EBICS - Electronic Banking Internet Communication Standard

Transkript

1 EBICS - Electronic Banking Internet Communication Standard Historie In Deutschland haben sich 1932 die fünf Spitzenverbände der Deutschen Kreditwirtschaft zu einer Interessenvertretung, dem Zentralen Kreditausschuss (ZKA), zusammengeschlossen. Neben anderen Themen werden im ZKA einheitliche Standards im Zahlungsverkehr vereinbart, die für alle angeschlossenen Banken verbindlich sind. So gibt es seit vielen Jahren das DFÜ-Abkommen, das ein gemeinsames Verfahren für die Datenkommunikation zwischen Bank und Firmenkunden regelt. Wenn Ihr Firmenkunde eine Software nutzt, die dieses Verfahren unterstützt, kann er mit dieser Software quasi alle Banken in Deutschland erreichen. FTAM Das derzeit vereinbarte Verfahren heißt FTAM, File Transfer and Access Management, und ermöglicht Ihren Firmenkunden eine sichere Übertragung von Zahlungsverkehrsdaten auf der Basis eines bundesweit einheitlichen Standards. Das FTAM-Verfahren wird nun seit über 10 Jahren genutzt und kann die Anforderungen, die Firmenkunden heute stellen, nur noch eingeschränkt erfüllen. So ist beispielsweise eine Kommunikation über das Internet nicht möglich, FTAM benötigt für die Datenübertragung eine ISDN- oder Datex-P- Leitung. Das erfordert auf Seite des Firmenkunden eine besondere Hardwareausstattung und die Übertragungsgeschwindigkeit ist auf maximal 128 kbit/s begrenzt. Zum Vergleich: Bei DSL sind heute bis zu kbit/s möglich. Veränderte Rahmenbedingungen Da mittlerweile 78% der Firmenkunden das Internet nutzen und der verkehr zum Alltag gehört, sind die Firmenkunden über eigene abgesicherte Netzwerke direkt an das Internet angeschlossen. 44% dieser Firmenkunden nutzen bereits heute die schnellen Breitbandanschlüsse wie z.b. DSL, weitere 44% sind über eine ISDN-Leitung an das Internet angeschlossen (Quelle: Statistisches Bundesamt, Ergebnisse für das Jahr 2005). Die Vermutung liegt nahe, dass viele der ISDN-Nutzer in naher Zukunft ebenfalls auf schnellere Verbindungen umstellen werden und die "DSL-Quote" weiter steigt. Für die Kreditwirtschaft ist es demzufolge wichtig, den Firmenkunden die elektronische Abwicklung des Zahlungsverkehrs über die schnellen Breitbandanschlüsse und damit über das Internet zu ermöglichen. Seite 1

2 Neues DFÜ-Verfahren EBICS Im ZKA wird derzeit ein neues Verfahren zur Datenkommunikation zwischen Bank und Firmenkunde entwickelt. Das Verfahren nennt sich EBICS, Electronic Banking Internet Communication Standard, und schon am Namen kann man erkennen, wo genau die Zielrichtung des neuen Verfahrens liegt. Was ist neu? Internet: Statt die Kommunikation zwischen Bank und Kunde über direkte Telekommunikationsverbindungen (z.b. ISDN) aufzubauen, nutzt EBICS bestehende Anbindungen des Firmenkunden an das Internet. Weitere Anschaffungen für Hardware, wie ISDN-Karten usw. sind nicht erforderlich. Für die Übertragungsgeschwindigkeit kann die volle Kapazität der heutigen Technologien (z.b. DSL) genutzt werden. Sicherheit: Bei EBICS ist die doppelte Verschlüsselung im Gegensatz zu FTAM zwingend, also vom Verfahren bereits vorgegeben. Die Auftragsdaten werden mit der ZKA-Verschlüsselung, die schon bei FTAM optional möglich war, gesichert und für den Transportweg (Internet) wird die TLS-Verschlüsselung (Transport Layer Security) verwendet. TLS ist die Weiterentwicklung der im Internet gebräuchlichen SSL-Verschlüsselung. Verteilte elektronische Unterschrift: Die verteilte Elektronische Unterschrift (EU) ist eine Option, die unter FTAM nicht möglich war. Mit der verteilten EU kann die Erst- und / oder Zweitunterschrift von völlig getrennten Standorten erfolgen. Der Unterschriftsberechtigte ist somit in der Lage, von einer Niederlassung, von Unterwegs oder sogar aus dem Ausland die bereitgestellten Zahlungsaufträge zu prüfen und anschließend zu legitimieren. Dieser Vorteil ist besonders für Firmenkunden wichtig, die mehrere Filialen oder Stützpunkte haben, den Zahlungsverkehr aber zentral steuern wollen. Transportunterschrift: Für den Versand von Aufträgen an die Bank ist innerhalb von EBICS die Elektronische Unterschrift obligatorisch, d.h., jede gesendete Datei muss elektronisch unterschrieben werden. Zu diesem Zweck wurde eine neue Unterschriftskategorie eingeführt, die Transportunterschrift. Damit kann auch gewährleistet werden, dass ein Mitarbeiter des Firmenkunden zwar den Auftrag an die Bank schicken kann, aber zur eigentlichen Legitimation nicht berechtigt ist. Signatur der Bank: Für weitere Entwicklungen, z.b. im Bereich des Elektronischen Kontoauszugs, ist optional auch die Elektronische Unterschrift der Bank (im Gegensatz zur EU des Kunden) geplant. In diesem Fall könnte der Firmenkunde eine von der Bank erhaltene Nachricht auf Authentizität prüfen. Seite 2

3 Ist EBICS genauso sicher, wie FTAM? Dem Vorteil, Daten schnell und ortsunabhängig über das Internet zu übertragen, steht gegenüber, dass diese Kommunikation grundsätzlich unsicher und mit Risiken behaftet ist. Daher wurde bei der Konzeption von EBICS besonderer Wert darauf gelegt, diese Risiken zu vermeiden und dabei auch zukünftige Entwicklungen vorauszusehen. Die nachfolgenden Maßnahmen tragen wesentlich dazu bei, dass dem Firmenkunden neben dem zusätzlichen Nutzen auch eine größtmögliche Sicherheit geboten wird: Sicherheitskonzept: Das vom ZKA für EBICS erarbeitete Sicherheitskonzept wurde von einem neutralen Gutachter bewertet und für gut befunden. Vertraulichkeit: Um zu verhindern, dass vertrauliche Informationen an unberechtigte Dritte gehen können, wird die doppelte Verschlüsselung eingesetzt: o TLS (SSL)-Verschlüsselung des Transportwegs o ZKA-Verschlüsselung der Auftragsdaten Integrität: Um sicherzustellen, dass die Daten während der Übertragung nicht verändert wurden, wird für die Ursprungsdaten mit Hilfe eines zuvor ausgetauschten Schlüssels ein elektronischer Fingerabdruck (Hash-Wert) erzeugt. Die Echtheit der übermittelten Daten wird von der Bank mit dem gleichen Hash-Verfahren überprüft. Authentifikation: Mit Hilfe der elektronischen Transportunterschrift ist die Identität des Absenders des (Zahlungs-)Auftrags eindeutig. Autorisierung: Aufträge werden elektronisch signiert. Zu diesem Zweck wird die bankfachliche elektronische Unterschrift verwendet, die bereits bei FTAM angewendet wird. Für die bankfachliche elektronische Unterschrift gelten die gleichen Regeln, wie für die Unterschriftsberechtigung des Kontos selbst. Die Unterschriftsvarianten E, A und B sind möglich. Für EBICS wird mindestens die Version A004 der elektronischen Unterschrift mit 1024-bit- Verschlüsselung vorausgesetzt. Ältere Versionen sind nicht zugelassen. Was ist bei den vertraglichen Beziehungen zu beachten? Bank - Bank: Für die vertraglichen Beziehungen der Banken untereinander wurde die Anlage "EBICS" zum in das DFÜ-Abkommen (ZKA) aufgenommen. Damit ist EBICS für alle dem ZKA angeschlossenen Banken verbindlich. Bank - Kunde: Für die vertraglichen Beziehungen zwischen Firmenkunde und Bank gelten im Allgemeinen die "Bedingungen für Datenfernübertragung", die Bestandteil der AGB sind. Die "Bedingungen für Datenfernübertragung" wurden um die Inhalte für EBICS erweitert und am im ZKA verabschiedet. Derzeit werden die Bedingungen durch das Bundeskartellamt geprüft sind im Anschluss für Sie beim DG VERLAG verfügbar. Seite 3

4 Können Sie Ihren Kunden EBICS zum anbieten? Die Volksbanken und Raiffeisenbanken stellen in Zusammenarbeit mit der jeweiligen Rechenzentrale die EBICS-Funktionalitäten rechtzeitig zum bereit. Erste Pilottests wurden bereits gestartet. Wann stehen Updates für die Produkte GENO cash und Profi cash bereit? Software GENO cash: nach Abschluss der Qualitätstests erhalten Sie von der DZ BANK AG das Zusatzmodul EBICS, das Sie dann Ihren Firmenkunden zur Verfügung stellen können. Durch den Einsatz dieses Zusatzmoduls können Ihre Firmenkunden Kontoverbindungen in Deutschland sowohl über FTAM (wie bisher) als auch über EBICS erreichen. Software Profi cash: in der für den Herbst 2007 avisierten Version 9 werden die EBICS- Funktionalitäten enthalten sein. Mit der Version 9 können Ihre Firmenkunden Kontoverbindungen in Deutschland sowohl über FTAM (wie bisher) als auch über EBICS erreichen. Wird die VR-NetWorld Software ebenfalls EBICS unterstützen? Firmenkunden, die die VR-NetWorld Software einsetzen, können den EBICS-Standard nicht nutzen. Die VR-NetWorld Software unterstützt aufgrund der unterschiedlichen Kundenausrichtung das Kommunikationsverfahren FinTS 3.0, das wie EBICS die Verbindung zur jeweiligen Bank über das Internet aufbaut. FinTS 3.0 ist ebenfalls ein im ZKA vereinbarter Standard, der für Privatkunden und Gewerbetreibende entwickelt wurde. Zeitplan für die EBICS-Einführung Die bankseitige Verpflichtung gilt gemäß Vereinbarungen im ZKA ab dem D.h., alle dem ZKA angeschlossenen Banken müssen ab diesem Zeitpunkt den EBICS-Standard unterstützen. Das ist unabhängig von der Tatsache, ob bis zu diesem Zeitpunkt auch bereits Softwareprodukte verfügbar sind, die der Firmenkunde nutzen kann. Die bisherige Verpflichtung, den FTAM-Standard zu unterstützen, endet am Nach diesem Zeitpunkt kann eine Bank weiterhin FTAM anbieten, sie muss es aber nicht. Für die VR-Banken bedeutet das, möglichst viele Firmenkunden im Zeitraum vom bis zum von FTAM auf EBICS umzustellen. Seite 4

5 Fragen und Antworten zu EBICS 1. Können Daten während des Transports über das Internet unerkannt manipuliert oder von (unberechtigten) Dritten eingesehen werden? Nein, denn die Daten sind mit modernsten Verschlüsselungs- und Sicherungsverfahren geschützt und bieten ein sehr hohes Maß an Sicherheit. Der Schutz vor Manipulation wird insbesondere durch das Unterschreiben jeder Einreichung gewährleistet. Die unberechtigte Einsichtnahme wird durch die zwingend vorgeschriebene doppelte Verschlüsselung für alle Auftragsdaten verhindert. 2. Wie wird der sichere Transport der Daten über das Internet gewährleistet? Die doppelte Verschlüsselung aus der Kombination von symmetrischen und asymmetrischen kryptografischen Algorithmen (RSA-AES-Hybrid-Verfahren) und der TLS-Verschlüsselung (das Standardverfahren zum sicheren Datentransport via Internet) ist zwingend vorgeschrieben. Die Sicherheitsverfahren werden regelmäßig überprüft und bei Bedarf auf den aktuellen Stand der Technik gebracht. 3. Kann die Phishing-Problematik auftreten? Phishing in der klassischen bekannten Form kann bei EBICS nicht auftreten. Dennoch sollten die für Internet- und Online-Banking ausgegebenen Sicherheitsempfehlungen (z. B. Virenscanner, Personal Firewall, Firewalls für Unternehmen, regelmäßige Aktualisierung der Software) in vollem Umfang berücksichtigt werden. 4. Können so genannte Trojaner im EBICS-Verfahren Schaden anrichten? Aufgrund der hohen Sicherheitsstandards, insbesondere der Authentifikationssignatur (ersetzt das bisherige DFÜ-Passwort bei FTAM), ist dies nahezu ausgeschlossen. Dennoch sollten die für Internet- und Online-Banking ausgegebenen Sicherheitsempfehlungen (z. B. Virenscanner, Personal Firewall, Firewalls für Unternehmen, regelmäßige Aktualisierung der Software) in vollem Umfang berücksichtigt werden. 5. Wie wurde die Qualität der gewählten Sicherheitsmaßnahmen sichergestellt? Das EBICS zugrunde liegende Sicherheitskonzept wurde von einem auf Sicherheitsstandards spezialisierten, vom ZKA beauftragten, neutralen Gutachter überprüft. 6. Kann ich noch die Elektronische Unterschrift in den Versionen A002 oder A003 verwenden? EBICS unterstützt nur Unterschriftsversionen ab A Müssen die Exportschnittstellen von GENO cash und Profi cash angepasst werden? Die bankfachlichen Datenformate (DTAUS, DTAZV, MT940, MT101) bleiben unverändert. Daher können die Exportschnittstellen ohne Änderung weiterverwendet werden. Seite 5

6 8. Ändert sich das Speichermedium für die Elektronische Unterschrift? Nein, es können die bisherigen Speichermedien (in der Regel Diskette, USB-Stick) weiter verwendet werden. 9. Muss ein neuer Vertrag zwischen Firmenkunde und Volksbank oder Raiffeisenbank abgeschlossen werden? Ja, die bisherigen Verträge (in der Regel die Bedingungen für Datenfernübertragung) müssen an das neue Verfahren angepasst werden. Sobald die neuen Verträge bereitstehen, können diese über den DG-Verlag bezogen werden. Wir werden Sie hierüber gesondert informieren. Quellen: Seite 6