einen USB-Token an bestimmte Tablets anzuschließen, aber es ist bis heute nicht möglich, ihn an alle mobilen Geräte unabhängig von ihrer Marke anzuschließen. Nimmt man hohe Adapter- und Anschlusstechnikkosten in Kauf, könnte man dennoch ans Ziel kommen. Doch funktionieren all diese Lösungen eher schlecht als recht, zumal sie den Benutzer zwingen, sein Gerät in einen komplizierten Apparat zu verwandeln, was schließlich den letzten Enthusiasten von einem systematischen Gebrauch solcher Lösungen abhalten wird.
Auch ist es weder vernünftig noch angemessen, die Unterzeichner zu zwingen, sich ein zusätzliches Smartphone oder Tablet zuzulegen, bei dem ein Token einigermaßen komplikationslos angeschlossen werden kann, so dass es bei Bedarf sofort genutzt werden könnte.

Eine Lösung bestünde darin, anstelle des physikalischen Trägers als Speichermedium für das Zertifikat ein „flüchtiges“, d. h. einmalig zu verwendendes Zertifikat einzuführen. Neben der hierfür unerlässlichen Zustimmung durch das CFONB würde dies jedoch bedingen, dass das Zertifikat, wann immer es verwendet wird, bei der Zertifizierungsstelle neu registriert werden muss, was dem Vorgang jedwede Flexibilität und damit jedweden Charme nähme.

So bleibt das Problem, dass das Verfahren der verteilten Unterschrift nicht standardisiert ist wie bei unseren Nachbarn jenseits des Rheins, die von der Verteilten Elektronischen Unterschrift (VEU) profitieren. Auch wenn es bedauerlich ist, dass EBICS DS bis heute nicht konkretisiert worden ist, so stellt dies doch keinen Hinderungsgrund dafür dar, einen Service mit äquivalenter Funktionsabdeckung anzubieten, also den reisenden Unterzeichnern zu erlauben Aufträge vor der Ausführung zu bestätigen. Die Verwaltung dieser Gruppen von Unterzeichnern und Unterschriftenmappen erfolgt vorher auf einer vom Unternehmen oder von vertrauenswürdigen Dienstleistern bzw. Betreibern betriebenen Plattform. Sobald alle notwendigen Unterschriften vorliegen (unbedingt im Format EBICS [A005 bzw. A006]), werden der Auftrag und die gespeicherten Unterschriften über EBICS im TS-Profil an den entsprechenden Server weitergeleitet. Mit dieser Lösung könnten umfassendere Unterschriftsrechte als mit dem EBICS-Standard (1+1 bzw. 2) verwaltet werden, womit sie den Ansprüchen der Benutzer potenziell näher kommt.

Marc Dutech