© V. Yakobchuk, Fotolia.com
Die meisten Bankkunden kennen E-Banking von den paar Überweisungen pro Woche, die sie per Webbrowser oder Applikation tätigen. Unternehmen haben meist andere Anforderungen, denen der neue Ebics-Standard entgegenkommt. Viele Anwendungen sind auch für Linux verfügbar.
Dinosaurier bewegen sich langsam. Einen ähnlichen Eindruck bekommt, wer hinter die Kulissen von Bankanwendungen schaut. Ein Großteil des globalen Geldtransfers findet noch immer in einer Form statt, die Internet-Anwender ungläubig die Augen reiben lässt. So ist der FTAM-Standard (File Transfer Access Management) zum Austausch von Aufträgen zwischen Firmenkunden und Kreditinstituten kaum mehr als ein besseres FTP aus den 1980er Jahren, ergänzt um ISDN-Zugänge mit einem Datenformat, das sich heute noch an Magnetbänder und Disketten anlehnt.
Als dann einzelne Banken und Interessensgruppen im Begriff waren, eigene Verfahren und Protokolle zu entwerfen, die das Internet-Zeitalter nachholen sollten, sah der zentrale Kreditausschuss ZKA die Zeit für einen übergreifenden Standard gekommen. Dieses Sprachrohr der deutschen Banken einigte sich schließlich auf den für Branchenverhältnisse als pragmatisch geltenden Electronic Banking Internet Communication Standard, kurz Ebics [1]. Seit 2008 müssen alle Banken Ebics anbieten, 2010 läuft die Verpflichtung zum Angebot von FTAM aus.
Nur für Große
Privatkunden kennen E-Banking meist in Form von HBCI, das in Wirklichkeit seit einigen Jahren FinTS heißt. Aktuell ist hier die Version 4.0. Der Standard orientiert sich an den Bedürfnissen von Privatkunden und kennt daher primär Einzelüberweisungen, Daueraufträge oder Kontostandsabfragen als Geschäftsvorfälle. Demgegenüber stellt sich Ebics breiter auf. Es beherrscht eine Vielzahl von alternativen Vorgangsarten, darunter Eilüberweisungen oder Buchungen in den einheitlichen Euro-Zahlungsverkehrsraum, der englisch “Single Euro Payments Area” oder kürzer abgekürzt SEPA heißt (siehe Abbildung 1).
Abbildung 1: Ebics kennt viele Auftragsarten, die sich besonders für den Unternehmenseinsatz eignen.
Weiterhin versteht sich Ebics als Schnittstelle, auf die Unternehmensanwendungen wie Buchführungen oder sonstige ERP-Systeme zugreifen (siehe Abbildung 2). Dazu bieten mehrere Hersteller Bibliotheken, Tools oder gar ganze Transaktionskernel mit Webservice-Schnittstellen an. Auffällig ist, dass fast alle Produkte zwar auch unter Linux laufen, gegenwärtig aber keines unter einer unbeschränkt freien Lizenz steht.
Abbildung 2: Der Standard lässt sich von Anwendungen oder einem Bankingkernel ansteuern. Banken sprechen ihn auch untereinander.
Softwareanbieter freut, dass sich Ende 2008 auch der französische Bankenverband CFONB für Ebics entschied. Branchenkenner deuten das als ersten Schritt in Richtung eines Durchbruchs für einen einheitlichen europäischen Standard für die Finanzwirtschaft. Einige Banken in Deutschland nutzen die Schnittstelle bereits im Interbankenverkehr.
Ein Cocktail aus Standards
Die aktuelle Version 2.4 bietet der ZKA als offener Standard zum Download an [2]. Er ist eine Symbiose aus bankenspezifischen Formaten und Internetprotokollen. Auf den unteren Ebenen ändert sich für Kreditinstitute nur wenig, Klassiker wie das Dtaus-Format [3] oder Beschreibungen wie Editfact bleiben erhalten. Programme verpacken sie jedoch in XML-Strukturen und komprimieren sie bei Bedarf mittels des Zip-Algorithmus. Diese Daten tauscht Ebics über eine TLS-gesicherte HTTP-Verbindung zwischen Kunde und Bank aus. Die diversen Probleme X.509v3-gestützter TLS-Verbindungen wie die authentische Verteilung von Signier- und Server-Zertifikaten haken die Schreiber der Spezifikation zwar nonchalant ab, fordern aber ein Sicherheitskonzept von jedem Teilnehmer, das die Wirksamkeit der eingesetzten Infrastruktur wie etwa Firewalls nachweist.
Auf verschiedenen Ebenen vertrauen die Kreditinstitute aber nicht allein auf die Internetstandards, sondern verwenden zusätzlich auch noch ihre eigenen Verfahren (siehe Abbildung 3). So nennen sie etwa das Authentifizierungsverfahren X001, machen dazu jedoch Anleihen bei XML-Signature. X.509-Client-Zertifikate hingegen setzten sie gegenwärtig nicht ein. Um Zugänge zum Ebics-Verfahren zu vergeben, werden Banken daher zunächst weitgehend auf eine sehr klassische Methode zurückgreifen: Der Server erzeugt neben einem Schlüsselpaar für den Teilnehmer einen Ini-Brief mit einem Hashwert, den dieser per Post erhält und abtippt – technisch etwas oldschool, aber dafür umso pragmatischer.
Abbildung 3: Ebics kann mit mehreren Banken gleichzeitig umgehen. Durch Verschlüsselungsverfahren (E00x) und eine Authentifizierung (X00x) sichert das Protokoll die Verbindung zum Bankrechner. A005/A006 signieren Transaktionen.
Für die Verschlüsselungsverfahren E001 und E002 gilt ein ähnlicher Stil-Mix: Die ältere Version setzt noch auf Triple-DES, ab diesem Jahr will man das auf AES basierende E002 nutzen und dazu bis zu 16384 Bit lange Schlüssel für den symetrischen Cipher verwenden. Das BSI hatte diese Kombination empfohlen. Ebics verschlüsselt so einzelne XML-Elemente zusätzlich zu der Transportverschlüsslung von TLS (siehe Abbildung 4).
Abbildung 4: Die einzelnen Ebics-Nachrichten sind XML-Dokumente, hier der öffentliche Schlüssel einer Testbank.
Virtuelle Signaturmappe
Neu im Standard umgesetzt sind aufeinander aufbauende, verteilte Unterschriften. Das macht es etwa möglich, dass ein Buchhalter die monatlichen Gehaltsüberweisungen vorbereitet und an die Bank überträgt. Erfordert das Konto jedoch eine zweite Unterschrift von der Geschäftsführerin oder dem Prokuristen, so können sie diese später und unabhängig von der eigentlichen Übermittlung leisten (siehe Abbildung 5). Denkbar wäre etwa, dass sie die Zweitunterschrift mit einem völlig anderen Programm leisten, während die Buchhaltungssoftware die erste abfragt.
Abbildung 5: Eine der Stärken von Ebics ist die Möglichkeit, mehrere Unterschriften für einen Auftrag zu fordern. Die Unterschriften dürfen Kunden elektronisch leisten, aber auch per Papierausdruck versenden.
Dazu kennt Ebics Einzelunterschriften sowie solche von Typ A und B, bei denen jeweils mehrere notwendig sind. Zum Einsatz bei den verteilten elektronischen Unterschriften (VEU) kommen die Verfahren A004, A005 und A006. Die letzten beiden schreibt Ebics 2.4 vor, sie setzen beide auf RSA und SHA-256 auf (siehe Tabelle 1).
Ebics ist mehr als ein Standard, um einzelne E-Banking-Anwendungen mit Hausbanken zu verbinden. Entsprechend unterschiedlich sind die Softwareangebote. BL Banking [4] des Anbieters Business Logics ist am ehesten das, was viele Anwender intuitiv unter einem solchen Client verstehen.
|
Tabelle 1: Parameter |
||
|---|---|---|
|
A005 |
A006 |
|
|
Schlüssellänge |
1536 bis 4096 Bit |
1536 bis 4096 Bit |
|
Hashverfahren |
SHA-256 |
SHA-256 |
|
Padding |
PKCS#1 |
PSS |
Ebics unterstützt Linux gut
Durch den Einsatz der Eclipse Rich Client Platform (RCP) läuft die Software auf jedem verbeiteten Betriebssystem, neben Linux sogar unter Windows und Mac OS X (siehe Abbildung 6). Das geht soweit, dass das Programm direkt von einem USB-Stick aus ohne weitere Installation lauffähig ist – ein installiertes JRE vorausgesetzt. Das hat den Vorteil, dass BL Banking Zugangsdaten nicht auf den Client-Desktop-System ablegt und der Benutzer die Software und seine Konfiguration mit sich herumtragen kann. Ein ernsthafter Schutz gegen Trojaner, Keylogger oder simplen Diebstahl ist das natürlich noch nicht.
Abbildung 6: BL Banking bietet die klassischen Funktionen einer E-Banking-Software an. Wegen dem größeren Funktionsumfang gegenüber Lösungen, die sich an Privatanwender richten, bedarf es auch mehr Einarbeitung in alle Details. Die Eclipse RCP macht die Bedienung jedoch einfach.
Die Software bietet eine Fülle von Transaktionen und Geschäftsvorfällen, deren exakte Begutachtung Finanzexperten vorbehalten bleibt. Die Klassiker wie Überweisung und Dauerauftrag sind aber damit allemal möglich, wenn auch mitunter etwas komplexer als einer Weboberfläche der Hausbank.
Ihre ganze Produktreihe Travic [5] widmet die PPI AG dem Thema Ebics. Die Komponenten adressieren unterschiedliche Anwendungsfälle des Protokolls, angefangen von Weboberflächen, Unternehmensservern oder auch Server-Applikationen, die Aufträge in Kreditinstituten entgegennehmen. Das Unternehmen, das auch am Spezifikationsprozess beteiligt war, richtet sich jedoch vornehmlich an Großkunden, die Ebics in Portalen oder Anwendungen integrieren wollen.
Der unternehmerische Ansatz von Entwickler Martin Preuß kommt aus genau der entgegengesetzten Richtung: Der Programmierer von Online-Banking-Anwendungen und von Chipkarten-Treibern bietet mit Aq-Banking [6] eine Suite von Kommandozeilen-Tools, die in einigen Versionen auch in der Lage sind, mittels Ebics mit Banken zu kommunizieren. Auf diese Weise lassen sich Überweisungen und Kontostandsabfragen in Shellskripte einbauen. Einige Komponenten von Aq-Banking sind auch in OSS-Anwender-Komponenten wie QBankManager und KMyMoney enthalten, das Ebics-Tool Aq-Banking CLI steht jedoch unter einer proprietären Lizenz.
Flexibel durch die Eiszeit
Ebics ist für Bankenverhältnisse jung und modern. Umso erfreulicher, dass es bereits Linux-Software für mehrere Einsatzszenarien gibt. Mit solcher Anpassungsfähigkeit rettet sich auch ein Saurier in die nächste Technologie-Epoche.
|
Infos |
|---|
|
[1] Ebics-Kompendium:[http://www.ppi.de/uploads/media/2008-09-23_EBICS_Kompendium_V2.pdf] [2] Ebcis-Spezifikation, Version 2.4: [http://www.ebics-zka.de/dokument/pdf/Anlage%201-EBICS%20-%20Version%202.4%20vom%201.9.2008%20Endfassung.pdf] [3] Dtaus:[http://www.infodrom.org/projects/dtaus/] [4] BL-Banking von Business Logics: [http://www.business-logics.de/blbanking.html] [5] Travic-Produktreihe der PPI AG: [http://www.ppi.de/en/products/electronic-banking/] [6] Aq-Banking: [http://www.aqbanking.de] |
