UBS goes EBICS

Patrik Giger, Head Payment Connectivity Services, UBS Switzerland AG

Bereits zum fünften Mal in Folge konnte UBS im Rahmen des von Euromoney durchgeführten Cash Management Surveys 2015 die Auszeichnung als "Best Domestic Cash Manager Switzerland" entgegennehmen. Dieser Erfolg beruht auf langjährigem Fokus auf Kundenbedürfnisse und optimaler Produkt- und Servicequalität.

Ein Bestandteil dieses Serviceangebots ist die Infrastruktur für die Direktanbindung von Kundensystemen. Hier hat sich über Jahre eine Schnittstelle bewährt, welche auf einem proprietären Datenaustausch basiert. Diese Direktanbindung wird von Kunden in der Schweiz genutzt. International nutzen Kunden vorwiegend eine Anbindung über SWIFT for Corporates oder Multibank-Angebote, um Zahlungsdaten und Reportings mit ihrem Finanzinstitut auszutauschen.

UBS-Kunden können bereits heute ihre globalen Finanzgeschäfte - vor allem auch für internationale Niederlassungen - sicher abwickeln. Ein grosses Ziel mit der neuen Infrastruktur ist, die Anbindung an Finanzinstitute noch sicherer, komfortabler und standardisierter zu gestalten.


Harmonisierung Zahlungsverkehr als Chance – und Herausforderung

Mit dem Gemeinschaftsvorhaben "Harmonisierung Zahlungsverkehr" haben sich die Schweizer Banken auf Plan geeinigt, bis im Jahre 2020 den Zahlungsverkehr in der Schweiz auf den internationalen ISO-20022-Standard zu heben (Details siehe http://www.paymentstandards.ch).
Konkret werden sich in den nächsten 4 Jahren bestehende Formate und Prozesse verändern, um Synergien in der Wertschöpfungskette zwischen Zahlungsverkehrsdienstleistern, Finanzinstituten und den Konsumenten nachhaltig ausschöpfen zu können. Diese Synergien werden schlussendlich zu Vorteilen für alle involvierten Akteure im Zahlungsverkehr führen. Der zu begehende Weg dahin ist nicht nur steil. Auch die Zeitvorgabe, um das Ziel zu erreichen, wurde sportlich berechnet. Was oft unterschätzt wird, sind die Auswirkungen, die diese Transformation auf Kunden haben wird. So wird die Formatveränderung mit grosser Sicherheit auch Veränderungen in den Prozessabläufen bei Firmenkunden nach sich ziehen.

Software-Partner als Drehscheibe der Harmonisierung

Die Informatikabteilung der Kunden sowie die IT-Berater respektive Software-Häuser spielen eine tragende Rolle bei der Migration des schweizerischen Zahlungsverkehrs. So verwenden über 90 Prozent der UBS-Kunden eine Standard-Software eines im Markt etablierten Herstellers für die Direktanbindung an ihre Banken. Kunden haben hier die klare Erwartung, dass die entsprechenden ERP (Enterprise Ressource Planning) respektive TMS (Treasury Management Software) Programme zeitgerecht und verlässlich mit den neuen ISO-Formaten umgehen können. Um den Software-Häusern den Weg zu den neuen ISO-20022-Formaten zu vereinfachen, stellt UBS eine dedizierte Testplattform zur Verfügung. Über diese können sowohl mittels manuellem Upload als auch über einen EBICS-Kanal Testdateien hochgeladen und validiert werden. Testergebnisse enthalten nebst den standardisierten Fehlercodes sehr detaillierte Informationen über allfällige Fehler oder suboptimale Nachrichtengestaltungen. Die Testplattform bietet Software-Anbietern auch einen "Readiness Test" an, welcher ihnen und ihren Kunden die ISO-20022-Fähigkeiten attestiert.

Bewährte proprietäre Lösung wird ersetzt

Bereits seit 2013 bietet UBS ihren Kunden EBICS als Kommunikationskanal an. Dieses Angebot wurde vereinzelt von Kunden mit sehr spezialisierter Finanz-Software gewählt. Die Mehrzahl der Kunden setzt nach wie vor die proprietäre Lösung ein. Dies ist vor allem darauf zurückzuführen, dass der Zahlungsverkehr in der Schweiz sehr stabil ist und sich über Jahrzehnte sehr wenig verändert hat. Es gab keinen Grund für Kunden, wie auch für lokale Software-Anbieter, die bestehenden und funktionierenden Lösungen im Bereich Zahlungsverkehr anzupassen. Das gleiche galt auch für Banken.

EBICS als idealer Kanal für ISO 20022

Weshalb nun zu den Formaten auch noch gleichzeitig die Kommunikationskanäle verändern? Analysen haben ergeben, dass der Aufwand sowohl auf Kunden- als auch auf Software-Partner- und Bankseite vergleichbar hoch ist, die neuen Formate im alten (proprietären) Kanal einzubauen, beziehungsweise die Bereitstellung über den neuen standardisierten EBICS-Kanal sicherzustellen. Führende Schweizer Finanzdienstleister bieten die Anbindung über EBICS bereits an oder sind in der Planung, diese Anbindung in naher Zukunft anzubieten.

Der Vorteil des EBICS-Standards liegt auf der Hand: Kunden werden davon profitieren, dass "Banken die gleiche Sprache sprechen". In der Schweiz haben wir zudem den Vorteil, dass wir auf bereits Bewährtes zählen können, denn EBICS hat sich in den letzten 10 Jahren, seit der Einführung in Deutschland, als stabiler und verlässlicher Kommunikationsstandard etabliert. Mit dem Beitritt der Schweiz als drittes Mitgliedsland in die EBICS-Gesellschaft (neben Deutschland und Frankreich) ist ein klares Signal gesetzt, dass die Schweizer Finanzdienstleister EBICS nicht als Nebenprodukt, sondern als strategischen Kommunikationskanal fördern.

Ringen um standardisierte Auftragsarten

Betreffend der Auftragsarten hat sich in der Schweiz der deutsche Ansatz durchgesetzt (Angabe des Inhaltes mit der Auftragsart), verglichen mit dem französischen Ansatz, der als Auftragsart lediglich "Upload" und "Download" kennt. Die Auftragsarten in der "Schweizer Empfehlung" werden weitestgehend harmonisiert. Durch die Migration des Zahlungsverkehrs besteht die grosse Chance, hier noch einen Schritt weiter zu gehen. So ist aktuell die Schweizer EBICS-Auftragsart "XE2" für Inlandüberweisungen sowie für SEPA- und für Auslandüberweisungen gültig. UBS setzt sich dafür ein, dass künftig die Auftragsarten ausgebaut werden, um den vollen Synergieeffekt von ISO 20022 und EBICS erzielen zu können. Konkret diskutiert man separate EBICS-Auftragsarten für Inlandzahlungen, Auslandzahlungen und SEPA-Zahlungen. Dieser Vorschlag wird innerhalb der relevanten Gremien intensiv diskutiert und UBS hofft, dass sich hier eine Standardisierung mit zusätzlichem Synergieeffekt erzielen lässt.

UBS goes EBICS – Globally!

UBS hat sich entschieden, die bestehende Kommunikations-Infrastruktur für den Massenzahlungsverkehr in der Schweiz mit einer standardisierten EBICS-Infrastruktur zu ersetzen. UBS geht noch einen Schritt weiter und plant EBICS auch als künftiges Protokoll für ihre Kunden in den globalen Buchungszentren sowohl in Europa als auch in Asien und den USA. Wichtig für diese Umsetzung ist, dass die Infrastruktur stabil und standardisiert ist. Durch die enge Zusammenarbeit mit der Firma PPI sind wir zusätzlich in der Lage, Kunden ohne EBICS-fähige Software künftig ein Plug-in zu empfehlen, welches für die Software des Kunden die Kommunikation übernimmt. Ausserdem wird zukünftig die Möglichkeit des EBICS-Portals "UBS KeyPort Web" als Alternative angeboten, wenn Kunden ihre Transaktionen als Dateien manuell über ein Internetportal hoch- beziehungsweise die Reporting Meldungen herunterladen wollen.

Das EBICS-Angebot von UBS richtet sich in erster Linie an Kunden, welche das Bedürfnis nach einer Direktanbindung an ihre ERP- und TMS-Systeme haben und in zweiter Linie an Kunden, welche ein "Multi-Booking-Center"-fähiges Portal für ihre Massenzahlungen benötigen. Für Individualtransaktionen und zusätzliche Informationen steht unseren Kunden nach wie vor das moderne und sehr vielseitige UBS e-banking zur Verfügung.

EBICS muss sich weiterentwickeln

UBS wird sowohl den deutschen (DK) als auch den französischen Standard unterstützen. Die Dringlichkeit einer weiteren Harmonisierung ist gegeben, denn schon mit drei Mitgliedern der EBICS-Gesellschaft ist die Vielzahl der unterschiedlichen Implementierungen hoch. Eine entsprechende weitere Harmonisierung wird von der EBICS-Gesellschaft unter dem Projektnamen BTF vorangetrieben (vgl. Artikel in diesem Blog von Sabine Wenzel, EBICS SCRL, http://www.ebicsblog.com/de/international-harmonisch-mit-ebics-btf/). Aus Sicht des Autors ist es essentiell, dass diese Harmonisierung mit sehr hoher Priorität vorangetrieben wird. Wir sind zuversichtlich, dass sich EBICS weiter global als Kommunikationsstandard ausbreiten wird. UBS ist hier an vorderster Front mit dabei und setzt auf EBICS in der Schweiz, in Deutschland, in Europa, in Asien und in den USA.

Patrik Giger

EBICS und TLS 1.2 – etwas sicherer, aber nicht ohne Tücken

Curd Reinert, Projektleiter EBICS-Kernel, PPI AG


Wer einen Blick in die aktuelle EBICS-Spezifikation wirft, stellt womöglich überrascht fest, dass dort für die Transport Layer Security (TLS) noch die Version 1.0 vorgeschrieben ist. Das war mal eine sehr kluge Wahl: Bei Veröffentlichung der EBICS-Spezifikation war TLS 1.0 der Stand der Technik. Man hat sich also vor allem gegen SSL entschieden. Und damit waren die Hersteller und Betreiber z. B. bei POODLE fein raus: EBICS schließt SSL aus, die EBICS-Anwendungen waren vor POODLE sicher. Ohnehin hätte POODLE bei einem EBICS-Client kaum eine Chance: Der Angreifer bringt den Client dazu, tausende Anfragen an den HTTPS-Server zu schicken, um z. B. an das Session-Cookie zu kommen. Bei EBICS wird aber weder ein Session-Cookie genutzt, noch sind die Clients Web-Anwendungen, die man per JavaScript dazu bringen kann, tausende Anfragen zu schicken. Aber erklären Sie das mal der Revision!


Und das war ja auch nur einer der bösen Angriffe mit den lustigen Namen: HEARTBLEED nutzte einen Fehler in der TLS-Implementierung von OpenSSL aus. Und dann ist da noch BEAST. Wie schon bei POODLE eignet sich EBICS auch nicht für den BEAST-Angriff. Aber der Ruf von TLS 1.0 ist nachhaltig beschädigt, und alle Seiten raten zum sicheren Nachfolger TLS 1.2.

Das hat man auch bei EBICS erkannt und entsprechende Change Requests für die nächste Version vorgesehen, um TLS 1.2 zu unterstützen. Leider verzögert sich diese nächste Version, und in der Zwischenzeit fragen die Revisoren: Wieso macht ihr mit EBICS noch TLS 1.0? „Weil es so in der Spezifikation steht“, reicht als Argument kaum noch aus, wenn das BSI offiziell vor dieser Version warnt. Auf der offiziellen EBICS-Seite stehen darum jetzt Sicherheitsempfehlungen, die zu TLS 1.2 raten – ohne zu erklären, wie sich das mit der Spezifikation vereinbaren lässt.

Wir haben 82 EBICS-Server in Deutschland und Frankreich getestet: Gerade einmal 52 Server konnten mit uns TLS 1.2 sprechen. Wenn Sie sich also als Kundenprodukthersteller heute dazu entschließen, TLS 1.0 gar nicht mehr zu unterstützen, dann können Sie sich mit ca. einem Drittel der EBICS-Server nicht mehr verbinden. Server-Betreibern dürfte es mit den Kundenprodukten in den unterschiedlichsten Versionen noch schlechter ergehen.



Was kann man dann tun? Man kann TLS 1.2 anbieten, ohne TLS 1.0 zu verbieten. Das geht sowohl als Client als auch als Server, und im TLS-Handshake einigen sich beide Seiten auf die sicherste gemeinsame Variante – so die Theorie. Bei immerhin 28 der getesteten Server hat das auch funktioniert. Leider haben wir aber auch zwei Server gefunden, die die Kommunikation rigoros abbrechen, wenn der Client TLS 1.2 vorschlägt. Das ist für die Hersteller von Kundenprodukten sehr unangenehm, weil die Clients dann nicht einfach „auf Verdacht“ TLS 1.2 vorschlagen können – oder sie nehmen in Kauf, dass die Kommunikation mit einigen wenigen Servern scheitert.

Wir haben die Betreiber der beiden EBICS-Server benachrichtigt. Da unser Test aber nicht alle EBICS-Server umfasst, sollte jeder Betreiber das Verhalten seines EBICS-Servers selbst prüfen.
Eine Frage drängt sich noch auf: Wie gefährlich wäre eine Entschlüsselung des TLS-Layers in EBICS überhaupt; welche Daten wären sichtbar? Die Auftragsdaten selber werden ein zweites Mal verschlüsselt und bleiben für den Angreifer unsichtbar. Es bleibt der XML-Rahmen um die Auftragsdaten, oder wie man es in der Post-Snowden-Ära nennt: Metadaten. Das sind vor allem die Auftragsart bzw. das Fileformat, die Kunden- und die Teilnehmer-ID. Mit anderen Worten: nicht besonders viel. Ob man damit die Gemüter beruhigen kann, steht auf einem ganz anderen Blatt.

Curd Reinert