Open Banking: Mit FinTS und EBICS gegen den API-Wildwuchs

Michael Schunk ist leitender Produktmanager bei PPI und empfiehlt FinTS + EBICS als PSD2/XS2A-Lösung<q>PPI — Michael Schunk ist leitender Produktmanager bei PPIPPI

Open Banking sollte spätestens mit der PSD2-Richtlinie richtig durchstarten. Gut sechs Monate nach dem Stichtag sind viele PSD2-Schnittstellen aber noch immer nicht marktreif. Jetzt gilt eine Übergangsfrist bis Dezember 2020. Doch ein Problem bleibt: Viele Institute fürchten sich davor, auf das falsche Pferd zu setzen, wenn sie sich für einen der unzähligen Anbieter von Open-Banking-APIs entscheiden. Dabei übersehen sie den Wald vor lauter Bäumen. FinTS und EBICS bieten alles, was Banken für Open Banking brauchen – und beides ist längst etabliert.

Von Michael Schunk & Christian Veith, PPI

Beide Protokolle – FinTS und EBICS – leisten heute schon weitaus mehr als die bislang entstandenen Open-Banking-APIs.

Christian Veith ist Produktmanager bei PPI und empfiehlt FinTS + EBICS als PSD2/XS2A-Lösung — Christian Veith ist Produktmanager bei PPI und verantwortet das EBICS-PortalPPI

Sie bilden vom Zahlungsverkehr über den Handel mit Wertpapieren bis hin zum Kreditgeschäft alle wichtigen Abläufe ab, sowohl für Verbraucher wie auch Firmenkunden.

FinTS und EBICS:
Mehr als 200 Prozesse stehen dadurch bereit.”

Zudem legen sie die fachlichen Schnittstellen fest und darüber hinaus auch, wie die beteiligten Partner untereinander Daten auszutauschen haben.

Vereinfacht ausgedrückt: Das, was Open Banking leisten soll, lässt sich heute schon machen – und zwar mit Protokollen, die als sicher gelten, sich bewährt haben und über alle Banken standardisiert sind.”

FinTS für Open Banking ausbauen

Schon in den 90er-Jahren hat Deutschland mit HBCI die Weichen für offene Standards gestellt. HBCI galt zunächst als umständlich, weil Kunden ihre Aufträge mit einem Schlüssel freigeben mussten, der auf einem Chip, einer Diskette oder auch einem USB-Stick gespeichert war. Seit 2002 lässt sich das aus dem Online-Banking gewohnte PIN/TAN-Verfahren auch mit HBCI nutzen – heute bekannt als FinTS. Fast alle Banken in Deutschland verfügen über eine solche FinTS-Schnittstelle, die sich auch von Drittanbietern leicht nutzen lässt. Viele Banking-Apps haben sich den Standard zunutze gemacht, um Anwendern zu erlauben, mehrere Konten bei unterschiedlichen Banken auf ihren Smartphones zu verwalten und Zahlungen auszulösen.

Wegen PSD2 nochmals eine Open-Banking-Schnittstelle einzurichten, bedeutet also, eine bereits existente Anbindung erneut vorzunehmen.”

Einfacher erscheint deshalb, Drittanbietern zu erlauben, beispielsweise über einen PSD2-Adapter auf den FinTS-Server zuzugreifen. Dieser Adapter kann auch die Authentifikation regeln, die PSD2-konform aus mindestens zwei von drei Faktoren bestehen muss. Dazu gehören neben Wissen (etwa eine PIN) und Besitz (etwa ein Smartphone) auch ein dem Nutzer körpereigenes Merkmal, wie der Fingerabdruck oder die Face-ID. Drittanbieter müssten also nur dafür sorgen, dass zwei dieser Merkmale sicher an den PSD2-Adapter gelangen, damit sie PSD2-konform den FinTS-Server einer Bank ansprechen können (vgl. Abb. 1).

Open Banking: Mit FinTS und EBICS - FinTS-Server als Open-Banking-Schnittstelle einsetzen. — Abb. 1: FinTS-Server als Open-Banking-Schnittstelle einsetzen.PPI

90-Tage-Consent mit FinTS

FinTS kann per se keinen Consent verwalten, also etwa die Erlaubnis, für eine Dauer von 90 Tagen ohne weitere TAN-Eingabe auf das Bankkonto eines Anwenders zuzugreifen. Diese Funktionalitäten lassen sich auf flexibleren FinTS-Servern jedoch nachrüsten oder in den PSD2-Adapter integrieren, der bankintern mit dem FinTS-Server spricht. Eine mögliche Lösung wäre etwa ein vorgeschalteter XS2A-Broker, der diese Aufgaben mit übernimmt. So lässt sich verhindern, dass App-Nutzer immer wieder ihre Erlaubnis für den Kontozugriff erteilen müssen. Im Multibanking wäre das unzumutbar und widerspräche auch dem Geist von PSD2, Banking sicher und gleichzeitig einfach zu machen.

Kritiker wenden ein, dass eine solche FinTS/HBCI-Lösung unfair sei. Der Grund: PSD2-Drittanbieter müssen eine durch BaFin, Bundesbank und EBA kontrollierte Kommunikation gewährleisten. Lokal auf einem Endgerät installierte Programme dagegen könnten direkt mit der Bank sprechen. Beide Varianten würden also nicht gleich behandelt, es entstünde kein Level Playing Field. Das Argument übersieht jedoch, dass dies auch für die Bankenseite gilt. Weil PSD2 nur vorschreibt, dass die Banken sich öffnen müssen, aber nicht wie, entstehen in den EU-Mitgliedsstaaten aktuell unterschiedliche Protokolle zur technisch-fachlichen Nutzung. Statt gewohnte Standards weiterzuentwickeln, wären die Banken dadurch gezwungen, immer neue Dialekte anzubinden. Eine einheitliche Open-Banking-Schnittstelle kann sich daraus kaum entwickeln.

Open Banking für Firmenkunden mit EBICS

Ähnlich wie schon bei den landespezifischen SEPA-Dialekten droht ein regelrechter API-Wildwuchs, den sowohl einzelne Banken wie auch die zahlreichen API-Anbieter fördern. Zwar engagieren sich Organisationen wie die Berlin Group dafür, Spezifikationen zu normieren. Doch um einen ähnlichen Funktionsumfang wie bei FinTS oder EBICS zu erreichen, dürfte noch sehr viel Zeit vergehen. EBICS dagegen ist vom zentralen Kreditausschuss, dem Vorläufer der Deutschen Kreditwirtschaft, bereits vor mehr als 12 Jahren verbindlich eingeführt worden. Mit der CFONB, dem französischen Pendant zur DK, besteht ein Kooperationsabkommen. Die beiden größten Zahlungsverkehrsmärkte Europas sprechen EBICS sowohl im Interbankengeschäft wie auch zwischen Banken und Firmenkunden. Die Schweiz (SIX) ist ebenfalls EBICS-Land und auch Österreich (STUZZA) überlegt beizutreten.

Was ist EBICS?

EBICS steht für Electronic Banking Internet Communication Standard und dient als Protokoll, um Zahlungsverkehrsdaten über das Internet auszutauschen. Banken bieten ihren Firmenkunden häufig diesen Kanal an, um Massenzahlungen einzureichen. Zudem setzen die Institute EBICS ein für den Interbankenverkehr und für das Clearing von SEPA-Zahlungen (SEPA-Clearer der Bundesbank, EBA Step2), Instant Payments (EBA RT1) sowie das bilaterale Clearing (Garagenclearing).

EBICS bietet viele Vorteile. Firmenkunden, die über einen EBICS-Client verfügen, können mehrere Banken zugleich anbinden. Neben dieser Multibankenfähigkeit unterstützt das EBICS-Protokoll auch die von vielen größeren Mittelständlern und Konzernen genutzte VEU – die verteilte elektronische Unterschrift. Rollen und Rechte lassen sich ebenfalls abbilden, um beispielsweise zu bestimmen, ob eine Person Zahlungsaufträge im Namen des Unternehmens nur einreichen darf (Signatur T) oder auch freigeben (Signaturen A, B, E). Auch hier gilt: die nötige Infrastruktur, um mehrwertige Dienste zu entwickeln und anzubieten, ist längst eingerichtet. Allerdings müssen die Institute für das PSD2-konforme Open Banking via EBICS die Möglichkeit schaffen, Fern-Signaturen zu erzeugen, damit die starke Authentifizierung auch ohne Chipkartenleser gewährleistet bleibt (vgl. Abb. 2).

Abb. 2: EBICS für Open Banking mit Firmenkunden einsetzen.PPI

Autoren Michael Schunk und
Christian Veith, PPI

Michael Schunk ist leitender Produktmanager bei PPI und betreut sowohl Banken wie auch Firmenkunden in allen EBICS- und FinTS-Fragen.

Christian Veith ist Produktmanager bei PPI und verantwortet das EBICS-Portal.

Die Fern-Signatur ist erforderlich, wenn auf der Empfängerseite der zweite Faktor fehlt, um eine Transaktion sicher freizugeben beziehungsweise um den Auftraggeber einer Transaktion überhaupt PSD2-konform zu authentifizieren. Dafür gibt es jedoch eine Lösung. Das EBICS-Portal erzeugt aus den eingehenden Daten, etwa dem Code einer PhotoTAN oder einer QR-TAN, hardware-basiert die Signatur und übermittelt sie zusammen mit den Zahlungsverkehrsdaten an den EBICS-Bankrechner.

Fazit

FinTS und EBICS eignen sich heute schon dafür,, Open Banking umzusetzen. Banken, die diesen Weg wählen, umgehen damit zahlreiche Probleme. Einerseits bewahren sie sich selbst davor, Funktionen erneut zu entwickeln, die FinTS und EBICS schon bereitstellen. Andererseits gehen die Institute kein Risiko ein, weil sie sich für den falschen Anbieter einer Open-Banking-API entscheiden könnten. Die von verschiedenen Organisationen, allen voran der Berlin Group, vorangetriebenen Spezifikationen stellen zudem keine Garantie dar, dass sie sich auch als übergreifender Standard durchsetzen. Sollte darüber hinaus der Gesetzgeber eines Tages eingreifen, besteht die Gefahr, viel Geld für eine dann obsolete Infrastruktur ausgegeben zu haben. Hinzu kommt, dass APIs immer häufiger unter Beschuss von Kriminellen geraten. Dieses Einfallstor bliebe hingegen verschlossen, wenn die Institute bei FinTS und EBICS bleiben und nicht blind jedem API-Trend folgen – insofern ist die aktuelle Zurückhaltung am Markt mehr als verständlich.Michael Schunk & Christian Veith, PPI

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/102082