Was ist EBICS? – Verfahren, Auftragsarten & Vorteile von EBICS Banking
Bei EBICS (Electronic Banking Internet Communication Standard) handelt es sich um einen internetbasierten Kommunikationsstandard zwischen Unternehmen und Banken/Sparkassen, der neben dem gesicherten Datenaustausch auch die Autorisierung bzw. die Freigabe von (Zahlungs-)Aufträgen an die Bank standardisiert.
Da es sich bei dem Austausch um sensible Finanzdaten handelt, wurde bei EBICS besonderer Werte auf höchste Nachrichtensicherheit durch eine signaturbasierte Authentifikation sowie Verschlüsselung sowohl auf Transport- als auch auf Anwendungsebene gelegt.
Neben dem Datenaustausch zwischen Unternehmen und Banken/Sparkassen hat sich EBICS mittlerweile auch in der Interbanken-Kommunikation etabliert. Darüber hinaus ist EBICS aufgrund der Datensicherheit und Offenheit gegenüber den zu übermittelnden Daten mehr und mehr auch in der Kommunikation innerhalb von Unternehmen und Unternehmensgruppen vorzufinden, sehen Sie auch: „EBICS – zusätzliche Einsatzmöglichkeiten“
Technisch gesehen handelt es sich bei EBICS um ein offenes, auf Standards wie XML, HTTPS, TLS und ZIP basierendes Kommunikationsprotokoll.
Weitere Infos auf www.ebics.de.
Welche Banken/Sparkassen unterstützen EBICS und welche Kosten fallen dafür an?
Bereits seit Anfang 2008 ist es für (Geschäfts-)Banken und Sparkassen in Deutschland verpflichtend, EBICS zu unterstützen. EBICS zielte jedoch bereits sehr früh darauf ab, die Einführung dieses Standards auf internationaler Ebene voranzutreiben, so dass EBICS von Banken und ihren Kunden als einheitlicher Kommunikationsstandard für den sicheren Austausch von Nachrichten genutzt werden kann. Im Laufe der vergangenen Jahre haben sich auch Frankreich, die Schweiz und Österreich dieser Verpflichtung angeschlossen. Darüber hinaus gibt es aber auch Banken in anderen Ländern, die ebenfalls per EBICS erreichbar sind, obwohl der EBICS-Standard in diesem Land (noch) nicht verpflichtend ist.
Die Kosten für einen EBICS Zugang sind hingegen nicht standardisiert und variieren von Bank zu Bank. So stellt es bei manchen Banken einen inkludierten Baustein im Rahmen des Kontomodells dar und bei anderen hingegen werden Gebühren pro Kunden-ID, Teilnehmer-ID, Konten und/oder Geschäftsvorfällen fällig. Eine Rückfrage bei der Bank bringt hier Klarheit.
EBICS SEPA
Neben der Harmonisierung des europäischen Zahlungsverkehrs im Rahmen von SEPA (Single Euro Payments Area) mittels ISO20022-basierende Formate könnte mit EBICS damit eine europaweite Harmonisierung der Kommunikation zwischen Unternehmen und Banken folgen. Damit wäre im übertragenen Sinne nicht nur das auszutauschende Dokument für den Empfänger lesbar, sondern auch der gesicherte Datenaustausch zwischen Versender und Empfänger standardisiert.
EBICS Verfahren – was ist EBICS und wie funktioniert es?
Die Kommunikation mittels EBICS kann man sich wie ein unternehmensbezogenes Postfach bei der Bank vorstellen. Dieses Postfach wird mit einer eindeutigen Kunden-ID bei der Bank eingerichtet und verschiedene Benutzer erhalten mittels einer persönlichen Teilnehmer-ID Zugriff auf dieses Postfach.
Alle für das Unternehmen bestimmte Daten wie Kontoauszüge, Vormerkposten, etc. werden in regelmäßigen Abständen von der Bank in diesem Postfach bereitgestellt. Die Abholung der Daten erfolgt in regelmäßigen Abständen durch das Unternehmen.
Darüber kann das Unternehmen (Zahlungs-)Aufträge inklusive der bankfachlichen Freigabe an das Postfach übermitteln. Die Bank prüft in diesem Fall die übermittelten Daten sowie die Freigabeberechtigung und gibt diese dann in die Verarbeitung.
Im Gegensatz zu den vielen anderen Kommunikationsarten zwischen Bank und Kunde setzt EBICS auf die Verwendung von RSA-Schlüsseln anstelle von „einfachen“ Zugangsdaten wie Zugangskennung, Passwort, etc.
Die RSA-Verschlüsselung ist ein asymmetrisches Verschlüsselungsverfahren. Ein Schlüsselpaar basiert dabei immer auf einem privaten und auf einem öffentlichen (public) Teil des Schlüssels. So kann eine mit dem öffentlichen Teil verschlüsselte Nachricht nur durch die Nutzung des privaten Schlüssels entschlüsselt werden.
Auch die Freigabe eines Zahlungsauftrages an die Bank erfolgt nicht via TAN oder ähnlichen Verfahren, sondern mit einer sogenannten elektronischen Unterschrift. Dies erfolgt, indem ein Nachrichtenblock mit dem privaten Schlüsselteil verschlüsselt wird und mit dem öffentlichen Teil die Gegenprüfung durchgeführt werden kann.
Das EBICS-Protokoll sieht für jeden Teilnehmer drei Schlüssel vor. Diese werden für die folgenden Zwecke verwendet:
Signatur
Bankfachliche Autorisierung/Freigabe von (Zahlungs-)Aufträgen an die Bank (A006, früher auch A005, A004)
Authentifizierung
Identifikation und Authentifizierung für die technische Kommunikation (X002, früher auch X001)
Verschlüsselung
Ver- und Entschlüsselung der übermittelten Nutzdaten (E002, früher auch E001)
Da aktuell von der Bank keine Aufträge auf Unternehmensseite freizugeben sind, beschränken sich die Bankschlüssel auf den Authentifizierungs- und den Verschlüsselungs-Schlüssel.
Die elektronischen Signaturen sind in verschiedene Unterschriftsklassen unterteilt:
E – EinzelunterschriftAufträge können durch eine Person freigegeben werden, es ist keine weitere Unterschrift erforderlich
A – Erstunterschrift
Aufträge können mit einer weiteren Erstunterschrift oder einer weiteren Zweitunterschrift freigegeben werden
Aufträge können mit einer weiteren Erstunterschrift freigegeben werden, eine weitere Zweitunterschrift ist nicht ausreichend
T – Transportunterschrift
Aufträge können nicht freigegeben werden, der Teilnehmer ist auf den reinen Transport von Daten eingeschränk
Neben den reinen Unterschriftsklassen können bei den meisten Banken auch weitere Einschränkungen der Berechtigung wie beispielsweise Transaktions-, Zahlungsdatei- oder Tageslimits vereinbart werden.
EBICS-Auftragsarten
Zur Unterscheidung der bereitgestellten und übermittelten Informationen dienen sogenannte Auftragsarten, so wird beispielsweise STA als Auftragsart für bereitgestellte Kontoinformationen im MT940-Format sowie CCT für übermittelte SEPA-Überweisungen genutzt.
Die nachfolgende Tabelle beinhaltet die gängigsten Sendeauftragsarten in Deutschland.
Auftragsart | Beschreibung | Format |
---|---|---|
AZV | Senden Auslandszahlungen im Diskettenformat | DTAZV |
CCT | Senden SEPA Überweisung (Customer Credit Transfer) | pain.001 |
CCU | Senden Euro-Eil-Überweisung | pain.001 |
CIP | Senden eines Sammlers mit (terminierten) SEPA- Echtzeitüberweisungen: Instant Payment |
pain.001 |
CDB | Senden SEPA Firmenlastschrift (B2B) | pain.008 |
CDD | Senden SEPA Basislastschrift (CORE) | pain.008 |
RFT | Senden Request for Transfer | MT101 |
Die nachfolgende Tabelle beinhaltet die gängigsten Abholauftragsarten in Deutschland.
Auftragsart | Beschreibung | Format |
---|---|---|
C52 | Abholen camt-Vormerkposten (VMK) | camt.052 |
C53 | Abholen camt-Tagesauszug (STA) | camt.053 |
C54 | Abholen Sammelbuchungsinformationen (DTI) | camt.054 |
CBC | Abholen Payment Status Report für SEPA Lastschriften via XML-Container |
pain.002 |
CDZ | Abholen Payment Status Report für SEPA Lastschriften | pain.002 |
CRC | Abholen Payment Status Report für SEPA Überweisungen via XML-Container |
pain.002 |
CRZ | Abholen Payment Status Report für SEPA Überweisungen | pain.002 |
STA | Abholen Swift-Tagesauszüge | MT940 |
VMK | Abholen kurzfristige Vormerkposten | MT942 |
Grundsätzlich können weitere Auftragsarten frei definiert und mit einem individuellen Format kombiniert werden. Damit können bankindividuelle Geschäftsvorfälle abgebildet werden. In aller Regel sollten diese Auftragsarten mit X, Y oder Z beginnen.
Beantragung eines EBICS Zuganges bei der Bank
Zunächst muss das Unternehmen einen EBICS Zugang bei seiner Bank beantragen. Im Rahmen dieser Beantragung wird bereits festgelegt, welche Konten über diesen Zugang erreichbar sein sollen, welchen Benutzern mit welchen Berechtigungen Zugriff erteilt werden soll und welche Geschäftsvorfälle (EBICS Auftragsarten) damit abgewickelt werden sollen.
Die Bank stellt dem Unternehmen nach Beantragung die notwendigen Informationen des EBICS Zuganges zur Verfügung. Die wesentlichen sind:
- Kunden-ID
- Teilnehmer-ID für jeden Benutzer
- Hostname des EBICS-Servers
- URL des EBICS-Servers der Bank
Initialisierung der EBICS-Verbindung in der Banking Software
Nachdem die Bank die notwendigen EBICS-Daten übermittelt hat, werden diese in der Banking Software erfasst und die einzelnen Teilnehmer mit deren Schlüssel bei der Bank initialisiert.
Sofern der Benutzer noch keine EBICS-Teilnehmer-Schlüssel besitzt, müssen diese einmalig in der eingesetzten Banking Software erzeugt werden. Die erzeugten Schlüssel können für mehrere Banken bzw. EBICS Zugänge verwendet werden.
Für die EBICS Initialisierung werden die administrativen Auftragsarten INI und HIA zur Übermittelung der öffentlichen Schlüsselteile des Teilnehmers genutzt.
Wobei die Auftragsart INI zur Übermittlung der Elektronischen Signatur und die Auftragsart HIA für die Übermittlung der Authentifikations-/ Verschlüsselungsschlüssel dient.
Die Authentifizierung wird durch einen zweiten Mechanismus sichergestellt, indem die Banking Software ein Initialisierungsprotokoll erstellt, welches vom Teilnehmer unterschrieben und zum Abgleich an die Bank übermittelt werden muss.
Nachdem die Bank den Teilnehmer freigeschaltet hat, müssen die öffentlichen Bankschlüssel mit der Auftragsart HPB abgeholt werden und anschließend mit den von der Bank übermittelten Hash-Werten abgeglichen werden.
Danach ist die EBICS-Verbindung mit der Bank initialisiert und kann sicher unter Einsatz der Teilnehmer- und Bankschlüssel verwendet werden.
Abruf von Kontoinformationen mit einer EBICS Software
Zur Abholung von Kontoinformationen per EBICS wird der Verbindungsaufbau zur Bank durch die EBICS Software des Unternehmens initiiert. Dies erfolgt meist automatisiert und ohne Zutun des Benutzers in regelmäßigen Intervallen.
Hierbei werden bei der Anfrage die entsprechende Auftragsart, die Kunden-ID, die Teilnehmer-ID sowie eine Authentifikationssignatur des Teilnehmers übermittelt.
Die Bank prüft die Anfrage auf die Berechtigung des Teilnehmers für diese Auftragsart und übermittelt die angeforderten Daten, sofern diese vorhanden sind.
Danach bestätigt die EBICS Software den erfolgreichen Erhalt der Daten, so dass diese beim nächsten Abruf nicht doppelt abgeholt werden.
Versand und Autorisierung von Zahlungen per EBICS
Auch zum Versand von Daten per EBICS wird die Konnektivität seitens der Banking Software initiiert.
Hierbei werden anlog der Abholung von Daten die entsprechende Auftragsart, die Kunden-ID, die Teilnehmer-ID sowie eine Authentifikationssignatur des Teilnehmers übermittelt.
Auch hier prüft die Bank die Anfrage auf die Berechtigung des Teilnehmers für diese Auftragsart und erlaubt die Übermittlung von Auftragsdaten inkl. elektronischer Unterschrift.
Nach Übermittlung von Auftragsdaten und elektronischer Unterschrift bestätigt die Bank den Erhalt der Daten.
Die Bestätigung der Bank wie zuvor beschrieben ist jedoch eine rein technische Bestätigung, die besagt, dass Daten und Unterschrift empfangen wurden. Es besagt nicht, ob die Daten im gewünschten Format vorliegen oder die elektronische Unterschrift korrekt ist.
Dazu muss noch ein Kundenprotokoll (Auftragsarten PTK und HAC) abgeholt und geprüft werden.
Kundenprotokolle dokumentieren die folgenden Prozesse im Zusammenhang mit Transaktion im „EBICS-Postfach“:
- Abruf von Kontoinformationen
- Übermittlung von (Zahlungs-)Dateien
- Übermittlung von elektronischen Unterschriften
- Nachbearbeitung von Aufträgen, soweit es sich um die Unterschriftenprüfung, die Anzeige von Auftragsdaten oder Fehler bei der Dekomprimierung handelt
Diese Abholung und Auswertung des Kundenprotokolls erfolgt in der Regel automatisiert und ohne weiteres Zutun des Benutzers. Im Fehlerfall sollte der Benutzer proaktiv durch das System informiert werden.
Beispiel eines Kundenprotokolls im PTK-Format
Verteilte elektronische Unterschrift (VEU) im EBICS Verfahren
Eine zusätzliche Möglichkeit im EBICS Verfahren ist die Nutzung der sogenannten verteilten elektronischen Unterschrift (VEU).
Dabei überträgt ein Dienstleister (Steuerbüro, Service-Rechenzentrum, etc.) oder ein anderes EBICS-unterstützendes System eine Zahlungsdatei, jedoch ohne bankfachliche Freigabe (Unterschrift mit T-Berechtigung) oder einer noch nicht vollständigen Freigabe, an die Bank.
Die Autorisierung und Freigabe der übermittelten Zahlungsdatei erfolgt, in dem ein Benutzer seine VEU-Unterschriftsmappe bei der Bank abruft und die dort für ihn zu Freigabe bereitstehenden Aufträge einsehen kann.
Nach Prüfung der Zahlungsdatei kann diese entweder von dem Benutzer mit seiner jeweiligen Unterschriftsberechtigung freigegeben oder storniert werden.
Wir empfehlen, sich auch mit Alternativen zur Abbildung einer solchen Funktionalität zu beschäftigen: „EBICS – zusätzliche Einsatzmöglichkeiten“
EBICS vs HBCI, FinTS, PSD2-APIs und Bankportale
Bei EBICS handelt es sich um einen vollständig automatisierbaren, batch-orientierten Kommunikationsstandard, während es sich bei HBCI, FinTS, PSD2-APIs und Bankportalen um dialog-orientierte Verfahren handelt, die während der Kommunikation eine Benutzer-Interaktion erfordern.
Bei der Übermittlung von Zahlungen ist bei dialog-orientierten Verfahren in aller Regel eine Interaktion wie TAN, Push-Tan, etc. zur Freigabe der gerade übermittelten Zahlung notwendig. Auch wird nur in den seltensten Fällen die Freigabe eines Sammelauftrages unterstützt, so dass diese Freigaben für jede einzelne Zahlung notwendig sind.
EBICS ermöglicht es, Zahlungsdateien (auch Sammler) zu signieren und zu einem bestimmten Zeitpunkt automatisiert, ohne weiteren Benutzereingriff an die Bank zu senden. Selbst das Signieren mehrerer Zahlungsdateien (auch an unterschiedliche Banken) kann im EBICS Verfahren bei den meisten Banking Lösungen in einem Schritt erfolgen.
Das gleiche gilt auch für die Abholung von Kontoinformationen bei der Bank: Während man mit EBICS wiederkehrende, automatisch ausführbare Abrufe anlegt, ist auch hier eine Interaktion bei den dialog-orientierten Verfahren notwendig, was eine Automatisierung bereits im Keim ersticken lässt.
EBICS 3.0
Die aktuell weit verbreitete EBICS-Version 2.5 wird in den kommenden Jahren durch eine weiter harmonisierte und den europäischen Anforderungen noch besser entsprechende EBICS-Version 3.0 ersetzt werden.
Wesentliche Änderung gegenüber den vorherigen Versionen ist die Identifikation der konkreten Abhol- und Sendeaufträge sowie der entsprechenden Formate durch ein neues Konzept namens BTF (Business Transaction & Formats). EBICS Auftragsarten werden damit für das Abholen auf BTD (Business Transactions Download) und für das Senden auf BTU (Business Transactions Upload) reduziert. Die administrativen Auftragsarten wie INI, HIA, HPB, etc. bleiben vorerst auch in EBICS 3.0 bestehen.
Aus technischer Sicht werden elektronische Schlüssel bei EBICS 3.0 immer als X.509-Zertifikate übertragen und die Mindest-Schlüssellängen wurden auf 2.048 Bit vergrößert.
EBICS Vorteile
- Länderübergreifende, sichere Kommunikation zwischen Bank und Unternehmen
- Authentizitätsprüfung
- Verschlüsselte Datenübertragung
- Auftragsautorisierung mit elektronischer Unterschrift
- Unterschriftklassen und Berechtigung einzelner Teilnehmer für entsprechende Geschäftsvorfalle (i.d.R. inklusive Transaktions-, Zahlungsdatei- oder Tageslimits)
- Austausch beliebiger Datenformate
- Schnelle Übertragung unbegrenzter Datenmengen
- Automatisierung von Finanzprozessen auf Unternehmensseite
- Stapelverarbeitung möglich, keine Benutzerinteraktion im Kommunikationsprozess erforderlich
- Erreichbarkeit von Unternehmen für Banken via Push-EBICS
- Erweiterte Einsatzmöglichkeiten zur sicheren Kommunikation in Unternehmen oder Unternehmensgruppe, sehen Sie auch: „EBICS – zusätzliche Einsatzmöglichkeiten“