Warum Banken alte EBICS-Versionen abschalten sollten

Haben Sie noch den Überblick über die verfügbaren EBICS-Versionen? Auf welchem Stand ist Ihr EBICS-Client? Welche Versionen lässt der Bankrechner zu? Dieser Artikel gibt einen Überblick und erklärt, was ein Wildwuchs an Versionen für die Nutzer zur Folge hat.


EBICS wird in Deutschland seit dem 1. Januar 2008 mit der Version 2.3 offiziell eingesetzt. Davor wurden bereits EBICS-Leistungen ab der Version 2.0 von einigen Kreditinstituten angeboten. Die erste gemeinsam mit Frankreich entwickelte Version ist die Version 2.4, die in der finalen Fassung 2.4.2 seit dem 16. Februar 2010 gültig ist. Die aktuelle verfügbare EBICS-Version ist die Version 2.5 vom 16. Mai 2011, die vorrangig in Deutschland und der Schweiz von den Kreditinstituten angeboten wird. Eine neue Version 2.6 ist voraussichtlich für 2016 derzeit in Vorbereitung. Zählt man nun alle veröffentlichten Versionen zusammen, so kommt man auf insgesamt 6 (ohne die zukünftige 2.6), zu denen es passende Bankrechner- und Kundensystem-Implementierungen gab und gibt.

Kunde und Bank benötigen eine gemeinsame EBICS-Version

Das EBICS-Protokoll basiert auf XML-Strukturen. Eine neue EBICS-Version ist neben den inhaltlichen Änderungen und Neuerungen im Wesentlichen durch eine neue XML-Schema-Version gekennzeichnet. Ein EBICS-Kundensystem kann mittels der Auftragsart HEV auf Basis der neutralen Schema-Version H000 die vom jeweiligen Bankrechner unterstützen Versionen abfragen und dann im positiven Fall die Kommunikation mit der aktuellsten gemeinsamen Version fortführen. Ein EBICS-Bankrechner und ein EBICS-Kundensystem können demnach nur dann fehlerfrei miteinander kommunizieren, wenn sich beide auf Basis der gleichen EBICS-Version austauschen. Wäre die Vielfalt der zulässigen Versionen zu groß, würde das Risiko steigen, dass die Kommunikationspartner nicht über eine gemeinsame Version verfügen. Ein Datenaustausch wäre nicht möglich.
Ein EBICS-Bankrechner, der immer alle möglichen EBICS-Versionen unterstützt, wäre mindestens wartungsaufwendig. Außerdem würden sämtliche Verbesserungen, die nur neuere Versionen beinhalten, durch die Nutzung alter Versionen unterlaufen, darunter auch wichtige Sicherheitsfunktionen. Daher hat man sich bei der EBICS-Spezifikation darauf verständigt, bankseitig immer nur die aktuelle und die vorherige EBICS-Version zwingend zu unterstützen.

Updates werden verschlafen – das birgt Risiken

In der Praxis kann das anders aussehen. Kunden versäumen es, zum Teil auch aus Unkenntnis, ihr EBICS-System auf die aktuelle Version zu aktualisieren. Banken versäumen es, die Kunden darauf hinzuweisen und lassen weiterhin auch ältere EBICS-Versionen zu. Der Überblick geht verloren und das beschriebene Risiko nimmt zu.

Daher empfehlen wir den Kreditinstituten, neben den eigenen auch die von ihren Firmenkunden genutzten EBICS-Versionen im Auge zu behalten und ggf. Kunden rechtzeitig zu Updates zu raten. Alte Versionen sollten von den Kreditinstituten bewusst nicht mehr unterstützt und sogar abgeschaltet werden. Firmenkunden selbst sollten von sich aus die Versionen ihrer EBICS-Software auf dem aktuellen Stand halten und regelmäßige Updates einplanen.

Wichtig dabei ist, den Überblick über die genutzten EBICS-Versionen zu behalten und Risiken durch regelmäßige Updates zu reduzieren. Denn im nächsten Jahr wird es voraussichtlich heißen: „EBICS 2.6 gilt“.

Michael Lembcke 

Weiterlesen

Die Rolle von EBICS beim Datenaustausch über SEPAmail™ zwischen Banken und Unternehmen

SEPAmail™ wurde auf Initiative französischer Großbanken (BPCE, CM-CIC, Société Générale, BNP Paribas, Crédit Agricole) konzipiert, um Unternehmen den elektronischen Austausch nicht buchungsrelevanter Zahlungsdokumente wie Rechnungen, Anweisungen, Avise usw. zu erleichtern. Mit dieser Secure-Messaging-Lösung für den Interbankenaustausch lassen sich die herkömmlichen Zahlungsvorgänge (Überweisung, Abbuchung usw.) um neue kundenorientierte Zahlungsdienste ergänzen.


Dazu gehören:

• Begleichung elektronischer Rechnungen
• Erhöhung der Zuverlässigkeit von IBAN-Daten und Bekämpfung von IBAN-Betrug

Alle weiteren Informationen über SEPAmail™ finden Sie unter www.sepamail.eu.
Entsprechend dem 4-Corner-Modell, auf dem die SEPAmail™-Norm basiert, gliedert sich der Austausch in zwei Typen:

• den Austausch von Nachrichten im Interbankenverkehr (gemäß der SEPAmail™-Terminologie über „Briefe“ bzw. „Missives“): Webservice oder S/MIME
• den Austausch von Dateien zwischen Banken und Firmenkunden

Als Kanal für den Dateiaustausch hat sich PPI France sehr früh für SEPAmail™ interessiert und seit Dezember 2012 an einem Test mitgewirkt, um die Eignung von EBICS für die Zwei-Wege-Übertragung von SEPAmail™-Daten zu bestätigen.
Der Test bestand aus folgenden Schritten:

• einen Brief sowie einen Briefstapel mit Auftragseinreichungen über die Auftragsart FUL übertragen,
• einen Brief sowie einen Briefstapel mit Bestätigungen über die Bearbeitung einer eingereichten Datei vom Typ pain.002 über die Auftragsart PSR abrufen
• einen Briefstapel mit Transaktionsauszügen über die Auftragsart FDL herunterladen

Nachdem sowohl das Kundensystem als auch der Bankserver entsprechend konfiguriert waren (TRAVIC-Software), hat der erfolgreiche Datenaustauschs bestätigt, dass Banken und Kunden ihre EBICS-Systeme gleichermaßen für den Austausch über SEPAmail™ nutzen können.
Dank dieses Tests können wir einige Empfehlungen geben. Hierzu gehören insbesondere:

• ein Dokument zur vereinfachten Benennung der Dateien
• ein Leitfaden über die gemeinsame Umsetzung von SEPAmail™ und EBICS für Banken, Unternehmen und Dienstleister

Einige zuverlässige Dienstleister und Betreiber haben übrigens schnell erkannt, wie wichtig es ist, eine SEPAmail™-Lösung anzubieten, die den EBICS-Kanal unterstützt. Der Hersteller GFI bietet seinen Bank- und Unternehmenskunden die erste vollständig normkonforme Lösung an.
„Die Strategie unseres Angebots beruht auf drei Grundprinzipien: 

• Einfachheit: minimale Auswirkung auf das Informationssystem unserer Kunden
• Effizienz: beschleunigte Markteinführung
• Kostenkontrolle: die Erstinvestitionen der Kunden möglichst gering halten, um den Aufbau eines Geschäftspartnernetzes zu erleichtern

Vor diesem Hintergrund hat sich uns die Verwendung des EBICS-Kanals förmlich aufgedrängt. Dieser Kanal gewährleistet das notwendige Maß an Schutz und Rückverfolgbarkeit beim Austausch über SEPAmail™, und das Verfahren ist unseren Kunden aus dem Datenverkehr zwischen Banken und Firmenkunden vertraut “, erklärt uns Lionel Chemla, der Angebotsleiter für SEPAmail™ bei GFI.

Und so, wie sich EBICS außer in Deutschland und Frankreich auch in Portugal, in der Schweiz, in Österreich und demnächst in weiteren europäischen Staaten verbreitet, wird in Zukunft zweifellos auch SEPAmail™ auf der Grundlage der ISO-Norm 20022 das Interesse von europäischen Unternehmen außerhalb Frankreichs wecken...

Marc Dutech 

Weiterlesen

Blog-Serie: Wie sich EBICS verbessern lässt, Teil 3 – EBICS jetzt auch online

Ist es wirklich so, dass die Anforderungen von Firmenkunden im eBanking ausschließlich auf den dateibasierten Datenaustausch abzielen? Oder sind hier nicht auch Online-Geschäftsvorfälle gefragt? Warum sonst nutzen insbesondere kleinere Firmenkunden häufig eBanking-Lösungen aus dem Anwendungsumfeld für Privatkunden?


Das EBICS-Protokoll hat sich historisch gesehen aus dem Filetransfer heraus entwickelt und ist hervorragend für den sicheren und performanten Austausch großer Dateien zwischen Firmenkunden und Banken sowie im Interbankenverkehr geeignet. Die auszutauschenden Dateien sind je nach Geschäftsvorfall mit Auftragsarten oder Formatparametern gekennzeichnet. Diese steuern dann den jeweiligen Prozess.

Beim Einreichen von Daten über EBICS wird die Datenverbindung bei erfolgreicher Teilnehmer-Authentifizierung ausschließlich für die Dauer der Datenübertragung offen gehalten. Die eigentliche Verarbeitung erfolgt üblicherweise offline. Die Verarbeitungsergebnisse müssen anschließend über einen separaten Geschäftsvorfall heruntergeladen werden (PTK/HAC). Ebenso werden auf dem Bankrechner abzuholende Daten, zum Beispiel Umsatzinformationen, regelmäßig offline für Abholungen bereitgestellt. Diese Daten können dann als Datei über EBICS abgeholt werden.
Für die Online-Erfassung von Zahlungsverkehrsaufträgen und deren Autorisierung sowie die Online-Abfrage von Kontoinformationen ist der EBICS-Standard derzeit nicht ausgelegt. Diese Funktionen werden von proprietären Web-Portalen im Privatkundengeschäft sowie von nationalen Standards unterstützt, in Deutschland etwa HBCI/FinTS. Möchte ein Firmenkunde heute unter Berücksichtigung der verfügbaren Standards und Verfahren die Vorzüge von Online-Geschäftsvorfällen und EBICS gleichermaßen nutzen, so muss er unter Umständen unterschiedliche Lösungen mit verschiedenen Zugängen einsetzen.

Daher wäre es sinnvoll, den EBICS-Standard um die relevanten Online-Prozesse zu erweitern, zum Beispiel:

• Auskunft über Kontensalden: Über das EBICS-Protokoll könnte eine Online-Auskunft über aktuelle Kontensalden geliefert werden. Dabei wird in EBICS die Verbindung zur Abfrage offen gehalten. Hiermit verfügt der Firmenkunde stets zeitnah über den aktuellen Kontenstand.
• Auskunft über Status- und Verarbeitungsergebnissen zu Einreichungsaufträgen: Der Kunde benötigt einen Status des jeweils eingereichten Auftrages. In Verbindung mit einer neu einzuführenden Kundenauftragsreferenz (siehe Blogbeitrag vom 18.12.2014) macht eine Online-Einzelabfrage zum Auftragsstatus den Auswertungsprozess für den Firmenkunden erheblich einfacher und klarer. Gegebenenfalls erübrigt sich dann auch so mancher Anruf zur Statusauskunft bei der Bank.

Natürlich gäbe es noch weitere Einsatzmöglichkeiten. Wichtig ist aber, dass es hier nicht um eine Konkurrenz zu anderen Standards oder Verfahren im Privatkundensektor geht. Vielmehr sollte es das Ziel sein, den EBICS-Standard auf die eBanking-Bedürfnisse der Banken und der Firmenkunden anzupassen und so EBICS zukunftssicher weiterzuentwickeln.

Michael Lembcke 

Weiterlesen