Unternehmensweites E-Banking mit dem Ebics-Standard

Dinosaurier bewegen sich langsam. Einen ähnlichen Eindruck bekommt, wer hinter die Kulissen von Bankanwendungen schaut. Ein Großteil des globalen Geldtransfers findet noch immer in einer Form statt, die Internet-Anwender ungläubig die Augen reiben lässt. So ist der FTAM-Standard (File Transfer Access Management) zum Austausch von Aufträgen zwischen Firmenkunden und Kreditinstituten kaum mehr als ein besseres FTP aus den 1980er Jahren, ergänzt um ISDN-Zugänge mit einem Datenformat, das sich heute noch an Magnetbänder und Disketten anlehnt.

Als dann einzelne Banken und Interessensgruppen im Begriff waren, eigene Verfahren und Protokolle zu entwerfen, die das Internet-Zeitalter nachholen sollten, sah der zentrale Kreditausschuss ZKA die Zeit für einen übergreifenden Standard gekommen. Dieses Sprachrohr der deutschen Banken einigte sich schließlich auf den für Branchenverhältnisse als pragmatisch geltenden Electronic Banking Internet Communication Standard, kurz Ebics [1]. Seit 2008 müssen alle Banken Ebics anbieten, 2010 läuft die Verpflichtung zum Angebot von FTAM aus.

Nur für Große

Privatkunden kennen E-Banking meist in Form von HBCI, das in Wirklichkeit seit einigen Jahren FinTS heißt. Aktuell ist hier die Version 4.0. Der Standard orientiert sich an den Bedürfnissen von Privatkunden und kennt daher primär Einzelüberweisungen, Daueraufträge oder Kontostandsabfragen als Geschäftsvorfälle. Demgegenüber stellt sich Ebics breiter auf. Es beherrscht eine Vielzahl von alternativen Vorgangsarten, darunter Eilüberweisungen oder Buchungen in den einheitlichen Euro-Zahlungsverkehrsraum, der englisch "Single Euro Payments Area" oder kürzer abgekürzt SEPA heißt (siehe Abbildung 1).

Abbildung 1: Ebics kennt viele Auftragsarten, die sich besonders für den Unternehmenseinsatz eignen.

Weiterhin versteht sich Ebics als Schnittstelle, auf die Unternehmensanwendungen wie Buchführungen oder sonstige ERP-Systeme zugreifen (siehe Abbildung 2). Dazu bieten mehrere Hersteller Bibliotheken, Tools oder gar ganze Transaktionskernel mit Webservice-Schnittstellen an. Auffällig ist, dass fast alle Produkte zwar auch unter Linux laufen, gegenwärtig aber keines unter einer unbeschränkt freien Lizenz steht.

Abbildung 2: Der Standard lässt sich von Anwendungen oder einem Bankingkernel ansteuern. Banken sprechen ihn auch untereinander.

Softwareanbieter freut, dass sich Ende 2008 auch der französische Bankenverband CFONB für Ebics entschied. Branchenkenner deuten das als ersten Schritt in Richtung eines Durchbruchs für einen einheitlichen europäischen Standard für die Finanzwirtschaft. Einige Banken in Deutschland nutzen die Schnittstelle bereits im Interbankenverkehr.

Ein Cocktail aus Standards

Die aktuelle Version 2.4 bietet der ZKA als offener Standard zum Download an [2]. Er ist eine Symbiose aus bankenspezifischen Formaten und Internetprotokollen. Auf den unteren Ebenen ändert sich für Kreditinstitute nur wenig, Klassiker wie das Dtaus-Format [3] oder Beschreibungen wie Editfact bleiben erhalten. Programme verpacken sie jedoch in XML-Strukturen und komprimieren sie bei Bedarf mittels des Zip-Algorithmus. Diese Daten tauscht Ebics über eine TLS-gesicherte HTTP-Verbindung zwischen Kunde und Bank aus. Die diversen Probleme X.509v3-gestützter TLS-Verbindungen wie die authentische Verteilung von Signier- und Server-Zertifikaten haken die Schreiber der Spezifikation zwar nonchalant ab, fordern aber ein Sicherheitskonzept von jedem Teilnehmer, das die Wirksamkeit der eingesetzten Infrastruktur wie etwa Firewalls nachweist.

Auf verschiedenen Ebenen vertrauen die Kreditinstitute aber nicht allein auf die Internetstandards, sondern verwenden zusätzlich auch noch ihre eigenen Verfahren (siehe Abbildung 3). So nennen sie etwa das Authentifizierungsverfahren X001, machen dazu jedoch Anleihen bei XML-Signature. X.509-Client-Zertifikate hingegen setzten sie gegenwärtig nicht ein. Um Zugänge zum Ebics-Verfahren zu vergeben, werden Banken daher zunächst weitgehend auf eine sehr klassische Methode zurückgreifen: Der Server erzeugt neben einem Schlüsselpaar für den Teilnehmer einen Ini-Brief mit einem Hashwert, den dieser per Post erhält und abtippt - technisch etwas oldschool, aber dafür umso pragmatischer.

Abbildung 3: Ebics kann mit mehreren Banken gleichzeitig umgehen. Durch Verschlüsselungsverfahren (E00x) und eine Authentifizierung (X00x) sichert das Protokoll die Verbindung zum Bankrechner. A005/A006 signieren Transaktionen.

Für die Verschlüsselungsverfahren E001 und E002 gilt ein ähnlicher Stil-Mix: Die ältere Version setzt noch auf Triple-DES, ab diesem Jahr will man das auf AES basierende E002 nutzen und dazu bis zu 16384 Bit lange Schlüssel für den symetrischen Cipher verwenden. Das BSI hatte diese Kombination empfohlen. Ebics verschlüsselt so einzelne XML-Elemente zusätzlich zu der Transportverschlüsslung von TLS (siehe Abbildung 4).

Abbildung 4: Die einzelnen Ebics-Nachrichten sind XML-Dokumente, hier der öffentliche Schlüssel einer Testbank.