Wie sich EBICS verbessern lässt, Teil 6 – eindeutige Identifikation der handelnden Person

Kann es vorkommen, dass ein Zahlungsverkehrsauftrag, der in EBICS eigentlich von zwei unterschiedlichen Personen autorisiert werden muss, doch nur von einer Person freigegeben wird? Ja, unter bestimmten Umständen ist das möglich. Bei manchen Vertragskonstellationen zwischen dem Kreditinstitut und dem Firmenkunden lässt sich die handelnde Person nicht eindeutig identifizieren. 


Die Falle steckt im EBICS-Datenmodell

Das Berechtigungsmodell des Firmenkunden für die EBICS-Kommunikation orientiert sich am Datenmodell von EBICS. Dieses unterscheidet zwischen dem Kunden und seinem Mitarbeiter als EBICS-Teilnehmer.

Firmenkunden kommunizieren per EBICS mit ihrer Bank über eine unternehmensweit gültige EBICS-Kunden-ID und die Teilnehmer-ID des handelnden Mitarbeiters. Die IDs vergibt die Bank bei der Einrichtung für den Kunden und seinen Mitarbeiter; der Kunde benötigt sie für die Verbindung zum Bankrechner in den Zugängen der EBICS-Clients. Nun ist eben diese Teilnehmer-ID nicht immer eindeutig. Wie kann das sein?

Firmenkunden nutzen verschiedene EBICS-Clients

Größere Firmenkunden setzen auch mal mehrere EBICS-Clients unterschiedlicher Hersteller ein. Dabei nutzt ein Mitarbeiter je nach Funktionsumfang auch verschiedene Clients parallel. Ein Beispiel ist der Mitarbeiter, der mit einem EBICS-PC-Produkt Zahlungen autorisiert und einreicht – und der gleichzeitig Zahlungen, die aus seiner ERP-Lösung für die in Deutschland übliche Verteilte Elektronische Unterschrift direkt zur Bank gesendet worden sind, per EBICS-Mobile-Lösung autorisiert.

Schlüssel und Zertifikate sind häufig nicht wiederverwendbar

Da die teilnehmerbezogenen Schlüssel bzw. Zertifikate je nach Kundensystem und EBICS-Land unterschiedlich abgelegt sind, kann ein Mitarbeiter sie in den meisten Fällen nicht für alle EBICS-Clients übergreifend nutzen. Sprich, das EBICS-PC-Produkt und die EBICS-Mobile-Lösung erfordern jeweils eigene Schlüssel für den Teilnehmer. Daher hat der Mitarbeiter für seinen EBICS-Zugang zur Bank in jedem Client eine andere Teilnehmer-ID, die dann die Verbindung zu seinen jeweiligen Schlüsseln bzw. Zertifikaten sicherstellt.

Da das Datenmodell von EBICS aber den EBICS-Teilnehmer als eindeutige handelnde Person definiert, kann theoretisch eine Person mit mehreren Teilnehmer-IDs Zahlungen freigeben, die eigentlich von mehreren Personen autorisiert werden müssen. Im EBICS-Datenmodell ist die Zuordnung einer Person zu mehreren Teilnehmer-IDs nicht vorgesehen.

Um einen derartigen Missbrauch zu verhindern verfügen EBICS-Bankrechner mittlerweile über zusätzliche individuelle Berechtigungsfunktionen, dennoch ist eine einheitliche Lösung im EBICS-Standard selbst wünschenswert.

Einheitliches Austauschformat für Schlüssel und Zertifikate

Eine Möglichkeit wäre es z. B., im EBICS-Standard das Austauschformat bzw. die Ablage der Schlüssel und Zertifikate einheitlich vorzuschreiben, z. B. einen Software-Token mit der Ablage im PKCS12-Format. In diesem Fall ist die Teilnehmer-ID eindeutig nutzbar, um die handelnde Person zu identifizieren. Schlüssel und Zertifikate können somit in Verbindung mit der Teilnehmer-ID auf mehreren Clients genutzt werden.

Michael Lembcke 

Wie steht es mit EBICS in Marokko?

Der Vormarsch von EBICS in Europa ist inzwischen unumstritten. Wie entwickelt sich der Standard jedoch jenseits der Grenzen der Europäischen Union? Ein Kontinent, der sich in meinen Augen besonders für die Verwendung eines modernen, leistungsfähigen und universellen Protokolls für den elektronischen Zahlungsverkehr wie EBICS eignet, ist Afrika. Genauer gesagt denke ich hier zuallererst an Marokko. Warum?


Seit langem schon orientieren sich die marokkanischen Banken und Finanzinstitute an europäischen Praktiken im Bankwesen, insbesondere an denen französischer Banken. So folgten in den neunziger Jahren die marokkanischen Banken den französischen, indem sie sich im elektronischen Zahlungsverkehr zwischen Unternehmen und Banken für das ETEBAC-Protokoll entschieden. Auf diese Weise wurden die marokkanischen Unternehmen in die Lage versetzt, effiziente Cash Management-Lösungen einzusetzen.

Ebenso orientierte man sich bei dem vom marokkanischen Bankensektor verwendeten Austauschformat für Kontoauszüge, Überweisungen und Lastschriftverfahren stark an den CFONB-Formaten.

Momentan wird in Marokko noch immer das ETEBAC-Protokoll verwendet. Allerdings läuft es unter X.28 über private PADs und die Unternehmen müssen asynchrone Analog-Modems verwenden, die kaum noch zu finden sind. Somit wird es nahezu unmöglich, die Anzahl der Unternehmen zu steigern, die den ETEBAC-Kanal verwenden. Mögliche Ersatzlösungen sind:
  • das Internet-Banking, das jedoch für Unternehmen mit Konten bei mehreren Banken bzw. Unternehmen mit erheblichem Transaktionsvolumen ungeeignet ist,
  • SWIFT, was zu wiederkehrenden Zusatzkosten führt, die nicht unerheblich sind,
  • weniger gebräuchliche Protokolle wie PeSIT, die künftigen Anforderungen nicht gerecht werden.
Der durch marokkanisches Gesetz vorgegebene Rechtsrahmen für den Austausch und Schutz digitaler Daten fördert die Verwendung sicherer Datenaustauschprotokolle mit elektronischer(n) Unterschrift(en). Dadurch werden die Banktransaktionen mit den für sie geforderten Sicherheitsfunktionen wie Authentifizierung, Unveränderlichkeit und Integrität, Geheimhaltung, keine Wiederverwendbarkeit der Unterschrift sowie Nichtabstreitbarkeit ausgestattet. Diese Funktionen werden standardmäßig vom EBICS-Protokoll abgedeckt.

Die marokkanischen Banken, die in Afrika eine Vorreiterrolle einnehmen und in 22 Ländern des Kontinents vertreten sind, benötigen zuverlässige und bewährte Systeme zur Finanzdatenübermittlung zwischen den Banken und über Grenzen hinweg, um unter anderem dafür zu sorgen, dass Marokko zum Drehkreuz von Banktransfers wird und ein Maximum an Transaktionen an sich zieht, die auf sichere und moderne Art und Weise durchgeführt werden. Hierfür bietet sich EBICS als das Mittel der Wahl an.

Übrigens erlaubt EBICS nicht nur, das bestehende Angebot von Diensten für Unternehmen auszubauen, es stellt für die marokkanischen Banken auch eine echte Innovationsmöglichkeit dar, um ganz neue Dienste (z. B. e-Invoicing) anzubieten.

Und vergessen wir nicht zwei weitere Bereiche, in denen EBICS seine Wirkung voll entfalten könnte:
  1. In Europa wird EBICS für den intereuropäischen elektronischen Zahlungsverkehr zwischen den Banken bereits sehr erfolgreich angewandt. Die marokkanischen Finanzinstitutionen könnten nachziehen und hätten somit die Möglichkeit, die Widerstandsfähigkeit und die hohe Verfügbarkeit im bankenübergreifenden Zahlungsverkehr zu verbessern und nebenbei dessen Kosten zu optimieren.
  2. EBICS kann bei Datentransfers für staatliche Digitalisierungsprojekte eingesetzt werden, insbesondere im Zusammenhang mit Sozialdaten, medizinischen und dienststellenübergreifenden Daten.
Ausgehend von obigen Ausführungen erscheint mir das EBICS-Protokoll, das sich – wie der Leser des Blogs mittlerweile hat feststellen können – dank seiner Universalität, seiner einfachen Anwendung, seinem hohen Sicherheitsniveau und der Tatsache, dass mit seiner Verwendung keine wiederkehrenden Kosten verbunden sind, in Europa schnell ausbreitet, eine ideale Alternative für den Business-to-Bank- und Bank-to-Bank-Zahlungsverkehr. Würden zudem die marokkanischen Banken die Anwendung des ISO-20022-Standards in Betracht ziehen, wäre dies ein großer Schritt in Richtung Harmonisierung und Standardisierung des elektronischen Finanzdatenaustauschs, was zu einer Vereinfachung und Optimierung der Transaktionen mit Europa führen würde. Dieser Punkt erscheint mir auch deshalb so wichtig, weil die marokkanische Wirtschaft durch zahlreiche Standortverlagerungen europäischer Unternehmen von der geographischen Nähe Marokkos zum europäischen Kontinent profitiert hat.

Stellt sich schließlich die Frage der Migration nach EBICS. Ist die Migration ein solch komplexes Unterfangen, dass sie sich als ein echtes Hindernis für die Verwendung dieses Protokolls erweisen könnte? Bedenkt man, wie die Migration in Frankreich vonstattenging, ist das meiner Meinung nach nicht der Fall. Die in diesem Zusammenhang nicht nur von den Herstellern für Banken- und Unternehmenssoftware, sondern auch von den in Marokko ansässigen französischen Banken gesammelten Erfahrungen würden eine sanfte Migration ohne große Anfangsschwierigkeiten sicherstellen.

Marc Dutech