Vertrag über die Bereitstellung und Fernübertragung von Daten auf ...

Vertrag
über die Bereitstellung und Fernübertragung von Daten
auf FTAM / EBICS - Kommunikationsbasis
zwischen der
Volksbank Rottweil eG, Hochbrücktorstr. 27, 78628 Rottweil
- im folgenden Bank genannt –
und der
________________________________________________________________________________
1. Gegenstand des Vertrages
- im folgenden Kunde genannt -
Gegenstand des Vertrages ist die Bereitstellung von Daten zur Abholung durch den Kunden sowie die
elektronische Erteilung von Ausführungsaufträgen für Überweisungen und Lastschriften im
Inlandszahlungsverkehr sowie für Überweisungen im Auslandszahlungsverkehr per Datenfernübertragung unter
Nutzung des Datenfernübertragungsprotokolls FTAM (File Transfer Access and Management) und EBICS
(Electronic Banking Internet Communications Standard). Mit Hilfe dieses Dateienübertragungs- und
-verwaltungsstandards werden im Rahmen des Kontovertrages Daten zwischen Kunde und Bank ausgetauscht.
Die Anlage 3 beinhaltet die vom zentralen Kreditausschuss (ZKA) im Abkommen über die Datenfernübertragung
zwischen Kunden und Kreditinstituten festgelegten Standards und findet hierbei besondere Anwendung.
Kunde und Bank werden in allen technischen Fragen in enger Abstimmung zusammenarbeiten.
In den Vertrag können durch Zusatzvereinbarung weitere Leistungen einbezogen werden.
2. Leistungsumfang
Die Bank stellt dem Kunden bankarbeitstäglich die seine Konten betreffenden Kontoinformationen zum
Abruf per Datenleitung zur Verfügung. Die Bereitstellung von Kontoauszugsinformationen erfolgt im
Format SWIFT MT940.
Bereitstellung der Einzelumsätze im DTAUS-Format.
Darüber hinaus nimmt die Bank auf elektronischem Wege erteilte
Inlandszahlungsaufträge (DTAUS)
Auslandszahlungsaufträge (DTAZV)
des Kunden zur Bearbeitung im Rahmen des banküblichen Arbeitsablaufes entgegen.
Bereitstellung von Protokolldateien zur Abholung durch den Kunden.
Eine taggleiche Verbuchung der Aufträge kann im Regelfall erfolgen, wenn die Aufträge spätestens zu
einem von der Bank festzulegenden Zeitpunkt eingegangen sind.
Die Abwicklungsmodalitäten für die Auftragserteilung von ordnungsgemäß erstellten und fehlerfrei an den
Rechner der Bank übertragenen Zahlungsverkehrsdatensätze werden in Anlage 1 geregelt.
3. Verpflichtungen der Bank
a) Die Bank schafft über ihr zuständiges Rechenzentrum die internen Voraussetzungen für den bankseitigen
Einsatz des Verfahrens FTAM und EBICS und sorgt für die Funktionstüchtigkeit des Bankrechners.
Darüber hinaus verpflichtet sich die Bank, eventuell auftretende Systemstörungen schnellstmöglich zu
beheben oder beheben zu lassen, um eine hohe Systemverfügbarkeit zu erreichen. Bei Systemstörungen
werden die Daten zum frühestmöglichen Termin verarbeitet, sollten sich jedoch Verzögerungen ergeben,

kann die Bank keine Haftung für Folgeschäden übernehmen; dasselbe gilt bei extrem hohem
Verarbeitungsvolumen.
b) Die Bank stellt dem Kunden die jeweils gemäß der Beschreibung in Anlage 2 erforderlichen Identifikations-
und Legitimationsdaten und -medien zur Verfügung, die allein den Zugang zu den vertraglich vereinbarten
Leistungen eröffnen.
c) Die Bank prüft die Übereinstimmung der Auftragsdatensätze mit den Spezifikationen in den Bestimmungen
über den Aufbau von DTA-Dateien, gemäß den Sonderbedingungen über die Beteiligung von Kunden am
beleglosen Datenträgeraustausch (Inlandszahlungsverkehr) bzw. den Bedingungen für die beleglose
Erteilung von Auslandszahlungsaufträgen (Auslandszahlungsverkehr). Ergeben sich bei dieser Prüfung
Fehler der Datensätze, wird die Bank deren vollständigen Inhalt nachweisen und sie dem Kunden
unverzüglich mitteilen. Fehlerhafte Datensätze sind von der weiteren Verarbeitung ausgeschlossen.
d) Die Bank ist berechtigt, den Zugang zum Konto unverzüglich zu sperren, wenn 1. dreimal hintereinander
ein falsches DFÜ-Passwort eingegeben wurde, 2. der Verdacht einer mißbräuchlichen Nutzung besteht
und die Bank positive Kenntnis davon erlangt hat, 3. der Kunde Bevollmächtigte (Kontoinhaber bzw. die
Kontoauszugsberechtigten) dies wünschen.
4. Verpflichtungen des Kunden
a) Die vom Kunden eingesetzte Software muss geeignet sein, die für die Vertragsdurchführung erforderlichen
Funktionen ordnungsgemäß zu erfüllen. Abweichungen zwischen der vom Kunden und der Bank
verwendeten Version der Software werden systemseitig erkannt und gemeldet.
b) Der Kunde ist verpflichtet, die gem. Anlage 2 vorgeschriebenen Sicherungsprozeduren einzuhalten.
Er regelt die interne Zugangsberechtigung und ermöglicht ausschließlich entsprechend befugten
Personen den Zugang zu FTAM UND EBICS.
Der Kunde wird ausdrücklich darauf hingewiesen, dass mittels der in der Verfahrensbeschreibung
genannten Legitimationsmittel auch jeder unbefugte Dritte die vereinbarten Dienstleistungen
nutzen kann.
Mißbräuchliche Verfügungen Nichtberechtigter muss der Kunde sich zurechnen lassen, wenn die
Sicherungsprozeduren nicht eingehalten sind und der Bank die mißbräuchliche Nutzung nicht
erkennbar ist.
Daher hat der Kunde die ordnungsgemäße Aufbewahrung der in der Anlage 2 genannten
Legitimationsmedien und die Geheimhaltung von Identifikations- und Legitimationsdaten
sicherzustellen.
c) Der Kunde hat sein Konto für die Datenfernübertragung zu sperren und die Bank ohne schuldhaftes Zögern
darüber zu informieren oder er hat das Konto von der Bank sperren zu lassen, insbesondere wenn
1. die zur Legitimation dienenden Medien abhanden gekommen sind,
2. ein Unbefugter Kenntnis von den Identifikations- und Legitimationsdaten und -medien erlangt,
3. der Verdacht besteht, dass eine missbräuchliche Nutzung möglich ist oder werden kann,
4. eine sonstige Gefahr der missbräuchlichen Nutzung von FTAM UND EBICS besteht.
Die Bank weist darauf hin, dass jeder, der Kenntnis von den Sicherungsmedien und dem DFÜ-
Passwort erhält, das DFÜ-Passwort ändern und somit andere von der Nutzung ausschließen kann.
d) Der Kunde hat für jede logische Datei ein maschinelles Protokoll zu erstellen, das inhaltlich den
Anforderungen des Begleitzettels gemäß den Sonderbedingungen über die Beteiligung von Kunden am
beleglosen Datenträgeraustausch (Inlandszahlungsverkehr) bzw. (Auslandszahlungsverkehr) entspricht.
Er nimmt dieses Protokoll zu seinen Unterlagen und stellt es auf Anforderung der Bank zur Verfügung.
e) Gehen dem Kunden keine Kontoinformationen zu, so hat er die Bank unverzüglich darüber schriftlich/per
Telefax zu informieren. Der Kunde hat die Richtigkeit der übermittelten Kontoinformationen zu überprüfen und
etwaige Einwendungen unverzüglich zu erheben.
f) Sollten Teilnehmer nicht mehr berechtigt sein, diese Leistungen zu nutzen (z.b. ausgeschiedene Mitarbeiter)
ist dies unverzüglich der Bank mitzuteilen.

5. Rückruf von Aufträgen
Nach Erteilung der Aufträge, also nach der Datenfernübertragung, können Rückrufe einzelner Aufträge gegenüber
der Bank nur außerhalb des Datenfernübertragungsverfahrens vorgenommen werden. Berichtigungen sind nur
durch Rückruf und erneuter Auftragserteilung möglich.
Der Rückruf einer Datei insgesamt ist ausgeschlossen, sobald die Bank oder das von ihr beauftragte
Rechenzentrum mit deren Verarbeitung begonnen hat.
6. Geheimhaltung sonstiger Umstände
Die Parteien verpflichten sich gegenseitig zur Geheimhaltung aller vor und während der Laufzeit dieses Vertrages
ausgetauschten bzw. auszutauschenden Informationen und erworbenen Kenntnisse sowie die
Vertragsabwicklung berührenden Betriebsvorgänge, auch wenn sie nicht ausdrücklich als geheim oder vertraulich
bezeichnet worden sind.
Die Vertragsparteien haben dafür Sorge zu tragen, dass ihre Mitarbeiter in gleichem Umfang zur Geheimhaltung
verpflichtet sind.
Die Geheimhaltungsverpflichtung besteht über die Laufzeit dieses Vertrages hinaus fort.
7. Haftung
Haftungsfreistellungserklärung für die Freischaltung der Initialisierungsbriefe mittels Telefax:
Der Kunde kann die Freischaltung der Initialisierungsbriefe aus Zeitgründen auch mittels Telefax vornehmen. Im
Zusammenhang mit diesem Verfahren wird der Kunde ausdrücklich auf die damit verbundenen Risiken - wie
Manipulationsmöglichkeiten am Übertragungsgerät des Kunden etc. - hingewiesen. Der Kunde stellt die Bank von
Ansprüchen jeglicher Art im Zusammenhang mit den per Telefax übermittelten Erklärungen, die in seinem
Risikobereich entstanden sind und für sich daraus entwickelnde Schäden frei. Der Kunde beauftragt die Bank
aufgrund der Telefax-Mitteilung - unter Freistellung der Haftung für die im Zusammenhang mit der Telefax-
Übermittlung liegenden Risiken - unverzüglich die Freischaltung der Initialisierung vorzunehmen.
a) Jede Vertragspartei trägt diejenigen Schäden, deren Ursachen ihrer jeweiligen Risikosphäre zuzuordnen
sind.
b) Die Bank haftet für alle Schäden, die von ihr bzw. einem ihrer gesetzlichen Vertreter oder
Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursacht worden sind.
c) Bei einfacher Fahrlässigkeit wird die Haftung ausgeschlossen, soweit nicht eine wesentliche Vertragspflicht
(Kardinalspflicht) noch Leib oder Leben verletzt wurden oder ein Fall des Verzuges oder der Unmöglichkeit
vorliegt. Soweit im Falle der einfachen Fahrlässigkeit gehaftet wird, wird die Haftung auf den
vertragstypischen, vorhersehbaren und beherrschbaren Schaden begrenzt.
d) Bei Verzug und Unmöglichkeit beschränkt sich der Schadensersatz für einfache Fahrlässigkeit auf
unmittelbare Schäden.
e) Hat die Bank durch ein schuldhaftes Verhalten zu der Entstehung eines Schadens beigetragen, bestimmt
sich nach den Grundsätzen des Mitverschuldens, in welchem Umfang die Bank den Schaden zu tragen
hat.
f) Der Kunde trägt alle Schäden, die der Bank dadurch entstehen, dass die dem Kunden zur Verfügung
gestellten Legitimationsdaten oder -medien in seinem Risikobereich missbräuchlich verwendet werden,
insbesondere wenn Legitimationsdaten oder -medien unberechtigten Dritten zugänglich gemacht oder
Legitimationsdateien unberechtigt vervielfältigt wurden.
g) Der Kunde ist im Verhältnis zur Bank zum Ersatz derjenigen Schäden verpflichtet, die durch nicht
ordnungsgemäße, unrichtige oder unvollständige Auftragsdatensätze entstehen, es sei denn, der Fehler
hätte durch die in Nr. 3c) beschriebenen Kontrollen festgestellt werden können.
8. Inkrafttreten und Dauer des Vertrages
Der Vertrag tritt mit Datum der Unterzeichnung in Kraft. Er wird auf unbestimmte Zeit geschlossen.
Jeder der Beteiligten kann den Vertrag mit einer Frist von einem Monat zum Monatsende kündigen.
Das Recht zur fristlosen Kündigung der Bank aus wichtigem Grund bleibt unbenommen.
Die Kündigung bedarf der Schriftform.
Der Vertrag endet abweichend hiervon automatisch mit Beendigung der Kontobeziehung zur Bank.

9. Kosten
Die Bank berechnet diese Dienstleistung gem. Ihrem Preis- und Leistungsverzeichnis und belastet diese dem
Konto des Kunden.
10. Schlussbestimmungen
a) Der Vertrag, seine Änderungen und Ergänzungen bedürfen der Schriftform.
b) Sollten einzelne Bestimmungen dieses Vertrages nicht rechtswirksam sein oder ihre Rechtswirksamkeit
durch einen späteren Umstand verlieren oder sollte sich in diesem Vertrag eine Lücke herausstellen, so
wird hierdurch die Rechtswirksamkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen
Vertragsbestimmungen soll eine angemessene Regelung gelten, die dem wirtschaftlichen Zweck der
unwirksamen Bestimmungen am nächsten kommt. Lücken des Vertrages sind im Wege der ergänzenden
Vertragsauslegung zu schließen.
c) Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist der Gerichtsstand der Bank.
d) Die in diesem Vertrag genannten Anlagen 1 - 5 sind Bestandteile dieses Vertrages:
Anlage 1: 1) Automatische Freigabe, ohne Übermittlung des DTA-Begleitzettels
2) Freigabe erfolgt durch die Bank anhand des übermittelten DTA-Begleitzettels
Anlage 2: Legitimationsmedien
Anlage 3: Allgemeine Verfahrensanleitung
Anlage 4: Sicherungsmaßnahmen
Anlage 5: Auftrag zur Stammdatenpflege „Multikom Bankrechner“
Aufgrund der technischen Entwicklung erforderliche Änderungen können von der Bank jederzeit
vorgenommen werden; der Kunde wird über Änderungen rechtzeitig informiert. Andere, mit dem Kunden
bereits abgeschlossene Verträge bleiben von den vorliegenden Regelungen unberührt.
Zusätzlich gelten die Allgemeinen Geschäftsbedingungen der Bank, die dem Kunden bekannt sind und
auf Verlangen zur Verfügung gestellt werden sowie der mit dem Kunden bestehende Kontovertrag.
Des Weiteren gelten die Sonderbedingungen für die Teilnahme des Kunden am beleglosen
Datenträgeraustausch und die Bedingungen für die beleglose Erteilung von
Auslandszahlungsaufträgen sowie die Sonderbedingungen für Datenfernübertragung (DFÜ). Der
Wortlaut dieser Geschäftsbedingungen kann in den Geschäftsräumen der Bank eingesehen werden; auf
Verlangen werden diese Geschäftsbedingungen ausgehändigt. Die Geschäfts- und Sonderbedingungen
können Sie auch auf unserer Homepage www.volksbank-rottweil.de einsehen und ausdrucken.
Rottweil,
___________________________ ___________________________
Ort, Datum Ort, Datum
Volksbank Rottweil eG
___________________________ ___________________________
Unterschrift des/der Kunden Unterschrift der Bank
Legitimationsprüfung: Namen + Zeichen

Anlage 1 Auftragserteilung
Die Beteiligten vereinbaren, dass folgende beide Abwicklungsmodalitäten bei der Auftragserteilung möglich sind:
1) Automatische Freigabe, ohne Übermittlung des DTA-Begleitzettels
Abweichend von der sonst banküblichen Schriftlichkeit der Auftragserteilung erteilt der Kunde mit der fehlerfreien
Übertragung ordnungsgemäßer Zahlungsverkehrsdatensätze sowie dazugehöriger Unterschriftsdatei(en) an den
Rechner der Bank den rechtsverbindlichen Auftrag, die jeweiligen Zahlungsvorgänge zu Lasten bzw. zu Gunsten
seines Kontos auszuführen.
2) Freigabe erfolgt durch die Bank anhand des übermittelten DTA-Begleitzettels
Der Kunde erteilt mit der fehlerfreien Übertragung ordnungsgemäßer Zahlungsverkehrsdatensätze an den
Rechner der Bank und durch Übermittlung des rechtsgültig unterschriebenen DTA-Begleitzettels den
rechtsverbindlichen Auftrag, die jeweiligen Zahlungsvorgänge nach Disposition durch die Bank zu Lasten bzw. zu
Gunsten seines Kontos auszuführen.
Annahmetermine für Zahlungsauftragsdateien für taggleiche Verarbeitung:
Übertragungen der Zahlungsverkehrsdateien von Kunden an die Bank müssen
für den Inlandszahlungsverkehr bis 14.00 Uhr,
für den Auslandszahlungsverkehr bis 11.30 Uhr,
für eilige Zahlungen (DTE) bis 11.30 Uhr - ohne Gewährleistung für
taggleiche Gutschrift,
für telegraphische Zahlungen (DTT) bis 11.30 Uhr - ohne Gewährleistung für
taggleiche Gutschrift -
abgeschlossen sein.
Die Protokolldatei steht ca. 2 Minuten nach jeder Dateiübertragung zum Abruf bereit und muss mindestens einmal
am Auftragstag abgerufen werden.
Bereitstellung von elektronischen Kontoinformationen:
Die Kontoinformationen werden täglich durch die Kontoauszugsschreibung generiert und werden ab 04.00 Uhr zur
Abholung bereitgestellt.
Leistungsbezug:
Gemäß der Vereinbarung werden die Leistungsarten und Konten wie im Auftrag zur Stammdatenpflege
„Multicom Bankrechner“ aufgeführt in das Verfahren einbezogen.

Anlage 2 Legitimationsmedien
Legitimationsmedien für die Datenfernübertragung unter Nutzung des Übertragungsprotokolles FTAM UND EBICS sind:
- Initialisierungspasswort
- Initialisierungsbrief (INI-Brief)
- DFÜ-Passwort
- EU-Disketten bzw. Dateien (elektronische Unterschrift)
Initialisierungspasswort und INI-Brief
Der Kunde erhält von der Bank die beantragten und zur Erstellung der FTAM- und EBICS-Bankparameterdatei
erforderlichen Angaben. Dies sind Hostname, ISDN-Rufnummer bzw. URL-Adresse der Bank, Host Kunden-ID und Host
User-ID. Durch die Eingabe des Initialisierungspasswortes und die anschließende Übertragung legitimiert sich der
Kunde erstmalig bei der Bank.
Nach erfolgreicher Initialisierung muss der Kunde zunächst den erstellten INI-Brief ausdrucken und zur Bank schicken.
Diese vergleicht die Angaben mit dem Ausdruck des Bankrechners und schaltet den Kunden bei Übereinstimmung der
Daten für die Datenfernübertragung frei.
DFÜ-Passwort
Nach der Eingabe des Initialisierungspasswortes muss der Kunde dieses beim FTAM-Verfahren wechseln. Dazu wird er
in der Regel automatisch von seinem Softwareprogramm aufgefordert. Das neue Passwort ist mit dem Zeitpunkt der
Änderung sein DFÜ-Passwort. Der Kunde kann es jederzeit wechseln. Nach jedem Wechsel muss sich der Kunde
jedoch zunächst neu auf dem Bankrechner initialisieren.
Das DFÜ-Passwort darf nur den vom Kunden bestimmten Personen zugänglich sein.
EU-Diskette bzw. EU-Dateien (elektronische Unterschrift)
Der Kunde veranlasst die Ausführung übertragener Zahlungsverkehrsdateien durch seine benutzerspezifische
„elektronische Unterschrift“.
Die EU-Key-Dateien sind vom Kunden sorgfältig zu verwahren und dürfen wie das DFÜ-Passwort nur den von
ihm besonders beauftragten Personen zugänglich sein, da jede Person, die im Besitz dieser Medien ist, die
vereinbarten Dienstleistungen nutzen kann.

Anlage 3 Allgemeine Verfahrensanleitung
1. Kommunikation
Die Kommunikation basiert auf dem Datenfernübertragungsprotokoll FTAM (File Transfer Access and
Management) und EBICS (Electronic Banking Internet Communications Standard). Mit Hilfe dieses
Dateienübertragungs- und -verwaltungsstandards werden Daten zwischen Kunde und Bank ausgetauscht.
2. Datenformate
Die Bank nimmt In- und Auslandszahlungsverkehrsdateien (DTAUS/DTAZV) gemäß den gültigen DTA-Richtlinien
und im dafür vorgesehenen Format entgegen. Die Bereitstellung von Kontoauszugsinformationen erfolgt im
Format SWIFT MT940.
3. Sicherheit (Anlage A)
Als Standard für die Sicherheit sieht das Abkommen die elektronische Unterschrift (EU) gemäß dem RSA-
Verfahren (Public Key-Verfahren) vor. Mit der elektronischen Unterschrift wird die Urheberschaft und die
Authentizität des Senders sowie die Integrität der Daten sichergestellt. Die elektronische Unterschrift ist für alle
Datenübertragungsverfahren zwingend vorgeschrieben, die nicht der reinen Informationsbeschaffung (z.B.
Tagesauszugsinformationen) dienen.
4. Technische Aspekte
Der Abruf und die Übertragung von Dateien können vom Kunden sowohl über Internet als auch über ISDN
erfolgen.
Die Kontoauszugsinformationen (STA) werden einmal täglich bereitgestellt. Nicht abgerufene Daten werden für
einen Zeitraum von 30 Tagen vorgehalten. Die Vormerkposten (VMK) - aktuelle Kontobewegungen - werden
tagsüber alle 2 Stunden bereitgestellt.
5. Software beim Kunden
Das vom Kunden genutzte Softwareprogramm muss den Richtlinien und Spezifikationen des Zentralen
Kreditausschusses hinsichtlich der Komponenten FTAM/EBICS und Elektronischer Unterschrift entsprechen.
Hier ist insbesondere die Unterstützung der aktuellen Versionsnummer (zzt. A-004) als Format für die
elektronische Unterschrift zu nennen, ältere Formate sind nicht verwendbar.

Anlage 4 Sicherungsmaßnahmen
Zusätzlich zu den in den Sonderbedingungen für Datenfernübertragung genannten Bestimmungen hat der Kunde folgendes zu
beachten:
Elektronische Unterschrift (EU)
Die elektronische Unterschrift gewährleistet die Absicherung des Datenaustausches durch die Erfüllung folgender Anforderungen:
- Non Repudiation (der Sender einer Nachricht kann seine Urheberschaft nicht leugnen).
- Authentizität (der Sender einer Nachricht ist tatsächlich derjenige, der vorgibt, der Sender der Nachricht zu sein).
- Datenintegrität (beim Empfänger kommen genau die Daten unversehrt und unverfälscht an, die der Sender abgeschickt hat).
Die im Rahmen der Datenfernübertragung mit Kunden vorgesehene elektronische Unterschrift stellt eine Anwendung des RSA-
Verfahrens (Public-Key-Verfahrens) dar, benannt nach seinen Erfindern Rivest, Shamir und Adleman.
Der Auftraggeber (Kunde) verfügt dabei über einen geheimen und einen öffentlichen Schlüssel, der Empfänger (die Bank oder das von
ihr beauftragte Rechenzentrum) nur über den öffentlichen Schlüssel jedes Kunden. Der Auftraggeber unterschreibt mit Hilfe eines
geheimen Schlüssels, die Prüfung der Unterschrift erfolgt mit dem zugehörigen öffentlichen Schlüssel des Auftraggebers bei der Bank
oder dem von ihr beauftragten Rechenzentrum.
Ein Dokument beliebiger Länge wird dabei folgendermaßen „unterschrieben“:
- Berechnung eines Extraktes oder „Fingerabdruckes“ über die gesamte zu übertragende Datei mit Hilfe einer sogenannten
Hashfunktion. Das Ergebnis der Berechnung, der Hashwert, hat dabei eine fixe Länge und steht eindeutig für den Inhalt der
Gesamtnachricht, den er repräsentiert. Das Verändern nur eines einzigen Bits in der Gesamtnachricht wird ein anderes Hash-
Ergebnis hervorbringen. Das Verhashungs-Verfahren stellt somit sicher - im Gegensatz zur reinen Prüfsummenberechnung-,
dass evtl. Manipulationen der Auftragsdatei festgestellt werden.
- Ergänzung des Hashwertes um einen Zeitstempel (Timestamp): das Hinzufügen zeitabhängiger Zusatzinformationen verhindert
das nachträgliche Wiedereinspielen von aufgezeichneten, authentischen Datenübermittlungen durch eine potenziellen Angreifer.
- Der Hashwert einschließlich des Zeitstempels wird mit Hilfe des geheimen RSA-Schlüssels (Private Key) des Absenders
verschlüsselt.
Das Ergebnis dieser Operation ist eine elektronische Unterschrift (EU), die sich genau auf die betreffende Datei und einen bestimmten
Absender (Kunden) bezieht. Zusammen mit der originalen Zahlungsverkehrsnachricht wird die EU elektronisch an den Empfänger (die
Bank oder das von ihr beauftragte Rechenzentrum) übermittelt. Auf Institutsseite wird die elektronische Unterschrift anhand des
öffentlichen Schlüssels des Auftraggebers entschlüsselt. Ergebnis ist der Hashwert und der Zeitstempel. Auf die Auftragsdatei wird auch
im Kreditinstitut die Hashfunktion angewandt und das Ergebnis der Rechnung mit dem Hashwert, den der Kunde gesandt hat,
verglichen. Sind beide Werte identisch, ist eindeutig sichergestellt, dass der Inhaber des geheimen Schlüssels den Auftrag erteilt hat.
Der Auftraggeber kann diesen Auftrag nicht bestreiten („Non Repudiation“).
Die elektronische Unterschrift (in der im zentralen Kreditausschuss bestimmten Version A-004) für übertragene Dateien ist zwingend
vorgeschrieben. Vor der ersten Übertragung hat der Kunde mit der Bank zu klären, ob zur Legitimation übertragener Dateien eine oder
zwei elektronische Unterschriften erforderlich sind.
Bleibt die Elektronische Unterschrift in der festgelegten Anzahl für übertragene Dateien aus bzw. kann sie nicht vom Bankrechner
verifiziert und zugeordnet werden, werden die Dateien nicht ausgeführt. Der Kunde erfährt darüber nur durch den Abruf der
Protokolldatei.
Protokollierung von Übertragungen
Die Bank oder das von ihr beauftragte Rechenzentrum stellt die zu FTAM/EBICS gehörenden Protokolldateien zum Abruf bereit. Diese
geben dem Kunden die notwendige Information, ob sich bei der Legitimationsprüfung bzw. der Übertragung Unstimmigkeiten ergeben
haben. Nur durch den Abruf seiner Protokolldatei erfährt der Kunde definitiv, ob Übertragung und Legitimation erfolgreich
waren.
Zugangssperre
Der Kunde kann den Zugang zu seinen Konten durch schriftlichen/Fax-Auftrag an die Bank und unter Angabe der entsprechenden
User-ID sperren lassen. Eine fernmündliche Sperrung ist schriftlich zu bestätigen. Alternativ kann der Kunde die Zugangsberechtigung
zu seinen Konten (je User) auch selbst sperren.
Eine automatische Sperrung erfolgt, sobald zum dritten Mal mit einem falschen DFÜ-Passwort auf den Bankrechner zuzugreifen
versucht wurde.
Die erneute Freischaltung ist nur durch die Bank möglich.