Request to Pay – die Wirtschaft braucht den Standard

Still und leise, aber keineswegs heimlich ist am 15. Juni 2021 der neue europäische Standard für elektronische Zahlungsanforderungen Request to Pay (RTP) vom theoretischen Konstrukt zur praktischen Realität geworden. An diesem Tag trat das Regelwerk für SEPA Request to Pay (SRTP) in Kraft. An dem Projekt hatte nicht zuletzt die Euro Banking Association (EBA) mit Hochdruck gearbeitet. Nur zu verständlich, dass die Organisation auch wissen wollte, ob sich in der Wirtschaft viele Unternehmen finden, die RTP demnächst anwenden wollen. Im September 2020 startete die EBA mit PPI als Partner einen groß angelegten Survey bei Unternehmen in ganz Europa. Die unlängst unter dem Titel „Request to Pay: What Corporates Want“ veröffentlichten Ergebnisse sind zwar nicht in ihrer Tendenz, aber in ihrer Eindeutigkeit überraschend. Nahezu 100 Prozent der Unternehmen haben ein Interesse am Einsatz des Standards. Wichtig ist für sie vor allem eine europaweit einheitliche Verwendbarkeit. Wenig verwunderlich, schließlich wollen 70 Prozent der befragten Firmen RTP auch für grenzüberschreitende Zahlungen einsetzen.

Der Hauptteil der Umfrage drehte sich um die Einschätzungen der Unternehmen zum Einsatz von RTP in den Feldern Point of Sale (POS), eCommerce, eInvoicing und wiederkehrende Zahlungen. Ganz klar gab es auch hier durchgängig positive Einstellungen zum Standard. In allen abgefragten Bereichen konnten sich über 80 Prozent der Befragten eine Verwendung von RTP zumindest vorstellen. Im Bereich eCommerce lag der Anteil sogar bei über 90 Prozent.

Gleichzeitig wollten die EBA und wir wissen, wodurch RTP für die Unternehmen noch attraktiver werden könnte. Aus den Antworten waren einige mögliche Verbesserungen herauszulesen. Dabei geht es vor allem um Standardisierung von Verfahren, das Angebot von Mehrwertleistungen, die Endbenutzerakzeptanz, das Risikomanagement und klare Zukunftsperspektiven. 

Unter letztere fallen auch die häufigsten Wünsche für zusätzliche Features: Schnelles Erreichen einer hohen Marktdurchdringung, die Einbindung in standardisierte, vollautomatische und beispielsweise in ERP-Systeme integrierte Prozesse sowie der Einsatz in Kombination mit Instant Payments oder anderen Möglichkeiten der Zahlungsgarantie. Denn natürlich möchte kein Händler einen Kunden mit der Ware gehen lassen, wenn er das Geld noch nicht hat. Müssten Käufer allerdings warten, bis die entsprechende Summe auf dem Konto des Verkäufers eingeht, dürfte die Akzeptanz von RTP vor allem am Point of Sale gegen Null gehen. In diesem Fall dürfte zu prüfen sein, ob die Notification über den akzeptierten oder angewiesenen RTP als rechtlich bindende Zahlungsgarantie ausgestaltet werden kann.

Einen weiteren Nutzwert sehen die befragten Unternehmen in der Möglichkeit, strukturierte Informationen zum Verwendungszweck in den Datensatz zu integrieren. Das erleichtert die Zuordnung von Zahlungseingängen zu bestimmten Vorgängen innerhalb eines Warenwirtschaftssystems und ist Voraussetzung für vollständig digitalisierte, weitgehend automatisierte Rechnungslegungs- und Zahlungsprozesse. Weiterhin betrachten die Firmen RTP als gute Gelegenheit für eine deutlich direktere nachgelagerte Kommunikation zwischen Verkäufer und Käufer von Waren und Dienstleistungen: 43 Prozent können sich beispielsweise vorstellen, Garantie- oder Rücksendeinformationen mit dem Datensatz zu transportieren.

Insgesamt beteiligten sich an dem Survey Unternehmen aus 20 europäischen Staaten, von denen zwei Drittel einen Umsatz von 50 Millionen Euro und mehr generieren. Einen Downloadlink zum kostenlosen Abschlussbericht „Request to Pay: What Corporates Want“ sowie weitere Informationen zu RTP finden Sie hier: https://www.ppi.de/payments/request-to-pay/success-story-eba-request-to-pay-survey/

Autoren: Eric Waller, Anuschka Clasen

EBICS 3.0 auf der Zielgeraden

Spätestens zum 22. November dieses Jahres ist es so weit. Von diesem Tag an sind deutsche Zahlungsverkehrsdienstleister verpflichtet, ihren Firmenkunden EBICS 3.0, genau genommen EBICS 3.0.1, parallel zur bisherigen Version 2.5 anzubieten. Für die Schweiz hat die SIX ebenfalls eine Empfehlung für die Unterstützung von EBICS 3.0 ab November 2021 abgegeben, und in Frankreich kann EBICS 3.0 bereits seit Januar 2018 offiziell von Finanzdienstleistern angeboten werden.
Die Deutsche Bundesbank hat angekündigt, ab dem 22. November 2021 für eine Übergangszeit von einem Jahr vollständig auf EBICS 3.0 umzustellen. Ähnlich positioniert sich die EBA Clearing bei ihren EBICS Diensten.

Was bedeutet die EBICS-Umstellung nun für alle EBICS-Beteiligten?

Banken und Finanzdienstleister rüsten sich für November 2021. EBICS-3.0-fähige Systeme sind hier bereits in vielen Fällen im Einsatz. Eventuell ist EBICS 3.0 lediglich noch nicht für die Nutzung freigeschaltet.

Für die Übergangszeit von EBICS 2.x auf EBICS 3.0 müssen auf Seiten der Bank- und Firmenkunden die spezifizierten bzw. vereinbarten BTF- und Auftragsarten-Mappings hinterlegt sein. Diese können später einmal entfallen, wenn für neue EBICS Geschäftsvorfälle in Zukunft keine Auftragsarten bzw. FileFormat-Parameter mehr spezifiziert werden. 

Alle Parteien sollten bereits vor der Migration auf EBICS 3.0 den Crypto LifeCycle (siehe Crypto LifeCycle auf www.ebics.de) für EBICS berücksichtigen. Damit verbunden sind Mindestschlüssellängen, Schlüsselverfahren und TLS-Vorgaben, die erfüllt sein müssen. EBICS 2.3 ist durch die darin definierten Schlüsselverfahren automatisch ab dem 22. November hinfällig.
All das setzt aktuelle EBICS-Software voraus. Firmenkunden sollten sich daher frühzeitig um ein EBICS-3.0-Update ihrer EBICS-Clients kümmern, um so auf die EBICS-Umstellung der Banken reagieren zu können. Um eine aufwändige Neuinitialisierung zu vermeiden, sollten bereits vor der bankseitigen Abschaltung von Schlüsselverfahren und -längen sowie EBICS-Versionen clientseitig entsprechende EBICS- und Schlüssel-Updates abgeschlossen sein.  Die Schlüssel-Updates sind u. U. Voraussetzung für die Migration auf EBICS 3.0.

Da für EBICS 3.0 das textbasierte Kundenprotokoll (Auftragsart PTK) nicht mehr spezifiziert ist, kann es sein, dass Banken dieses für EBICS 3.0 nicht mehr anbieten. Sollte das Kundenprotokoll-Monitoring von Firmenkunden noch auf dem PTK basieren, ist für diese eine frühzeitige Umstellung auf das XML-basierte HAC zu empfehlen.

Firmenkunden können sich zudem über ein paar neue Funktionen freuen, die ihnen EBICS 3.0 jetzt bietet. Dazu zählen u.a. die technische Doppeleinreicherkontrolle, die optionale Angabe des Originaldateinamens beim Upload und das VEU-Flag (VEU= Verteilte Elektronische Unterschrift), mit dem der Firmenkunde direkt steuern kann, ob sein eingereichter Auftrag in den VEU-Prozess laufen soll oder direkt zu prüfen ist. 

So viel zu einigen relevanten Punkten, die ich für einen erfolgreichen Zieleinlauf mit auf den Weg geben möchte. Letztlich gilt es, auf die nahende EBICS-Umstellung vorbereitet zu sein und die notwendigen Vorkehrungen zu treffen.

Und wie sieht es bei Ihnen aus? Haben Sie auch schon den Zielspurt zu EBICS 3.0 eingeleitet?


Autor: Michael Lembcke

Request to Pay – Revolution ohne Revolutionäre?

Eigentlich könnte am europäischen Zahlungsverkehrsmarkt Feierstimmung herrschen – schließlich ist am 15. Juni 2021 die erste konkrete Regelung für eine paneuropäische elektronische Zahlungsanforderung in Kraft getreten. Das SEPA Request to Pay (SRTP) Scheme Rulebook legt für alle teilnehmenden Finanzinstitute die Parameter fest. Ist dieses System einmal eingerichtet, schicken Firmen ihren Kunden einfach einen digitalen Datensatz mit den Forderungsdetails. Die Zahlungspflichtigen können die enthaltenen Informationen wie IBAN, Summe oder Verwendungszweck mit einem Mausklick in ihr Banking-System übernehmen und müssen die Transaktion dann lediglich noch autorisieren. 

Wenig Reaktionen

Experten sehen in RTP eine potenzielle Revolution des europäischen Zahlungsverkehrsmarktes. Allerdings fehlen für die Umwälzung bislang die Teilnehmer. Bestrebungen, Produkte auf Basis von RTP aufzulegen, sind kaum erkennbar. Stellt sich die Frage nach dem Grund für diese Zurückhaltung. Befürchten die Finanzinstitute mangelnde Nachfrage? Ist Ihnen die Implementierung zu kompliziert oder zu teuer? Und womit lässt sich den Banken helfen, wenn sie SRTP-Produkte starten wollen?

Interessenten gibt es genug

Die Nachfrage auf Seiten der letztlichen Adressaten, also der Privat- und Firmenkunden der Banken, ist zumindest auf Geschäftskundenseite vorhanden. Das zeigt eine Umfrage der European Banking Association (EBA) in Zusammenarbeit mit PPI eindeutig. Egal welches potenzielle Einsatzszenario bei europäischen Unternehmen abgefragt wurde, die Bereitschaft zur Anwendung von RTP in der eigenen Firma lag grundsätzlich bei deutlich über 80, teils über 90 Prozent.

Überschaubarer Aufwand

Natürlich ist ein neuer Zahlungsverkehrsstandard nicht umsonst und auch nicht über Nacht zu implementieren. Wird ein entsprechendes Projekt mit der klassischen Wasserfallmethodik angegangen, sind 18 bis 24 Monate Dauer anzusetzen. Mit modernen Mitteln wie einer agilen Entwicklung lässt sich dieser Zeitraum aber verkürzen. Wichtig ist dabei vor allem, eine klare strategische Vorstellung zu haben, was ein RTP-Produkt können soll. Außerdem muss dieses in die langfristige Geschäftsplanung des Finanzinstituts passen. Die tatsächlichen Kosten sind von den jeweiligen konkreten Gegebenheiten abhängig. Aber sie dürften ungefähr mit denen einer Instant-Payments-Einführung vergleichbar sein. Vorteile haben Institute, die diesen Service bereits eingeführt haben, denn damit sind einige für RTP wichtige Dinge schon erledigt. Sie müssen dann nur noch etwa 30 bis 40 Prozent des genannten Kostenrahmens ansetzen.

In jedem Fall dürfte sich die Investition recht bald amortisieren. Denn Produkte und Services rund um RTP stärken die Kundenbindung und können den Instituten helfen, Marktanteile zurückzugewinnen. Zumal bisher zumindest noch kein großer Player verkündet hat, in den Markt rund um RTP einzusteigen. 

Erste Projekte bald aufsetzen

Finanzdienstleister sollten das unbedingt ausnutzen. Für einen schnellen Markteinstieg sind Minimum Viable Products (MVP) geeignet. Eine Alternative dazu ist die Kooperation mit einem oder mehreren Geschäftskunden. Denn gerade Unternehmen müssten ein starkes Interesse an RTP haben, lassen sich durch die Nutzung des Standards doch erhebliche Summen bei den Rechnungsprozesskosten einsparen.

Über kurz oder lang wird eine ganze Produktwelt rund um RTP entstehen. Das ist absehbar! Institute, die frühzeitig in den neuen Markt einsteigen, können dieser Entwicklung mit freudiger Erwartung entgegensehen. Wir unterstützen Finanzdienstleister gerne bei der Implementierung. Die Grundlagen haben wir im aktuellen Whitepaper „Wie Request to Pay für Finanzdienstleister zur Erfolgsgeschichte wird“ zusammengefasst, das es hier zum kostenlosen Download gibt.

Autoren: Eric Waller, Anuschka Clasen

Digitalisierung des Kontolebenszyklus? Einfach mit eBAM und EBICS!

B07? B13? Auch wenn diese Werte wie Flughafen-Gates für den nächsten Flug aussehen, so ist dies hier nicht gemeint.

Vielleicht haben Sie diese Bezeichnungen bereits bei den geplanten Änderungen für die Mappingtabelle der DK von BTF auf Auftragsarten gesehen. Sie bezeichnen zwei der für 2021 neu eingeführten Geschäftsvorfälle für den Bereich „Electronic Bank Account Management“ (eBAM). In einem vergangenen Beitrag haben wir das Thema eBAM bereits allgemein betrachtet und uns für eine standardisierte Nutzung im Rahmen des DFÜ-Abkommens ausgesprochen.

eBAM bietet Nachrichten für die Kontoeröffnung, –pflege, –schließung und das Kontoberichtswesen. Der Fokus liegt hierbei auf einer existierenden Kundenbeziehung. Sonst wären noch ergänzende Herausforderungen zu berücksichtigen.

Mit eBAM verbinden sich konkrete Potenziale für die Verwaltung von Konten im Firmenkundenumfeld. Dort überwiegen aktuell manuelle Tätigkeiten, Medienbrüche und ein generell papierbasiertes Vorgehen. Kontoeröffnungen oder Vollmachtsänderungen bedeuten auf Kunden- und Bankseite großen Aufwand und dauern Tage bis Wochen bis zur vollständigen Abwicklung. Von fehlenden Standards über verschiedene Banken hinweg ganz zu schweigen.


 

Das Electronic Bank Account Management ermöglicht die Digitalisierung der Kontoverwaltung. Wie im Schaubild dargestellt, werden die papierbasierten Abläufe und Medienbrüche durch standardisierte ISO20022-XML-Formate (acmt.*) ersetzt, die über einen elektronischen Kanal zwischen Firmenkunde und Kreditinstitut ausgetauscht werden. Voraussetzung ist, dass wesentliche Bank- und Kontostammdaten, Vollmachten und andere Dokumente in entsprechenden Systemen des Firmenkunden verwaltet werden. Dokumentanhänge und Digitale Signaturen werden ebenso unterstützt, da diese in bestimmten Fällen erforderlich sein könnten.

Einen neuen Kanal braucht es nicht, da die eBAM-Nachrichten auch über EBICS übertragen werden können. Außerdem sind sie im EBICS-Kanal bereits autorisiert. Diese Abläufe sind vom Zahlungsverkehr, z. B. der Übertragung von Überweisungen und Statusreports, durchaus wohlbekannt und etabliert. Eine Übertragung über andere Kanäle ist auch denkbar.
Innerhalb des Instituts können die notwendigen Bearbeitungsprozesse durch automatisierte Unterstützung schneller und effizienter durchgeführt werden. 

Am Markt sind bei einigen wenigen Kreditinstituten eBAM-Angebote vorhanden, die mitunter jedoch auf einzelne Anwendungsfälle oder Kanäle beschränkt sind. Demgegenüber steht das deutlich wahrnehmbare Interesse der Firmenkunden, etwa den Treasury-Abteilungen großer Unternehmen, nach genau einer solchen digitalen Kontoverwaltung. Sie wünschen sich insbesondere einen besseren Überblick und eine reduzierte Bearbeitungsdauer, bei gleichzeitig bequemer Verwaltung ihrer Konten.
Zugleich ergeben sich auch große Vorteile für die Kreditinstitute. So können die Komplexität von IT und Prozessen erheblich reduziert sowie Prozesskosten gesenkt werden. 

eBAM besitzt verschiedene Berührungspunkte im Fachbereich und der IT, sodass bei einer Konzeption und Umsetzung Fragestellungen ganzheitlich zu betrachten sind. Etwa auch bei verbundenen Themen wie KYC (Know Your Customer), Elektronischen Signaturen, Regulatorik oder Prozessmangement.
Für die Umsetzung von eBAM in den IT-Systemen ist zu betrachten, welche Aufgaben im Bankrechner erfolgen sollen und welche in den nachfolgenden Systemen. Was ist bei den neuen Formaten und ihren aktuellen sowie zukünftigen Versionen zu beachten? Wie kann eine Nachrichtenvalidierung und Erzeugung von Rückmeldungen erfolgen? Wie erfolgt die Verarbeitung der eBAM-Nachrichten und Übernahme in die Stammdatensysteme?

PPI kann Kreditinstituten hierfür auf Basis der TRAVIC-Suite entsprechende Funktionalitäten offerieren, um die Einführung eines eBAM-Angebots zu vereinfachen. Das umfasst die Annahme von Nachrichten im EBICS-Bankrechner TRAVIC-Corporate ebenso wie die zentrale Verarbeitung in einer spezifischen eBAM-Komponente an der Schnittstelle zwischen TRAVIC-Corporate und den nachfolgenden Systemen. Doch auch eine Web-gestützte Kontenverwaltung im Firmenkundenportal TRAVIC-Port bietet Potenzial für das eigene eBAM-Offering. Und per Echtzeitbenachrichtigung könnte über den TRAVIC-Push-Server sofort über wichtige Ereignisse informiert werden.
Durch die technische und fachliche Expertise aus einer Hand kann PPI bei Bedarf die eBAM-Einführung ganzheitlich begleiten.

Ich bin überzeugt, dass die Bedeutung von eBAM immer weiter zunehmen wird. Diejenigen Institute, die hier frühzeitig agieren, werden sich rechtzeitig Marktvorteile durch innovative Angebote sichern können.

Was meinen Sie?

Autor: Dr.-Ing. Thomas Stuht

Unser Geld muss digitaler werden

 

Stellen Sie sich einmal folgendes Zukunftsszenario vor: In einem Betrieb geht ein ganz bestimmtes, nur bei einem Lieferanten im Ausland erhältliches Material aus. Spätestens 24 Stunden später muss Nachschub des Materials eintreffen, sonst steht die Produktion still. Dieses Problem wird von einem Computersystem bemerkt. Es bestellt vollkommen autonom beim System des Lieferanten neue Ware, die dort auch sofort auf den Weg gebracht wird – ebenfalls völlig automatisch. Zollanmeldung, Transportorganisation – alles funktioniert ohne menschliches Zutun. Beim Zoll scannt ein Computer die Ware, kommt anhand vorgegebener Parameter zu dem Schluss, dass alles seine Ordnung hat und fordert vom bestellenden Computersystem die Zollgebühren. Dieses würde sofort bezahlen – aber es kann nicht, jedenfalls derzeit nicht. Schließlich muss ein Mensch die Zahlung autorisieren, und auf dem normalen Weg dauert es mindestens einen Bankarbeitstag, bis der Zoll den Geldeingang registrieren kann.

Dieses Beispiel macht die Grenzen unseres aktuellen Zahlungsverkehrssystems deutlich: Verhältnismäßig lange Laufzeiten, komplizierte Autorisierungsverfahren und fehlende Delivery-versus-Payment-Funktionalitäten. War das in der Vergangenheit vielleicht noch akzeptabel, für die Zukunft ergeben sich dadurch ernsthafte Probleme. Denn die gehört – unter anderem – dem Internet of Things (IoT). Bereits 2025 werden geschätzt 75 Milliarden Geräte miteinander vernetzt sein.  Das Potenzial für neue Geschäftsmodelle ist riesig, egal ob es sich um automatische Zollabfertigungen ohne menschliches Eingreifen, nach tatsächlich gefahrener Nutzlast abgerechnete Mietgebühren für Landmaschinen oder den selbstständig bestellenden Kühlschrank handelt.

Aber: Viele dieser Geschäftsmodelle werden sich kaum realisieren lassen, wenn die derzeitigen Grenzen der Zahlungssysteme bestehen bleiben. Digitale Währungen können den Grundstein für die Automatisierung legen und diese Einschränkungen überwinden. Die Europäische Zentralbank (EZB) denkt laut über die Einführung eines öffentlichen digitalen Euros nach, sprich einer digitalen Form von Zentralbankgeld, welches die finanzielle Inklusion fördern und dem Bürger als ein digitales und sicheres Zahlungsmittel zur Verfügung stehen soll. Aber selbst, wenn dies noch 2021 beschlossen werden sollte: Vor 2026 ist eine solche Währung auch nach Einschätzung des EZB-Direktors Fabio Panetta kaum Realität , zumal auch noch nicht feststeht, ob der digitale Euro die für IoT-Geschäftsmodelle notwendigen Eigenschaften aufweisen wird. Angesichts des Wachstums im IoT ist es zu spät und zu unsicher.

Die Lösung dieses Dilemmas liegt bei privaten Initiativen. Es gibt bereits heute schon die Möglichkeit, über eine technische Brückenlösung das SEPA-System mit einer Anwendung, die auf der Distributed-Ledger-Technologie (DLT) basiert, zu verbinden. Mit dieser Methode lassen sich beispielsweise Pay-per-Use-Lösungen umsetzen: Über das SEPA-System werden Zahlungen ausgelöst, und programmierbare Zahlungen können auf einer DLT abgebildet werden. Diese sogenannte Triggerlösung beseitigt aber die Limitationen von SEPA nicht. Denn nach wie vor wird die menschliche Autorisierung benötigt. Die Maschine oder das IoT-Gerät kann nicht selbstständig abrechnen. Der Systembruch bei der Zahlungsabwicklung kann vermieden werden, wenn ein digitales Zahlungsmittel direkt auf einer DLT emittiert und abgewickelt wird, anstatt über den konventionellen Zahlungsverkehr. 

DLT-basiertes digitales Geld muss nicht zwangsläufig von einer Zentralbank herausgegeben werden. Auch Banken oder Finanzinstitute können Lösungen für die sogenannten programmierbaren Zahlungen schaffen. Ein Beispiel hierfür sind eurobasierte Stablecoins – digitale Token, die mit einem bestimmten Geldwert unterlegt sind. Derzeit gibt es jedoch keine regulatorische Basis für Euro-Stablecoins. Zudem weisen diese Stablecoins ein hohes Gegenparteirisiko auf. Mit der geplanten EU-Richtlinie „Markets in Crypto-Assets“ (MiCA) dürfte sich das allerdings ändern und Stablecoins zu tokenisiertem E-Geld gemacht werden können. Eine Alternative ist tokenisiertes Giralgeld, das Banken emittieren könnten. Es hätte im Gegensatz zur Stablecoin den Vorteil, nicht zu 100 Prozent gedeckt sein zu müssen. Nach den derzeit geltenden Vorschriften wäre eine solche Währung aber dann auch nicht multibankfähig, was ganz erhebliche Einschränkungen mit sich bringt.

Wie auch immer die digitale Währung am Ende aussieht, sie wird kommen. Denn nur dadurch kann die deutsche Industrie von den Potenzialen des IoT in vollem Umfang profitieren. Gerade noch weitergehende Automatisierungen in der Warenlogistik oder immer stärker im Trend liegende Asset-as-a-Service-Modelle sind ohne vollständig autonome Zahlungen in Echtzeit kaum dauerhaft vorstellbar. Einzelheiten zu den Anwendungsfällen und weitere Details zu Konzeption digitaler Währungen können Sie im gemeinsamen Whitepaper „Der Zahlungsverkehr der Zukunft: Programmierbare Zahlungen im Bereich IoT“ nachlesen, das wir von PPI zusammen mit den Partnern Cash on Ledger, Digital Euro Association und Frankfurt School Blockchain Center verfasst haben. 

Zum kostenlosen Download geht es hier.

Autoren: Anja Kamping, Philipp Schröder


EBICS-Schlüssel: Wie lang ist der Schlüssel zum Erfolg?

Am 21.April 2021 fand ein EBICS-Herstellerworkshop der Deutschen Kreditwirtschaft (DK) statt. Inhaltlich wurden die Kernanpassungen an EBICS, die mit Version 3.0.1 kommen werden, präsentiert. Für mich aber viel interessanter sind die gleichzeitig vorgestellten kryptografischen Anpassungen, die mit November 2021 für die EBICS-Kundensysteme verpflichtend werden. EBICS nutzt in der Kommunikation 3 RSA-Schlüsselpaare: ein Paar für bankfachliche Signaturen, ein Paar für die Authentifikation des EBICS-Fragments und ein Paar für Ver-/Entschlüsselung von Nachrichten.

Für EBICS V2.5 bedeutet diese Anpassung, dass bankfachliche Signaturen (A-Schlüssel) mindestens eine 2048-Bit-Schlüsseltiefe besitzen müssen. Bei der Authentifikation (X-Schlüssel) und Verschlüsselung (E-Schlüssel) wurde ein Kompromiss von mindestens 1984 Bit gewählt. Grund hierfür sind wohl die im Markt existierenden Seccos-Chipkarten, bei denen einer der enthaltenen Schlüssel diese Länge aufweist. Der sogenannte DS-Schlüssel dieser Seccos-Karten besitzt eine 2048-Bit-Schlüssellänge und liegt im speziellen, mit alternativer PIN-geschützten, Bereich des Kartenchips.

 Ergänzend wurde allen Teilnehmern nochmals bestätigt, dass mit der Nutzung von EBICS 3.0.1 alle verwendeten Schlüssel für Authentifikation (X00x), Verschlüsselung (E00x) und bankfachlicher Signatur (A00x) nicht mehr kürzer als 2048 Bit sein dürfen.

Das bedeutet für die Kundenprodukthersteller, dass in absehbarer Zeit ein Prozess zur Schlüsselverlängerung starten muss, damit alle Kunden ab November leicht und einfach auf das neue EBICS 3.0.1 umstellen können. Wenn dies nicht geschieht, ist ein Umstieg auf EBICS 3.0.1 mit den vorhandenen – jedoch zu kurzen – Schlüssel nicht möglich.

Kundenprodukte, die keinen Schlüsselwechsel anbieten, geraten hier ins Hintertreffen. Denn ihre Nutzer müssen sich dann in einem aufwändigen und komplizierten Prozess neue, längere Schlüssel generieren, danach ihren Zugang bei der Bank zurücksetzen lassen und anschließend eine Schlüsselneueinreichung inkl. INI-Brief-Einreichung bei ihrer Bank vornehmen. Danach heißt es Warten, bis der EBICS-Zugang erneut freigeschaltet wird.

EBICS-Kundenprodukte, die ihren Kunden einen Schlüsselwechsel anbieten, haben trotzdem noch die Herausforderung, dass mit EBICS 3.0.1 nur noch X509-Zertifikate in der EBICS-Kommunikation genutzt werden dürfen. Hier kommen ganz neue interne Prozesse in den Kundenprodukten zum Einsatz. Die Umsetzung muss also gut geplant werden und wird i.d.R. nicht einfach möglich sein. Der TRAVIC-EBICS-Kernel der PPI AG hilft jedoch dabei, denn er stellt die notwendigen Funktionen für einen leichten Umstieg zur Verfügung. Ratsam wäre es, in diesem Zuge auch vom bisherigen Schlüsselformat (RDH2) auf das PKCS#12-Format (p12-Datei) für Schlüsseldateien umzustellen.

Eine Herausforderung kommt auf die Chipkarten zu, denn diese besitzen häufig nicht die notwendigen Schlüssellängen und müssen ggf. ausgetauscht werden, sofern das überhaupt möglich ist. 

Fazit:
Es wird Zeit, die Nutzer von EBICS, die mit kurzen Schlüsseln unterwegs sind, anzusprechen, damit sie ihren Schlüsselhaushalt rechtzeitig vor Umstellung auf EBICS 3.0.1 bzw. vor November 2021 aktualisieren, ihre neuen Schlüssel erzeugen und idealerweise signiert mit den bisherigen Schlüsseln bei ihren Banken einreichen. Fatal wäre eine Dysfunktionalität des EBICS-Zugangs ab November 2021, wenn Nutzer nicht mit den dann geltenden Schlüsselanforderungen kommunizieren wollen.

Autor: Michael Schunk

Kommt die perfekte Welle?

 

Beim Thema Outsourcing im Zahlungsverkehr fühle ich mich derzeit ein wenig an einen Surfwettbewerb erinnert, bei dem die Teilnehmer lange vergeblich draußen herumpaddeln und Ausschau nach der richtigen Welle halten. Für die ruhige See sorgten zum einen viele Finanzinstitute, die den Zahlungsverkehr als ihr Kerngeschäft ansehen und vor Auslagerungen im Zentrum der eigenen Geschäftstätigkeit zurückschreckten. Zum anderen war die Angebotsseite entsprechender Dienstleistungen bislang begrenzt – also Flaute auch hier. Ein komplettes Business Process Outsourcing (BPO) im Zahlungsverkehr bietet aktuell nur die Equens Worldline an. Das Betriebscenter für Banken (BCB), eine Tochter der Deutschen Bank, ist dabei, sich aus dem Markt zurückzuziehen.

Regulierung zwingt zu Veränderungen

Jetzt kommt allerdings Bewegung in die Brandung, sprich in den Markt. Da ist einmal der Veränderungsdruck. Der ist inzwischen immens, bedingt durch Regulatorik und technische Anforderungen. Nahezu ständig rollen neue Anforderungen seitens der Regulierungsbehörden auf die Finanzdienstleister zu. Diese umzusetzen, hält die IT-Abteilungen dauerhaft auf Trab, zumal es auch keine kleinen Aufgaben sind. Die meisten Neuregulierungen ziehen IT-seitig den gleichen Aufwand nach sich, der beispielsweise für die Implementierung eines neuen SEPA-Standards fällig wird. Darunter leidet das Kerngeschäft, zumal IT-Experten auch nicht gerade so zahlreich sind wie Sand am Strand, Personalaufstockungen also nur sehr eingeschränkt möglich sind.

Technische Anforderungen übersteigen aktuelle Systemfähigkeiten

Dieser Mangel auf dem Personalmarkt spielt indirekt auch bei der zweiten Ursache der Veränderungsnotwendigkeit eine Rolle, dem technischen Druck. Die Forderungen an die Banken-IT haben sich grundlegend verändert. Gefragt sind inzwischen 24/7-Service und vor allem Echtzeitfähigkeit. Dieses „Instant“-Phänomen, Zahlungen jetzt und sofort ausführen und nachverfolgen zu können, stellt die IT-Infrastruktur der Banken vor gewaltige Herausforderungen. Je nachdem welche Legacy-Systeme noch arbeiten und in welchen Kopfmonopolen das entsprechende Wissen vorhanden ist, kann eine technische Outsourcinglösung wirtschaftlich immer charmanter werden – und es gibt noch weitere Strömungen Richtung Outsourcing.

Technologiesprünge beflügeln das Angebot

Auch die Angebotsseite sorgt für Wellen im Markt. Gerade Plattformlösungen, aber auch Konnektivitätstechnologien, haben in den vergangenen Jahren derartige Sprünge gemacht, dass eine Reihe von Anbietern in den Markt rund um das Zahlungsverkehrsoutsourcing einsteigt. In der Regel handelt es sich dabei um spezialisierte Dienstleister, beispielsweise Softwareanbieter wie wir von PPI für ein technisches Outsourcing oder Finanzdienstleister wie Broadridge für ein komplettes BPO. Letztere zum Beispiel setzen dafür auf ihre entsprechende Erfahrung im Wertpapiergeschäft auf. 

Die Regulierungsbehörden entdecken die Dienstleister

Erfahrung und Know-how sind wichtig, denn die Aufsicht zieht auch für externe Dienstleister für Zahlungsverkehr von Finanzinstituten die Zügel fester an. Banken sind durch bereits in Kraft getretene oder in Planung befindliche nationale und europäische Regelungen gezwungen, den Kreis der zu überwachenden Dienstleister auszuweiten, künftig sehr genau hinzuschauen und zu prüfen, inwieweit der Partner seine Leistungen tatsächlich garantieren kann. Das geht bis hin zu direkten Vorschriften für die Vertragsgestaltung. Anbieter von Outsourcinglösungen könnten demnächst zudem Besuch von den Behörden bekommen. Diese wollen künftig möglicherweise prüfen, inwieweit die Unternehmen die für Banken geltenden Regularien ebenfalls einhalten und ob sie in der Lage sind, ihre Zuverlässigkeitsgarantien auch zu erfüllen.

Wer nimmt die Welle mit?

Wie zu hören ist, haben erste Banken die stärkere Brandung bereits genutzt, um in Richtung Outsourcing zu surfen. Andere haben zumindest, um im Bild zu bleiben, bereits einen Fuß auf dem Board. Auch wenn viele Große der Branche auf den Ritt auf der Outsourcingwelle eher verzichten und viele öffentlich-rechtliche oder genossenschaftliche Player ohnehin bereits mit ihren Verbandsrechenzentren aufs Brett gestiegen sind, das Rauschen der Outsourcingwellen wird hörbarer. Wer nutzt ihre Energie?

Ihr
Hubertus von Poser