CRA-Nutzerinformation

Verordnung (EU) 2024/2847 · Cyber Resilience Act

Geltung und Zweck dieser Information

Diese Seite enthält die Informationen und Anleitungen für den Nutzer, die einem Produkt mit digitalen Elementen nach Anhang II der Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA) beizufügen sind. Sie betrifft ausschließlich das Produkt easyKonto Lokal.

easyKonto Lokal ist eine lokal betriebene Java-Bibliothek und damit ein Produkt mit digitalen Elementen im Sinne des CRA. easyKonto Cloud ist demgegenüber ein reiner Cloud-Dienst und fällt nicht in den Anwendungsbereich des CRA.

Die Information wird gemäß Artikel 13 Absatz 18 CRA in deutscher Sprache bereitgestellt, damit sie sowohl von den Nutzern als auch von der zuständigen Marktüberwachungsbehörde leicht verstanden werden kann. Sie wird ab dem Inverkehrbringen der jeweiligen Version mindestens zehn Jahre lang zugänglich und benutzerfreundlich online gehalten.

Anhang II Nr. 1 · Art. 13 Abs. 16

Hersteller

Hersteller des Produkts easyKonto Lokal im Sinne des CRA ist:

Hersteller (Art. 13 Abs. 16 CRA)

Oliver Siegmar
Putzbrunner Str. 170
81739 München
Deutschland

Website: www.easykonto.de

Kontakt: Kontaktformular · service (at) easykonto.de

Anbieterkennzeichnung der Website: Impressum.

Anhang II Nr. 2 · Art. 13 Abs. 17

Zentrale Kontaktstelle für Schwachstellenmeldungen

Schwachstellen in easyKonto Lokal können Sie jederzeit an die zentrale Kontaktstelle des Herstellers melden:

security@easykonto.de

Das Konzept für die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure) – mit Meldeweg, Eingangsbestätigung und Veröffentlichungsablauf – ist in unserer Security Policy beschrieben.

Maschinenlesbare Kontaktdaten finden Sie unter /.well-known/security.txt gemäß RFC 9116.

Anhang II Nr. 3

Produkt und eindeutige Identifizierung

Produktname: easyKonto Lokal
Produkttyp: Lokal betriebene Java-Bibliothek zur Validierung von IBAN, BIC und Kontonummern, ausgeliefert als Maven-Artefakte (JPMS-Module).
Maven-Koordinaten: Gruppe de.easykonto, Artefakte api und lib (JPMS-Module de.easykonto.api und de.easykonto.lib).
Version: Die eindeutige Identifizierung einer ausgelieferten Fassung erfolgt über die Versionsnummer des jeweils bezogenen Maven-Artefakts.
Bezugsquelle: Maven-Repository maven.easykonto.de; der Zugang wird im Rahmen der Lizenzierung bereitgestellt.

Anhang II Nr. 4

Zweckbestimmung, Hauptfunktionen und Sicherheitseigenschaften

Zweckbestimmung und Hauptfunktionen

Die Software prüft IBAN und Kontonummer auf strukturelle und mathematische Korrektheit (insbesondere Format und Prüfziffer) sowie BIC und Bankleitzahl auf Existenz. Diese Prüfungen erfolgen auf Basis der Vorgaben und Datenbanken der jeweils zuständigen Stellen (Nationalbanken bzw. SWIFT). Für die Richtigkeit und Aktualität der von diesen Stellen bereitgestellten Daten übernimmt der Hersteller keine Gewähr. Die Software prüft nicht die tatsächliche Existenz, Verfügbarkeit oder Erreichbarkeit des Kontos, nicht die Identität oder Authentizität des Kontoinhabers und nicht die wirtschaftliche Bonität. Sie ist weder ein Bestandteil einer Empfänger-Authentifizierung noch einer Identitätsprüfung nach §§ 10 ff. GwG noch eines Zahlungsdienstes i.S.d. ZAG.

Vom Hersteller bereitgestelltes Sicherheitsumfeld

easyKonto Lokal arbeitet vollständig offline: Alle Bankdaten sind in den Artefakten eingebettet, im Betrieb werden keine Netzwerkaufrufe durchgeführt. Die zu prüfenden Daten verlassen die Laufzeitumgebung des Nutzers nicht. Die Bibliothek wird in die Anwendung und Infrastruktur des Nutzers (Integrators) eingebunden; für die Sicherheit dieser umgebenden Umgebung – insbesondere für eine aktuelle Java-Laufzeitumgebung und das zeitnahe Einspielen bereitgestellter Aktualisierungen – ist der Nutzer verantwortlich.

Sicherheitseigenschaften

Vollständig offline

Im Betrieb finden keine Netzwerkaufrufe statt; alle Bankdaten sind in den Artefakten eingebettet. Die zu prüfenden Daten verlassen die Laufzeitumgebung des Nutzers nicht.

Verifizierbare Lieferkette

Alle Artefakte sind PGP-signiert und über bitgenau reproduzierbare Builds nachvollziehbar; ihre Integrität lässt sich vor dem Einsatz verifizieren.

Software-Stückliste

Für jedes Modul liegt eine Software-Stückliste (CycloneDX 1.6) vor; sie wird mit den Artefakten ausgeliefert (siehe Abschnitt „Software-Stückliste“).

Minimale Angriffsfläche

Außer der Java-Laufzeitumgebung bestehen keine Laufzeit-Abhängigkeiten; die Bibliothek bindet keine Fremdbibliotheken ein. Das hält die Angriffsfläche gering.

Anhang II Nr. 5

Bekannte Risiken bei vorhersehbarer Fehlanwendung

Die folgenden Verwendungen gehören ausdrücklich nicht zur Zweckbestimmung von easyKonto Lokal. Ein Einsatz als alleinige Grundlage hierfür wäre eine Fehlanwendung und kann zu erheblichen Cybersicherheits- und Compliance-Risiken führen – etwa zu Fehlüberweisungen, der Umgehung gesetzlicher Sorgfaltspflichten oder unautorisierten Zahlungen. easyKonto Lokal darf daher nicht eingesetzt werden als oder als alleinige Grundlage für:

Nicht bestimmungsgemäße Verwendung

eine Empfänger-Authentifizierung oder die Bestätigung, dass ein Konto einer bestimmten Person oder einem bestimmten Namen zugeordnet ist (keine Confirmation of Payee bzw. Empfänger- oder Namensprüfung);
eine Identitätsprüfung oder die Erfüllung von Sorgfaltspflichten nach §§ 10 ff. Geldwäschegesetz (GwG);
einen Zahlungsdienst im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG);
die alleinige Freigabe von Zahlungen – eine Zahlungsfreigabe erfordert stets zusätzliche, vom Nutzer zu verantwortende Kontrollen.

Die Bibliothek prüft ausschließlich die strukturelle und mathematische Korrektheit sowie die Existenz von BIC und Bankleitzahl (siehe Zweckbestimmung). Sie trifft keine Aussage über die tatsächliche Existenz, Verfügbarkeit oder Inhaberschaft eines Kontos.

Anhang II Nr. 6 · Art. 13 Abs. 20

EU-Konformitätserklärung

Die EU-Konformitätserklärung nach Artikel 28 und Anhang V CRA wird im Zuge der Konformitätsbewertung erstellt. Die Internetadresse, unter der die Erklärung abrufbar sein wird, ergänzen wir an dieser Stelle, sobald die Bewertung abgeschlossen ist. Die zugrunde liegende CRA-Pflicht gilt ab dem 11. Dezember 2027.

Anhang II Nr. 7 · Art. 13 Abs. 8

Technische Sicherheitsunterstützung und Unterstützungszeitraum

Art der Unterstützung

Während des Unterstützungszeitraums behebt der Hersteller bekannt gewordene Schwachstellen. Informationen zu behobenen Schwachstellen werden öffentlich veröffentlicht (siehe Security Policy bzw. doc.easykonto.de). Die zugehörige sicherheitskorrigierte Fassung einer noch im Unterstützungszeitraum befindlichen Version stellt der Hersteller allen Nutzern dieser Version auf Anfrage kostenlos bereit – auch ohne aktiven Lizenzvertrag. Die laufende Aktualisierung der Bankdaten (quartalsweise) sowie neue Funktionsversionen setzen einen aktiven Vertrag voraus und werden über das Maven-Repository bzw. den Kundenbereich bereitgestellt.

Unterstützungszeitraum

Der Unterstützungszeitraum nach Art. 13 Abs. 8 CRA beträgt für jede veröffentlichte Version mindestens fünf Jahre ab ihrem Inverkehrbringen. Das nach dem Lizenzvertrag eingeräumte Nutzungsrecht ist zeitlich unbegrenzt; der Unterstützungszeitraum ist daher von der Laufzeit des Lizenzvertrags unabhängig und reicht über deren Ende hinaus. Sicherheitsaktualisierungen stehen während des gesamten Unterstützungszeitraums zur Verfügung. Das Enddatum des Unterstützungszeitraums einer Version ergibt sich aus ihrem Inverkehrbringen zuzüglich fünf Jahren (mindestens Monat und Jahr) und wird beim Erwerb mitgeteilt.

Anhang II Nr. 8

Anleitungen zur sicheren Verwendung

Ausführliche Anleitungen zur sicheren Installation, zum sicheren Betrieb und zur sicheren Verwendung von easyKonto Lokal stellt der Hersteller in der Produktdokumentation bereit: doc.easykonto.de. Die folgenden Punkte fassen die nach Anhang II Nr. 8 erforderlichen Hinweise zusammen.

a) Inbetriebnahme und sicherer Betrieb: easyKonto Lokal wird als Maven-Abhängigkeit (JAR-Dateien) eingebunden und in einer aktuellen, vom Hersteller unterstützten Java-Laufzeitumgebung betrieben; die jeweils unterstützten Java-Versionen nennt die Produktdokumentation. Die Integrität der bezogenen Artefakte lässt sich anhand der im Maven-Repository bereitgestellten PGP-Signaturen verifizieren. Die in den Artefakten eingebetteten Bankdaten der Deutschen Bundesbank gelten jeweils für einen definierten Gültigkeitszeitraum und werden quartalsweise aktualisiert; setzen Sie die Version ein, deren Datenstand den für Ihre Prüfung maßgeblichen Zeitraum abdeckt.
b) Auswirkungen von Änderungen auf die Datensicherheit: Die Bibliothek wird als Binärartefakt mit PGP-Signatur und reproduzierbarem Build ausgeliefert; der Quellcode ist nicht Bestandteil der Lieferung. Eigenmächtige Veränderungen an den Artefakten heben die Verifizierbarkeit über PGP-Signatur und reproduzierbaren Build auf, können die Datensicherheit beeinträchtigen und sind nicht vorgesehen.
c) Installation sicherheitsrelevanter Aktualisierungen: Sicherheitsaktualisierungen werden als neue Version einer noch im Unterstützungszeitraum befindlichen Fassung bereitgestellt und durch Anheben der Abhängigkeit eingespielt; ein Wechsel auf eine neuere Funktionsversion ist hierfür nicht erforderlich. Bei aktivem Vertrag erfolgt der Bezug über das Maven-Repository; Nutzer ohne aktiven Vertrag erhalten die sicherheitskorrigierte Fassung auf Anfrage kostenlos (siehe Abschnitt „Technische Sicherheitsunterstützung“).
d) Sichere Außerbetriebnahme und Löschung von Nutzerdaten: easyKonto Lokal speichert keine Nutzer- oder Bankdaten dauerhaft; zu prüfende Daten werden ausschließlich flüchtig im Arbeitsspeicher verarbeitet. Zur Außerbetriebnahme genügt es, die Abhängigkeit aus der Anwendung zu entfernen und die Artefakte aus dem lokalen Abhängigkeits-Cache zu löschen.
e) Automatische Installation von Sicherheitsaktualisierungen: Dieser Punkt trifft auf easyKonto Lokal nicht zu: Die Bibliothek verfügt über keinen Mechanismus zur automatischen Installation von Aktualisierungen. Bezug und Installation erfolgen ausschließlich manuell durch den Integrator über das Abhängigkeitsmanagement. Eine standardmäßig aktivierte automatische Installation, die nach Anhang I Teil I Buchstabe c des CRA abschaltbar sein müsste, besteht daher nicht.
f) Hinweise für Integratoren: Soweit easyKonto Lokal als Bestandteil eines anderen Produkts mit digitalen Elementen weitergegeben wird (Distributionslizenz), benötigt der Integrator zur Erfüllung seiner eigenen Pflichten nach Anhang I und Anhang VII des CRA insbesondere die Angaben dieser Seite (Zweckbestimmung, Sicherheitseigenschaften, Unterstützungszeitraum), die Software-Stückliste sowie das CVD-Konzept der Security Policy.