EBICS auf der iberischen Halbinsel

2014 haben die meisten portugiesischen Banken einen EBICS-Kanal eröffnet, der auf der Version 2.4.2 des Protokolls basiert. Tatsächlich eingesetzt wird bis dato allerdings nur das T-Profil, obwohl viele Unternehmen persönliche Signaturen verwenden möchten. Dies lässt darauf schließen, dass das TS-Profil in Kürze bereitgestellt wird.

Bis heute bieten nur sehr wenige spanische Banken ihren Firmenkunden die Möglichkeit, ihren Zahlungsverkehr über das EBICS-Protokoll abzuwickeln. Die Nachfrage danach nimmt jedoch immer stärker zu. Das beweist auch die hohe Teilnehmerzahl an einer Veranstaltung, die der Spanische Verband der Unternehmensfinanzierer (ASSET) am 20. Januar 2016 organisiert hat.
Einer der Gründe für das steigende Interesse liegt darin, dass bei den spanischen Unternehmen, wie bei den übrigen europäischen Unternehmen auch, der Bedarf wächst, Transaktionen mit Banken außerhalb der iberischen Halbinsel haben durchzuführen.

Die Veranstaltung, die von Gerardo de la Mata, Direktor von ASSET und Leiter des Ausschusses Zahlungsverkehr, geleitet wurde, beinhaltete verschiedene Vorträge, die den anwesenden Unternehmen, Banken und Herstellern den Nutzen von EBICS näherbrachten. Hierfür haben die Redner verschiedene und einander ergänzende Themen aufgegriffen, wie z. B.:
  • Axel Weiß, EBICS-Chairman, sprach zunächst über die Entstehung von EBICS und stellte anschließend dessen wichtigste Eigenschaften und Vorteile vor, bevor er die Arbeitsweise von EBICS SCRL erläuterte.
  • Thomas Stosberg, Deutsche Bank, referierte insbesondere die Gründe für die Einführung von EBICS und gab einen Überblick über die bisherigen Erfahrungen und die zukünftigen Weiterentwicklungen im Rahmen von BTF[1].
  • Mein Vortrag beleuchtete bestimmte Aspekte, z. B. die Sicherheit und die Anwendungsfälle in Frankreich und Deutschland – sowohl beim Zahlungsverkehr zwischen Unternehmen und Banken als auch im Interbankenverkehr. Außerdem habe ich dargelegt, wie EBICS in Frankreich implementiert worden und wie die Migration abgelaufen ist.
Die Fragen der Zuhörer betrafen im Wesentlichen den Punkt, ob man sich für eines der aktuell in Spanien verwendeten Protokolle (Editran, SWIFT) oder EBICS entscheiden solle. Hierfür gibt es vernünftige Entscheidungskriterien.

Es stimmt, dass in Spanien Editran im großen Umfang eingesetzt wird. Jedoch wird es von Banken und Unternehmen außerhalb Spaniens nur selten bzw. überhaupt nicht unterstützt. Deshalb entspricht Editran nicht den Bedürfnissen von Unternehmen und Banken, die grenzüberschreitenden Zahlungsverkehr abwickeln müssen.

Dafür müssen ein oder mehrere Protokolle verwendet werden, die den grenzüberschreitenden Datenaustausch unterstützen. Je nach Kontext ist die parellele Verwendung von EBICS und SWIFT durchaus vorstellbar, wie beispielsweise in Frankreich. EBICS könnte für die Kommunikation mit der wachsenden Anzahl von Banken, die Standorte in mehreren Staaten Europas haben, verwendet werden und SWIFT für die Kommunikation mit den anderen Banken.

Die Kosten für die Nutzung sind ebenfalls ein wichtiges Entscheidungskriterium. Unternehmen könnten (sollten) die Kosten durch den Einsatz des preisgünstigsten Standards optimieren.
Ein Thema, das ebenfalls auf reges Interesse der Teilnehmer stieß, war die verteilte elektronische Unterschrift (VEU) mit EBICS, insbesondere über das Handy, deren Einsatz in Deutschland bereits gang und gäbe ist. Daran ist nichts erstaunlich. Viel erstaunlicher ist hingegen die Tatsache, dass die VEU in Frankreich noch keine breite Anwendung findet.

Eine ähnliche Veranstaltung wird am 24. Februar in Barcelona stattfinden. Dafür haben sich bereits jetzt schon zahlreiche Teilnehmer angemeldet. Dies ist ein weiterer Beleg dafür, dass die Finanzindustrie unbedingt ein standardisiertes, universelles und effizientes Austauschverfahren wie EBICS benötigt (falls es solch eines Beweises überhaupt noch bedarf).

[1] Business Transactions & Formats

Marc Dutech 

International harmonisch mit EBICS BTF

Sabine Wenzel, EBICS Secretary, EBICS SCRL


Im Jahr 2010 haben sich der französische CFONB und die Deutsche Kreditwirtschaft (DK) in der EBICS-Gesellschaft zusammengeschlossen. Eine Vision ist die Harmonisierung von EBICS. Unterschiedliche Vorgängerverfahren in den Ländern haben die EBICS-Spezifikation beeinflusst und erschweren die EBICS-Implementierungen. Deutschland und Frankreich verfolgen abweichende Ansätze zur (Kurz-)Identifizierung von Geschäftsvorfällen und für die zu verwendenden Formate. Neuen Zug hat dieses Thema seit dem Beitritt der Schweiz zur EBICS SCRL. Es wurde ein Harmonisierungsprojekt angeregt mit dem Ziel einer EBICS-weit einheitlichen Vorgehensweise. Diese Konsolidierung heißt EBICS BTF.


Als sicheres Kommunikationsverfahren sorgt EBICS in erster Linie dafür, dass alle Daten korrekt authentifiziert, verschlüsselt und autorisiert übertragen werden.



Banken und Firmenkunden müssen erkennen können, welcher Service mit dem Auftrag tatsächlich zu erbringen ist. Dementsprechend muss der EBICS-Server z. B. überprüfen
  • ob der Kunde grundsätzlich das richtige Datenformat verwendet, ggf. in der passenden Version (Variante) des Standards und/oder entsprechend speziellen Implementierungsrichtlinien
  • ob Anliefervorschriften beachtet werden und Verarbeitungskennzeichen gesetzt sind
    • Kennzeichen, wie viele Elektronische Unterschriften dem Auftrag beigefügt worden sind und ob der Kunde ggf. eine zusätzlich benötigte Unterschrift per VEU leisten kann
    • Kennzeichen, dass der Auftrag in einen Container gepackt worden ist
  • ob für den Service ergänzende Optionen angegeben sind, z. B. für die DK der Verweis auf das SRZ-Verfahren oder für Frankreich der dort gängige Testmodus
Diese Prüfungen erfordern eine kompakte Angabe, um welchen Geschäftsvorfall es geht und ob die Sendung im korrekten Format angeliefert wurde. Dieser „Aufkleber“ am EBICS-Auftrag sieht aktuell in den Ländern noch unterschiedlich aus.

In Deutschland werden dreistellige Buchstabenkürzel verwendet. Frankreich hat lediglich zwei Standard-Auftragsarten definiert (für Upload und Download), ergänzt um einen Dateiformatparameter. Beide Ansätze reichen für eine internationale Nutzung, aktuell also in der Schweiz, nicht aus. Das uneinheitliche Vorgehen steht der Ausbreitung von EBICS im Weg.
Das EBICS Board of Directors (BoD) hat daher der EBICS Working Group (besetzt mit EBICS-Experten aus Deutschland, Frankreich und der Schweiz) den Auftrag erteilt, eine einheitliche und strukturierte Lösung für die Identifizierung von „Business Transactions & Formats“ (BTF) zu erarbeiten. EBICS BTF soll Bestandteil der nächsten EBICS-Version sein.

Aktuell besteht das BTF-Konzept aus drei Blöcken (Elementgruppen):
  • Content – verwendetes Format/Formatstandard (ggf. verwendete Version)
  • Processing – Kennzeichen zur EU und VEU, verwendete Container
  • Service – Information über das Zielsystem (ggf. mit 1..n Optionen)
Der Vorteil dieser gemeinsamen Entwicklung: Alle Beteiligten haben das gleiche Verständnis von der Belegung der XML-Elemente und –Attribute. Somit wird der „Aufkleber“ bei Standard-Geschäftsvorfällen (z. B. für die SEPA-Überweisung) in allen Ländern gleich belegt. Bei länderspezifischen Ausprägungen werden die BTF-Elemente abweichend gesetzt. Damit sind Unterschiede transparent und schnell zu erkennen.

Für diese einheitliche Denkweise waren intensive fachliche Diskussionen erforderlich – auch darüber, welche Informationen zur Identifizierung und korrekten Weitergabe des Auftrags wirklich benötigt werden. Die Angaben sollen vollständig sowie redundanz- und widerspruchsfrei sein. Insbesondere war man sich einig, möglichst mit externen Codelisten zu agieren (entsprechende Codes für die Datenelemente werden dafür gemeinsam abgestimmt und in der EBICS SCRL weitergepflegt).
In der EBICS Working Group wird diese Lösung als sehr stabil angesehen und hat eine hohe Akzeptanz. Letztendlich müssen die EBICS-Communities entscheiden, in welcher Form und mit welchem Zeitplan sie EBICS BTF in den nächsten Jahren anwenden. Für diese Frage sind Anfang 2016 nationale Konsultationen vorgesehen, die von der EBICS Working Group begleitet werden.

Sabine Wenzel

EBICS – Chancen der Internationalisierung

Thomas Stosberg, GTB Product Management, Deutsche Bank AG

Die Schweiz ist als drittes Land neben Deutschland und Frankreich der EBICS-Gesellschaft beigetreten und markiert damit den nächsten Schritt zur Internationalisierung von EBICS. Hat EBICS das Potenzial zu einem internationalen Standard und ist dieser im Interesse von Kunden und Banken?


Die verschiedenen Gremien eines Landes, die sich mit der Abwicklung von (nationalem) Zahlungsverkehr beschäftigen, sind bestrebt, im Interesse von Kunden und Banken eine stabile und standardisierte Zahlungsverkehrslösung anzubieten. Die Adaption eines neuen Standards setzt immer eine starke Motivation voraus – meistens resultierend aus Problemen mit der technischen Sicherheit und/oder den Kosten für den Betrieb der bisherigen Lösung; oder anders formuliert: Länder mit einer praktikablen Lösung für alle lokalen Marktteilnehmer werden sich mit hoher Wahrscheinlichkeit nicht mit der Adaption eines neuen Standards auseinandersetzen. Für alle Länder, die sich aber mit einem neuen Standard beschäftigen, könnte EBICS eine geeignete Option sein.

Die Kunden-Sicht

Die Zielkunden von EBICS – Unternehmen jeder Größe, von Kleinstbetrieben bis zu internationalen Konzernen – suchen eine Zahlungsverkehrslösung, die zwei Grundvoraussetzungen erfüllt: zum einen geringe Kosten und zum anderen eine einfache, sichere, revisionskonforme, automatisierte und standardisierte Anbindung der eigenen Infrastruktur an alle Banken (bezogen auf die Bankkommunikation und die genutzten Zahlungsverkehrsformate). Letztere erlaubt eine gleichartige Integration aller Bankpartner mit der Möglichkeit, den Zahlungsverkehr flexibel auf verschiedene Banken zu verteilen und auf technische Probleme im Rahmen einer Notfallplanung reagieren zu können.

EBICS kann diese Anforderungen aus Kundensicht vollständig erfüllen. Bezogen auf die Implementierung in Deutschland kann sogar die vollständige Prozessautomatisierung durch den Einsatz digitaler Signaturen ohne Nutzung von Zertifikaten und einer „Corporate Seal“-Autorisierung erreicht werden.

Die Weiterentwicklung, im deutschen Markt das CGI-MP-XML-Format für die Abwicklung von weltweitem Zahlungsverkehr anzubieten, hat zusätzlich die Grundlage geschaffen, EBICS als globale Bankkommunikation alternativ zu einer SWIFT- bzw. einer Host-to-Host-Anbindung für Kunden zu etablieren.

Die Bank-Sicht

Banken können zukünftig nicht mehr mit proprietären technischen Lösungen am Markt bestehen. Eine bankindividuelle technische Lösung (Bankkommunikation und Zahlungsverkehrsformat) wird von Kunden weder positiv als Alleinstellungsmerkmal und Verkaufsargument wahrgenommen, noch kann sie aus Bankensicht als betriebswirtschaftlich rentable Lösung eingesetzt und gepflegt werden.
Entsprechend wird der Wettbewerb zwischen Banken ausschließlich auf der Grundlage von angebotenen Bankdienstleistungen und deren Preis stattfinden. Die Erwartungshaltung der Kunden ist, dass die zugrundeliegende technische Lösung für Zahlungsverkehr ähnlich standardisiert ist wie Strom aus der Steckdose.

Die Einführung von EBICS in Frankreich hat gezeigt, dass die Auswirkungen eines gemeinsamen Standards auf die eigene Kundenbasis und die Erträge eher gering sind. Dies hängt damit zusammen, dass die Kundenschnittstellen beider Länder unterschiedlich sind und generell Kunden die Auswahl ihrer Bankbeziehungen nicht von den angebotenen Zugangskanälen abhängig machen.
Bezogen auf die Kundenschnittstelle bietet EBICS für Banken die Möglichkeit, einen solchen standardisierten Service für mehrere Länder anzubieten. Daneben kann EBICS auch als Clearing-Zugang für SEPA-Zahlungen verwendet werden.


EBICS als Chance zur Internationalisierung 
      
EBICS ist aus Kundensicht eine attraktive Bankkommunikation. Für Banken bietet sich mit EBICS die Möglichkeit einen standardisierten Zugang für mehrere Länder auf Grundlage einer Infrastruktur anzubieten. Dies ist auch dann zutreffend, wenn eine Bank primär nur in einem Land tätig ist, da man eigene Kunden mit Niederlassungen im SEPA-Raum ohne größere Investitionen unterstützen könnte. Durch die bereits erfolgte Adaption von EBICS in den beiden größten europäischen Ländern und der Schweiz gibt es schon jetzt eine signifikante Anzahl von EBICS-Nutzern außerhalb der Kernmärkte, die sich stetig erhöht und ebenfalls zur offiziellen Etablierung in anderen Ländern und bei weiteren Banken beitragen wird. Eine weitere Verbreitung von EBICS wäre zum Vorteil aller Marktteilnehmer und ist für Länder mit entsprechendem Handlungsdruck die mit Abstand beste Option für die Neugestaltung der Abwicklung des Zahlungsverkehrs.

Thomas Stosberg

Wie sich EBICS verbessern lässt, Teil 7 – Automatisches Bankschlüssel-Update: Geht das überhaupt?



Gemäß EBICS-Spezifikation werden Daten stets signiert und verschlüsselt übertragen. Dies gilt für beide Kommunikationsrichtungen: Kunde > Bank und Bank > Kunde. In Deutschland sind die dafür verwendeten Schlüssel theoretisch unbegrenzt gültig. In Frankreich ist zumindest die Gültigkeit der Zertifikate limitiert. Aus Sicherheitsgründen ist es unabdingbar, dass die Schlüssel regelmäßig erneuert werden. Für die Kundenseite bringt EBICS bereits Funktionen für einen automatisierten Schlüsselwechsel eines einmal initialisierten EBICS-Teilnehmers mit. Die automatisierte Erneuerung der Bankschlüssel hingegen gestaltet sich in der Praxis schwieriger. Ein „weicher Schlüsselwechsel“ ist eine Lösung.



Weshalb Banken ihre EBICS-Schlüssel ungern wechseln

Das EBICS-Kundensystem kann die öffentlichen Bankschlüssel zur Authentifikation (Identifikation der Bank) und Verschlüsselung der Datei-Einreichungen mit der Auftragsart HPB bei der Bank herunterladen. Falls das Kundensystem ungültige oder nicht mehr aktuelle Bankschlüssel nutzt, erhält es gemäß der EBICS-Spezifikation den negativen Return-Code EBICS_BANK_PUBKEY_UPDATE_REQUIRED.

Dies zieht folgende Probleme nach sich:
  • Sobald der EBICS-Client den Return-Code EBICS_BANK_PUBKEY_UPDATE_REQUIRED erhält, sollte er die aktuellen Bankschlüssel per HPB abholen. Dieser Prozess wird von EBICS-Clients nicht immer hinreichend unterstützt.
  • Nach einer erneuten Abholung der Bankschlüssel müssen Schlüssel, die nicht CA- und zertifikatsbasiert sind, im EBICS-Client manuell per Hashwert-Eingabe freigeschaltet werden.
  • EBICS-Clients sind häufig automatisiert im Einsatz. Die Notwendigkeit, bei der Erneuerung der Bankschlüssel manuell eingreifen zu müssen, z. B. erneute Schlüsselabholung oder Schlüsselfreischaltung, wird meistens nicht oder zu spät erkannt. Störungen sind somit vorprogrammiert.
Aus diesen Gründen schrecken Betreiber von EBICS-Bankrechnern vor einem Wechsel der Bankschlüssel zurück. Die folgenden Maßnahmen können Abhilfe schaffen.

Der Weg zum unbeschwerten Bankschlüssel-Wechsel

Um Bankschlüssel und ‑zertifikate ohne Probleme regelmäßig erneuern zu können, sollte zunächst ein „weicher Schlüsselwechsel“ ermöglicht werden. Das heißt, nicht alle Kunden müssen von einem auf den anderen Tag ihre Bankschlüssel aktualisieren.

Ein solcher weicher Schlüsselwechsel ist möglich, wenn der EBICS-Bankrechner mit alten und neuen Bankschlüssel-Paaren parallel arbeiten kann. EBICS-Clients, die einen Wechsel erkennen und die Aktualisierung (ggf. auch automatisch) durchführen, nutzen den neuen Schlüssel, die anderen Clients weiter den alten. Im letzteren Fall kann die Bank die betreffenden Kunden ansprechen.

Als weitere Maßnahme muss der EBICS-CR EB-14-12 auf Client- und Serverseite umgesetzt werden. Der CR ist für die nächste EBICS-Spezifikation beschlossen und sieht u. a. vor, dass bei der Bankschlüssel-Abholung die neuen Bankschlüssel mit dem alten Bank-Authentifikationsschlüssel signiert sind (siehe www.ebics.org). Lediglich bei der ersten Bankschlüssel-Abholung ist dann noch eine manuelle Freischaltung im EBICS-Client erforderlich. Bei jedem weiteren HPB-Auftrag wird die Signatur geprüft, und die Bankschlüssel werden somit nach erfolgreicher Prüfung im EBICS-Client automatisch freigeschaltet.

Mit diesem Funktionsumfang ist es möglich, die Bankschlüssel vollautomatisiert zu erneuern.

Michael Lembcke 

SIBOS 2015: Zahlungsverkehr in Bewegung



Auf der SIBOS in Singapur spielt traditionell SWIFT die Hauptrolle und EBICS eine Nebenrolle. Dennoch war das Interesse am Einsatz und der zukünftigen Entwicklung von EBICS groß. Mehr als 8.000 Besucher kamen zur Ausstellung ins Sands Expo and Convention Centre. Damit war die SIBOS in Singapur die größte in Asien und die zweitgrößte insgesamt. Die beherrschenden Themen zeigen: Es kommen weitere große Veränderungen auf den Zahlungsverkehr zu.


EBICS BTF



Mit dem Beitritt der Schweiz zur EBICS-Gesellschaft hat die Verbreitung von EBICS weiter Fahrt aufgenommen. Bisher sind zwei EBICS-Dialekte gebräuchlich: in Deutschland und in Frankreich. Die Schweizer werden einen weiteren Dialekt hinzufügen. Damit EBICS sich für weitere Länder öffnet, steht eine Vereinheitlichung an: EBICS BTF.

Hinter EBICS BTF steht der Wille aller drei Länder, einen einheitlichen EBICS-Standard zu entwickeln. Die Arbeiten dazu laufen auf Hochtouren. Mehr Informationen zu EBICS BTF lesen Sie bald in diesem Blog.

Digitalisierung



Der Zahlungsverkehr ist in einigen Ländern hochautomatisiert. Die Prozesse im Zahlungsverkehr sind fast vollständig digitalisiert, beziehen ein oder mehrere Partner ein und reichen weit über die eigenen Systemgrenzen hinaus. Typische Beispiele sind SWIFT oder EBICS, mit denen man strukturiert Informationen zwischen Partnern austauschen kann.

Andere Bereiche im Bankwesen können von der Erfahrung des Zahlungsverkehrs profitieren. Der hohe Grad der Digitalisierung lässt sich beispielsweise auf Kredite, Avale oder dokumentäres Geschäft übertragen. Dies scheint der Trend für die nächsten Jahre zu sein.

Backup der Zahlungsverkehrsströme



Die Geldmengen im Zahlungsverkehr sind astronomisch. TARGET 2 setzt fast eine Billarde Euro pro Jahr um – eine Eins mit fünfzehn Nullen! Es ist klar, diese Räder dürfen im Zahlungsverkehr nicht still stehen.

Daher wird der Ruf nach einem Backup für den Transport der Zahlungsströme immer lauter. EBICS bietet sich quasi als natürlicher Partner von SWIFT an. Es kursieren die ersten Gerüchte, dass Empfehlungen – noch werden es nur Empfehlungen sein – ausgesprochen werden, den digitalen Geldtransport durch ein zweites Verfahren abzusichern.

Regulatorische Veränderungen



In der Vergangenheit haben die regulatorischen Anforderungen den Zahlungsverkehr dominiert. Die besten Beispiele sind SEPA und ISO 20022. Nach unserer Einschätzung werden in den nächsten zwei Jahren ca. 30 neue Trends und Vorhaben im Zahlungsverkehr kommen – die meisten davon durch den Regulator getrieben. Die Auswirkungen auf die IT reichen von den Einlieferungssystemen über das Clearing bis zum Kernbanksystem. Insgesamt sind alle Systeme im Zahlungsverkehr betroffen. Es wird also nicht langweilig.

Michael Lembcke 

Migration Zahlungsverkehr Schweiz: echte End-to-End-Tests mit EBICS

Auf dem Finanzplatz Schweiz arbeiten die Banken mit Hochdruck an den Umsetzungsprojekten für die Harmonisierung des Schweizer Zahlungsverkehrs nach ISO 20022. Softwarehersteller und Firmenkunden fordern Testmöglichkeiten für die neuen Zahlungsformate. Gesucht ist ein End-to-End-Testszenario, das die produktive Verarbeitung seitens der Bank bestmöglich abbildet. In der Schweiz können die wenigsten Banken solche Tests anbieten. Dabei kann EBICS helfen.


Die SIX Interbank Clearing, verantwortlich für die Publikation der Schweizer Implementierung, bietet eine sogenannte Validierungsplattform an. Dort können die jeweiligen Meldungen (pain und camt) bezüglich Syntax und einfachen Business-Regeln validiert werden. In der Regel ist dies die erste Anlaufstelle für Tests in der neuen ISO-Welt. Für Hersteller und Kunden reicht diese Prüfung jedoch nicht aus, um anschliessend die produktiven Zahlungsläufe mit ihrer Bank umzustellen.

Taugliche End-to-End-Tests umfassen die Aufträge als Buchungen in die elektronischen Kontoauszüge (z. B. MT940 oder camt.053) und Avisierungen (z. B. MT942 oder camt.052) inklusive Saldo-Nachführung sowie ein Fehlerverhalten, welches der Produktion entspricht (Ausweisung entsprechender Status-Rapporte und Storno-Buchungen). „Die Schwierigkeit von Tests ist oft die Avisierung, welche aufgrund der eingelieferten Daten sich entsprechend verhält“, weiß Christoph Schenker von der PostFinance. „Die Testplattplattform http://isotest.postfinance.ch bietet alle Möglichkeiten, welche der Softwarehersteller für Ein- und Auslieferungen benötigt, um seine Software für den Kunden ‚ISO-ready‘ zu machen.“

Gerade den Fehlerfall möchte der Kunde vor der Einführung simulieren, um seine internen Prozesse der Ausnahmebehandlung zu testen. Typischerweise sind dies Fehler wie „ungenügende Deckung“, „falsches Begünstigtenkonto“ und ähnliche Ausnahmefälle, welche in der Folge im produktiven Betrieb auftreten können.

Fasst man End-to-End etwas weiter, wäre es für den Firmenkunden ideal, wenn er direkt aus seiner ERP-Software mittels EBICS einen Zahlungslauf an eine Testinfrastruktur senden und wiederum mittels EBICS die dazugehörigen Downloads ausführen kann. Nur dann ist ein echter „proof of the pudding“ möglich. Simuliert werden müssen insbesondere die Rückmeldungen bei Fehlern und die Verarbeitung realer Dateigrössen – d. h. ein produktiver Kreditorenlauf mit einigen hundert Zahlungen oder mehr, nicht nur eine Testzahlung. So ist die nötige Sicherheit für einen Produktionsstart gegeben. Die direkte Anbindung einer Testplattform über EBICS ermöglicht es, Testzyklen zu automatisieren und via EBICS-Protokoll grosse Dateien zu übermitteln. Dies ist mit einer Testplattform, welche nur über eine manuelle Web-Upload-Schnittstelle verfügt, nur schwer möglich.

Innovative Schweizer Banken sehen in der Kombination von ISO 20022 und EBICS das ideale Tandem, um ihre Kunden in der Harmonisierung des Zahlungsverkehrs zu unterstützen. Institute, welche zusätzlich eine echte End-to-End-Testmöglichkeit anbieten können, bieten ihren Kunden einen echten Mehrwert. „SAP unterstützt den Credit Transfer mit ISO 20022 schon seit mehreren Jahren. Gute Testplattformen und direkte Ansprechpartner bei Finanzinstituten unterstützen die weitere Umsetzung von ISO20022-Meldungen in der Schweiz“, sagt Rainer Hofmeister vom Hersteller SAP.

Carsten Miehling

Wie sich EBICS verbessern lässt, Teil 6 – eindeutige Identifikation der handelnden Person

Kann es vorkommen, dass ein Zahlungsverkehrsauftrag, der in EBICS eigentlich von zwei unterschiedlichen Personen autorisiert werden muss, doch nur von einer Person freigegeben wird? Ja, unter bestimmten Umständen ist das möglich. Bei manchen Vertragskonstellationen zwischen dem Kreditinstitut und dem Firmenkunden lässt sich die handelnde Person nicht eindeutig identifizieren. 


Die Falle steckt im EBICS-Datenmodell

Das Berechtigungsmodell des Firmenkunden für die EBICS-Kommunikation orientiert sich am Datenmodell von EBICS. Dieses unterscheidet zwischen dem Kunden und seinem Mitarbeiter als EBICS-Teilnehmer.

Firmenkunden kommunizieren per EBICS mit ihrer Bank über eine unternehmensweit gültige EBICS-Kunden-ID und die Teilnehmer-ID des handelnden Mitarbeiters. Die IDs vergibt die Bank bei der Einrichtung für den Kunden und seinen Mitarbeiter; der Kunde benötigt sie für die Verbindung zum Bankrechner in den Zugängen der EBICS-Clients. Nun ist eben diese Teilnehmer-ID nicht immer eindeutig. Wie kann das sein?

Firmenkunden nutzen verschiedene EBICS-Clients

Größere Firmenkunden setzen auch mal mehrere EBICS-Clients unterschiedlicher Hersteller ein. Dabei nutzt ein Mitarbeiter je nach Funktionsumfang auch verschiedene Clients parallel. Ein Beispiel ist der Mitarbeiter, der mit einem EBICS-PC-Produkt Zahlungen autorisiert und einreicht – und der gleichzeitig Zahlungen, die aus seiner ERP-Lösung für die in Deutschland übliche Verteilte Elektronische Unterschrift direkt zur Bank gesendet worden sind, per EBICS-Mobile-Lösung autorisiert.

Schlüssel und Zertifikate sind häufig nicht wiederverwendbar

Da die teilnehmerbezogenen Schlüssel bzw. Zertifikate je nach Kundensystem und EBICS-Land unterschiedlich abgelegt sind, kann ein Mitarbeiter sie in den meisten Fällen nicht für alle EBICS-Clients übergreifend nutzen. Sprich, das EBICS-PC-Produkt und die EBICS-Mobile-Lösung erfordern jeweils eigene Schlüssel für den Teilnehmer. Daher hat der Mitarbeiter für seinen EBICS-Zugang zur Bank in jedem Client eine andere Teilnehmer-ID, die dann die Verbindung zu seinen jeweiligen Schlüsseln bzw. Zertifikaten sicherstellt.

Da das Datenmodell von EBICS aber den EBICS-Teilnehmer als eindeutige handelnde Person definiert, kann theoretisch eine Person mit mehreren Teilnehmer-IDs Zahlungen freigeben, die eigentlich von mehreren Personen autorisiert werden müssen. Im EBICS-Datenmodell ist die Zuordnung einer Person zu mehreren Teilnehmer-IDs nicht vorgesehen.

Um einen derartigen Missbrauch zu verhindern verfügen EBICS-Bankrechner mittlerweile über zusätzliche individuelle Berechtigungsfunktionen, dennoch ist eine einheitliche Lösung im EBICS-Standard selbst wünschenswert.

Einheitliches Austauschformat für Schlüssel und Zertifikate

Eine Möglichkeit wäre es z. B., im EBICS-Standard das Austauschformat bzw. die Ablage der Schlüssel und Zertifikate einheitlich vorzuschreiben, z. B. einen Software-Token mit der Ablage im PKCS12-Format. In diesem Fall ist die Teilnehmer-ID eindeutig nutzbar, um die handelnde Person zu identifizieren. Schlüssel und Zertifikate können somit in Verbindung mit der Teilnehmer-ID auf mehreren Clients genutzt werden.

Michael Lembcke