10 Jahre EBICS – Eine Erfolgsgeschichte

Zu Beginn des Jahres 2008 war es endlich soweit: Jeder Firmenkunde in Deutschland konnte ab diesem Zeitpunkt sicher sein, dass er mit einem einheitlichen und sicheren Verfahren im Electronic Banking alle Banken und Sparkassen über das Internet erreichen konnte, um Überweisungen, Lastschriften und andere Aufträge zu senden und Kontoinformationen abzuholen. Die für Firmenkunden überaus wichtige Multibankfähigkeit wurde durch das DFÜ-Abkommen der Deutschen Kreditwirtschaft (DK) garantiert, das alle Kreditinstitute in Deutschland ab dem 1. Januar 2008 verpflichtete, ein neues einheitliches Verfahren namens EBICS (Electronic Banking Internet Communication Standard) im Datenaustausch mit Firmenkunden zu unterstützen.Auch wenn bereits damals abzusehen war, dass EBICS erfolgreich sein würde, war doch nicht mit der Erfolgsgeschichte zu rechnen, die EBICS seitdem geschrieben hat. EBICS ist inzwischen ein europäischer Standard für den sicheren Datenaustausch, nicht nur im Electronic Banking mit Firmenkunden, sondern auch im Interbankenzahlungsverkehr und hat das Zeug, auch für aktuelle Entwicklungen wie Instant Payments zum Standard zu werden. Doch davon später mehr.

Die Vorgeschichte: Der Weg zu EBICS

Genaugenommen ist EBICS älter als 10 Jahre, denn die eigentliche Geburtsstunde von EBICS ist der 18. Juli 2003. An diesem Tag stellte die SIZ GmbH auf einer Sondersitzung des damaligen ZKA (Zentraler Kredit Ausschuss = alter Name der DK) ein internetbasiertes Electronic-Banking-Verfahren namens WOP vor mit dem Ziel, entweder dieses Verfahren oder zumindest die Designgrundlagen dieses Verfahrens zur Basis eines neuen, multibankfähigen Internetstandards für die gesamte Deutsche Kreditwirtschaft zu machen. Das DFÜ-Abkommen des ZKA garantierte seit 1995 im Firmenkundengeschäft ein multibankfähiges Verfahren, BCS-FTAM. Doch dieses Filetransferverfahren basierte auf dem OSI-Standard FTAM für X.25- und ISDN-Verbindungen und war im Internetzeitalter längst nicht mehr „state of the art“. Trotz einiger Versuche war es seitdem nicht gelungen, einen gemeinsamen IP-basierten Standard zu etablieren. Es gab herstellerspezifische (z. B. MultiWeb, MCFT) und verbandsinterne Lösungsansätze (BCS-FTP), denen jedoch das Entscheidende fehlte: die Multibankfähigkeit. An diesem 18. Juli 2003 nun schien die Zeit reif für einen neuen Standard. Spontan bildete sich auf der Sondersitzung eine Arbeitsgruppe der DK mit dem Auftrag, einen gemeinsamen IP-basierten multibankfähigen Kommunikations- und Sicherheitsstandard zu entwickeln. Auf den Designgrundlagen von WOP entstand EBICS. Das von der Arbeitsgruppe erstellte Grobkonzept war die Basis für die EBICS-Spezifikation, die in der Version 1.0 bereits Mitte 2005 vorgelegt werden konnte.

EBICS war keine Revolution, sondern basierte von Beginn an auf einem evolutionären Konzept. Die Elemente von BCS-FTAM, die sich seit über 10 Jahren bewährt hatten, wurden beibehalten, und nur die Elemente, die nicht mehr dem aktuellen Stand der Technik entsprachen, wurden neu konzipiert. So wurde das Konzept der Auftragsarten und damit die Anwendungsneutralität ebenso beibehalten wie die Autorisierung von Zahlungsdaten durch Elektronische Unterschriften (EU). Neu an EBICS war vor allem, dass die X.25- bzw. ISDN-basierte Kommunikation von BCS-FTAM durch ein modernes, auf Internetstandards basierendes XML-Kommunikationsprotokoll ersetzt wurde. Des Weiteren wurde die EU durch das Konzept der Verteilten Elektronischen Unterschrift (VEU) erweitert, die es Firmenkunden ermöglicht, Aufträge, die z. B. automatisiert aus der Buchhaltung an die Bank übertragen werden, unabhängig von Zeit und Ort mittels EU zu autorisieren und dabei auch mobile Endgeräte zu nutzen.

Die SIZ GmbH hat die Entwicklung von EBICS im Jahre 2003 angestoßen und seitdem kontinuierlich begleitet. 2005 wurde das SIZ die Leitstelle der Deutschen Kreditwirtschaft für EBICS (Anlage 1 des DFÜ-Abkommens) und für die Datenformate im Electronic Banking und Zahlungsverkehr (Anlage 3 des DFÜ-Abkommens).

Die Sparkassen-Finanzgruppe war 2006 die erste Institutsgruppe in Deutschland, die EBICS flächendeckend unterstützte. 2007 folgten dann die genossenschaftlichen und öffentlichen Institute sowie Großbanken und andere Privatbanken.

EBICS: Der sichere Tunnel in unsicheren Netzen

Grundlage für die Entwicklung von EBICS war vor allem ein detailliertes Sicherheitskonzept. Da Daten im Electronic Banking und Zahlungsverkehr besonders geschützt werden müssen, wurden aus den möglichen Bedrohungen Sicherheitsanforderungen und Sicherheitsmaßnahmen für EBICS abgeleitet, die durch verschiedene kryptografische Maßnahmen die Vertraulichkeit, Integrität und Authentizität der Daten in potenziell unsicheren Netzen (z. B. Internet) garantieren. Dabei werden die Vertraulichkeit und die Integrität der Daten durch ein EBICS-spezifisches Verschlüsselungsverfahren gewährleistet, das zusätzlich zur TLS-Verschlüsselung auf der Transportebene eine End2End-Verschlüsselung der sensitiven Daten im Electronic Banking bietet. Die Authentizität der Kommunikation wird durch die Authentifikationssignatur eines jedes Datenpakets hergestellt. Die Autorisierung von Zahlungen erfolgt schließlich durch Elektronische Unterschriften, wobei je nach vertraglicher Vereinbarung zwischen Kunde und Bank verschiedene Berechtigungsmodelle zum Zuge kommen können (Einzel- und Mehrfachunterschriften, EU-Klassen, Limite etc.). Das Sicherheitskonzept wird seitdem regelmäßig überprüft und EBICS bei Bedarf weiterentwickelt, um das Verfahren an neue oder geänderte Bedrohungslagen und/oder technische Standards anzupassen. EBICS hat sich im Laufe der Jahre als ein überaus sicherer Standard bewährt: Bis zum heutigen Tag sind keine erfolgreichen Angriffe auf EBICS bekannt geworden.

Die wegweisenden Features von EBICS zur sicheren Übertragung sensitiver Daten:


2008: Die Einführung in Deutschland

Am 1. Januar 2008 war es dann soweit: Durch das DFÜ-Abkommen der Deutschen Kreditwirtschaft hatten sich alle Banken und Sparkassen in Deutschland verpflichtet, EBICS auf der Bankseite ab diesem Datum zu unterstützen. EBICS wurde von den Firmenkunden schneller als erwartet angenommen: Bereits im ersten Jahr migrierte ein Großteil der Firmenkunden von BCS-FTAM auf EBICS. Zu groß waren offenbar die Vorteile des neuen Verfahrens. Zu dem rasanten Erfolg von EBICS trug vor allem bei, dass die Übertragungsgeschwindigkeit des IP-basierten EBICS um ein Vielfaches höher war als bei FTAM, dass die Verwendung von Internetstandards die Einbindung in Firmen- und Banknetzwerke wesentlich vereinfachte und dass EBICS neue Features wie die Verteilte Elektronische Unterschrift bot. Entscheidend war aber, dass die für Firmenkunden zentrale Multibankfähigkeit durch das DFÜ-Abkommen der DK von Beginn an garantiert war. Erleichtert wurde der Umstieg dadurch, dass im Verfahren bereits Migrationsszenarien implementiert waren, die es ermöglichten, die Schlüssel für die Elektronische Unterschrift nahezu auf „Knopfdruck“ von BCS-FTAM auf EBICS umzustellen.

EBICS avanciert zum Interbank-Verfahren

Dass EBICS ein sehr sicheres Verfahren ist und gerade zur sicheren und schnellen Übertragung großer Datenmengen konzipiert ist, sprach sich schnell herum. So war es nicht verwunderlich, dass EBICS auch zum Kommunikationsstandard im Interbanken-Zahlungsverkehr avancierte. Vorreiter war hier die Deutsche Bundesbank, die bereits im Jahr 2008 EBICS als Kommunikationsverfahren für den SEPA-Clearer im Rahmen des EMZ einführte. Mittlerweile ist EBICS zum sicheren Austausch zwischen Banken und Clearinghäusern nicht mehr wegzudenken. Neben der Bundesbank setzt auch die EBA-Clearing im STEP2-Zahlungssystem auf EBICS und nicht zuletzt ist EBICS im sogenannten bilateralen Garagenclearing zwischen Banken seit vielen Jahren etabliert.
Auch für die Auslieferung von Daten durch Service-Rechenzentren wurde EBICS sehr schnell eingeführt. Im Jahr 2009 wurde hierzu die entsprechende Richtlinie der DK im Hinblick auf die EBICS-Unterstützung verabschiedet.

EBICS wird zum internationalen Standard

Bereits Ende 2006 wurde die französische Bankwirtschaft (CFONB) bei ihrer Suche nach einem neuen, sicheren und IP-basierten Kommunikationsverfahren auf EBICS aufmerksam. Ähnlich wie in Deutschland stand man auch in Frankreich vor der Situation, einen in die Jahre gekommenen Standard (ETEBAC) durch ein zukunftweisendes Verfahren abzulösen. Nach einer intensiven Evaluation verschiedener Alternativen erwies sich EBICS als das geeignete Verfahren und es kam ab 2008 zu einer Kooperation zwischen der französischen und deutschen Kreditwirtschaft. Im Sommer 2010 wurde dann in Brüssel die europäische EBICS-Gesellschaft nach belgischem Recht, die EBICS SCRL, gegründet. Inzwischen ist EBICS in Frankreich flächendeckend eingeführt und genauso erfolgreich wie in Deutschland. Mit der Gründung der EBICS-Gesellschaft wurde das SIZ zum offiziellen technischen Büro der Gesellschaft (europäische EBICS-Leitstelle) und koordiniert seitdem die EBICS-Workinggroup, also das Gremium der Gesellschaft, das für die Weiterentwicklung von EBICS zuständig ist.

Mit der Einführung von EBICS in Frankreich etablierten sich allerdings unterschiedliche „Dialekte“ in den beiden Ländern. Ganz pragmatisch im Vorgehen akzeptierte man, dass es aufgrund unterschiedlicher Anforderungen in den beiden Ländern auch unterschiedliche Ausprägungen des EBICS-Standards gab. Dies betraf vor allem die Darstellung von fachlichen Geschäftsvorfällen, die in Deutschland durch die bekannten dreistelligen Auftragsartenkürzel erfolgt, während in Frankreich Formatparameter zur Kennzeichnung genutzt werden. Daneben gab es weitere Unterschiede, so z. B. dass in Frankreich die verwendeten kryptografischen Schlüssel im X.509-Standard genutzt werden, während in Deutschland weiterhin ein aus BCS-FTAM stammendes proprietäres Format verwendet wird. In beiden Ländern wurde zwar im Kern EBICS „gesprochen“, aber bei der länderübergreifenden Kompatibilität hakte es doch, man sprach und spricht unterschiedliche „Mundarten“.

So richtig deutlich wurde dieses Manko, als 2015 mit der Schweiz ein weiteres Land Mitglied der EBICS-Gesellschaft wurde. Die Schweiz stand vor dem Dilemma, welchem „Dialekt“ sie denn nun folgen oder ob sie gar eine dritte, schweizerische „Mundart“ sprechen sollte.

Es war offensichtlich, dass unterschiedliche EBICS-Dialekte für die gewünschte Verbreitung des Standards in Europa nicht förderlich sind. Die Lösung konnte nur in einer Harmonisierung von EBICS liegen, die in der neuen EBICS V3.0 endlich angegangen wurde. Vor allem wurde durch die Einführung von BTFs (Business Transaction and Formats) eine zukunftsfähige, flexible und vor allem einheitliche Kennzeichnung von Geschäftsvorfällen für EBICS eingeführt. Zudem konnten weitere wichtige Harmonisierungen im EBICS-Standard erreicht werden, die EBICS zu einem einheitlichen internationalen Standard machen. Denn im elektronischen Zahlungsverkehr ist es wichtig, dass sich Partner erreichen, verstehen und vertrauen können. Für das Verstehen sorgen vor allem gemeinsame SEPA-Datenformate und die EBICS-einheitliche Kennzeichnung durch BTFs, für das Erreichen und das Vertrauen sorgt EBICS als gemeinsamer Kommunikations- und Sicherheitsstandard. EBICS V3.0 ist verabschiedet und kann ab Herbst 2018 eingeführt werden. In Deutschland wird EBICS V3.0 durch das DFÜ-Abkommen der DK ab 2021 verpflichtend für alle Institute der Deutschen Kreditwirtschaft.

10 Jahre EBICS: Rückblick und Ausblick

Heute gilt es zurückzublicken auf 10 Jahre EBICS in Deutschland. Was als Versuch begann, unterschiedliche, inkompatible  Entwicklungen im Electronic Banking in Deutschland einzufangen und die Multibankfähigkeit für Firmenkunden auch im Internetzeitalter zu gewährleisten, entwickelte sich zu einer Erfolgsgeschichte, die die nationalen Grenzen längst überwunden hat. Als offener Standard zum sicheren Austausch von Dateien ist EBICS weltweit bekannt und wird auch in Ländern genutzt, die (noch) nicht Mitglied in der EBICS-Gesellschaft sind. EBICS ist mittlerweile nicht nur ein Kunde-Bank-Verfahren, sondern ein etablierter Standard im Interbankenzahlungsverkehr und wird voraussichtlich auch eine wichtige Rolle sowohl in der Einreichung als auch im Clearing von Instant Payments spielen.

Doch was sind die Gründe für diesen lang anhaltenden Erfolg? Mir scheinen hier vor allem folgende Punkte ausschlaggebend:
  • Die Anwendungsneutralität von EBICS
    EBICS ist anwendungsneutral und kann die unterschiedlichsten Daten übertragen, da weder Formate noch bankfachliche Festlegungen in das Übertragungsprotokoll modelliert wurden. Darum kann EBICS so leicht in unterschiedlichen Ländern  und in unterschiedlichen Anwendungsszenarien eingesetzt werden.
  • Die Sicherheitsfeatures von EBICS
    Indem EBICS voneinander unabhängige kryptografische Verfahren für die Vertraulichkeit der Daten, für die Authentizität der Partner und der Kommunikation und für die Autorisierung von Aufträgen kombiniert, bietet es einen sicheren Tunnel in unsicheren Netzen.
  • Die Multibankfähigkeit
    Sowohl in Deutschland als auch in Frankreich ist EBICS ein multibankfähiges Verfahren. In Deutschland wird die Multibankfähigkeit durch das DFÜ-Abkommen der DK garantiert.
  • Die Anpassungsfähigkeit von EBICS
    Als offener Standard lässt sich EBICS durch seine Architektur an unterschiedliche Anforderungen anpassen und wird durch die EBICS-Gesellschaft kontinuierlich weiterentwickelt.
EBICS hat viel Vergangenheit hinter sich, sogar noch mehr als die 10 Jahre seit der verpflichtenden Einführung in Deutschland. Doch die Geschichte ist noch lange nicht zu Ende: Als offenem und sicherem Kommunikationsstandard steht EBICS die Zukunft offen. Die Erfahrung, dass die grundlegenden Designentscheidungen auch heute noch tragen und dass die Flexibilität des Verfahrens es ermöglicht, EBICS an neue Anforderungen anzupassen, stimmt zuversichtlich, dass EBICS weiterhin ein wichtiger Baustein im elektronischen Zahlungsverkehr in Europa sein wird.

Dieter Schweisfurth

Leiter Electronic Banking
SIZ GmbH

0 Kommentare:

Kommentar veröffentlichen