Gemäß EBICS-Spezifikation werden Daten stets signiert und verschlüsselt übertragen. Dies gilt für beide Kommunikationsrichtungen: Kunde > Bank und Bank > Kunde. In Deutschland sind die dafür verwendeten Schlüssel theoretisch unbegrenzt gültig. In Frankreich ist zumindest die Gültigkeit der Zertifikate limitiert. Aus Sicherheitsgründen ist es unabdingbar, dass die Schlüssel regelmäßig erneuert werden. Für die Kundenseite bringt EBICS bereits Funktionen für einen automatisierten Schlüsselwechsel eines einmal initialisierten EBICS-Teilnehmers mit. Die automatisierte Erneuerung der Bankschlüssel hingegen gestaltet sich in der Praxis schwieriger. Ein „weicher Schlüsselwechsel“ ist eine Lösung.
Weshalb Banken ihre EBICS-Schlüssel ungern wechseln
Das EBICS-Kundensystem kann die öffentlichen Bankschlüssel zur Authentifikation (Identifikation der Bank) und Verschlüsselung der Datei-Einreichungen mit der Auftragsart HPB bei der Bank herunterladen. Falls das Kundensystem ungültige oder nicht mehr aktuelle Bankschlüssel nutzt, erhält es gemäß der EBICS-Spezifikation den negativen Return-Code EBICS_BANK_PUBKEY_UPDATE_REQUIRED.
Dies zieht folgende Probleme nach sich:
- Sobald der EBICS-Client den Return-Code EBICS_BANK_PUBKEY_UPDATE_REQUIRED erhält, sollte er die aktuellen Bankschlüssel per HPB abholen. Dieser Prozess wird von EBICS-Clients nicht immer hinreichend unterstützt.
- Nach einer erneuten Abholung der Bankschlüssel müssen Schlüssel, die nicht CA- und zertifikatsbasiert sind, im EBICS-Client manuell per Hashwert-Eingabe freigeschaltet werden.
- EBICS-Clients sind häufig automatisiert im Einsatz. Die Notwendigkeit, bei der Erneuerung der Bankschlüssel manuell eingreifen zu müssen, z. B. erneute Schlüsselabholung oder Schlüsselfreischaltung, wird meistens nicht oder zu spät erkannt. Störungen sind somit vorprogrammiert.
Der Weg zum unbeschwerten Bankschlüssel-Wechsel
Um Bankschlüssel und ‑zertifikate ohne Probleme regelmäßig erneuern zu können, sollte zunächst ein „weicher Schlüsselwechsel“ ermöglicht werden. Das heißt, nicht alle Kunden müssen von einem auf den anderen Tag ihre Bankschlüssel aktualisieren.
Ein solcher weicher Schlüsselwechsel ist möglich, wenn der EBICS-Bankrechner mit alten und neuen Bankschlüssel-Paaren parallel arbeiten kann. EBICS-Clients, die einen Wechsel erkennen und die Aktualisierung (ggf. auch automatisch) durchführen, nutzen den neuen Schlüssel, die anderen Clients weiter den alten. Im letzteren Fall kann die Bank die betreffenden Kunden ansprechen.
Als weitere Maßnahme muss der EBICS-CR EB-14-12 auf Client- und Serverseite umgesetzt werden. Der CR ist für die nächste EBICS-Spezifikation beschlossen und sieht u. a. vor, dass bei der Bankschlüssel-Abholung die neuen Bankschlüssel mit dem alten Bank-Authentifikationsschlüssel signiert sind (siehe www.ebics.org). Lediglich bei der ersten Bankschlüssel-Abholung ist dann noch eine manuelle Freischaltung im EBICS-Client erforderlich. Bei jedem weiteren HPB-Auftrag wird die Signatur geprüft, und die Bankschlüssel werden somit nach erfolgreicher Prüfung im EBICS-Client automatisch freigeschaltet.
Mit diesem Funktionsumfang ist es möglich, die Bankschlüssel vollautomatisiert zu erneuern.
Michael Lembcke
