PSD2: Sammlerzahlungen via EBICS absichern

Sammlerzahlungen abzusichern, war schon immer ein Thema. Die frühen Versuche, dafür einen einfachen Schutz vor Manipulation zu etablieren, waren eher halbherzig und haben deshalb auch nie zu einer verlässlichen Absicherung geführt. Beispielsweise wurde zunächst die Summe aller Empfänger-Kontonummern gebildet, um zu verhindern, dass Kriminelle nachträglich die Zahlungen verändern. Als dann die IBAN kam, war es aber selbst mit dieser äußerst simplen Methode vorbei – allein wegen der mathematischen Herausforderungen haben die Banken schließlich ganz darauf verzichtet.

Übrig geblieben sind bis heute allein die Anzahl der enthaltenen Zahlungen und die Gesamtsumme. Dass solche Werte einen wirksamen Schutz darstellen, behauptet erst gar keiner.

Vielversprechender war schon eher, über PSD2 und RTS für mehr Sicherheit bei Zahlungen zu sorgen. Doch für die gerade bei Firmenkunden geläufigen Sammelzahlungen war das noch nicht der Durchbruch. Der Grund: Empfänger, Konto und Betrag anzuzeigen und den Auftraggeber etwa via Dynamic Linking mit allen enthaltenen Daten prüfen zu lassen, ist bei Gehaltszahlungen in einem Unternehmen mit mehr als 10.000 Mitarbeiten kaum sinnvoll zu bewerkstelligen. Allein organisatorisch ist dies schon ein Ding der Unmöglichkeit und technisch kaum auf den etablierten Kanälen zu lösen.

Also wie nun sicherstellen, dass die einmal erzeugte Zahlungsdatei auch unverändert bei der Bank zur Ausführung angekommen ist?

EBICS!

EBICS ist im europäischen Firmenkundenzahlungsverkehr seit Jahren Standard – verfügbar in allen großen Ländern mit hohen ZV-Transaktionszahlen, wie Deutschland, Frankreich Österreich und der Schweiz. Weitere Länder werden folgen.

Also warum definiert die EBICS-Gesellschaft nicht einen allgemeinen und verpflichtenden Prüfstandard, der auf internationalen Hashwertverfahren (z. B. SHA-256) basiert und legt das Regelwerk dazu fest? Das Prinzip: Alle Anwendungen, die ZV-Sammlerdateien erzeugen, generieren dabei auch immer gleich den dazu passenden Hashwert und geben diesen zusammen mit der Zahlungsdatei an die Bank. Dort lässt sich dieser Kontrollwert erneut berechnen, sobald die ZV-Datei ankommt, und dem Kunden vor Freigabe zur Prüfung vorlegen. Fertig.

Einfach und sehr effektiv, weil der identische Hashwert garantiert, dass zwischen der Erstellung der Sammlerdatei und vor der Verarbeitung des Sammlers bei der Bank keine Manipulation stattgefunden hat.

Wenn wir bei der Definition des zu nutzenden Hashwertverfahrens seitens der EBICS-Gesellschaft dann auch noch an den armen Endkunden denken, könnte man statt des 32-Doppelwert-Vergleichs einen Algorithmus finden, der aus dem Hashwert eine Nummer mit 8-10 Stellen – ähnlich einer TAN – macht. Mit diesen Werten können die Kunden und Nutzer heute bereits umgehen. Kontrollwerte zu vergleichen, kostet dabei nur minimal mehr Zeit und ist einfach zu machen.

Diese Definition einfach dem Markt zu überlassen, ist übrigens keine gute Idee. Wenn jeder beteiligte Akteur sein eigenes Süppchen kocht, entsteht eine Vielzahl unterschiedlicher Verfahren, die Kunden eher verwirren als für zusätzliche Sicherheit zu sorgen.

Deshalb gehört es zu den Aufgaben der EBICS Gesellschaft, an dieser Stelle für eine verbindliche Lösung zu sorgen und dadurch endlich auch der PSD2 bei Sammlerzahlungen zu genügen.

Autor: Michael Schunk

Weiterlesen

Open Banking: EBICS versus API

Open Banking ist einer der Megatrends, den viele Banken angeblich zu verschlafen drohen. Weil kaum eine PSD2-Schnittstelle marktreif zu sein scheint, hat die Bankenaufsicht jetzt bis Dezember 2020 eine Übergangsfrist eingeräumt. Doch das Problem liegt woanders: Viele Institute verspüren nur wenig Lust, viel Geld in die Hand zu nehmen, um Anbietern von Open-Banking-Schnittstellen das Leben zu erleichtern – zumal etablierte Protokolle wie FinTS und EBICS viel mehr leisten als die „APIisierung“ des Bankgeschäfts bisher hervorgebracht hat.

Beide Protokolle, FinTS und EBICS, umfassen heute schon fast alle Bereiche des Bankings, vom Zahlungsverkehr über den Wertpapierhandel bis hin zum Kreditgeschäft. Insgesamt stehen weit mehr als 200 Prozesse bereit, die sowohl die fachlichen Schnittstellen verbindlich beschreiben als auch die technische Kommunikation der beteiligten Partner untereinander. Seit den 90er-Jahren geben HBCI und FinTS bereits die Richtung für offene Standards in der Kommunikation mit Banken vor. EBICS ist von der Deutschen Kreditwirtschaft (DK), beziehungsweise deren Vorläufer, schon vor mehr als zehn Jahren als verbindlicher Standard für die Kommunikation mit Firmenkunden eingeführt worden. Open Banking ist also seit vielen Jahren bereits Realität in Deutschland.

Keine einheitliche PSD2-Schnittstelle in Sicht

So gut die Idee von Open Banking auch ist. Die auch durch PSD2 forcierte Debatte lässt viele Banken, selbst die willigen, ratlos zurück. Einerseits soll unter anderem durch PSD2 ein Open-Banking-Standard für ganz Europa entstehen. Andererseits hat der Gesetzgeber bewusst offengelassen, wie die Kommunikation genau stattfinden soll und wie sie abzusichern ist. Die Folge: Anbieter von Open-Banking-APIs drängen die Banken dazu, ihre Lösungen zu implementieren und ihre ureigenen Interpretationen von Open Banking zu übernehmen, nur um ja nichts zu verpassen. Hinzu kommt, dass verschiedene Initiativen in den unterschiedlichen Ländern Protokolle zur technischen/fachlichen Nutzung entwickeln, die zu einem Wildwuchs an API-Dialekten führen werden. Länderübergreifende Konzeptionen dagegen sind noch bei weitem nicht in Sicht.

All dies kann sich für die Institute zu einem Fass ohne Boden entwickeln, wenn nicht bald eine einheitliche PSD2-Spezifikation vorliegt, an der sich jede Bank orientieren kann. Solange das nicht passiert, dürften viele Open-Banking-Träumereien unerfüllte Wünsche bleiben. Denn die Öffnung hat per Gesetz kostenlos und frei von Diskriminierung zu erfolgen. Damit Geld verdienen wollen andere. Was also soll die Motivation für eine Bank sein, immer neue API-Dialekte kostenfrei anzubinden, nur damit Drittanbieter ihre Apps leichter unter das Volk mischen können? Damit degradieren sich die Institute selbst zum reinen Serviceanbieter. Viel naheliegender ist doch, auf längst etablierte Standards zurückzugreifen.

EBICS: Open Banking für Firmenkunden

Einer dieser Standards ist EBICS. Und dieser Standard ist weit verbreitet: Neben Deutschland spricht auch Frankreich EBICS. Zwischen der Deutschen Kreditwirtschaft und ihrem französischen Pendant, dem CFONB, besteht ein Kooperationsabkommen. Diese beiden größten Zahlungsverkehrsmärkte in Euroland decken das Firmenkunden- und das Interbankengeschäft mit EBICS ab. Die Schweiz (SIX) zählt ebenfalls zu den EBICS-Fans. Österreich (STUZZA) überlegt einzusteigen. Statt im API-Sumpf unterzugehen, lohnt es sich zu fragen, wie sich EBICS PSD2-konform ausbauen lässt. Die Antwort: mit einer Fernsignatur (vgl. Abb.1). Ein modernes EBICS-Portal kann aus eingehenden Daten wie dem Code einer PhotoTAN oder einer QR-TAN Hardware-basiert die Signatur erstellen und an den EBICS-Bankrechner senden.

Abb. 1: Wie Fernsignaturen EBICS zu einer PSD2-konformen Open-Banking-Lösung erweitern

EBICS bietet Firmenkunden viele Vorteile. Unternehmen, die über einen EBICS-Client verfügen, können sicheres Multibanking betreiben und auch die Verteilte Elektronische Unterschrift nutzen (VEU). Damit lassen sich Rollen- und Rechtemodelle abbilden (Signaturen T, A, B und E), um etwa zu bestimmen, ob eingereichte Zahlungsaufträge von autorisierten Personen stammen und ob die jeweilige Person über die entsprechenden Berechtigungen verfügt, um diese Zahlungsaufträge freizugeben. Ähnlich wie bei FinTS gilt auch für EBICS: Die nötige Infrastruktur, um Open Banking zu verwirklichen, existiert bereits. Schon allein deshalb lässt sich nachvollziehen, dass viele Institute damit hadern, jetzt zu investieren. Niemand garantiert, dass sie sich für den richtigen API-Anbieter entscheiden oder dass der Gesetzgeber keine neuen Vorschriften erlässt, die bereits getätigte Investitionen obsolet machen.

Linktipps:
•    Erwartung trifft auf Realität: PSD2 Schnittstellen sind weiterhin nicht marktreif
•    Open Banking: Mit FinTS und EBICS gegen den API-Wildwuchs (PSD2/XS2A-Lösung)

Autor: Michael Schunk

Weiterlesen

XS2A ohne Drittdienstanbieter? Warum nicht!

Im Rahmen der PSD2 wurde europaweit eine Schnittstelle für Drittdienstanbieter (XS2A-API) eingeführt. Die EU als Initiator strebt damit an, den Zugang zu den Bankkonten der Kunden für Dritte zu öffnen und damit den Wettbewerb im Markt zu fördern. Seit dem 14.09.2019 ist die XS2A-API fristgerecht in Europa von den Banken in Produktion genommen worden. Seither orientieren sich die Marktteilnehmer neu, adjustieren die XS2A-API an die Bedürfnisse der Stakeholder und arbeiten intensiv an Diensten sowohl für Verbraucher als auch für Firmen.

Als regulatorisches Must-have ist die XS2A-API für Banken zunächst einmal ein Kostentreiber. Jedoch wurden von Anbeginn Mehrwertdienste angedacht und z. B. von der Berlin Group bereits spezifiziert, um den Banken eine Einnahmequelle zu ermöglichen. Doch den Phantasien hinsichtlich der Einnahmequellen, von denen es im aktuellen API-Hype viele gibt, sind keine Grenzen gesetzt.

Wir reiten also für den Moment die Hype-Welle mit und stellen uns die XS2A-API als alternativen Zugangskanal für Firmen vor. Warum nicht. Aus technischer Sicht sollten die Hürden gering sein. Eine Firma könnte sich wie ein Drittdienstanbieter durch ein eIDAS-Zertifikat ausweisen. Das Zertifikat würde sich nur in den spezifischen Feldern für Drittdienstanbieter unterscheiden. Ähnlich zu EBICS können eingereichte Aufträge oder Anfragen mit einer Signatur versehen werden, an Hand derer der Empfänger die Unversehrtheit der Nachricht prüfen kann. Die Sicherheit auf dem Transportweg wird durch die Verwendung von TLS gewährleistet.

Aus fachlicher Sicht können mit Hilfe des Use Cases „Zahlung initiieren“ sowohl Einzel- als auch Sammelzahlungen ausgeführt werden. Für die Freigabe werden den Verbrauchern die gängigen Autorisierungsverfahren aus dem Online-Banking angeboten (z. B. photoTAN, pushTAN). Für Firmen wäre das wahrscheinlich ungeeignet, sodass eher Corporate Seals zum Einsatz kommen würden, was zu spezifizieren ist. Ebenso die Abfrage von Kontoinformationen (Salden, Transaktionen, Details) ist über die XS2A-API möglich. Die dafür erforderliche Einwilligung (consent) könnte in diesem speziellen Fall, wo zwischen Firma und Bank ein Vertrauensverhältnis besteht, durch eine dauerhaft gültige Einwilligung gelöst werden.

Aus der mittleren Flughöhe gesehen wäre die XS2A-API also eine valide Alternative, die auch bereits in verschiedenen Foren angedacht wird. Hier wird die Idee mit Attributen wie „günstiger, bequemer, echtzeitfähig sowie flexibler bei Anpassungen“ belegt. Jedoch holt uns der Status quo auf den Boden der Tatsachen zurück. Die prägende Spezifikation, die der Berlin Group, lässt den Banken viele Freiräume, die API zu implementieren. In der Bestrebung, alle Banken in Europa über XS2A zu erreichen, stellen diese Freiräume für alle Marktteilnehmer aktuell eine Herausforderung dar. Ein Zustand, der für Firmen nicht einladend ist, noch nicht. Jedoch ist der Grundstein für eine Alternative gelegt.


Autor: Christian Wenz

Weiterlesen

Ist das EBICS-Protokoll von der starken Authentifizierung (SCA) im Sinne der PSD2 befreit?

Diese Frage wurde uns wiederholt von französischen und europäischen Finanzinstituten gestellt und es war nicht immer ganz einfach, eine ausreichend formelle Antwort zu geben.
Vor kurzem hat die Banque de France eine offizielle Antwort verfasst, in der sie das EBICS-Protokoll auf die Liste der Verfahren und Protokolle setzt, die gemäß Artikel 17 der delegierten Verordnung (UE) 2018/389 von der starken Authentifizierung befreit sind. Die Verordnung besagt: "Bei juristischen Personen, die elektronische Zahlungsvorgänge über dedizierte Zahlungsprozesse oder -protokolle auslösen, die nur Zahlern zur Verfügung stehen, bei denen es sich nicht um Verbraucher handelt, können Zahlungsdienstleister von der Vorgabe einer starken Kundenauthentifizierung absehen, wenn die zuständigen Behörden der Auffassung sind, dass diese Prozesse oder Protokolle mindestens ein vergleichbares Sicherheitsniveau wie das in der Richtlinie (EU) 2015/2366 vorgesehene gewährleisten." 

Der vollständige Text kann auf folgender Seite eingesehen werden: https://www.banque-france.fr/stabilite-financiere/securite-des-moyens-de-paiement-scripturaux/2eme-directive-sur-les-services-de-paiement

 
Das bedeutet jedoch nicht, dass EBICS die starke Authentifizierung nicht unterstützt - weit gefehlt! Die Gewissheit, dass das EBICS-Protokoll mindestens vergleichbare Sicherheitsniveaus garantiert, wie sie in der Richtlinie vorgesehen sind, ist schon seit langem gegeben. Vor diesem Hintergrund möchte ich Sie dazu einladen, den Artikel EBICS und PSD2 – Wie kommt das zusammen? zu lesen oder erneut zu lesen, der vor einigen Monaten in diesem Blog veröffentlicht wurde.

Autor: Marc Dutech

Weiterlesen

EBICS und PSD2 – Wie kommt das zusammen?

Die Zahlungsdiensterichtlinie PSD (Payment Services Directive) des Europäischen Parlaments ist die rechtliche Grundlage für den EU-weiten einheitlichen Binnenmarkt im Zahlungsverkehr. Die aktuelle Version PSD2 wurde am 23.12.2015 im Amtsblatt der Europäischen Union veröffentlicht und muss bis zum 13.01.2018 in nationales Recht umgesetzt sein. Welche Auswirkungen hat die PSD2 auf EBICS?


Ziele der PSD2 sind insbesondere:

• strengere Sicherheitsanforderungen an den elektronischen Zahlungsverkehr
• Schutz der Finanzdaten von Verbrauchern
• Öffnung des Markts für Zahlungsverkehrsdienstleister, insbesondere bei den Diensten für Verbraucher und Unternehmen
• Stärkung der Verbraucherrechte, z. B. bei der Haftung für nicht autorisierte Zahlungen und Erstattungen bei Lastschriften in Euro
• Untersagung der Berechnung von Aufschlägen, unabhängig vom Zahlungsinstrument

Strengere Sicherheitsanforderungen an den elektronischen Zahlungsverkehr fordern, dass der Zugriff auf Kundenkonten sicher ist. Die Identifikation eines Zahlungsdienst-Nutzers oder einer Transaktion erfordert eine starke Authentifizierung. EBICS erfüllt diese Voraussetzungen mit den asymmetrischen benutzerbezogenen Schlüsselverfahren. Der praktischen Umsetzung einer starken Authentifizierung steht somit nichts entgegen.

Die drei Grundpfeiler einer starken Authentifizierung sind bekanntlich Besitz, Inhärenz und Wissen. Mindestens zwei dieser Kriterien sind den Nutzern beim Zugang zur EBICS-Autorisierung anzubieten. Beispielsweise ermöglicht eine Chipkarte (Besitz) als EBICS-Schlüsselmedium über einen Chipkartenleser per PIN-Eingabe (Wissen) eine Autorisierung. Dies muss in der Schnittstelle zum Nutzer also client-seitig umgesetzt sein.

Neben den EBICS-Mitteln zur eindeutigen Identifikation und Authentifizierung der Person kann die Bank zusätzliche verstärkende Prüfungen vorsehen (Inhärenz), z. B. ob in der Kommunikation die zuvor vereinbarten IP-Adressen genutzt werden. Eine nicht passende IP-Adresse verhindert bei ansonsten passender Authentifizierung den Zugang.

Die geforderte Dynamik in der Authentifizierung bildet EBICS durch das elektronische Signaturverfahren ab, denn die Signatur wird stets über den Hashwert der Originaldatei und einen Timestamp gebildet.

Zudem ermöglicht es die EBICS-Funktion der Verteilten Elektronischen Unterschrift (VEU), auf Seiten der Zahlungsdienst-Nutzer die Infrastrukturen für Zahlungseinreichungen und Autorisierungen zu trennen. So kann z. B. die Einreichung über einen Automaten per EBICS unautorisiert erfolgen und die vorgeschriebenen Autorisierungen nachträglich per Mobile-App, EBICS-Portal oder mit sonstigen EBICS-Clients, also räumlich und zeitlich getrennt. Außerdem können die Autorisierungsbedingungen vorschreiben, dass mehrere Personen beteiligt sind. Dies bieten heutige EBICS-Lösungen wie EBICS-Portale, EBICS-Browserlösungen, EBICS-Mobile-Clients sowie sonstige EBICS-Clients bereits. Es gilt, diese Techniken für die PSD2 konsequent anzubieten und zu nutzen.

Den Zahlungsverkehrsmarkt für Zahlungsverkehrsdienstleister zu öffnen, bedeutet, dass Banken den Anwendungen von Drittanbietern den Zugang zu Kundendaten geben müssen – wenn der Kunde dem zustimmt. Um diese Anforderung umzusetzen, sind Schnittstellen gefragt. Eine nutzbare Schnittstelle bietet der EBICS-Standard selbst. Sofern der Drittanbieter sich die Informationen nicht direkt über den Standard-EBICS-Zugang beschaffen kann, sind u. a. schnelle und flexible APIs gefragt, die die geforderten Daten bedarfsgerecht austauschen. Dabei sind Einheitlichkeit und Mehrfachnutzbarkeit wünschenswert.

In der Praxis werden Nutzeraktivitäten und insbesondere Autorisierungen in E-Banking- und ZV-Anwendungen bereits aufgezeichnet. Die mit der PSD2 angestrebte Stärkung der Verbraucherrechte fordert allerdings von den Dienstleistern und Banken, die Zahlungsverkehrsabläufe und Autorisierungen im Nutzerkontext nachvollziehbar und nachweisbar möglichst vollständig zu protokollieren und aufzubewahren. Dies gilt im Kontext von EBICS für Banken, aber auch für Diensteanbieter, die z. B. EBICS-Client-Anwendungen betreiben.

Zusammengefasst hat die PSD2 zunächst keinen direkten Einfluss auf die EBICS-Spezifikation selbst. Allerdings müssen EBICS-Nutzer die PSD2 im Nutzungskontext berücksichtigen. Die Anforderungen der PSD2 sind also für den Betrieb und die Nutzung von EBICS-Lösungen frühzeitig zu definieren und umzusetzen. Die Zeit läuft.

Michael Lembcke

Weiterlesen