EBICS-Kunden aufgepasst: Umstellung auf EBICS 3.0

Was ist EBICS?

EBICS ist ein internetbasierter Kommunikationskanal, primär verwendet zwischen Firmenkunden und ihren Hausbanken, aber auch zwischen Banken nicht unüblich (Interbankenkommunikation mit EBA CLEARING und der Deutschen Bundesbank via Target2).

Hauptsächlich wird EBICS von Banken in Deutschland (seit 2006), Frankreich (seit 2010) und der Schweiz (seit 2015) angeboten, erfreut sich aber immer größerer Beliebtheit und ist auf dem Weg zu einem EU-weiten Standard. In Österreich ist die Ablösung des Electronic Banking-Verfahrens MBS, das nun nicht mehr weiterentwickelt wird, durch EBICS spätestens mit dem Beitritt Österreichs zur EBICS-Gesellschaft im Juli 2020 beschlossene Sache.

EBICS ist der Nachfolger von BCS-FTAM, einem Bankkommunikationsstandard, der schon in den späten 1980er Jahren von großen Firmenkunden in Deutschland verwendet wurde. Das Internet war damals noch nicht weitläufig verfügbar, weshalb die technische Basis DATEX-P war. Die Funktionsweise ist jedoch gleichgeblieben.

Nach einem Vertragsaustausch zwischen Kunde und Bank, bei dem die Konten, Auftragsarten und Freigeber gelistet wurden, folgte bei der Installation des EBICS-Zugangs beim Kunden ein Initialisierungsprozess, bei dem jeder „Bankbenutzer“ einen privaten und öffentlichen Schlüssel erstellt. Der selbsterstellte öffentliche Schlüssel wird elektronisch zur Bank gesendet und ein papierhaftes, vom Bankbenutzer unterschriebenes Dokument wird parallel zur Bank gesendet. Dort wird der elektronisch erhaltene Schlüssel mit dem Papierdokument (inklusive der Unterschrift des Bankbenutzers) verglichen und freigeschaltet. Die französische EBICS-Version unterscheidet sich von diesem Prozess, hier erstellt die Bank den Schlüssel und übergibt ihn an die Bankbenutzer.

Der beschriebene Einrichtungsprozess erfolgt innerhalb von Minuten und ist im Vergleich zu einer Host2Host-Einrichtung oder SWIFT-Anbindung einfach und unkompliziert. Aufgrund der Public-/Private-Key-Infrastruktur und der verschlüsselten elektronischen Übertragung der Zahldateien und Kontoauszugsdateien wird das System als sehr sicher eingestuft.

Mit der Umstellung von BCS-FTAM, das hauptsächlich in Deutschland verwendet wurde, auf EBICS im Jahr 2006, wurde der Kommunikationskanal zunehmend internationaler.

Ein weiterer Vorteil in Richtung internationalem Datenaustausch ist, dass manche Banken ein sogenanntes European Gateway anbieten. Hierbei sendet ein Kunde, der bei dieser Institutsgruppe Konten in mehreren Ländern hält, seine Dateien an einen zentralen EBICS-Server, der die Zahlungen dann europaweit im Instituts-Netzwerk an verbundene Banken überall dorthin verteilt, wo der Kunde seine Bankkonten hält.

EBICS-Client-Produkte gibt es sowohl ERP-unabhängig, zum Beispiel als UC-eBanking oder MultiCash, oder auch direkt in das ERP integriert, so wie es zum Beispiel das Produkt Finance Suite² des Softwareanbieter Serrala aus Hamburg für SAP anbietet.

Aber auch EBICS entwickelt sich weiter und muss von Zeit zu Zeit aktualisiert werden. Für Deutschland legt die Zentrale Kreditwirtschaft die Release-Zyklen fest. Aktuell sind die Versionen 2.5 und 3.0 gültig, die Version 2.4 wurde im November 2023 abgelöst.

EBICS 3.0 bringt einige Neuerungen, die im Folgenden beschrieben werden.

Alternativen zu einer EBICS-Kommunikation sind:

• Internetbanking (zeitintensives, manuelles Eingeben oder Hochladen (Achtung: Medienbruch) von Dateien)
• SWIFT (deutlich kostenintensiver, nur bei einem sehr hohen Datenvolumen rentabel)
• Host2Host-Verbindung (wird empfohlen, wenn keine der obigen Methoden verfügbar ist, aber aufwendiger beim Einrichten)

Neuerungen bei EBICS 3.0

Bis zur EBICS-Version 2.5 wurde zwischen deutschen, französischen und schweizer Varianten unterschieden. Dies schuf für Banken, Kunden und Hersteller Hürden, wenn verschiedene EBICS-Dialekte gleichermaßen bedient werden mussten.

Genau hier setzt die Version 3.0 an und bietet mit ihrem universellen Standard die passende Lösung für ganz Europa.

EBICS 3.0 ist seit dem 27. November 2018 gültig.¹ Die Vorgängerversion wird voraussichtlich im November 2025 auslaufen, somit ergibt sich eine Umstellungspflicht der Kunden auf die neue Version 3.0 spätestens im November 2025. Die Änderungen betreffen sowohl die Bankseite als auch die Kundenseite.

Das ändert sich mit Version 3.0

BTF statt Auftragsarten²

EBICS 3.0 ersetzt die Verwendung von bankfachlichen Auftragsarten (beziehungsweise Dateiformaten im französischen und schweizer EBICS) durch die sogenannten „Business Transaction Formats“, kurz BTFs.

Bis zur EBICS-Version 2.5 reichte die Angabe einer Auftragsart, zum Beispiel CCT für Standard-SEPA-Überweisungen, um den Geschäftsvorfall festzulegen. Mit der Auftragsart konnte der Kunde dem EBICS Server mitteilen, welchen Geschäftsvorfall er einreichen oder abrufen wollte.

Ein BTF hingegen erlaubt mehrere Werte:

• ServiceName: Name des Services (Pflichtangabe), zum Beispiel SCT

• MsgName: Name der Nachricht (Pflichtangabe), zum Beispiel pain.001

• Scope: Gültigkeitsbereich (optional), zum Beispiel CGI

• ServiceOption: Serviceoption (optional), zum Beispiel B2B

• ContainerFlag: Container-Eigenschaft (optional), zum Beispiel ZIP

War es bislang allein Sache der Bank, wie die Verarbeitung unter der Version 2.5 erfolgte, kann mit Hilfe der BTFs nun auch auf Kundenseite Einfluss auf die Abarbeitung im Bankrechner genommen werden.

BTFs werden zusätzlich hinsichtlich Upload (BTU) und Download (BTD) unterschieden.

Elektronische Schlüssel

Die wichtigste Änderung bei den Schlüsseln betrifft die Nutzung von Zertifikaten. Ab Version 3.0 müssen alle Schlüssel immer als X.509-Zertifikat übertragen werden. Zudem wurde die Mindestlänge für die verschiedenen Schlüsselarten auf 2048 Bit vergrößert sowie das A004-Format aus dem Standard entfernt.

Verteilte elektronische Unterschrift (VEU)

Während bislang die verteilte elektronische Unterschrift nur in Deutschland gebräuchlich war, wird dies nun in allen Ländern angeboten. Die VEU erlaubt, dass die Erst- und Zweitunterschrift von völlig getrennten Standorten erfolgen,  ebenso dass beispielsweise ein Dienstleister, wie zum Beispiel ein Steuerberater, eine Gehaltsdatei an die Bank sendet und die Unterschriften dann nachträglich aus dem zahlenden Unternehmen erfolgt.

HAC statt PTK

Die angepasste Version des Kundenprotokolls HAC im XML-Format ersetzt bisherige textbasierte Versionen. Das umständliche und fehleranfällige proprietäre Parsen des Protokolls entfällt, das XML-Format ist maschinenlesbarer als das bisherige PTK.

Gelegenheit für die Umstellung auf einen detaillierten und maschinenlesbaren Payment-Status-Report

Mit Blick auf die oben erwähnten Umstellungen, ist es im selben Zug auch sinnvoll, einen detaillierten und maschinenlesbaren Payment-Status-Report auf Einzelsatzebene in Form der pain.002-Nachricht zu implementieren.

Während HAC nur Rückmeldung auf Datei- und Aktivitätsebene liefert, kann eine pain.002 bis auf den Einzelsatz runtergebroche Rückmeldung geben, warum eine einzelne Zahlung nicht ausgeführt werden konnte. Je nach eingesetztem EBICS-Client  ist dies mit Aufwand verbunden, doch die pain.002 liefert eine deutlich höhere Transparenz.