EBICS und VEU: Schwächen bei Gehaltszahlungen mit vertraulichen Informationen

Die Verteilte Elektronische Unterschrift (VEU) ist seit vielen Jahren eine wichtige Funktion, um Zahlungen von unterschiedlichen Personen selbst an unterschiedlichen Orten einreichen und freizeichnen zu lassen.

Die im EBICS-Protokoll dafür vorgesehenen Auftragsarten und deren fachlicher Inhalt erlauben eine Freigabe auf Basis der Gesamtdatenlage – über den Dateibegleitbeleg – oder gar auf Basis der inhaltlichen Zahlungsdaten. Dafür liefern EBICS-Server die wichtigsten Informationen für jede der enthaltenen Einzelzahlungen bereits in aufbereiteter Form. Ein Kundensystem, das diese Daten anzeigen soll, muss dazu nicht mal das konkrete Zahlungsformat kennen. Das macht die Software so komfortabel. Ausnahmsweise lässt sich sogar eine komplette Zahlungsdatei übermitteln. Doch gerade bei großen Sammelzahlungen stellt das den gerade beschriebenen Komfort wieder in Frage.

In der Zahlungsverkehrspraxis kommen nicht nur einfache Zahlungen und Lastschriften in die VEU-Mappe, sondern auch Sonderzahlungen mit sehr persönlichen Daten, die besonders zu schützen wären. Dazu gehören etwa Pensionszahlungen, Gehaltszahlungen sowie Bonuszahlungen und Gratifikationen, die nicht für die Allgemeinheit und erst recht nicht für die Einsichtnahme durch die Belegschaft eines Unternehmens bestimmt sind.

Genau an dieser Stelle wird eine Schwäche der EBICS-Spezifikation deutlich: der GVC oder PurposeCode, der festlegt, um was für eine Art Zahlung es sich handelt, fehlt, wenn die Einzelzahlungen übertragen werden. Die von Kunden eingesetzten EBICS-Produkte sind deshalb gar nicht in der Lage, selbst wenn die Unternehmen das wollten, vertrauliche Daten in einem Zahlungsauftrag zu schützen. Der Software fehlt das Kriterium, um zu entscheiden, ob Zahlungsdetails angezeigt oder ausgeblendet werden müssen.

Ohne eine Kennung im konkreten Zahlauftrag ist es nicht möglich, vertrauliche von normalen Zahlungen zu unterscheiden. Damit ist die VEU im Prinzip ungeeignet, um etwa Gehaltszahlungen zu prüfen und per VEU freizugeben, weil nicht auszuschließen ist, dass nicht berechtigte Mitarbeiter einen Blick auf die möglicherweise vertraulichen Informationen werfen.

Die EBICS-Gesellschaft sollte sich deshalb beim XML für den HVT eine Erweiterung überlegen, mit der künftig auch diese wichtigen Informationen für die Art der Zahlung übermittelt werden. Solange dies nicht geschieht, lässt sich die VEU für Gehaltszahlungen nur eingeschränkt nutzen.

Autor: Michael Schunk

Weiterlesen

“Offline Zahlungs-Software im Visier von Hackern – Schweizer Unternehmen betroffen”

Obige Schlagzeile ist der Mitteilung der Melde- und Analysestelle Informationssicherung MELANI im Juli dieses Jahres entnommen. Sie beschreibt eine neue Art von Hacker-Angriff auf Unternehmen in der Schweiz.

Firmen verwenden heute für die Abwicklung von Massenzahlungen, insbesondere bei Multibank-Verbindungen, in der Regel eine sog. Offline-Software für die Übermittlung, Freigabe und Ausführung von elektronischen Zahlungsaufträgen. Dabei werden Überweisungen automatisiert direkt aus der ERP-Software ausgelöst und über sichere Protokolle an die Bank übermittelt. Diese Art der Zahlungsverkehrsabwicklung macht den Großteil der heute in der Schweiz elektronisch eingereichten Aufträge aus.


Die in der Meldung von MELANI beschriebene Schadsoftware „Dridex“, die sich über schädliche Microsoft Office Dokumente in E-Mails von vermeintlich legitimen Absendern verbreitet, fokussiert seit neuestem genau diese Offline-Software-Lösungen. Dabei werden gezielt Hersteller attackiert, die im Schweizer Markt eine gewisse Verbreitung haben. Viele Firmen sind aktuell etwas verunsichert, wie sicher ihre Lösung in Tat und Wahrheit noch ist und wie sie sich gegen ähnliche Hacker-Angriffe schützen können.

Zunächst gelten einmal die von MELANI seit langem publizierten Sicherheitshinweise wie Verwendung dedizierter Computer, Ignorierung von Mails mit verdächtigen Attachments, regelmäßige Aktualisierung von Betriebssystemen und Virenschutzprogrammen etc., um die Absicherung der eigenen Infrastruktur zu gewährleisten. Ein Hinweis fällt dabei ins Auge, nämlich der, dass Kollektiv- anstelle von Einzelunterschriften eingesetzt werden sollen. Wie funktioniert das in der Praxis, wo ja keine Papier-Aufträge mehr physisch von den Bevollmächtigten der Firma signiert und an die Bank versendet werden?

Die Banken bieten hier grundsätzlich zwei Lösungen an (teilweise auch in Kombination). Einerseits ist die Freigabe über einen anderen Kanal möglich. Das heißt, die Datei mit den Zahlungsaufträgen wird beispielsweise über das Protokoll EBICS (Electronic Banking Internet Communication Standard) direkt aus der Offline-Software an die Bank übermittelt, wobei der Auftrag aber noch nicht zur Ausführung autorisiert wurde. Mittels Freigabe im Online-Banking der Bank können die Aufträge dann definitiv von einer zweiten Person freigegeben werden.

Eine weitere, sichere und flexible Art der Kollektiv-Unterschrift ist der Einsatz der im EBICS-Standard enthaltenen „Verteilten elektronischen Unterschrift“ (VEU). Der Standard sieht hierbei die Unterschriften-Modelle „Transport“- (keine Autorisierung), „Einzel“-, „Kollektiv A“- und „Kollektiv B“-Unterschriften vor. Pro Auftrag kann zudem auf Seiten der Bank ein Tageslimit definiert werden (wahlweise pro Kunde, Konto und Auftragsart). Die VEU erlaubt dem Kunden eine 1:1 Abdeckung der Unterschriftenregelung seiner Unternehmung und führt in Verwendung mehrerer Kanäle (z. B. Erteilung der zweiten Unterschrift über ein Mobile Device) zu einem sehr hohen Sicherheitsniveau.
Immer mehr Banken in der Schweiz führen die EBICS VEU als Angebot ihrer E-Banking-Lösungen ein. Erkundigen Sie sich bei Ihrem Institut explizit danach oder stellen Sie Ihre Fragen an info@ppi.ch, wenn Sie noch mehr Information zur EBICS VEU benötigen.

Original-Meldung MELANI: https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/offline-payment-software.html

Carsten Miehling 

Weiterlesen

Luzerner Kantonalbank AG bietet Firmenkunden erweiterte Lösungen rund um EBICS und ISO 20022

Raphael Häfliger, Cash Management Services, Luzerner Kantonalbank AG

Die Luzerner Kantonalbank AG (LUKB) bietet in der Schweiz seit 2014 den Kommunikationsstandard EBICS an und hat damit ein umfassendes Angebot für den professionellen Zahlungsverkehr im Markt platziert. Nach der erfolgreichen EBICS-Einführung steht nun der nächste Schritt an: Als erstes Finanzinstitut auf dem Finanzplatz Schweiz wird die LUKB ab Herbst 2015 mit der Pilotphase für die Lancierung der "Verteilten Elektronischen Unterschrift" (VEU) starten. 


Das Konstrukt der VEU entspricht einem immer grösser werdenden Bedürfnis von Schweizer Firmenkunden. Kunden können Zahlungsaufträge mit der VEU an die LUKB übermitteln und je nach Vollmachtskonstrukt von den dafür zuständigen Personen im Unternehmen final freigegeben lassen. Dieser zusätzliche Prozessschritt unterscheidet sich von der in der Schweiz üblichen EBICS-Ausgestaltung, bei welcher die Schnittstelle mit einer Einzelunterschrift fungiert und die Berechtigungen innerhalb des firmeneigenen ERPs geregelt werden. In Deutschland gehört die VEU bereits zum Standard, in der Schweiz hingegen ist dies bislang ein Novum.

Mit dem Angebot der VEU sieht die LUKB eine Chance, sich als Finanzinstitut flexibel und kundenorientiert zu positionieren. Zur Realisierung einer EBICS-VEU führt die LUKB mit den Kunden den Dialog, um das passende Unterschriftenmodell zu evaluieren. Geplant sind unter anderem folgende Spezifika:

• kollektiv zu zweit
• kollektiv zu dritt
• Gruppen mit A- und B-Unterschriften
• weitere individuelle Rollen für Debitoren- und/oder Kreditorenbuchhaltung
• flexible Zuordnung/Ausschluss von einzelnen Auftragsarten

Es gibt jedoch weitere Gründe sich mit der VEU zu beschäftigen. Aufgrund von operationellen Risiken kann es sinnvoll sein, die für die Auftragserteilung zuständigen Personen im EBICS zu identifizieren. Über die weit verbreiteten Corporate Seals, bei welchen nur die Firma selber authentifiziert wird, ist dies nicht möglich. Zudem könnte künftig auch der Druck seitens des Regulators oder auch der Revisionsgesellschaften in dieser Angelegenheit zunehmen.
In der Startphase ist damit zu rechnen, dass insbesondere die Kunden mit europäischen Softwarelösungen das Angebot nutzen. Weiter geht die LUKB davon aus, dass die lokalen Softwarehersteller mittelfristig ebenfalls VEU-Lösungen in ihre Clients integrieren werden.
In der Firmenkunden-Kommunikation geht die LUKB noch einen Schritt weiter und wird ab Dezember 2015 das Format ISO 20022 über EBICS transportieren. Konkret werden die Meldungen pain.001, pain.002, camt.052 und camt.053 implementiert. Camt.054 folgt voraussichtlich im Frühjahr 2016 und vervollständigt damit das ISO-Angebot. Mit diesem Vorhaben wird die LUKB zu den ersten Anbietern einer produktiven Lösung im Projekt "Harmonisierung Zahlungsverkehr Schweiz" gehören. Neben den Schweizer Empfehlungen wird die LUKB auch die ISO- und DK-Schemas (Deutschland) für die Auftragserteilung in ISO 20022 unterstützen. Weitere Schemen wie das französische oder österreichische Format werden je nach Kundenanforderungen individuell geprüft.

Mit den weitreichenden Angeboten rund um die EBICS-VEU und ISO 20022 ist die LUKB im Schweizer Firmenkundenmarkt bestens auf die kommenden Herausforderungen vorbereitet.

www.lukb.ch/harmonisierung-zv
www.lukb.ch/direkt-ebics

Raphael Häfliger

Weiterlesen

Blog-Serie: Wie sich EBICS verbessern lässt, Teil 2 – mit EBICS und der VEU Autorisierungen delegieren

Mit diesem Artikel setzen wir unsere im Dezember begonnene Serie über mögliche Verbesserungen in EBICS fort. Dieser Artikel widmet sich nun folgendem Problem: Wenn man heute per EBICS einen Zahlungsverkehrsauftrag einreicht, hat der Einreicher im Standardfunktionsumfang keine Möglichkeit mehr, auf die weitere Autorisierung Einfluss zu nehmen. In manchen Fällen ergibt sich aber erst mit der Einreichung, wer für die weitere Autorisierung in Frage kommt und man möchte die Autorisierung situativ delegieren.

Im aktuell spezifizierten Funktionsumfang von EBICS sind Bankrechner-seitig unterschiedliche Berechtigungsmodelle für die Einreichung und Autorisierung von Auftragsdateien durch Firmenkunden anwendbar. Diese Modelle beruhen in der Praxis stets auf den Unterschriftsklassen E, A, B und T, der Anzahl erforderlicher Unterschriften sowie der personenbezogenen Berechtigung für eine physische Datei. Darüber hinaus haben die Kreditinstitute und Softwarehersteller die Berechtigungsmodelle im Laufe der Zeit so erweitert, dass sie sich für verschiedene Einsatzszenarien eignen. Beispiele für solche Erweiterungen sind:

• Berechtigungen bezogen auf eine Person und einen Auftrag in Kombination mit Unterschriftsklassen,  Auftragsarten (also bestimmten Geschäftsvorfällen) und Konten.
• Verschiedene Limit-Konzepte, zum Beispiel über Beträge, Anzahl der Transaktionen, für Zeitfenster, geltend für Personen, Konten und/oder Kunden sowie nach Unterschriftsklassen gestaffelte.
• Gruppenkonzepte in Verbindung mit Unterschriftsklassen, zum Beispiel  zur Berechtigung der Autorisierung von Personen ausschließlich verschiedener oder ausschließlich gleicher Gruppen.
• Proprietäre Unterschriftsklassen, die eigene Wertungen für eine Autorisierung berücksichtigen.
• Verfahren für Service-Rechenzentren (SRZ-Verfahren), in denen die Prozesse der Einreichung und Autorisierung auf Kundenebene getrennt ablaufen.

All diese Modelle sind als relativ statisch anzusehen. Das heißt, wenn ein EBICS-Kunde einen Auftrag einreicht, kann er nur bedingt beeinflussen, wie die Bank den Geschäftsvorfall abwickelt. Es gelten stets die bankseitig eingerichteten Stammdaten als Grundlage für die Berechtigungsprüfung, Formatprüfung und Autorisierung. In den Fällen, in denen eine eindeutige Herleitung der Berechtigungen im EBICS-Umfeld bankseitig möglich ist,  mag dies sinnvoll und auch gewollt sein. Allerdings können im EBICS-Prozess Einreichungs-Aufträge, die vom Sachverhalt her unterschiedliche Behandlungen erfordern, nicht in verschiedener Weise abgewickelt werden. Bei gleichförmigen SEPA-Einreichungen mit der Auftragsart CCT zugunsten eines bestimmten Kontos wären zum Beispiel stets alle für dieses Konto und diese Auftragsart im Bankrechner zur verteilten elektronischen Unterschrift (VEU) berechtigen Personen zur Autorisierung berechtigt.

Wäre es nicht sinnvoll, wenn man als Kunde bei Bedarf mit der Einreichung in EBICS bereits die Personen benennen könnte, an die man die Autorisierung delegieren möchte? Diese Personen müssen natürlich bankseitig grundsätzlich über die entsprechende Basis-Berechtigung verfügen. Der Vorteil wäre, dass die nicht benannten Personen mit der ansonsten gleichen Basis-Berechtigung den Auftrag nicht zur VEU gestellt bekommen und somit auch nicht einsehen können. Dieses Modell ist zum Beispiel für Fälle geeignet, in denen über ein bestimmtes Konto sowohl beliebige Zahlungen, als auch Gehälter oder Gagen-ähnliche Zahlungen abgewickelt werden und die Zahlungen gleichzeitig über keine besondere Kennzeichnung verfügen. Solche Kennzeichnungen sind ohnehin weitestgehend format- und länderspezifisch. Mit einer entsprechenden Erweiterung des EBICS-Standards wäre somit eine formatunabhängige Lösung umsetzbar.

Michael Lembcke 

Weiterlesen