Posts mit dem Label X.509-Zertifikate werden angezeigt. Alle Posts anzeigen
Posts mit dem Label X.509-Zertifikate werden angezeigt. Alle Posts anzeigen

EBICS 3.0 in den Startlöchern

Am 19. Mai 2017 fand im Auditorium der Fédération Bancaire Française (Französische Bankenvertretung) ein Themenworkshop des CFONB zur Vorstellung Version 3.0 des EBICS-Protokolls statt.

Mehr als 120 Personen aus unterschiedlichen Bereichen - Banken, Hersteller, Unternehmen, usw. - nahmen an der Veranstaltung teil, im Rahmen derer verschiedene Redner das Grundkonzept dieser neuen Version vorstellten.


Nachdem die Geschäftsführung und einige Vertreter der EBICS SCRL (www.ebics.org) eine Übersicht vorgestellt hatten, wurden einige entscheidende Daten aus der Geschichte von EBICS präsentiert. Sie haben daran erinnert, dass der EBICS-Standard nun nicht mehr in den Kinderschuhen steckt und belegten dies damit, dass bereits vor 12 Jahren die Implementierung in Deutschland begann und vor mehr als 7 Jahren EBICS in Frankreich übernommen wurde. Bei den Schweizer Finanzinstituten wurde dieser Weg erst 2015 eingeschlagen. Eine Präsentation zeigte die derzeitige Verbreitung von EBICS, die sich von der Iberischen Halbinsel bis zur Ostsee und von Irland bis nach Italien erstreckt. Abgesehen von Deutschland, Frankreich, der Schweiz und Portugal ist der Verwendungsgrad in den entsprechenden Staaten jedoch sehr unterschiedlich.

Im Anschluss wurden die Gründe für den Erfolg von EBICS in den vier Ländern (zahlreiche Artikel zu diesem Thema finden Sie in diesem Blog) ebenso wie die Hindernisse einer schnellen gesamteuropäischen Ausweitung genannt. Zu diesen gehören insbesondere:
  • die Unterschiede in der Identifikation der Zahlungsströme zwischen deutschen, französischen und Schweizer Varianten
  • die Verwendung der X.509-Zertifikate in Frankreich und des Schlüsselpaares in Deutschland
  • der Einsatz der verteilten elektronischen Unterschrift in Deutschland und in der Schweiz, aber nicht in Frankreich
Auf die Auflistung der Gründe folgte eine Beschreibung der tiefgreifenden Veränderungen, die die Version 3.0 mit sich bringen wird, vor allem hinsichtlich der Harmonisierung durch die Integration des BTF-Konzepts (Business Transaction Format) und der möglichen Generalisierung der verteilten elektronischen Unterschrift. Weitergehende Informationen zu diesen Themen erhält man über die Website der EBICS SCRL.

Der zweite Teil des Workshops bestand aus einer Diskussionsrunde zum Thema: Warum brauchen wir eine einheitliche EBICS-Version?

Für die Akteure aus dem EBICS-Bereich war dies die Möglichkeit folgende Themen anzuschneiden und zu diskutieren:
  • Vorteile von EBICS aber auch Grenzen der 2.x Version aufgrund mangelnder Harmonisierung
  • Erwartungen an die neue Version und Vorteile, die durch die Harmonisierung entstehen
  • Möglichkeiten der geografischen Ausweitung, auch auf andere Kontinente
    Hier wurde insbesondere Afrika angesprochen, da dort bereits einige Banken den EBICS-Service in einigen französischsprachigen Ländern anbieten.
  • Möglichkeiten der Verwendung von EBICS über die Unternehmen-Bank-Beziehung hinaus
    Hier wurde vor allem die Verwendung von EBICS für STEP2 und RT1 (Instant Payments) mit der EBA Clearing angesprochen.
  • Migrationsmodalitäten
  • Aspekte der zukünftigen Weiterentwicklung des diskutierten Protokolls, die auf die Tagesordnung gesetzt werden können, wie die Vereinheitlichung des AC-Zertifikates und die Möglichkeit Zertifikate zu verwenden, die nicht auf physischen Medien gespeichert sind, um so die Industrialisierung der EBICS-Signaturlösungen für Mobilgeräte zu vereinfachen
  • aktuelle Verwendung der verteilten elektronischen Unterschrift in Deutschland und in der Schweiz und Vorteile, die durch ihre Verwendung in Frankreich entstehen könnten
Diese Veranstaltung war somit der offizielle Startschuss für die Version 3.0. Ab November 2018 wird sie verfügbar sein; ab diesem Zeitpunkt müssen alle Banken die neue Version, zusätzlich zu der in den verschiedenen Gemeinschaften gültigen Version 2.x, anbieten.

Für Unternehmen besteht keine Verpflichtung ebenfalls zu diesem Zeitpunkt zu migrieren. Für sie ist eine schlagartige Migration von der 2.x zur 3.0 nicht vorgesehen. Die neuen Gemeinschaften hingegen könnten diese neue Version direkt einsetzen.

Es liegt also viel perspektivische Arbeit vor den Herstellern und Banken. Um ihnen dabei zu helfen, wird im Juli 2017 ein Implementationguide auf Seiten der EBICS SCRL und des CFONB zur Verfügung gestellt.

Ich stelle EBICS häufig in verschiedenen Ländern in Europa und darüber hinaus vor und glaube, dass die Harmonisierung die Werbetätigkeit für dieses Produkt wesentlich erleichtern wird. Ich bin überzeugt davon, dass sie der Schlüssel zum Erfolg ist, damit schließlich der erste Buchstabe von EBICS „European“ bedeutet.

Was wäre, wenn aufgrund der Entwicklungen, die derzeit geprüft werden, der nächste Schritt das Worldwide EBICS wäre?...

Marc Dutech

Serverseitige Erneuerung der EBICS-Zertifikate

Was die französische Version des EBICS-Protokolls anbelangt, so wurden die EBICS-Server überwiegend Ende 2009 sowie im Laufe des Jahres 2010 in Betrieb genommen. Viele von ihnen verwenden selbstsignierte X.509-Zertifikate mit einer Laufzeit von fünf Jahren, weshalb einige Institute bereits mit deren Erneuerung begonnen haben bzw. sich andere darauf vorbereiten.



Auf Kundenseite sieht das EBICS-Protokoll bei der Zertifikatserneuerung entsprechende EBICS-Nachrichten (PUB-, HCA- und HCS-Nachrichten) mit einer entsprechenden client- und serverseitigen Verarbeitung vor, so dass manuelle Eingriffe prinzipiell entfallen (signierte Nachrichten, die keiner zusätzlichen Validierung bedürfen). Bei der serverseitigen Erneuerung der Bankzertifikate verhält es sich jedoch anders: Lediglich die HPB-Nachricht ist dafür derzeit in EBICS verfügbar. Die Validierung der Bankzertifikate umfasst einen manuellen Schritt, nämlich den Abgleich des entsprechenden Hash-Werts. Ein weiterer beträchtlicher Unterschied liegt in der Tragweite des Vorgangs, der sich auf mehrere Tausend Kundenzugänge gleichzeitig auswirken kann.

Um diesen Eingriff im Umgang mit Zertifikaten in EBICS zu erleichtern, sind eine Reihe von Vorkehrungen und Vorsichtsmaßnahmen erforderlich.

Aus unseren Erfahrungen in der Entwicklung und Implementierung von EBICS-Software auf Kunden- wie auf Bankseite konnten wir für die Zertifikatserneuerungen einige Erkenntnisse ableiten. Wir möchten daher denjenigen, die sich mit der EBICS-Server-Administration befassen, folgende Empfehlungen geben:

- Erkundigen Sie sich bei Ihrem Software-Anbieter, nach welchem Verfahren die Zertifikate generiert und aktualisiert werden.

- Meiden Sie bei der Auswahl von Datum und Uhrzeit solche Zeiträume, in denen üblicherweise hohe Belastungen herrschen (Monatsende, Cut-off-Zeiten etc.) oder nur wenige Mitarbeiter auf Kundenseite verfügbar sind (am späten Abend, nachts, in den Schulferien etc.). Da das Ablaufdatum der Zertifikatsgültigkeit vorhersehbar ist, können vorbereitende Maßnahmen schon im Vorfeld ergriffen werden, um sich einen zeitlichen Spielraum zu verschaffen.

- Informieren Sie die Kunden langfristig im Voraus über Datum und Uhrzeit für den Wechsel der Bankzertifikate. Es ist sinnvoll, einige Tage vor dem Termin ein Erinnerungsschreiben zu versenden. Nachfolgend einige Punkte, die ein solches Schreiben unserer Ansicht nach enthalten sollte:
  • Dem Kunden die Kontaktaufnahme mit seinem Softwareanbieter nahelegen, damit der Kunde sicherstellt, dass seine Software die Erneuerung der Bankzertifikate unterstützt und er eine Ablaufbeschreibung der Zertifikatserneuerung erhält, sofern er noch keine besitzt. Wir haben ermittelt, dass zwei verschiedene Kundenprodukte diesen Vorgang nicht zulassen. In beiden Fällen waren die Kunden gezwungen, ihre Zugänge vollständig neu anzulegen.
  • Den Kunden bitten, das Schreiben vom Softwarehersteller ggf. an den Dienstleister weiterzuleiten, dem er einen DFÜ-Zugang übertragen hat. Denn der vorgenannte Punkt gilt für den Dienstleister gleichermaßen.
  • Den Hash-Wert des neuen Bankzertifikats angeben, damit der Kunde den Hash angleichen kann. Die übliche Darstellung als Matrix aus 4 Zeilen zu je 8 Bytes lässt sich durch eine lineare Darstellung (die 32 Bytes in derselben Zeile ohne Trennzeichen) ergänzen, um das Kopieren und Einfügen in die Software des Kunden zu vereinfachen.
  • Den Kunden darauf hinweisen, dass, sofern er seine Einstellungen nicht rechtzeitig aktualisiert, der erste Transfer unter Ausgabe eines Fehlercodes mit dem Wert 091008 und der Kennzeichnung EBICS_BANK_PUBKEY_UPDATE_REQUIRED fehlschlägt. Vor einem erneuten Anstoßen der fehlgeschlagenen Transfers muss er zunächst die neuen Bankzertifikate einspielen.
  • Dem Kunden empfehlen, sich mit dem echten Zertifikatswechsel vorab vertraut zu machen, indem er das aktuelle Bankzertifikat wiederholt abholt (HPB). So lässt sich der Zertifikatswechsel der Bank mit der Client-Software jederzeit simulieren.
Die aktuellen Möglichkeiten zur Erneuerung der EBICS-Bankzertifikate gewährleisten derzeit keinen reibungslosen Ablauf. Ich bin mir sicher, dass es der EBICS-Gesellschaft so wie im Falle der Order-ID gelingt, in der nächsten Zeit Abhilfe zu schaffen und den Standard so weiterzuentwickeln, dass auch dieses Problem gelöst ist.

Marc Dutech