Ein Beitrag von
Andreas Wegmann & AI friends
Veröffentlicht am
12.06.2025
Aktualisiert am
12.06.2025
Lesezeit
2 min
Es gibt wesentliche Unterschiede im Schlüsselmanagement zwischen EBICS 2.5 und EBICS 3.x, insbesondere im Hinblick auf die Zertifikatsverwendung. Dieser Beitrag gibt einen Überblick.
Warum die Umstellung im Schlüsselmanagement bei EBICS?
In Deutschland, Frankreich und der Schweiz haben sich unterschiedliche Varianten des Schlüsselmanagements bei EBICS gebildet und der wichtige Vorteil – die Interoperabilität – drohte verloren zu gehen. Alle proprietären Schlüsselmanagement Prozeduren werden ab EBICS 3.0 abgelöst. Das neue Verfahren basiert auf interoperablen Zertifikaten und gewährleistet damit wieder ein einheitliches Verfahren. Zudem ist durch den optionalen Wegfall der INI-Briefe eine höhere Automatisierung möglich.
Vergleich: Schlüsselmanagement EBICS 2.5 vs. EBICS 3.x
| Aspekt | EBICS 2.5 | EBICS 3.x |
| Technologie-Basis | Hashbasierte Schlüsselprüfung mit INI-Brief |
X.509-Zertifikate (für alle Schlüsselarten verpflichtend) |
| Initialisierung | Übertragung über INI oder HIA + INI-Brief |
Über HIA + Zertifikat + ggf. Zertifikatsprüfung durch Bank |
| INI-Brief erforderlich | Ja, immer | Nicht zwingend, je nach Bankprofil optional |
| Schlüsselarten (A/E/X) | A = Authentifikation, E = Verschlüsselung, X = ele. Unterschrift |
Identisch, aber immer in Form von X.509-Zertifikaten |
| Schlüsselübertragung | INI (alle Schlüssel gemeinsam), HIA (einzeln) |
HIA (Zertifikat einzeln pro Schlüsseltyp) |
| Schlüsselprüfung durch Bank |
Manuell anhand von Hashwerten aus INI-Brief |
Maschinell anhand von Zertifikatstruktur und Vertrauenskette |
| Abruf Bankschlüssel | HPB | HPB (weiterhin identisch) |
| Signaturtypen | A004, A005, A006 (z. B. SECCOS) | Nur A005/A006 mit SHA-256 erlaubt |
| Verwendete Formate | Proprietäre RSA-Schlüssel | Zertifikate in X.509-Standard |
| Fallback-Optionen (DE/FR) |
INI-Brief als Pflichtdokument | In DE teils noch INI-Brief erlaubt, in FR vollständig CA-basiert |
| Sicherheit | Hoch, aber manuell geprüft | Höher, da PKI-basierte Prüfung, stärkere Kryptographie |
| Mandantenfähigkeit (mehrere Teilnehmer) |
Einfach umsetzbar mit INI-Brief | Besser automatisierbar über Zertifikatsstruktur |
Ablauf des Schlüsselmanagements EBICS 3.x
- Lokale Zertifikatsgenerierung
-
- Der Teilnehmer erzeugt lokal drei X.509-Zertifikate (A/E/X).
- Diese müssen gültig, unverschlüsselt und signierbar sein.
- Zertifikate können selbstsigniert oder von einer PKI-CA ausgestellt sein (je nach Bankanforderung).
- Übermittlung an die Bank
Die Übertragung erfolgt rein elektronisch über definierte EBICS-Auftragsarten:
| Auftragsart | Zweck | Inhalt |
| HIA | Übermittlung eines oder mehrerer Zertifikate | Public Key im XML/X.509 |
| INI | Nur noch bei vereinzelten Instituten | |
| HPB | Kunde ruft Bankschlüssel ab | X.509-Zertifikat der Bank |
| HKD | Ruft Parameterdaten ab (z. B. unterstützte BTFs) |
Bank- und Benutzerinfos |
Die Bank validiert die eingegangenen Zertifikate maschinell:
-
- Signatur gültig?
- Gültigkeitszeitraum?
- Übereinstimmung mit Teilnehmerdaten?
- (Optional) Manuelle Verifikation durch INI-Brief
-
- In Deutschland teilweise noch verwendet, aber nicht mehr zwingend erforderlich.
- Nur nötig bei selbstsignierten Zertifikaten ohne PKI-Hinterlegung.
- Enthält: Teilnehmer-ID, Fingerprints (SHA-256) der Zertifikate, Datum, Unterschrift
- Freischaltung durch die Bank
-
- Bei erfolgreicher Validierung: Teilnehmerstatus = aktiv
- Der Teilnehmer kann nun:
- Dateien mit EU signieren (A005, A006)
- Transaktionen verschlüsseln
- EBICS-Transaktionen durchführen
Wenn Sie als Finanzinstitut oder Unternehmen eine EBICS Lösung suchen, freuen wir uns auf Ihre Kontaktaufnahme.
Teilen
Weitere Artikel
