Zu Beginn des Jahres 2008 war es endlich soweit: Jeder Firmenkunde in
Deutschland konnte ab diesem Zeitpunkt sicher sein, dass er mit einem
einheitlichen und sicheren Verfahren im Electronic Banking alle Banken
und Sparkassen über das Internet erreichen konnte, um Überweisungen,
Lastschriften und andere Aufträge zu senden und Kontoinformationen
abzuholen. Die für Firmenkunden überaus wichtige Multibankfähigkeit
wurde durch das DFÜ-Abkommen der Deutschen Kreditwirtschaft (DK)
garantiert, das alle Kreditinstitute in Deutschland ab dem 1. Januar
2008 verpflichtete, ein neues einheitliches Verfahren namens EBICS (
Electronic
Banking
Internet
Communication
Standard) im Datenaustausch mit Firmenkunden zu unterstützen.
Auch
wenn bereits damals abzusehen war, dass EBICS erfolgreich sein würde,
war doch nicht mit der Erfolgsgeschichte zu rechnen, die EBICS seitdem
geschrieben hat. EBICS ist inzwischen ein europäischer Standard für den
sicheren Datenaustausch, nicht nur im Electronic Banking mit
Firmenkunden, sondern auch im Interbankenzahlungsverkehr und hat das
Zeug, auch für aktuelle Entwicklungen wie Instant Payments zum Standard
zu werden. Doch davon später mehr.
Die Vorgeschichte: Der Weg zu EBICS
Genaugenommen
ist EBICS älter als 10 Jahre, denn die eigentliche Geburtsstunde von
EBICS ist der 18. Juli 2003. An diesem Tag stellte die SIZ GmbH auf
einer Sondersitzung des damaligen ZKA (
Zentraler
Kredit
Ausschuss
= alter Name der DK) ein internetbasiertes Electronic-Banking-Verfahren
namens WOP vor mit dem Ziel, entweder dieses Verfahren oder zumindest
die Designgrundlagen dieses Verfahrens zur Basis eines neuen,
multibankfähigen Internetstandards für die gesamte Deutsche
Kreditwirtschaft zu machen. Das DFÜ-Abkommen des ZKA garantierte seit
1995 im Firmenkundengeschäft ein multibankfähiges Verfahren, BCS-FTAM.
Doch dieses Filetransferverfahren basierte auf dem OSI-Standard FTAM für
X.25- und ISDN-Verbindungen und war im Internetzeitalter längst nicht
mehr „state of the art“. Trotz einiger Versuche war es seitdem nicht
gelungen, einen gemeinsamen IP-basierten Standard zu etablieren. Es gab
herstellerspezifische (z. B. MultiWeb, MCFT) und verbandsinterne
Lösungsansätze (BCS-FTP), denen jedoch das Entscheidende fehlte: die
Multibankfähigkeit. An diesem 18. Juli 2003 nun schien die Zeit reif für
einen neuen Standard. Spontan bildete sich auf der Sondersitzung eine
Arbeitsgruppe der DK mit dem Auftrag, einen gemeinsamen IP-basierten
multibankfähigen Kommunikations- und Sicherheitsstandard zu entwickeln.
Auf den Designgrundlagen von WOP entstand EBICS. Das von der
Arbeitsgruppe erstellte Grobkonzept war die Basis für die
EBICS-Spezifikation, die in der Version 1.0 bereits Mitte 2005 vorgelegt
werden konnte.
EBICS war keine Revolution, sondern basierte von
Beginn an auf einem evolutionären Konzept. Die Elemente von BCS-FTAM,
die sich seit über 10 Jahren bewährt hatten, wurden beibehalten, und nur
die Elemente, die nicht mehr dem aktuellen Stand der Technik
entsprachen, wurden neu konzipiert. So wurde das Konzept der
Auftragsarten und damit die Anwendungsneutralität ebenso beibehalten wie
die Autorisierung von Zahlungsdaten durch Elektronische Unterschriften
(EU). Neu an EBICS war vor allem, dass die X.25- bzw. ISDN-basierte
Kommunikation von BCS-FTAM durch ein modernes, auf Internetstandards
basierendes XML-Kommunikationsprotokoll ersetzt wurde. Des Weiteren
wurde die EU durch das Konzept der Verteilten Elektronischen
Unterschrift (VEU) erweitert, die es Firmenkunden ermöglicht, Aufträge,
die z. B. automatisiert aus der Buchhaltung an die Bank übertragen
werden, unabhängig von Zeit und Ort mittels EU zu autorisieren und dabei
auch mobile Endgeräte zu nutzen.
Die SIZ GmbH hat die Entwicklung
von EBICS im Jahre 2003 angestoßen und seitdem kontinuierlich
begleitet. 2005 wurde das SIZ die Leitstelle der Deutschen
Kreditwirtschaft für EBICS (Anlage 1 des DFÜ-Abkommens) und für die
Datenformate im Electronic Banking und Zahlungsverkehr (Anlage 3 des
DFÜ-Abkommens).
Die Sparkassen-Finanzgruppe war 2006 die erste
Institutsgruppe in Deutschland, die EBICS flächendeckend unterstützte.
2007 folgten dann die genossenschaftlichen und öffentlichen Institute
sowie Großbanken und andere Privatbanken.
EBICS: Der sichere Tunnel in unsicheren Netzen
Grundlage
für die Entwicklung von EBICS war vor allem ein detailliertes
Sicherheitskonzept. Da Daten im Electronic Banking und Zahlungsverkehr
besonders geschützt werden müssen, wurden aus den möglichen Bedrohungen
Sicherheitsanforderungen und Sicherheitsmaßnahmen für EBICS abgeleitet,
die durch verschiedene kryptografische Maßnahmen die Vertraulichkeit,
Integrität und Authentizität der Daten in potenziell unsicheren Netzen
(z. B. Internet) garantieren. Dabei werden die Vertraulichkeit und die
Integrität der Daten durch ein EBICS-spezifisches
Verschlüsselungsverfahren gewährleistet, das zusätzlich zur
TLS-Verschlüsselung auf der Transportebene eine End2End-Verschlüsselung
der sensitiven Daten im Electronic Banking bietet. Die Authentizität der
Kommunikation wird durch die Authentifikationssignatur eines jedes
Datenpakets hergestellt. Die Autorisierung von Zahlungen erfolgt
schließlich durch Elektronische Unterschriften, wobei je nach
vertraglicher Vereinbarung zwischen Kunde und Bank verschiedene
Berechtigungsmodelle zum Zuge kommen können (Einzel- und
Mehrfachunterschriften, EU-Klassen, Limite etc.). Das Sicherheitskonzept
wird seitdem regelmäßig überprüft und EBICS bei Bedarf
weiterentwickelt, um das Verfahren an neue oder geänderte
Bedrohungslagen und/oder technische Standards anzupassen. EBICS hat sich
im Laufe der Jahre als ein überaus sicherer Standard bewährt: Bis zum
heutigen Tag sind keine erfolgreichen Angriffe auf EBICS bekannt
geworden.
Die wegweisenden Features von EBICS zur sicheren Übertragung sensitiver Daten:
2008: Die Einführung in Deutschland
Am 1.
Januar 2008 war es dann soweit: Durch das DFÜ-Abkommen der Deutschen
Kreditwirtschaft hatten sich alle Banken und Sparkassen in Deutschland
verpflichtet, EBICS auf der Bankseite ab diesem Datum zu unterstützen.
EBICS wurde von den Firmenkunden schneller als erwartet angenommen:
Bereits im ersten Jahr migrierte ein Großteil der Firmenkunden von
BCS-FTAM auf EBICS. Zu groß waren offenbar die Vorteile des neuen
Verfahrens. Zu dem rasanten Erfolg von EBICS trug vor allem bei, dass
die Übertragungsgeschwindigkeit des IP-basierten EBICS um ein Vielfaches
höher war als bei FTAM, dass die Verwendung von Internetstandards die
Einbindung in Firmen- und Banknetzwerke wesentlich vereinfachte und dass
EBICS neue Features wie die Verteilte Elektronische Unterschrift bot.
Entscheidend war aber, dass die für Firmenkunden zentrale
Multibankfähigkeit durch das DFÜ-Abkommen der DK von Beginn an
garantiert war. Erleichtert wurde der Umstieg dadurch, dass im Verfahren
bereits Migrationsszenarien implementiert waren, die es ermöglichten,
die Schlüssel für die Elektronische Unterschrift nahezu auf „Knopfdruck“
von BCS-FTAM auf EBICS umzustellen.
EBICS avanciert zum Interbank-Verfahren
Dass
EBICS ein sehr sicheres Verfahren ist und gerade zur sicheren und
schnellen Übertragung großer Datenmengen konzipiert ist, sprach sich
schnell herum. So war es nicht verwunderlich, dass EBICS auch zum
Kommunikationsstandard im Interbanken-Zahlungsverkehr avancierte.
Vorreiter war hier die Deutsche Bundesbank, die bereits im Jahr 2008
EBICS als Kommunikationsverfahren für den SEPA-Clearer im Rahmen des EMZ
einführte. Mittlerweile ist EBICS zum sicheren Austausch zwischen
Banken und Clearinghäusern nicht mehr wegzudenken. Neben der Bundesbank
setzt auch die EBA-Clearing im STEP2-Zahlungssystem auf EBICS und nicht
zuletzt ist EBICS im sogenannten bilateralen Garagenclearing zwischen
Banken seit vielen Jahren etabliert.
Auch für die Auslieferung von
Daten durch Service-Rechenzentren wurde EBICS sehr schnell eingeführt.
Im Jahr 2009 wurde hierzu die entsprechende Richtlinie der DK im
Hinblick auf die EBICS-Unterstützung verabschiedet.
EBICS wird zum internationalen Standard
Bereits
Ende 2006 wurde die französische Bankwirtschaft (CFONB) bei ihrer Suche
nach einem neuen, sicheren und IP-basierten Kommunikationsverfahren auf
EBICS aufmerksam. Ähnlich wie in Deutschland stand man auch in
Frankreich vor der Situation, einen in die Jahre gekommenen Standard
(ETEBAC) durch ein zukunftweisendes Verfahren abzulösen. Nach einer
intensiven Evaluation verschiedener Alternativen erwies sich EBICS als
das geeignete Verfahren und es kam ab 2008 zu einer Kooperation zwischen
der französischen und deutschen Kreditwirtschaft. Im Sommer 2010 wurde
dann in Brüssel die europäische EBICS-Gesellschaft nach belgischem
Recht, die EBICS SCRL, gegründet. Inzwischen ist EBICS in Frankreich
flächendeckend eingeführt und genauso erfolgreich wie in Deutschland.
Mit der Gründung der EBICS-Gesellschaft wurde das SIZ zum offiziellen
technischen Büro der Gesellschaft (europäische EBICS-Leitstelle) und
koordiniert seitdem die EBICS-Workinggroup, also das Gremium der
Gesellschaft, das für die Weiterentwicklung von EBICS zuständig ist.
Mit
der Einführung von EBICS in Frankreich etablierten sich allerdings
unterschiedliche „Dialekte“ in den beiden Ländern. Ganz pragmatisch im
Vorgehen akzeptierte man, dass es aufgrund unterschiedlicher
Anforderungen in den beiden Ländern auch unterschiedliche Ausprägungen
des EBICS-Standards gab. Dies betraf vor allem die Darstellung von
fachlichen Geschäftsvorfällen, die in Deutschland durch die bekannten
dreistelligen Auftragsartenkürzel erfolgt, während in Frankreich
Formatparameter zur Kennzeichnung genutzt werden. Daneben gab es weitere
Unterschiede, so z. B. dass in Frankreich die verwendeten
kryptografischen Schlüssel im X.509-Standard genutzt werden, während in
Deutschland weiterhin ein aus BCS-FTAM stammendes proprietäres Format
verwendet wird. In beiden Ländern wurde zwar im Kern EBICS „gesprochen“,
aber bei der länderübergreifenden Kompatibilität hakte es doch, man
sprach und spricht unterschiedliche „Mundarten“.
So richtig
deutlich wurde dieses Manko, als 2015 mit der Schweiz ein weiteres Land
Mitglied der EBICS-Gesellschaft wurde. Die Schweiz stand vor dem
Dilemma, welchem „Dialekt“ sie denn nun folgen oder ob sie gar eine
dritte, schweizerische „Mundart“ sprechen sollte.
Es war
offensichtlich, dass unterschiedliche EBICS-Dialekte für die gewünschte
Verbreitung des Standards in Europa nicht förderlich sind. Die Lösung
konnte nur in einer Harmonisierung von EBICS liegen, die in der neuen
EBICS V3.0 endlich angegangen wurde. Vor allem wurde durch die
Einführung von BTFs (
Business
Transaction and
Formats)
eine zukunftsfähige, flexible und vor allem einheitliche Kennzeichnung
von Geschäftsvorfällen für EBICS eingeführt. Zudem konnten weitere
wichtige Harmonisierungen im EBICS-Standard erreicht werden, die EBICS
zu einem einheitlichen internationalen Standard machen. Denn im
elektronischen Zahlungsverkehr ist es wichtig, dass sich Partner
erreichen, verstehen und vertrauen können. Für das Verstehen sorgen vor
allem gemeinsame SEPA-Datenformate und die EBICS-einheitliche
Kennzeichnung durch BTFs, für das Erreichen und das Vertrauen sorgt
EBICS als gemeinsamer Kommunikations- und Sicherheitsstandard. EBICS
V3.0 ist verabschiedet und kann ab Herbst 2018 eingeführt werden. In
Deutschland wird EBICS V3.0 durch das DFÜ-Abkommen der DK ab 2021
verpflichtend für alle Institute der Deutschen Kreditwirtschaft.
10 Jahre EBICS: Rückblick und Ausblick
Heute
gilt es zurückzublicken auf 10 Jahre EBICS in Deutschland. Was als
Versuch begann, unterschiedliche, inkompatible Entwicklungen im
Electronic Banking in Deutschland einzufangen und die Multibankfähigkeit
für Firmenkunden auch im Internetzeitalter zu gewährleisten,
entwickelte sich zu einer Erfolgsgeschichte, die die nationalen Grenzen
längst überwunden hat. Als offener Standard zum sicheren Austausch von
Dateien ist EBICS weltweit bekannt und wird auch in Ländern genutzt, die
(noch) nicht Mitglied in der EBICS-Gesellschaft sind. EBICS ist
mittlerweile nicht nur ein Kunde-Bank-Verfahren, sondern ein etablierter
Standard im Interbankenzahlungsverkehr und wird voraussichtlich auch
eine wichtige Rolle sowohl in der Einreichung als auch im Clearing von
Instant Payments spielen.
Doch was sind die Gründe für diesen lang anhaltenden Erfolg? Mir scheinen hier vor allem folgende Punkte ausschlaggebend:
- Die Anwendungsneutralität von EBICS
EBICS
ist anwendungsneutral und kann die unterschiedlichsten Daten
übertragen, da weder Formate noch bankfachliche Festlegungen in das
Übertragungsprotokoll modelliert wurden. Darum kann EBICS so leicht in
unterschiedlichen Ländern und in unterschiedlichen Anwendungsszenarien
eingesetzt werden.
- Die Sicherheitsfeatures von EBICS
Indem
EBICS voneinander unabhängige kryptografische Verfahren für die
Vertraulichkeit der Daten, für die Authentizität der Partner und der
Kommunikation und für die Autorisierung von Aufträgen kombiniert, bietet
es einen sicheren Tunnel in unsicheren Netzen.
- Die Multibankfähigkeit
Sowohl
in Deutschland als auch in Frankreich ist EBICS ein multibankfähiges
Verfahren. In Deutschland wird die Multibankfähigkeit durch das
DFÜ-Abkommen der DK garantiert.
- Die Anpassungsfähigkeit von EBICS
Als
offener Standard lässt sich EBICS durch seine Architektur an
unterschiedliche Anforderungen anpassen und wird durch die
EBICS-Gesellschaft kontinuierlich weiterentwickelt.
EBICS
hat viel Vergangenheit hinter sich, sogar noch mehr als die 10 Jahre
seit der verpflichtenden Einführung in Deutschland. Doch die Geschichte
ist noch lange nicht zu Ende: Als offenem und sicherem
Kommunikationsstandard steht EBICS die Zukunft offen. Die Erfahrung,
dass die grundlegenden Designentscheidungen auch heute noch tragen und
dass die Flexibilität des Verfahrens es ermöglicht, EBICS an neue
Anforderungen anzupassen, stimmt zuversichtlich, dass EBICS weiterhin
ein wichtiger Baustein im elektronischen Zahlungsverkehr in Europa sein
wird.
Dieter Schweisfurth
Leiter Electronic Banking
SIZ GmbH
