Electronic Banking Internet Communication Standard

Der Electronic Banking Internet Communication Standard (kurz: EBICS) bezeichnet einen neuen, in Deutschland multibankfähigen Standard für die Übertragung von Zahlungsverkehrsdaten über das Internet. EBICS löst nach einer Übergangszeit den bisherigen Standard BCS-FTAM ab, für den es kein Internetprotokoll gibt.

Historie und zukünftige Entwicklung

Der EBIC-Standard wurde vom Zentralen Kreditausschuss (ZKA; heute Die Deutsche Kreditwirtschaft) entwickelt und zum 1. Januar 2006 in das DFÜ-Abkommen aufgenommen. Seit dem 1. Januar 2008 besteht eine Verpflichtung für Kreditinstitute zur Unterstützung von EBICS. Zum 31. Dezember 2010 endete für die Banken die Verpflichtung, BCS-FTAM weiter zu unterstützen.

In Voraussicht einer möglichen Entwicklung zu einem europaweiten Standard wurde mit dem führenden „E“ des Akronyms die Möglichkeit geschaffen, die Bezeichnung in „European Banking Internet Communication Standard“ zu ändern. Die französischen Banken, vertreten durch das Comité Français d’Organisation et de Normalisation Bancaire (CFONB) haben mit dem ZKA bereits ein grenzüberschreitendes Kooperationsabkommen zur gemeinsamen Nutzung von EBICS geschlossen.^[1]

Im Rahmen der SEPA-Einführung wird EBICS eine entscheidende Rolle erhalten. Die Deutsche Bundesbank unterstützt EBICS für die Einreichung von SEPA-Zahlungsverkehrsaufträgen seit dem 28. Januar 2008, so dass EBICS nach Meinung von Electronic-Banking-Experten zukünftig eine kostengünstige Alternative zu SWIFT darstellen wird.^[2]

Technische Details des Protokolls

Alle Daten sind in einen XML-Container eingebettet und werden über HTTP mit einer TLS-Verschlüsselung versandt, um die sichere Übertragung zu garantieren. Die Daten werden Block für Block übertragen und jeder Block mit einer elektronischen Signatur gesichert. Bei Übertragungsfehlern ermöglicht eine Wiederherstellungsfunktion die Wiederaufnahme des Transfers ab dem letzten erfolgreich übertragenen Block. Mit Blick auf PKI-gestützte Modelle wird der optionale Einsatz von X.509-Zertifikaten für den Austausch der aktuellen RSA-Schlüssel zwischen Kunde und Kreditinstitut unterstützt.

Berechtigungskonzepte

In der EBICS-Kommunikation können im Gegensatz zur Kommunikation über F-TAM (via Telefon/ISDN-Leitung) verschiedenste Berechtigungsmöglichkeiten abgebildet werden:

1. Elektronische Einzelunterschrift
2. Geteilte Elektronische Unterschrift
3. Verteilte Elektronische Unterschrift

1.) Dieses Berechtigungskonzept sieht vor, dass erfassende User nicht dem empfangenden EBICS-System bekannt gemacht werden. Im Falle einer Zahlungsverkehrsapplikation, in der Dateien erfasst werden können, wird beispielsweise meist die Variante vertreten, dass nur ein technischer Teilnehmer mit einer sogenannten E-Unterschrift (Einzelunterschrift) die Übertragung initiiert und mit seiner elektronischen Signatur versieht. Das empfangende System kontrolliert die Empfangsberechtigung und führt die Zahlung aus.

2.) Dieses Berechtigungskonzept sieht vor, dass erfassende User dem empfangenden EBICS-System bekannt gemacht werden. Es werden im Normalfall die Varianten A-Unterschrift, B-Unterschrift und T-Unterschrift (Transport-Unterschrift) genutzt. Z. B. eine Erfassungskraft, die im Außenverhältnis keine Unterschriftsberechtigung besitzt, wird im Empfangssystem mit einer Transportunterschrift versehen. Die Prokuristen und ähnlich unterschriftsberechtigte Personen des Unternehmens treten mit ihrer jeweiligen A- oder B-Unterschrift auf. Die zum Empfangssystem geleitete Datei enthält dann neben der Zahlungsverkehrsdatei auch die A- und B-Unterschriften.

3.) Dieses Berechtigungskonzept ist eine Anlehnung zu Punkt 2. Der Unterschied besteht jedoch darin, dass die Unterschriften nicht in einem Transportauftrag versendet werden, sondern dass die Datei nur mit einer T-Unterschrift versandt wird und erst im Nachhinein mit einem anderen Transportauftrag unterschrieben wird. Der Vorteil kann darin bestehen, dass einige Unternehmen Zahlungsverkehrsprovider zur Erstellung der Daten benutzen, aber das Bestätigen der Daten lieber in ihren Händen behalten möchten.

Varianten des EBICS-Systems

Das EBICS-System wird zwischen zwei Varianten unterschieden:

1. Das von vielen benutzte Kunde-Bank-System. In diesem Fall kann auf jedem internetfähigen PC die benötige Software aufgespielt werden. Der Kunde kann Zahlungen oder andere Dateien an seine Bank senden und Protokolle und Auslieferungsdateien wie Elektronische Kontoauszüge (MT940/STA) etc. herunterladen.
2. Eine neue Variante ist das Bank-Bank-System. Diese wird neben der SWIFT-Kommunikation von Banken eingesetzt, um sich gegenseitig Zahlungen und andere im Zahlungsverkehr benötigte Dateien zuzusenden. In diesem Fall wird die Software auf einen internetfähigen Server aufgespielt. Die Dateien werden in diesem Fall von beiden Seiten zum Partnersystem gesendet. Einzig und allein die EBICS-Protokolle werden heruntergeladen. Diese Variante ist jedoch recht kostspielig, da der Server verschiedenste Sicherheitsmechanismen wie Firewall etc. besitzen muss und die EBICS-Kommunikation formal 24 Stunden pro Tag, sieben Tage die Woche aktiv sein muss. Daher ist es eine einfache Rechnung des Break-Even-Points, ab wann sich das EBICS-System gegenüber dem SWIFTNet FileAct-System lohnt. Die Deutsche Bundesbank als „Großhändler“ hat sich in diesem Fall eine Vorreiterrolle verschafft, indem sie als einer der ersten Zahlungsverkehrsanbieter neben der Kommunikation via F-TAM, via SWIFTNet FileAct und SWIFT-FIN all ihren Kunden (sowohl Kreditinstitute als auch Nichtbanken wie z. B. Öffentliche Kassen) EBICS im Kunde-Bank- als auch im Bank-Bank-Standard anbietet.

Quellen

1. ↑ Zentraler Kreditausschuss: Neue deutsch-französische Kooperation im Zahlungsverkehr - weiterer Schritt auf dem Weg zum einheitlichen Zahlungsverkehrsraum (SEPA). Stand 14. November 2008
2. ↑ Stahl, Ernst; Wittmann, Georg; Krabichler Thomas: Electronic Banking 2008 - Trends und zukünftige Anforderungen im Firmenkundengeschäft. Regensburg, 2008, S. 56.

Weblinks

• Offizielle Seite der EBICS SCRL
• Eine gute Einführung findet man auch im EBICS-Kompendium
• Vergleich zwischen FTAM und EBICS