Posts mit dem Label Frankreich werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Frankreich werden angezeigt. Alle Posts anzeigen

EBICS – Chancen der Internationalisierung

Thomas Stosberg, GTB Product Management, Deutsche Bank AG

Die Schweiz ist als drittes Land neben Deutschland und Frankreich der EBICS-Gesellschaft beigetreten und markiert damit den nächsten Schritt zur Internationalisierung von EBICS. Hat EBICS das Potenzial zu einem internationalen Standard und ist dieser im Interesse von Kunden und Banken?


Die verschiedenen Gremien eines Landes, die sich mit der Abwicklung von (nationalem) Zahlungsverkehr beschäftigen, sind bestrebt, im Interesse von Kunden und Banken eine stabile und standardisierte Zahlungsverkehrslösung anzubieten. Die Adaption eines neuen Standards setzt immer eine starke Motivation voraus – meistens resultierend aus Problemen mit der technischen Sicherheit und/oder den Kosten für den Betrieb der bisherigen Lösung; oder anders formuliert: Länder mit einer praktikablen Lösung für alle lokalen Marktteilnehmer werden sich mit hoher Wahrscheinlichkeit nicht mit der Adaption eines neuen Standards auseinandersetzen. Für alle Länder, die sich aber mit einem neuen Standard beschäftigen, könnte EBICS eine geeignete Option sein.

Die Kunden-Sicht

Die Zielkunden von EBICS – Unternehmen jeder Größe, von Kleinstbetrieben bis zu internationalen Konzernen – suchen eine Zahlungsverkehrslösung, die zwei Grundvoraussetzungen erfüllt: zum einen geringe Kosten und zum anderen eine einfache, sichere, revisionskonforme, automatisierte und standardisierte Anbindung der eigenen Infrastruktur an alle Banken (bezogen auf die Bankkommunikation und die genutzten Zahlungsverkehrsformate). Letztere erlaubt eine gleichartige Integration aller Bankpartner mit der Möglichkeit, den Zahlungsverkehr flexibel auf verschiedene Banken zu verteilen und auf technische Probleme im Rahmen einer Notfallplanung reagieren zu können.

EBICS kann diese Anforderungen aus Kundensicht vollständig erfüllen. Bezogen auf die Implementierung in Deutschland kann sogar die vollständige Prozessautomatisierung durch den Einsatz digitaler Signaturen ohne Nutzung von Zertifikaten und einer „Corporate Seal“-Autorisierung erreicht werden.

Die Weiterentwicklung, im deutschen Markt das CGI-MP-XML-Format für die Abwicklung von weltweitem Zahlungsverkehr anzubieten, hat zusätzlich die Grundlage geschaffen, EBICS als globale Bankkommunikation alternativ zu einer SWIFT- bzw. einer Host-to-Host-Anbindung für Kunden zu etablieren.

Die Bank-Sicht

Banken können zukünftig nicht mehr mit proprietären technischen Lösungen am Markt bestehen. Eine bankindividuelle technische Lösung (Bankkommunikation und Zahlungsverkehrsformat) wird von Kunden weder positiv als Alleinstellungsmerkmal und Verkaufsargument wahrgenommen, noch kann sie aus Bankensicht als betriebswirtschaftlich rentable Lösung eingesetzt und gepflegt werden.
Entsprechend wird der Wettbewerb zwischen Banken ausschließlich auf der Grundlage von angebotenen Bankdienstleistungen und deren Preis stattfinden. Die Erwartungshaltung der Kunden ist, dass die zugrundeliegende technische Lösung für Zahlungsverkehr ähnlich standardisiert ist wie Strom aus der Steckdose.

Die Einführung von EBICS in Frankreich hat gezeigt, dass die Auswirkungen eines gemeinsamen Standards auf die eigene Kundenbasis und die Erträge eher gering sind. Dies hängt damit zusammen, dass die Kundenschnittstellen beider Länder unterschiedlich sind und generell Kunden die Auswahl ihrer Bankbeziehungen nicht von den angebotenen Zugangskanälen abhängig machen.
Bezogen auf die Kundenschnittstelle bietet EBICS für Banken die Möglichkeit, einen solchen standardisierten Service für mehrere Länder anzubieten. Daneben kann EBICS auch als Clearing-Zugang für SEPA-Zahlungen verwendet werden.


EBICS als Chance zur Internationalisierung 
      
EBICS ist aus Kundensicht eine attraktive Bankkommunikation. Für Banken bietet sich mit EBICS die Möglichkeit einen standardisierten Zugang für mehrere Länder auf Grundlage einer Infrastruktur anzubieten. Dies ist auch dann zutreffend, wenn eine Bank primär nur in einem Land tätig ist, da man eigene Kunden mit Niederlassungen im SEPA-Raum ohne größere Investitionen unterstützen könnte. Durch die bereits erfolgte Adaption von EBICS in den beiden größten europäischen Ländern und der Schweiz gibt es schon jetzt eine signifikante Anzahl von EBICS-Nutzern außerhalb der Kernmärkte, die sich stetig erhöht und ebenfalls zur offiziellen Etablierung in anderen Ländern und bei weiteren Banken beitragen wird. Eine weitere Verbreitung von EBICS wäre zum Vorteil aller Marktteilnehmer und ist für Länder mit entsprechendem Handlungsdruck die mit Abstand beste Option für die Neugestaltung der Abwicklung des Zahlungsverkehrs.

Thomas Stosberg

Das Schlüssel-Birchermüsli

Wie bereits im Blogbeitrag vom 25.07.14 „EBICS auch in der Schweiz angekommen“ erwähnt, gesellt sich nun langsam aber sicher auch der Finanzplatz Schweiz zur EBICS-Gemeinde der beiden großen Nachbarn Deutschland und Frankreich. Bekanntlich interpretieren die Franzosen EBICS etwas anders als die Deutschen und die Schweizer Akteure fragen sich, welche Variante für sie wohl die bessere sei. Bei den Auftragsarten geht die Tendenz aktuell Richtung Frankreich, also FUL/FDL in Verbindung mit den Formatparametern anstelle der vielfältigen Sammlung an Auftragsarten in Deutschland. Komplizierter wird es bei der Anwendung der elektronischen Unterschriften: Wie sollen diese konkret beim Kunden implementiert werden? 

Die deutsche Variante der selbstgenerierten Schlüsselpaare für die Verschlüsselung (E002), Authentisierung (X002) und eben für die Signatur (A005/A006) ist die aktuell in der Schweiz produktiv eingesetzte Variante, wobei das bisher in Deutschland genutzte Konzept der VEU (Verteilte Elektronische Unterschrift) erst in der Planung ist. Dieses erlaubt Unterschriftsmodelle mit mehreren personenbezogenen Signaturen, die mit oder auch nach dem Auftragsversand erstellt und eingereicht werden können. Die Großbanken der Schweiz setzen allerdings aktuell nur die Einzel- und Transportunterschrift ein. Bei der Einzelunterschrift handelt es sich in der Regel um eine sogenannte „Corporate Seal“, d.h. es wird eine Firma identifiziert und nicht die Person, welche tatsächlich den Auftrag freigegeben hat. Die Verwaltung der Nutzung dieser „Corporate Seal“ wird in der Software des Kunden geregelt. Bei der Transportunterschrift erfolgt die Freigabe auf einem separaten Kanal, jedoch nicht wie in Frankreich noch verbreitet manuell mittels Begleitzettel, sondern via Zugriff über Onlinebanking.

Diese Praxis gerät allerdings zunehmend in die Kritik der Rechts- und Sicherheitsabteilungen der Schweizer Finanzinstitute, welche eine eindeutige Authentisierung der Person verlangen, die den Auftrag signiert hat. Die VEU wäre in diesem Fall sicher ein geeignetes Mittel, wobei die Banken aktuell noch die zusätzlichen Prozessaufwände scheuen, welche die Verwaltung der Unterschriftenregeln auf Bankseite mit sich bringen würde.

Als attraktive Kombination wird dabei das Modell TS (Transport and Signature) in Frankreich mit den CA-basierten Zertifikaten für die elektronische Signatur angesehen, da hierbei das Problem der unbeschränkten Gültigkeit der Schlüssel entfällt und die zentrale Sperrung über die CA das Sicherheitsrisiko zu vermindern scheint. Idealerweise wird das Ganze dann noch kombiniert mit einem Hardtoken, welcher nur durch die Person, die den Auftrag erteilt, eingesetzt werden kann. „Wenn schon, denn schon“, ist man versucht zu sagen, aber so sind wir Schweizer eben. Wenn ein Standard solche Funktionalitäten hergibt, warum sollte man sie nicht nutzen? Hinzu kommt, dass es seitens des Regulators auch in die Richtung zu gehen scheint, dass Finanzinstitute in Zukunft nicht einfach mit einem Disclaimer im Vertrag die Risiken beim Einsatz von „Corporate Seals“ von sich weisen können (siehe dazu auch das Dokument der EZB „Assessment Guide for the Security of Internet Payments“).

Einheitliche Rezeptur gewünscht 

Das Problem hierbei ist die Vielfalt der EBICS-Varianten, die sich jetzt ergeben und die Frage, welche Variante dann im Markt von den Teilnehmern - Kunde, Softwarehersteller und Bank - umgesetzt werden soll. Gibt es jetzt CA-basierte Zertifikate und falls ja, für welche Art von Schlüssel? Welche CAs werden bankübergreifend akzeptiert? Welche Qualität sollte so ein Zertifikat aufweisen? Gilt die Anwendung von Hardwaretokens nur für die Signatur (A005/A006) oder auch für die anderen Schlüssel zur Authentisierung und Verschlüsselung? Wäre auch ein Einsatz von Hardtokens ohne CA denkbar, also nur die externe Aufbewahrung der Schlüssel beim signierenden Auftraggeber?

Das Ganze erinnert etwas an unser Birchermüsli, wo es ebenfalls die verschiedensten Varianten und Rezepte gibt. Die EBICS-Gesellschaft verfolgt ja das Ziel, den Standard in Europa zu etablieren. Hier wäre eine einheitliche Rezeptur für das Schlüssel-Birchermüsli sicher ein Pluspunkt, den auch die Anwender schätzen würden. Ansonsten wird es schwierig mit dem länderübergreifenden Standard. Meiner Meinung nach sollte dieser Punkt auf der Agenda der EBICS Working Group einen prominenten Platz einnehmen.

Carsten Miehling