0:00:00.000,0:00:18.780
36c3 Vorspannmusik
0:00:18.780,0:00:23.330
Herald: Ich habe hier so ein Handy,[br]vielleicht habt ihr auch ein Smartphone.
0:00:23.330,0:00:29.519
Und ich habe eine App drauf und die[br]damit.. Ich habe so mehrere Konten bei
0:00:29.519,0:00:33.840
verschiedenen Banken, und ich habe so eine[br]App. Da sind die ganzen Konten so drin.
0:00:33.840,0:00:39.260
Und wenn ich wissen will, wie viel Geld[br]ich nicht hab, dann starte ich diese App
0:00:39.260,0:00:44.239
und gucke ich da so drauf, weil mein[br]Telefon mich sonst nicht erkennt. Und dann
0:00:44.239,0:00:46.500
kann ich halt sehen, wie wieviel Geld ich[br]auf den Konten habe und was ich für
0:00:46.500,0:00:50.721
Kontobewegungen hatte. Und dann,[br]irgendwann dieses Jahr lacht , hab ich
0:00:50.721,0:00:53.449
da nicht mehr gesehen, wie viel Geld auf[br]dem Konto hatte. Da kammen immer so Pop-
0:00:53.449,0:01:00.800
ups. Die haben gesagt: Ja, das[br]funktioniert jetzt nicht, weil hab ich
0:01:00.800,0:01:04.600
nicht verstanden. Aber was da immer drin[br]vorkam, das waren drei Buchstaben, eine
0:01:04.600,0:01:09.500
Zahl, und das hieß PSD2, und jedes Mal habe ich[br]gedacht, jetzt muss ich wieder aus der App
0:01:09.500,0:01:11.820
raus und muss wieder irgendwas machen, was[br]ich nicht verstehe. Und dann werden mir
0:01:11.820,0:01:17.350
SMSen geschickt, die ich irgendwo[br]eintragen muss und dachte: Was zum Teufel
0:01:17.350,0:01:24.851
soll dieser Scheiß? Und das Schöne ist:[br]Wir alle werden jetzt möglicherweise eine
0:01:24.851,0:01:29.200
Antwort auf die Frage bekommen, was dieser[br]Scheiß soll. Und falls nicht, dann kann
0:01:29.200,0:01:34.829
man hinterher persönlich zur Rechenschaft[br]ziehen. Sein Name ist Henryk Plötz. lacht
0:01:34.829,0:01:43.649
Applaus
0:01:43.649,0:01:49.250
Henryk Plötz: Ja, genau. Ich Ich versuche[br]die Frage zu stellen, was hat die PSD2 je
0:01:49.250,0:01:53.759
für uns getan? Und Antworten darauf zu[br]geben, in der Hoffnung, dass ich auch
0:01:53.759,0:01:58.330
herausfinden, was der Scheiss soll? Für[br]diejenigen, die, es ist einer der ersten
0:01:58.330,0:02:02.280
Vorträge, die hineingestolpert sind, ohne[br]zu wissen, worum es geht. Es geht um die
0:02:02.280,0:02:08.269
Richtlinie der EU 2015 2366 des[br]Europäischen Parlaments und des Rates vom
0:02:08.269,0:02:12.390
25. November 2015 über Zahlungsdienste im[br]Binnenmarkt zur Änderung der Richtlinie
0:02:12.390,0:02:17.710
und so weiter und so fort und fort. Das[br]ist die Zahlungsdienst, der Richtlinie 2,
0:02:17.710,0:02:23.419
und da dranhängt noch eine Handvoll[br]Delegierter Verordnungen, aber ganz massiv
0:02:23.419,0:02:28.309
die Delegierte Verordnung vom 27. November[br]für die technischen Regulierung Standards
0:02:28.309,0:02:31.650
für eine starke Kunden Authentifizierung[br]und für sichere offene Standards zur
0:02:31.650,0:02:38.130
Kommunikation. Das ist, was in der App die[br]ganzen Pop-ups verursacht hat. Warum bin
0:02:38.130,0:02:43.130
ich hier? Und warum erzähle ich euch etwas[br]zu diesem Thema? Ich bin Informatiker und
0:02:43.130,0:02:47.080
Sicherheitsforscher. Ich glaub, neudeutsch[br]sagt man Hacker dazu. Hab einen meiner
0:02:47.080,0:02:51.500
ersten Vorträge auf dem Kongress vor zehn[br]Jahren zu "Mifaire Classic" gehalten.
0:02:51.500,0:02:57.140
Seitdem einiges gemacht zu[br]Zutrittskontrollsystemen, RFID, Die
0:02:57.140,0:03:03.090
Spezialgebiet sind halt solche Arten von[br]Kommunikationsprotokollen. Ich bin auch
0:03:03.090,0:03:06.150
Open Source Entwickler. Also wenn irgendwo[br]ein Kommunikationsprotokoll rumliegt, dann
0:03:06.150,0:03:09.269
implementiert ich das manchmal unter[br]anderem HBCI. Dazu erzähle ich euch noch
0:03:09.269,0:03:15.910
ein bisschen was. Es gibt im Umfeld des[br]CCC eine Vereinswaltung, die entstanden
0:03:15.910,0:03:24.670
ist, die heißt byro von Rixx. Da habe ich[br]einige größere Dinge zu beigetragen, und
0:03:24.670,0:03:28.850
es gibt von Rami. Die beiden waren ja die[br]Kasse und der Vorverkauf von Rami eine
0:03:28.850,0:03:32.960
Python Implementierung von FinTS, ich[br]sage vielleicht noch, was das ist. Dazu
0:03:32.960,0:03:35.980
hab ich größere Dinge beigetragen. Und[br]dann die Kombination dabei ist das im
0:03:35.980,0:03:41.370
PlugIn byro-fints. Also eine Perspektive,[br]aus der ich das betrachtet, halt als Open
0:03:41.370,0:03:46.260
Source Entwickler. Ich bin auch Gründer[br]und Geschäftsführer. Vor zwei Jahren habe
0:03:46.260,0:03:50.290
ich mit einem Freund zusammen eine eigene[br]Firma gegründet "Digital Wolff und Plötz
0:03:50.290,0:03:54.270
GmbH und Co. Wir haben einen etwas[br]schwammigen, schwammige Selbstverständnis,
0:03:54.270,0:03:57.620
eigentlich sehr präzise Selbstverständnis,[br]das etwas schwieriger zu verstehen ist.
0:03:57.620,0:04:03.870
Dass die Digitalisierung in komplexen[br]Umfeldern. Wir entwickeln. Wir machen halt
0:04:03.870,0:04:07.200
Beratung, aber entwickeln halt auch[br]Software. Auf dieser Ebene gucke ich das
0:04:07.200,0:04:11.400
auch an bzw. andere Produkte. Für die[br]evangelische Kirche bauen wir den
0:04:11.400,0:04:15.030
digitalen Klingelbeutel. Wir sind jetzt[br]Zahlungsdienstleister. Zum Glück hat es
0:04:15.030,0:04:18.680
nichts damit zu tun. Ich bin. Ich freue[br]mich sehr, dass alles, was wir tun, an der
0:04:18.680,0:04:23.800
PSD2 vorbeigeschrammt ist, außer halt als[br]Privatkunde. Ich bin nämlich auch noch
0:04:23.800,0:04:30.640
neugieriger Nutzer. Wir haben gerade in[br]der Einführung gehört, dass jemand
0:04:30.640,0:04:33.230
durchaus eine App von mehreren Konten[br]haben könnte. Ich habe mal kurz
0:04:33.230,0:04:36.800
durchgezählt. Bei mir sind es neun[br]verschiedene Konten, weil ich auch noch
0:04:36.800,0:04:42.670
mehrere Hüte auf habe, also sowohl[br]Geschäftskunden, neun verschiedene Banken.
0:04:42.670,0:04:48.201
Konten sind es ein paar mehr. Als sowohl[br]geschäftliche Konten als auch
0:04:48.201,0:04:53.530
Privatkonnten bzw. Familien Konto. Als[br]auch ich bin in Vereinen, Vorstand,
0:04:53.530,0:05:00.310
Vereinskonten. Ich glaube sieben oder so.[br]Davon benutze ich auch regelmäßig. Der
0:05:00.310,0:05:04.280
Rest war halt so kostenloses Girokonto. Mal[br]ausprobieren, was die tun. Und dann sind
0:05:04.280,0:05:08.400
da halt 10 Euro drauf und man kann sehen,[br]wie die auf diese Umstellung reagiert
0:05:08.400,0:05:13.270
haben. Das hilft dann auch wieder beim[br]Entwickeln von Open-Source-Software. Wenn
0:05:13.270,0:05:18.360
man Testkonten hat und mal gucken kann,[br]was die Banken so anstellen. Agenda also.
0:05:18.360,0:05:22.910
Wir haben gerade gehört, worum es gehen[br]soll. Ich werde euch gleich den
0:05:22.910,0:05:29.191
wunderschönen vorher Zustand darstellen.[br]Die Begründungen geben, die die
0:05:29.191,0:05:32.880
Europäische Kommission gegeben hat, warum[br]diese Richtlinie veröffentlicht,
0:05:32.880,0:05:38.550
beschlossen werden sollte. Dann auf die[br]Frage antworten, was uns PSD2 wirklich
0:05:38.550,0:05:46.520
gebracht hat. In der Form, die schön ist[br]und dann in der Form. Was ist dann
0:05:46.520,0:05:54.280
tatsächlich herausgekommen? Ist mit einer[br]kurzen, kurzen Eingehen auf die Zeitlinie
0:05:54.280,0:06:02.020
und dann zu den diversen Problemen,[br]Ärgerungen, ja, Blutdruck kommen. Ich fand
0:06:02.020,0:06:06.220
das sehr schön. Als die zwei Minuten bevor[br]der Vortrag losging, war hier im Info
0:06:06.220,0:06:13.370
Beamer, eine Werbefolie für BTX. Irgendwo[br]hier stehen BTX Terminals, die man
0:06:13.370,0:06:18.180
ausprobieren kann. Es war ja nicht alles[br]schlecht in 2018 oder auch in den 80ern.
0:06:18.180,0:06:24.350
Schon seit den 80ern gibt es Online-[br]Banking für Privatkunden. In Deutschland
0:06:24.350,0:06:28.701
fing das halt so, in den frühen 80ern mit[br]BTX. Ich glaube der CCC hat ein bisschen
0:06:28.701,0:06:34.550
Geschichte mit BTX, der Eine oder Andere[br]wird sich erinnern. Es wurde 2007 leider
0:06:34.550,0:06:39.520
abgeschaltet, aber man hat bis dahin ganz[br]gut funktioniert. Daraus entstanden mehr
0:06:39.520,0:06:43.520
oder weniger direkt ist das sogenannte[br]HBCI-Buchstaben. Abkürzungen haben
0:06:43.520,0:06:50.250
vielleicht die meisten schon mal gehört:[br]Homebanking Computer Interface. Das ist
0:06:50.250,0:06:57.180
ein Datenübertragungen,[br]Kommunikationsprotokoll zum Austausch von
0:06:57.180,0:07:06.690
Bankdaten für Endanwender. Naja, komma[br]separierte Werte auf Drogen. Das hat
0:07:06.690,0:07:09.950
Semikolons als Trennzeichen, aber manchmal[br]sind dann auch noch Doppelpunkt
0:07:09.950,0:07:14.590
Trennzeichen und manchmal Pluszeichen[br]Trennzeichen. Was das... Ich habe es
0:07:14.590,0:07:18.450
implementiert. Es ist tatsächlich parsbar,[br]ich hätte es mir nicht gedacht. Es gibt durchaus
0:07:18.450,0:07:21.840
Protokolle, die nicht parsbar sind. Dies[br]gehört nicht dazu. Aber es erscheint mir
0:07:21.840,0:07:27.560
wie ein Zufall. lachen Es ist sehr[br]hierarchisch aufgebaut, die
0:07:27.560,0:07:30.692
Datenstrukturen sind hierarchisch, man[br]kann Dinge in Dinge, in Dinge tun. Aber es
0:07:30.692,0:07:35.523
gibt nur drei Ebenen von Trennzeichen, und[br]irgendwann sind dann die Trennzeichen
0:07:35.523,0:07:41.550
alle. Aber rein zufällig sind dann auch die[br]Ebenen alle. Das ist übergegangen, es
0:07:41.550,0:07:48.350
wurde immer wieder erweitert und[br]verbessert eingeführt 1998. Version 2.1
0:07:48.350,0:07:52.370
war, glaub ich, die erste brauchbare. Das[br]hat sich immer, wurde immer weiter
0:07:52.370,0:07:58.300
verbessert, ist übergegangen. HBCI[br]3.0 kennen die meisten, und dann wurde es
0:07:58.300,0:08:02.220
umbenannt in FinTS --- Financial[br]Transaction Services. Es war ursprünglich
0:08:02.220,0:08:08.320
ein rein deutsches Ding. Es ist ein rein[br]deutsches Ding. Mit FinTS haben Sie dann
0:08:08.320,0:08:12.110
versucht, das international einsetzbar zu[br]machen, unter anderem, in dem Sie es in
0:08:12.110,0:08:20.190
XML gegossen haben. Und ja, das XML ist[br]auch parsbar, aber doch eine der
0:08:20.190,0:08:25.500
unschönsten Implementierungen, wie man[br]sich das vorstellen kann. Es gibt auch
0:08:25.500,0:08:29.890
niemand, der das einsetzt. Ne, ist nicht[br]richtig. Es gibt tatsächlich eine zentrale
0:08:29.890,0:08:34.180
Liste, wo alle Banken drinstehen mit den[br]FinTS bzw. HBCI-Versionen, die sie
0:08:34.180,0:08:39.950
unterstützen. Sind ja. In Deutschland[br]erreicht man damit quasi jede Bank, manche
0:08:39.950,0:08:44.589
noch mit Version 2, ich glaub die Deutsche[br]Bank. Die meisten unterstützen Version 3,
0:08:44.589,0:08:49.760
und ich glaube, es gibt exakt einen Eintrag,[br]der FinTS Version 4 ankündigt. Wie gesagt,
0:08:49.760,0:08:57.750
benutzt niemand, 4. FinTS 3 total überall, weil[br]es damit erst der breiteren Öffentlichkeit
0:08:57.750,0:09:02.180
zugänglich wurde. Früher HBCI war ein[br]typisch deutsches Ding. Sehr schön, sehr
0:09:02.180,0:09:06.390
sicher. So, mit Smartcard in Computer[br]stecken. Dazu muss man erst mal die
0:09:06.390,0:09:13.260
Smartcard besorgen, eine PIN dafür haben,[br]einen separaten Berechtigungsvertrag bzw.
0:09:13.260,0:09:18.560
es gab auch ein Allternativverfahren, wo man[br]Disketten durch die Gegend... Briefe durch die
0:09:18.560,0:09:27.191
Gegend geschickt hat, auf denen RSA-Keys[br]abgedruckt waren. lachen Seit FinTS 3
0:09:27.191,0:09:30.611
gibt es auch als alternatives Verfahren[br]PinTan. Das ist, was die meisten in
0:09:30.611,0:09:34.640
Deutschland als Online-Banking kennen. Man[br]meldet sich mit seiner PIN an, hat dann
0:09:34.640,0:09:38.980
nur Lese Zugriff aufs Konto, und wenn man[br]eine Transaktion durchführen möchte,
0:09:38.980,0:09:42.729
braucht man einen Transactions[br]Autorisierung Nummer, eine TAN. Sehr
0:09:42.729,0:09:49.500
schön, sehr einfach. Leider demnächst tot.[br]Die Franzosen haben so etwas ähnliches wie
0:09:49.500,0:09:52.490
BTX. Sie haben minitel. Das ist aber auch[br]schon vor ein paar Jahren abgeschaltet worden.
0:09:52.490,0:09:57.080
Das ist so der Überblick für die anderen[br]Länder. Ansonsten wars das im Wesentlichen
0:09:57.080,0:10:02.370
an schönen, strukturierten Verfahren. Seit[br]den, seit der Mitte der 90 hier habe ich
0:10:02.370,0:10:06.460
einen Screenshot von Wells Fargo. Die[br]waren eine der ersten, die man hingeguckt
0:10:06.460,0:10:12.570
rechts oben Online-Banking anbieten 1995.[br]Man bemerke auch die Adresse. Das war vor
0:10:12.570,0:10:22.560
https, gab es einen Wildwuchs, das halt[br]viele Banken irgendeine Form von Online-
0:10:22.560,0:10:27.510
Banking angeboten haben, aber halt immer[br]durch das Web-Interface und immer mit
0:10:27.510,0:10:34.060
unterschiedlichen Formen von[br]Berechtigungs-Methoden und -Mechanismen .
0:10:34.060,0:10:38.680
Für Firmenkunden, sieht das Ganze noch[br]verwirrender bzw. besser aus. Das sind
0:10:38.680,0:10:42.140
halt alles nur die Privatkunden.[br]Firmenkunden haben schon schon wesentlich
0:10:42.140,0:10:45.350
früher angefangen, weil ja auch mehr[br]Transaktionen hatten, mit tatsächlich Disketten
0:10:45.350,0:10:50.620
durch die Gegend schicken, das[br]Datenträgeraustauschverfahren. Später gab
0:10:50.620,0:10:56.151
es dann Nachfolger BCS und das aktuelle[br]EBICS. Da werde ich dann gleich noch
0:10:56.151,0:11:01.960
drauf kommen, wenn ich die Situation bei[br]meiner Firma beschreibe, weil das mit dem
0:11:01.960,0:11:06.990
FinTS ist jetzt leider schade war. Es[br]ermöglichte damals interoperables
0:11:06.990,0:11:12.029
Multibanking. In FinTS selber sind[br]sogenannte Geschäftsvorfälle definiert.
0:11:12.029,0:11:15.720
Man kann halt nicht alle Banken[br]unterstützen alles. Aber man kann im
0:11:15.720,0:11:23.020
Wesentlichen abrufen, Kontoauszüge abrufen[br]oder Transaktionsliste. Man kann
0:11:23.020,0:11:26.361
Überweisungen einkippen oder Lastschriften[br]verursachen. Das ist das Wichtigste, was
0:11:26.361,0:11:30.280
man machen kann. Alle Banken haben noch[br]irgendwas anderes. Aber das Schöne ist, das
0:11:30.280,0:11:34.860
funktioniert eigentlich überall. Und dann[br]gibt es einfach auf meinem Handy eine App,
0:11:34.860,0:11:38.510
die das implementiert. Das Schöne daran[br]war, dass das Protokoll einfach frei im
0:11:38.510,0:11:44.570
Internet verfügbar war. Ursprünglich kommt[br]es von der ZKA der Zentrale Kreditausschuss.
0:11:44.570,0:11:47.510
Die haben sich irgendwann umbenannt und[br]haben sich bei der Bahn ein Beispiel
0:11:47.510,0:11:53.870
genommen und heißen jetzt DEKA. Die[br]Kreditwirtschaft einzelne Lachen oder
0:11:53.870,0:11:59.060
die deutsche Kreditwirtschaft je nachdem.[br]Da kann man die Spezifikation runterladen.
0:11:59.060,0:12:02.090
Wie gesagt, das ist prinzipiell parsbar.[br]Man kann es implementieren, ich habs
0:12:02.090,0:12:09.290
gemacht. Und dann braucht man nur noch[br]Benutzername und Pin, wie man sie von der
0:12:09.290,0:12:13.450
Bank erhalten hat und die gleichen[br]Zugangsdaten wie im Onlinebanking gelten.
0:12:13.450,0:12:16.590
Und man muss niemanden fragen, das finde[br]ich das Wichtigste, sondern muss niemand
0:12:16.590,0:12:19.410
fragen, wofür man eine Implementierung[br]schreibt. Man muss niemanden fragen, bevor
0:12:19.410,0:12:23.520
man die Implementierung benutzt. Ich habe[br]das für Vereinsverwaltungsoftware
0:12:23.520,0:12:30.089
geschrieben, das die gesamten Finanzen des[br]Vereins quasi vollautomatisiert
0:12:30.089,0:12:35.070
verarbeitet werden können, ohne dass[br]irgendjemand im Webinterface die Dinge
0:12:35.070,0:12:44.830
herunterlädt und irgendwo eingibt oder gar[br]abtippt. Das Schöne an diesem FinTS ist
0:12:44.830,0:12:50.510
eine der Eigenschaften von diesem FinTS[br]ist, dass es zukunftskompatibel ist. Man
0:12:50.510,0:12:54.351
kann halt, es gibt diese einzelnen[br]Datensätze, haben eine Versionsnummer, und
0:12:54.351,0:12:58.780
man kann dann jedes Mal eine neue Version[br]einführen. Der alte Datensatz funktioniert
0:12:58.780,0:13:02.610
weiterhin für die Banken oder die Software[br]nur das alte unterstützt. Man sieht daran
0:13:02.610,0:13:06.380
aber auch jedes Mal, wenn irgendwas in der[br]Geschichte passiert ist, wenn es neue
0:13:06.380,0:13:10.989
Regulierungen gab, die darauf Auswirkungen[br]hatten, dann kommt gibts halt eine neue
0:13:10.989,0:13:14.660
Version von z.Bsp. dem Datensatz zum[br]Anmelden, das dann plötzlich ein neues
0:13:14.660,0:13:18.630
Feld drin ist für ein SMS Abbuchungskonto.[br]Weil, ich weiß nicht genau wann das war,
0:13:18.630,0:13:24.490
2012 die EU beschlossen hat, dass der[br]Kunde das Konto angeben muss, von dem die
0:13:24.490,0:13:29.580
SMS Gebühren berechnet werden, die für die[br]AnmeldeTan benutzt werden. Später gab es
0:13:29.580,0:13:34.600
neue Veränderung, eine neue Versionen. Es[br]ist an der Stelle schön, dass man so quasi
0:13:34.600,0:13:38.890
in Fossilienmäßig sehen kann, was in der[br]Vergangenheit passiert ist, indem man sich
0:13:38.890,0:13:46.240
das Protokoll anguckt. Wie gesagt,[br]Multibanking war die wichtigste
0:13:46.240,0:13:49.570
Funktionalität um seine Finanzsoftware auf[br]deinem Computer oder deinem Telefon oder
0:13:49.570,0:13:53.720
auf deinem Server oder sonst wo zu haben[br]und sie funktioniert mit allen Banken in
0:13:53.720,0:14:03.110
Deutschland. Was gab es noch für der[br]andere wichtige Punkt für Endverbraucher
0:14:03.110,0:14:07.310
ist Onlineshopping. Ich möchte gerne[br]bezahlen. Ich brauche irgendeine Zahlung.
0:14:07.310,0:14:12.240
Da gab es gibt es immer noch Dienste wie[br]PayPal oder irgendwelche Wallit Dienste,
0:14:12.240,0:14:18.660
wo man auf eine beliebige Art vorher Geld[br]auflädt, das Geld ausgeben kann, was aber
0:14:18.660,0:14:22.980
nichts mit dem eigentlichen Bankkonto zu[br]tun hat. Was für den Verbraucher natürlich
0:14:22.980,0:14:26.740
wesentlich angenehmer ist, Konntobezogene[br]Zahlungsdienste, irgendwas, was direkt mit
0:14:26.740,0:14:30.450
meinem Konto, das ich sowieso habe,[br]verbunden ist. Am einfachsten für alle
0:14:30.450,0:14:35.040
Beteiligten ist die Vorkasse, kann man[br]halt vorher überweisen und kriegt dann
0:14:35.040,0:14:39.589
seinen Gut oder auch nicht. Am einfachsten[br]für den Verbraucher ist die Lastschrift,
0:14:39.589,0:14:46.240
verschickt halt der Versender das Gut und[br]belastet nachher das Konto. Beides nicht
0:14:46.240,0:14:52.340
so ideal. Deswegen gab es immer wieder[br]Versuche, andere Systeme einzuführen. Ich
0:14:52.340,0:14:55.440
glaube, die ersten waren die Niederländer[br]mit einem System, das so einen
0:14:55.440,0:15:01.340
integrierten Prozess anbot. Der Händler[br]kann das System ansprechen. Ihm sagen: Ich
0:15:01.340,0:15:07.019
hätte gerne von einem Benutzer so viel[br]Euro. Oder 2005, ja? Ich hätte gerne so
0:15:07.019,0:15:11.220
und so viel Geld von diesen Benutzer. Der[br]macht das dann auf der Webseite seiner
0:15:11.220,0:15:16.650
Bank mit den Zugangsdaten der Bank, gibt[br]den Betrag frei. Der Händler kriegt sofort
0:15:16.650,0:15:20.100
die Bestätigung, dass der Betrag[br]freigegeben wurde und kann sofort die Ware
0:15:20.100,0:15:24.459
losschicken. In Deutschland haben wir das[br]auch. Das kennt natürlich wieder keiner,
0:15:24.459,0:15:30.640
weil die Sparkassen sitzen es ein. Und[br]dann war's das fast. Das heißt Giropay,
0:15:30.640,0:15:37.910
und das ist, wie man Onlinezahlungen übers[br]Konto eigentlich machen würde. Parallel um
0:15:37.910,0:15:41.850
2006 entstand ein Dienstleister, ich hatte[br]vorhin einen anderen Namen, die
0:15:41.850,0:15:46.150
Sofortüberweisung. Das kennen Leute doch[br]noch, und man wundert sich ein bisschen,
0:15:46.150,0:15:51.990
dass überhaupt entstehen konnte. Also, ich[br]fand das Geschäftsmodell schon immer ein
0:15:51.990,0:16:00.450
bisschen komisch. Sofortüberweisung-in-[br]the-Middle. Der Benutzer gibt seine
0:16:00.450,0:16:03.579
Zugangsdaten, die er von seiner Bank[br]bekommen hat, auf der Webseite von
0:16:03.579,0:16:09.780
Sofortüberweisung ein. Sofortüberweisung[br]loggt sich bei der Bank ein. Macht, was
0:16:09.780,0:16:13.600
auch immer, gibt dem Händler halt[br]Bescheid, dass die Transaktion
0:16:13.600,0:16:19.040
durchgeführt worden ist und führt dem[br]Benutzer dann zum Händler zurück. Sie
0:16:19.040,0:16:23.540
geben ihr Indianerehrenwort, dass sie[br]nichts anderes tun, außer die Transaktion
0:16:23.540,0:16:27.360
freizuschalten und gegebenenfalls ein[br]Konto nachzuschauen, ob du Gebounste,
0:16:27.360,0:16:31.750
Überweisung oder sonst was hast.[br]Irgendeine Risikobewertung. Sie haben auch
0:16:31.750,0:16:35.770
TüV gibt TüV geprüften Datenschutz, der[br]TüV Saarland steht dafür gerade. Und wenn
0:16:35.770,0:16:39.199
ich mich richtig erinnere, haben sie sogar[br]dann doch noch etwas passiert, haben auch
0:16:39.199,0:16:42.959
noch eine Versicherung abgeschlossen.[br]eizelne Gelächter Falls das
0:16:42.959,0:16:53.709
Indianerehrenwort nicht reicht. Damals,[br]2012, verstieß das jetzt mal abgesehen vom
0:16:53.709,0:16:57.580
gesunden Menschenverstand auch gegen die[br]Teilnahmebedingungen für das Pin/Tan-
0:16:57.580,0:17:00.970
Verfahren, die ihr bei eurer Bank[br]unterschrieben habt. Ich habe hier das Mal
0:17:00.970,0:17:04.360
rausgesucht von der DKB. Der Teilnehmer[br]ist verpflichtet, die technische
0:17:04.360,0:17:10.029
Verbindung zum Onlinebanking der Bank nur[br]nur über die Internetseite der Bank oder
0:17:10.029,0:17:16.509
andere mitgeteilte Kommunikationswege[br]herzustellen. Um kurz zu illustrieren,
0:17:16.509,0:17:22.929
habe ich eine Abbildung aus der Wikipedia[br]herausgesucht. Eigentlich verstößt man
0:17:22.929,0:17:26.989
damit gegen die Bedingungen seiner Bank[br]und im schlimmsten Fall die Bank übernimmt
0:17:26.989,0:17:30.580
erst einmal nicht, garantiert nicht, dass[br]es funktioniert, übernimmt die Schäden
0:17:30.580,0:17:35.271
nicht. Es gab da dann so verschiedene[br]Banken, die versucht haben, das auch
0:17:35.271,0:17:39.029
technisch zu unterbieten, zu verbieten.[br]Ich habe da keine Bestätigung, aber ich
0:17:39.029,0:17:43.639
hörte die Geschichte, dass die Sparkasse[br]wohl versucht hätte, die Zufgriffe, die
0:17:43.639,0:17:47.030
Sofortüberweisung auslöst, zu blockieren,[br]indem sie die IP-Adresse sperren,
0:17:47.030,0:17:52.299
woraufhin dann drei Stunden später die[br]Zugrffe von drei anderen IP-Adressen kamen.
0:17:52.299,0:17:55.380
Da gab es auch juristische[br]Auseinandersetzungen, weil die Sparkasse
0:17:55.380,0:17:59.239
vorher, wie ich auf der vorherigen Folie[br]gezeigt habe, ein eigenes System anbot,
0:17:59.239,0:18:01.899
das als Mitbewerber gesehen werden kann.[br]Auch wenn es technisch halt richtig
0:18:01.899,0:18:06.309
rum ist, im Gegensatz zur[br]Sofortüberweisung, die falsch rum ist.
0:18:06.309,0:18:09.349
Deswegen wurde Ihnen dann verboten zu[br]versuchen, die Sofortüberweisung zu
0:18:09.349,0:18:14.359
torpedieren. Das zog auch so langsam ein.[br]Ich habe deswegen die DKB von 2012
0:18:14.359,0:18:18.799
rausgesucht, weil ich mich erinnere. Mein[br]Konto ist schon ein bisschen länger, dass
0:18:18.799,0:18:22.850
ich irgendwann AGB Änderungen mitgeteilt[br]bekommen habe. Da haben Sie halt diesen
0:18:22.850,0:18:26.549
Absatz einfach gestrichen. Und statt[br]dessen stand dort. "Sie dürfen die
0:18:26.549,0:18:32.130
Zugangsdaten nur auf der Webseite der DKB[br]eingeben, oder einem anderen von uns
0:18:32.130,0:18:36.200
autorisierten Zahlungsdienstleister siehe[br]Anhang." Der Anhang enthielt genau eine
0:18:36.200,0:18:45.060
Zeile "Sofortüberweisung.de", so nebenbei.[br]Um herauszufinden, was die Bedingungen von
0:18:45.060,0:18:53.090
2012 waren, musste ich bei mir bei der DKB[br]mal einloggen, um mein Postfach zu gucken,
0:18:53.090,0:18:57.050
wie wir gleich sehen werden, braucht man[br]zum Einloggen neuerdings manchmal eine TAN.
0:18:57.050,0:19:02.139
Dazu gibts den TAN Generator, der ein[br]Passwort will, das ich natürlich nicht
0:19:02.139,0:19:06.919
mehr wusste, aber gar kein Problem, es hat[br]einen Rücksetzfluß. Man kann sich einfach
0:19:06.919,0:19:09.480
eine SMS schicken lassen und den TAN[br]Generator zurücksetzen und dann
0:19:09.480,0:19:20.460
funktioniert es wieder. OK, glaube, das[br]Passwort brauche ich mir nicht merken. So das
0:19:20.460,0:19:33.800
war der Zustand bis Anfang diesen Jahres,[br]bis Mitte dieses Jahres. 2015 kam diese
0:19:33.800,0:19:37.169
Zahlungsrichtlinie heraus, und das ist die[br]Begründung, warum die herausgebracht wird,
0:19:37.169,0:19:44.089
die dort stehen. Unter anderem seit der[br]vorherigen Richtlinie 2007, die PSD, die
0:19:44.089,0:19:49.100
Zahlungsrichtlinie, nicht die[br]Zahlungsrichtlinie 2, sind neue Arten von
0:19:49.100,0:19:54.460
Zahlungsdiensten entstanden. Vor allen[br]Dingen Zahlungsauslösedienste. Ein anderes
0:19:54.460,0:20:02.779
Wort für Sofortüberweisung. Oder[br]Kontoinformationsdienste. Diese Richtlinie
0:20:02.779,0:20:07.020
soll darauf abzielen, die Kontinuität im[br]Markt sicherzustellen. Mit anderen Worten
0:20:07.020,0:20:10.619
Diese Richtlinie ist in keiner Form[br]gedacht oder geeignet, irgendeinen der
0:20:10.619,0:20:16.020
bisherigen Player am Markt zu[br]benachteiligen oder zu disruptieren.
0:20:16.020,0:20:21.270
Ich las irgendwann mal den schönen Satz[br]Lex-Sofortüberweisung. Hier ist die
0:20:21.270,0:20:25.509
Gegenüberstellung von der[br]Zahlungsdiensterichtlinie 2007 und
0:20:25.509,0:20:31.619
Zahlungsdiensterichtlinie 2 2015. Die[br]haben relativ langes Zeugs und unglaublich
0:20:31.619,0:20:34.569
komplizierte Sätze an einigen Stellen. Man[br]muss so 2 Minuten lang lesen, um
0:20:34.569,0:20:39.450
herauszufinden, dass das... A. Diese[br]Richtlinie gilt nicht für Geldabheben im
0:20:39.450,0:20:46.250
Supermarkt. Der Satz, der das beschreibt[br]ist vier Zeilen lang. Es gibt einen
0:20:46.250,0:20:51.159
Anhang, der steht, worauf sie sich[br]bezieht. Die ersten Paar sind gleich
0:20:51.159,0:20:54.240
geblieben, und in[br]Zahlungsdiensterichtlinie 2 sind
0:20:54.240,0:21:00.260
neuerdings Zahlungsauslösedienste und[br]Kontoinformationsdienste hinzugekommen. Und
0:21:00.260,0:21:09.169
dann noch ein paar Regeln dazu. Was hat also[br]diese PSD2 gebracht? Die neuen Kategorien des
0:21:09.169,0:21:15.049
Zahlungsauslösedienstleisters und des[br]Konto-Informationsdienstleisters, neue
0:21:15.049,0:21:20.179
Sicherheitsmaßnahmen. Das ist der Teil,[br]den die meisten mitgekriegt haben. Die
0:21:20.179,0:21:25.860
sogenannte starke Kundenauthentifizierung[br]SCA, Strong Customer Authentification.
0:21:25.860,0:21:29.820
Damit zusammenhängend eine ganz[br]merkwürdige 90-Tage-Regelung, die keiner
0:21:29.820,0:21:35.279
so richtig versteht und nur manchmal[br]angewendet wird. Ich weiß nicht, ob das
0:21:35.279,0:21:38.850
haben die wenigsten mitgekriegt, ausser[br]wenn Sie sich geärgert haben, dass Timeout
0:21:38.850,0:21:42.959
im Onlinebanking ist heruntergesetzt worden[br]auf fünf Minuten. Wenn man nicht alle fünf
0:21:42.959,0:21:45.709
Minuten etwas anklickt, zum Beispiel, weil[br]man gerade versucht TAN Generator heraus-
0:21:45.709,0:21:53.099
zusuchen, wird man ausgeloggt, und muss sich[br]wieder einloggen und eine TAN eingeben. Es
0:21:53.099,0:21:57.090
gibt, das ist tatsächlich ganz positiv, neue[br]Transparenzpflichten. Das ist so der Teil,
0:21:57.090,0:22:01.940
den die wenigsten mitkriegen, weil man das[br]mal so abnickt. Da steht dann drin, dass
0:22:01.940,0:22:05.809
alle Dienstleister jetzt auch dieses Mal[br]ordentlich und transparent darüber
0:22:05.809,0:22:10.200
Auskunft geben müssen, welche Kosten[br]entstehen, welche Gebühren entstehen, die
0:22:10.200,0:22:14.639
Gebührenstruktur nachvollziehbar sein[br]soll, dass man sie auf einem dauerhaften
0:22:14.639,0:22:25.600
Datenträger ausgehändigt bekommen muss. Es[br]gibt in der PSD2 neue Meldepflichten, zum einen
0:22:25.600,0:22:32.090
an die Bundesbank bzw. die Bankenaufsicht.[br]Zum anderen vor der Aufnahme des Betriebs
0:22:32.090,0:22:37.499
muss man sich registrieren lassen. Das[br]finden glaube ich alle ganz gut. Wir hatten mal
0:22:37.499,0:22:41.029
ein Meeting bei der Bundesbank, die meinten,[br]das fanden sie ganz toll, dass sie jetzt
0:22:41.029,0:22:44.580
diese Daten über den Finanzmarkt kriegen und[br]die Finanzmarktstabilität besser
0:22:44.580,0:22:50.289
einschätzen können. Besser bewerten[br]können, weil für einen Dienstleister nach
0:22:50.289,0:22:54.290
dieser Richtlinie jetzt sehr ausführlich[br]vorgeschrieben ist, welche
0:22:54.290,0:22:59.019
Risikokategorien, welche Risikobewertung[br]er machen muss und in welcher Form er
0:22:59.019,0:23:02.239
diese Daten dann nach oben melden muss[br]auch was Betrugsversuche und erfolgreichen
0:23:02.239,0:23:08.970
Betrug angeht. Und es gibt neue[br]Schnittstellen. Naja, mehr oder weniger.
0:23:08.970,0:23:14.289
In der Zahlungsdiensterichtlinie bzw. tech-[br]nischen Durchführung ist von dedizierten
0:23:14.289,0:23:19.509
Schnittstellen für Zahlungsauslösedienste[br]bzw. Kontoinformationsdienste die Rede, die
0:23:19.509,0:23:25.410
angeboten werden müssen. Neudeutsch sagt[br]man dazu API. Das ist dann das, was unter
0:23:25.410,0:23:32.270
PSD2 API überall läuft. Es steht[br]allerdings nicht drin, wie der aussehen
0:23:32.270,0:23:40.579
soll, nur was sie leisten können. Die[br]neuen Kategorien. Wie gesagt,
0:23:40.579,0:23:48.279
Zahlungsauslösedienst ist jemand, der im[br]Auftrag von jemandem eine Zahlung auslöst.
0:23:48.279,0:23:53.090
Also Sofortüberweisung.de oder theoretisch[br]auch andere. Aber man muss bestimmte
0:23:53.090,0:23:57.879
Voraussetzungen erfüllen, um überhaupt in[br]diese Kategorie fallen zu können. Das hält
0:23:57.879,0:24:02.129
unter anderem eine ganze Menge[br]Eigenkapital und Zertifizierungen und so
0:24:02.129,0:24:06.509
weiter. Und Kontoinformationsdienste.[br]Damit ist das, was wir früher unter
0:24:06.509,0:24:12.749
Multibanking gekannt haben. Ich bin mir[br]nicht ganz sicher, welche wie die Leute
0:24:12.749,0:24:15.960
drauf waren, die das formuliert haben oder[br]geschrieben haben. Aber sie hatten
0:24:15.960,0:24:18.750
offensichtlich kein Handy, auf dem sie[br]eine App installiert haben, wo man alle
0:24:18.750,0:24:22.339
seine Konten hat, sondern sie haben es[br]auf einer Webseite gemacht. Es ist also
0:24:22.339,0:24:28.619
neuerdings vorgesehen, dass ein online[br]Anbieter, eine Webseite, ein Portal halt sich
0:24:28.619,0:24:32.870
auf alle meine Konten einloggt und mir[br]dann auf der Webseite anzeigt, wie mein
0:24:32.870,0:24:37.950
Finanzstatus ist. Dazu muss sie natürlich[br]sich überall einloggen können. Und dann
0:24:37.950,0:24:42.749
braucht man neue Richtlinien, Regulierung[br]und den ganzen Kram. Ein kurzer Blick
0:24:42.749,0:24:47.239
zurück, wie man sich das dachte. Ich habe[br]beim Recherchieren, ich fand es total
0:24:47.239,0:24:53.280
toll, ein Screenshot von Heise aus dem[br]Newsticker vom Jahr 2000. Das stimmt
0:24:53.280,0:24:58.890
nicht. Das Datum ist falsch. Ich glaube,[br]es war 2016. Ein Screenshot von 2016, wie
0:24:58.890,0:25:04.729
wir uns die schöne neue Zukunft mit PSD2[br]vorstellen. Aktuell muss man durch ein
0:25:04.729,0:25:11.519
Bezahldienstleister gehen, der mit meiner[br]Kreditkarte zur Bank geht. Neuerdings kann
0:25:11.519,0:25:20.669
der Online-Shop via PSD2-API direkt auf[br]das Bankkonto zugreifen. Ja, ne. *einzelne
0:25:20.669,0:25:27.680
Kommentare* Ich nenne das die Lüge von der[br]dritten Partei. Ein kurzer Blick, wie wir
0:25:27.680,0:25:34.729
das bei uns einer Firma hatten. Wir haben[br]Abrechnungssoftware, Personalverwaltung,
0:25:34.729,0:25:39.570
Lohnbuchung, den ganzen Kram. Die hat dann[br]einfach über FinTS mit meiner Bank
0:25:39.570,0:25:42.120
geredet. Ein Rechner, der bei mir in[br]meiner Firma steht, der gehört mir, da ist
0:25:42.120,0:25:45.730
Software drauf installiert, die ich[br]gekauft habe. Und da ist mal meine Bank,
0:25:45.730,0:25:48.380
und dazwischen ist halt ein[br]Vertrauensverhältnis, weil das meine Bank
0:25:48.380,0:25:51.950
ist und ich gebe irgendwie meine[br]Zugangsdaten meiner Bank. Und dann
0:25:51.950,0:25:58.809
funktioniert das hervorragend. Das ist zum[br]14. September 2019 abgeschaltet worden.
0:25:58.809,0:26:02.809
Datev hat uns gesagt, Sie haben einen[br]neuen Kooperationspartner, die FinApi
0:26:02.809,0:26:07.629
GmbH. Das heißt, neuerdings läuft das so,[br]dass die Daten meiner Firma erstmal an das
0:26:07.629,0:26:14.509
Datav Rechenzentrum gehen, von dort an die[br]FinAPI GmbH, die dann die API
0:26:14.509,0:26:21.070
implementiert, die meine Bank implementiert.[br]Ich weiß nicht, ich kann es hier vorne ganz
0:26:21.070,0:26:25.270
gut sehen, aber das Logo der FinAPI GmbH, ist[br]deswegen sehr schön weil da steht Schufa
0:26:25.270,0:26:31.940
Comany. FinApi hat sich aufkaufen lassen[br]bzw. Mehrheitsbeteiligung der Schufa Holding
0:26:31.940,0:26:38.000
GmbH. einzelne Gelächter In der schönen[br]neuen Welt gehen alle meine Daten jetzt
0:26:38.000,0:26:43.099
mal nicht abgesehen davon, dass sie durch[br]Datev gehen, auch noch durch die Schufa,
0:26:43.099,0:26:48.099
die natürlich verpflichtet sind, damit[br]nichts Böses zu tun. Allerdings habe ich
0:26:48.099,0:26:51.019
mit der Schufa irgendwie auch keinen[br]Vertrag dazu abgeschlossen, sondern ich habe
0:26:51.019,0:26:55.550
meinen Vertrag mit jemandem anderen,[br]deswegen nicht so schön. Überall wird
0:26:55.550,0:27:00.399
immer von Drittdienstleistern gesprochen,[br]das heißt immer die dritte Partei
0:27:00.399,0:27:04.545
implementiert halt PSD2 API. Das ist ja[br]falsch! Sind ja immer vier Parteien
0:27:04.545,0:27:13.269
beteiligt. Es ist ja immer ich, ich kann[br]mal, ich darf nicht mich vorbeugen ich
0:27:13.269,0:27:17.689
nehme mal diesen Laserpointer hier, es ist[br]ja immer ich daran beteiligt es ist ja
0:27:17.689,0:27:21.479
immer meine Bank daran beteiligt sind wir[br]schon bei zweien. Dann gibt es irgendwas
0:27:21.479,0:27:25.460
was ich in Wirklichkeit machen möchte.[br]Also meinetwegen Zahlungen, das wäre dann
0:27:25.460,0:27:29.350
meinetwegen Zahlungen. Das wäre hier so[br]irgend eine Partei. Aber de facto muss es immer
0:27:29.350,0:27:32.239
immer eine vierte Partei geben, einen[br]neuen Gatekeeper, der dann die API
0:27:32.239,0:27:36.249
tatsächlich implementiert. Ich sag gleich[br]warum. Aber im Wesentlichen läuft es
0:27:36.249,0:27:41.049
darauf hinaus, dass die hier einen[br]bevorzugten Zugang zu allen Banken
0:27:41.049,0:27:45.390
erhalten, der nicht so einfach auf einer[br]der anderen drei Ebenen, zum anderen
0:27:45.390,0:27:48.580
beiden Ebenen zu implementieren ist. Es[br]gibt aber eigentlich immer eine vierte
0:27:48.580,0:27:53.029
Partei. Es gibt quasi keinen Anwendungs-[br]fall, der mir einfällt, wo es nur drei
0:27:53.029,0:27:56.429
Parteien sind, außer vielleicht[br]der Kontoinformationendienstleister, der
0:27:56.429,0:28:01.969
selber ein Webportal betreibt, auf dem ich[br]meinen Kontostand einsehen kann. Der
0:28:01.969,0:28:08.320
einzige Fall, der einem einfällt, wo es[br]nur drei sind. Die PSD2 API schreibt, wie
0:28:08.320,0:28:15.279
gesagt, einen offenen Zugriff vor. Naja, offen[br]ist halt so gemeint wie ein Bürokrat das
0:28:15.279,0:28:20.779
als offen versteht. Es ist kein[br]Vertragsverhältnis erforderlich zwischen
0:28:20.779,0:28:25.179
den Banken und den Leuten, die darauf[br]zugreifen, das ist schon mal ganz gut. Die
0:28:25.179,0:28:29.070
Banken sind verpflichtet, ein API[br]anzubieten, aber es steht halt nur, dass
0:28:29.070,0:28:32.200
es verfügbar sein muss und was es leisten[br]können muss und dass es genauso gut sein
0:28:32.200,0:28:38.019
muss wie der Zugriff, den die Bank dem[br]Kunden direkt anbietet. Und die gleichen
0:28:38.019,0:28:41.200
Servicelevel Agreements erfüllen muss, die[br]gleiche Verfügbarkeit haben muss. Es steht
0:28:41.200,0:28:44.869
nicht drin, wie es tatsächlich[br]ausgestaltet ist. Es steht nicht drin,
0:28:44.869,0:28:50.190
welche Spezifikation dies erfüllen soll.[br]Das führt dazu, dass nicht jede Bank
0:28:50.190,0:28:54.789
entwickelt ihr eigenes API. Die haben gar[br]keine Lust darauf. Die kaufen schon noch
0:28:54.789,0:29:02.129
APIs von externen Dienstleistern diese[br]Funktionalität ein. Aber dennoch gibt es
0:29:02.129,0:29:05.881
eine größere Handvoll an verschiedenen[br]APIs, die von verschiedenen Banken
0:29:05.881,0:29:12.269
eingesetzt werden. Die, wenn ich also,[br]wenn ich eine Funktionalität
0:29:12.269,0:29:15.179
implementieren möchte, die auf[br]Zahlungskonten zugreift, muss ich sie
0:29:15.179,0:29:19.249
eigentlich alle implementieren. Oder ich[br]nehme mir einen zusätzlichen Dienstleister
0:29:19.249,0:29:24.820
wie die FinApi dazu, der dann für mich[br]alle implementiert. Es gibt ein quasi-
0:29:24.820,0:29:30.459
Standard. Die Berlin Group hat sich[br]zusammengesetzt, um eine PSD2 API zu
0:29:30.459,0:29:34.090
spezifizieren, die jeder implementieren[br]kann, wo dann alle Seiten nur einmal das
0:29:34.090,0:29:37.000
machen müssen. Die Webseite ist ein[br]bisschen schlimm, ist relativ schwierig,
0:29:37.000,0:29:42.871
den Standard herunterzuladen. Aber das ist[br]mittlerweile der quasi-Standard. Es gibt
0:29:42.871,0:29:49.289
noch keinen echten Standard. Voraussetzung[br]dafür ist, um die PSD2 API nutzen zu
0:29:49.289,0:29:55.650
können, dass ich ein lizensierte bzw.[br]registrierter Dienstleister bin. Gute
0:29:55.650,0:30:00.070
Nachricht, ich hab nicht notwendigerweise[br]Eigenkapitalanforderungen. Also, ich als
0:30:00.070,0:30:02.789
Privatperson kann es leider nicht machen,[br]aber zumindest meine juristische Person
0:30:02.789,0:30:05.480
kann ich schnell gründen ohne[br]Eigenkapital. Wenn ich eine
0:30:05.480,0:30:08.309
Berufshaftpflichtversicherung abschließen.[br]Das gilt auch nur für
0:30:08.309,0:30:14.879
Kontoinformationsdienstleister. Sobald ich[br]Zahlungsauslösedienst sein möchte, muss
0:30:14.879,0:30:25.880
ich 50.000 Euro Eigenkapital Anfangskapital[br]hinlegen. Die meisten Dienstleistungen
0:30:25.880,0:30:28.489
oder die meisten Funktionen, die ich mir[br]vorstellen könnte, machen mit nur
0:30:28.489,0:30:32.779
Kontoinformation nicht so viel Sinn. Wenn[br]ich an meinem Beispiel des Vereins denke,
0:30:32.779,0:30:36.130
wenn ich die Vereinsverwaltung mache,[br]möchte ich halt sowohl Zahlungseingänge
0:30:36.130,0:30:40.870
verbuchen können als auch mindestens[br]Lastschriften auslösen können. Und da bin
0:30:40.870,0:30:45.629
ich schon Zahlungsauslösedienst, und der[br]Zug ist abgefahren in meinem Verein hat
0:30:45.629,0:30:52.409
keine 50.000 Euro. Plus Zugang ist offen.[br]Solange ich ein qualifiziertes
0:30:52.409,0:30:57.150
elektronisches Zertifikat habe, das mich[br]als registrierter Zahlungsauslösedienst
0:30:57.150,0:31:03.900
ausweist. In der gesamten Spec kommt das[br]Konzept. Dies ist kein Cloud-Dienst. Dies
0:31:03.900,0:31:07.800
ist eine Software, die ich herunterladen[br]und ausführen kann, einfach nicht vor.
0:31:07.800,0:31:11.989
PSD2 API ist komplett nutzlos für Leute,[br]die Software auf ihrem eigenen Rechner
0:31:11.989,0:31:18.569
ausführen wollen. Was kann sie denn noch?[br]Neu dazugekommen ist schon Customer
0:31:18.569,0:31:26.090
Authentification, das ist das mit dem[br]Blutdruck. Neuerdings kann manchmal Ich
0:31:26.090,0:31:30.570
komme gleich drauf, Strong Customer[br]Authentication gefordert werden, und
0:31:30.570,0:31:36.890
das bedeutet, dass mindestens zwei der[br]Elemente Wissen, Besitz und Inhärenz
0:31:36.890,0:31:44.559
benutzt werden müssen. Inhärenz ist das[br]fancy Wort für Biometrie. Müssen benutzt
0:31:44.559,0:31:48.089
werden und müssen voneinander unabhängig[br]sein. Dann steht da also Kram drin. Unter
0:31:48.089,0:31:51.269
anderem steht da auch drin, dass nach fünf[br]Fehlversuchen der Zugang gesperrt werden
0:31:51.269,0:31:57.990
muss. Die Abmeldungen nach fünf Minuten[br]Inaktivität kommt auch darin vor.
0:31:57.990,0:32:01.789
Verpflichtend ist eine dynamische[br]Verknüpfung der Customer Authentication
0:32:01.789,0:32:07.129
mit dem jeweiligen Vorgang. Das heißt,[br]iTAN Listen sind halt absolut verboten. Es
0:32:07.129,0:32:12.460
muss in jedem Fall der Code auf irgend[br]eine Art mit dem Betrag den ich überweisen
0:32:12.460,0:32:17.879
möchte verbunden sein. Hier steht auch die[br]Formulierung, dass dafür gesorgt werden
0:32:17.879,0:32:23.299
muss, dass Mechanismen vorhanden sind, die[br]sicherstellen, dass die Software oder das
0:32:23.299,0:32:29.819
Gerät nicht vom Zahler oder einem Dritten[br]verändert wurden. Es war dann das wo ich
0:32:29.819,0:32:32.860
meinen Blutdruck gekriegt habe, weil ich[br]mein Android-Telefon natürlich gerootet
0:32:32.860,0:32:36.130
habe, unter anderem um Backups machen zu[br]können und mir die App dann
0:32:36.130,0:32:41.359
freundlicherweise sagt "Ja ne, ist nicht,[br]ist ja gerootet". Und dann überlegt man
0:32:41.359,0:32:45.119
sich nochmal, was gerootet bedeutet, na ja[br]bedeutet, dass das Telefon unter anderem
0:32:45.119,0:32:48.289
in der Lage wäre, über seinen Zustand zu[br]lügen. Die App möchte nicht funktionieren
0:32:48.289,0:32:51.150
auf einem Telefon, das in der Lage wäre,[br]über seinen Zustand zu lügen, es sei denn
0:32:51.150,0:32:54.710
natürlich, das Telefon lügt über seinen[br]Zustand so gut, dass die App dann doch
0:32:54.710,0:32:58.709
wieder funktioniert. Das war dann für mich[br]die Motivation doch mal magisk
0:32:58.709,0:33:04.880
auszuprobieren, dass ein hinreichend[br]erfolgreiche Rootdetectionsverhinderung
0:33:04.880,0:33:11.400
hat, wobei es dann wieder zu so einer[br]Waffen Spirale kommt, das mit zunehmenden
0:33:11.400,0:33:15.019
App Updates die Detection besser wird was[br]dazu führt, dass die Leute die die
0:33:15.019,0:33:20.940
Detection verhindern, wieder besser werden[br]und ich dann am Ende doch ein zweites
0:33:20.940,0:33:25.809
Gerät habe lächelt, auf dem ich die Tan[br]Apps ausführe, die sich zurzeit nicht
0:33:25.809,0:33:32.579
austricksen lassen und am Ende halt für[br]vollkommenen Unfug. Wird noch besser. Das
0:33:32.579,0:33:37.679
Feature nennt sich "Surprise SCA". Bisher[br]war die Sache einfach. Ich habe mich mit
0:33:37.679,0:33:40.829
der PIN angemeldet, dann hab ich einen[br]read-only Zugang gekriegt. Wenn ich
0:33:40.829,0:33:44.849
irgendwas read-write-mäßiges machen[br]wollte, musste ich eine TAN eingeben, die
0:33:44.849,0:33:50.419
auf diesen Vorgang bezogen war. Jetzt[br]brauche ich die TAN für wesentlich mehr.
0:33:50.419,0:33:53.519
Und zwar brauche ich die TAN teilweise zum[br]Anmelden, also die genaue Formulierung
0:33:53.519,0:33:57.639
die genaue Formulierung ist zum Zugriff[br]auf Kontodaten oder sensible Kontodaten,
0:33:57.639,0:34:00.739
damit ist halt in der Regel Anmelden in[br]der App beziehungsweise im Web-Interface
0:34:00.739,0:34:07.239
gemeint, ausser manchmal. Es gibt vier[br]oder fünf Seiten in der technischen
0:34:07.239,0:34:13.160
Richtlinie, die Ausnahmen beschreiben.[br]Also zum einen darf ich die SCA weg lassen
0:34:13.160,0:34:18.630
wenn ich nur Zahlungskontoinformationen[br]bis 90 Tage alt abrufe, außer beim ersten
0:34:18.630,0:34:23.650
Mal oder wenn das letzte Mal mehr als 90[br]Tage her ist. Da kommen die 90 Tage her,
0:34:23.650,0:34:26.700
du musst die TAN alle 90 Tage eingeben,[br]weil dann die Ausnahme garantiert nicht
0:34:26.700,0:34:34.260
mehr gilt. Bei kontaktlos Zahlungen sind[br]es 50 Euro. Die ohne PIN bzw. Strong
0:34:34.260,0:34:38.670
Customer Authentification, weil den Besitz[br]habe ich ja durch die Karte immer
0:34:38.670,0:34:44.230
gewährleistet, die ohne zusätzliche PIN[br]möglich sind. Ausser es sind schon 150€
0:34:44.230,0:34:48.370
vergangen seit dem letzten Mal.[br]Parkgebühren sind grundsätzlich ohne SCA,
0:34:48.370,0:34:54.260
das ist sehr angenehm. Vertrauenswürdige[br]Empfänger sind ohne SCA, ausser natürlich
0:34:54.260,0:34:58.980
der Vorgang, vertrauenswürdige Empfänger[br]zu definieren. Wiederkehrende
0:34:58.980,0:35:03.600
Zahlungsvorgänge ab dem zweiten Mal kann[br]ich auch ohne machen. Überweisungen auf
0:35:03.600,0:35:09.620
ein anderes Konto derselben Person können,[br]ohne sein. Kleinstbetragszahlung bis 30€
0:35:09.620,0:35:15.460
können ohne sein, außer manchmal.[br]Unternehmen fallen eher ganz raus das war
0:35:15.460,0:35:20.820
dann unsere Lösung gegen das FinTS FinAPI[br]Fiasko. Es gibt einfach EBICS, da ist dann
0:35:20.820,0:35:24.300
quasi nichts drin. Es ist dann so, man[br]wirft die Zahlung dahin und wenn die halt
0:35:24.300,0:35:28.000
von der Firma kommen, dann werden die halt[br]so stimmen. Da braucht niemand mehr
0:35:28.000,0:35:33.470
irgendwo eine TAN eingeben und[br]Transaktions Risikoanalysen, die
0:35:33.470,0:35:37.410
modifizieren den ganzen Kram wieder. Also[br]die können dann sowohl bei bisherigen
0:35:37.410,0:35:41.560
Ausnahmen die SCA wieder erfordern als[br]auch, man kann halt sagen, na gut, die
0:35:41.560,0:35:46.411
Zahlung hat ein so geringes Risiko, dass[br]ich dann doch wieder keiner SCA brauche.
0:35:46.411,0:35:51.050
Außer natürlich die laufende Berechnung[br]der Betrugsraten, die ich verpflichtet bin
0:35:51.050,0:35:53.660
durchzuführen. Ergibt, das eine höhere[br]Betrugsrate eingesetzt hat, da muss ich
0:35:53.660,0:36:00.560
wieder dauernd SCA machen.[br]Schlussfolgerung: In Summe ist es von
0:36:00.560,0:36:05.870
außen nicht vorhersehbar, wann eine TAN[br]verwendet werden muss. Das macht beim User
0:36:05.870,0:36:09.820
Interface Design. Ich weiß nicht, wie viele sich[br]mal damit beschäftigt haben. Natürlich
0:36:09.820,0:36:14.250
besonders viel Spaß. Also, ich hab das in[br]Byro, das ist eine Web-App. Ein bisschen
0:36:14.250,0:36:17.220
schwierig, wenn man irgendwie auf SUBMIT[br]drückt und dann passiert halt nicht das,
0:36:17.220,0:36:22.389
sondern da kommt erst mal: Übrigens musst[br]noch eine TAN eingeben. Das ist für den
0:36:22.389,0:36:27.000
User natürlich total verwirrend, weil der[br]sich auf nichts mehr verlassen kann. Er
0:36:27.000,0:36:31.340
kann halt nicht mehr vorhersehen, was[br]passiert, wenn er ein Knopf drückt. Das
0:36:31.340,0:36:39.310
ist für automatisierte Dienste, die FinTS[br]benutzen wollen, total unmöglich, weil ich
0:36:39.310,0:36:42.200
selbst von den Vorgängen, von denen ich[br]bisher ausgegangen bin, dass sie zum
0:36:42.200,0:36:45.860
Beispiel read-only sind und keine TAN[br]brauchen. Wenn ich also zum Beispiel die
0:36:45.860,0:36:50.410
Kontoeingänge bei meinem Verein laufend[br]verbuchen möchte und einen Cronjob starte,
0:36:50.410,0:36:55.360
der alle x-Tage mal abruft, kann es[br]passieren, dass dann trotzdem wieder Mal
0:36:55.360,0:36:59.300
eine TAN nötig ist. Ich kann halt auch[br]nicht den Zugriff unterdrücken. Ich weiß
0:36:59.300,0:37:02.320
es halt nicht vorher. Es kann halt[br]irgendeinen ein Sonderfall eingetreten
0:37:02.320,0:37:05.212
sein. Und wenn man dann so einen[br]Pushdienst verwendet, ist es
0:37:05.212,0:37:08.010
halt toll, weil derjenige, dem der Zugang[br]gehört, dann plötzlich eine Push-
0:37:08.010,0:37:10.600
Nachrichten kriegt. Und es ist nicht ganz[br]zu unterscheiden, ob das jetzt derselbe
0:37:10.600,0:37:18.080
aufgesetzte, automatisierte Vorgang war[br]oder ob es irgendein anderer Bösewicht.
0:37:18.080,0:37:21.930
Die verschiedenen Banken handhaben das[br]auch sehr unterschiedlich. Bei der DKB zum
0:37:21.930,0:37:26.050
Beispiel muss man jedes Mal eine TAN[br]eingeben, wenn man sich irgendwo einloggt.
0:37:26.050,0:37:30.760
Bei der Sparkasse nicht. Die Sparkasse[br]macht Gebrauch von den 90 Tagen Ausnahmen.
0:37:30.760,0:37:33.640
Dafür muss man bei der Sparkasse die TAN[br]eingeben, wenn man einen Suchvorgang
0:37:33.640,0:37:38.580
startet, der mehr als 90 Tage[br]beinhaltet. Die DKB hat gesagt, dass es
0:37:38.580,0:37:43.330
Ihnen zu umständlich. Deswegen fragen Sie[br]immer nach der TAN. Außer man hat halt,
0:37:43.330,0:37:47.060
dann sind danach alle Transaktionen ohne[br]TAN. Ausser natürlich es sind wieder fünf
0:37:47.060,0:37:56.380
Minuten vergangen. *Stimmen im Publikum"[br]Euch fällt auf, das passiert eigentlich
0:37:56.380,0:37:59.950
nur bei solchen EU-Richtlinien oder[br]solchen EU-Regulierung. Ich weiß nicht,
0:37:59.950,0:38:04.481
wer ein PayPal-Konto hat, PayPal hat seit[br]immer kein 2-Faktor-System. Die machen
0:38:04.481,0:38:08.730
einfach irgendwas: Keine Ahnung die machen[br]auch Transaktionsrisiko und Zeugs. Die
0:38:08.730,0:38:12.090
wissen halt, dass so eine TAN eigentlich[br]nur dazu führt, dass der Nutzer den
0:38:12.090,0:38:16.310
Prozess im Zweifelsfall einfach abbricht,[br]was halt bei Zahlungen doof ist, weil dann
0:38:16.310,0:38:22.000
die Einnahmen entgehen. Das ist einer der[br]Gründe, warum PayPal das nicht hat und
0:38:22.000,0:38:24.660
Leute immer wieder sagen "Ihr seid doch so[br]unsicher" und am Ende naja eigentlich
0:38:24.660,0:38:31.050
nicht offensichtlich, weil sie sind ja[br]noch am Markt. Der Effekt Multi-Banking
0:38:31.050,0:38:33.850
haben wir gehört. Ich habe eine App, wo[br]ich alle meine Dinge drin hat. Führte
0:38:33.850,0:38:41.860
dazu, dass ich Multifaktor habe. Hier den[br]Dilo Delwitz Witz einfügen. Das sind die
0:38:41.860,0:38:46.020
TAN-Generierungsapps im Wesentlichen, die[br]ich auf meinem Telefon habe. Ich habe
0:38:46.020,0:38:50.840
neulich mal in meiner, ich glaube kurz[br]nach dem 14. September in meiner
0:38:50.840,0:38:54.680
Online-Banking-App versehentlich auf alle[br]Konten aktualisieren gedrückt, was dazu
0:38:54.680,0:39:02.090
führte, dass ich acht, neun verschiedene[br]TANs eingeben musste, eine davon zweimal
0:39:02.090,0:39:07.410
auf vier verschiedenen Modalitäten. Also[br]ich habe ja auch noch TAN-Generatoren mit
0:39:07.410,0:39:11.050
ChipTAN, was ja eigentlich das bessere[br]Verfahren ist. Da muss man halt
0:39:11.050,0:39:13.560
raussuchen. Aber ist ja nicht so schlimm,[br]weil macht man ja nur, wenn man eine
0:39:13.560,0:39:22.440
Überweisung durchführt. Und die DKB hat[br]Ihr Kreditkartenkonto von FInTS jetzt abgehängt,
0:39:22.440,0:39:26.000
das heißt, die Software, die ich verwende,[br]macht dann Webcalling, was die alte
0:39:26.000,0:39:31.250
Methode war, um Finanzdaten abzurufen.[br]Wozu dann nochmal ein separater TAN-
0:39:31.250,0:39:35.550
Eingabe nötig ist, um sich im Webinterface[br]anzumelden. Ich habe seitdem nicht nochmal
0:39:35.550,0:39:40.300
auf alles Abrufen gedrückt. Ich sollte das[br]mal irgendwann wieder tun. Ich muss mich
0:39:40.300,0:39:46.370
bloß vorbereiten. Stimmen im Publikum[br]Genau. Zeitlinie, also die Richtlinie vom
0:39:46.370,0:39:50.320
25. November. Sie ist technisch gesehen im[br]Januar 2016 in Kraft getreten. Das
0:39:50.320,0:39:54.230
bedeutet, da gibt es eine 2-Jahresfrist,[br]die ist 2018 in nationales Recht umgesetzt
0:39:54.230,0:40:00.480
worden. Das Zahlungsdiensteumsetzungs -[br]gesetz in Deutschland. Da steht bloß Copy
0:40:00.480,0:40:05.440
und Paste von der Richtlinie drin. In der[br]Richtlinie ist eine Verordnung delegiert
0:40:05.440,0:40:09.230
worden, was die technische Umsetzung[br]angeht von 2017. Und jetzt kommen wir
0:40:09.230,0:40:13.760
Warum ist es eigentlich alles am 14.[br]November? 14. September explodiert? Weil
0:40:13.760,0:40:26.770
die Frist am 14. September wird diese[br]delegierte Verordnung gültig. Sechs Monate
0:40:26.770,0:40:31.490
vorher hätten die Banken eine Testumgebung[br]zur Verfügung stellen müssen, damit
0:40:31.490,0:40:36.490
Softwareentwickler, die nicht der Größte[br]am Markt sind, das mal testen können. Es
0:40:36.490,0:40:41.890
gibt eine Fallbacklösung, falls man sich[br]außerstande sieht, eine PSD2 API
0:40:41.890,0:40:46.040
anzubieten oder da irgendwas nicht ist,[br]oder ein Notfall eintritt, wobei Notfall
0:40:46.040,0:40:52.590
glaube ich definiert ist als fünf Vorgänge[br]haben mehr als 30 Sekunden Latenz, dürfen
0:40:52.590,0:40:55.800
Zahlungsdienstleister also die[br]Kontoinformationsdienste oder die
0:40:55.800,0:40:59.770
Zahlungsauslösedienste ein Fallback[br]benutzen, nämlich das Interface, was der
0:40:59.770,0:41:07.230
normale Kunde benutzt. Da sind wir wieder[br]beim Webcalling. Wenn die Banken das
0:41:07.230,0:41:12.820
nicht möchten, müssen sie mindestens drei[br]Monate am Stück die normale PSD2-API zur
0:41:12.820,0:41:18.370
Verfügung stellen. Das heißt, Sie hätten[br]im Juni die PSD2-API produktiv laufen
0:41:18.370,0:41:24.320
müssen haben müssen, um von der[br]Ausnahmeregelung ausgenommen zu werden.
0:41:24.320,0:41:29.350
Ich glaube, das hat keiner. Am 14.[br]September ist dann alles explodiert. Dann
0:41:29.350,0:41:36.720
wurde die Durchführungsverordnung gültig.[br]Die Delegierteverordnung gültig, was dazu
0:41:36.720,0:41:38.930
führte, dass noch nicht sofort alles[br]explodiert ist. Erstmal sind nur
0:41:38.930,0:41:42.240
Transaktionen und Onlineanmeldung, weil[br]manche Banken haben tatsächlich davon
0:41:42.240,0:41:46.420
Gebrauch gemacht, dass da irgendwo 90 Tage[br]steht. Und wenn man sich halt am 13.
0:41:46.420,0:41:50.680
September angemeldet hat, dann war man ja[br]angemeldet. Ja, das war dann am 13.
0:41:50.680,0:41:53.370
Dezember vorbei. Das heißt spätestens seit[br]dem 13. Dezember hat jeder der
0:41:53.370,0:41:59.010
Online-Banking benutzt Spaß. Gibt kleinere[br]Problemchen. Die Anmeldefluß für
0:41:59.010,0:42:04.500
2-Faktor-Apps sind oft kompliziert, der[br]Support etwas überlastet. Bei der Postbank
0:42:04.500,0:42:08.070
habe ich das Problem, dass ich neu etwas[br]unterschreiben musste, weil ich als
0:42:08.070,0:42:11.550
Vereinskonto, das war das doofe, es ist[br]ein Gemeinschaftskonto, war ja früher
0:42:11.550,0:42:14.750
nicht so schlimm. Man teilt halt einfach[br]die Pin, und nur einer kriegt die
0:42:14.750,0:42:17.640
Chipkarte für die TAN-Generierung.[br]Neuerdings müssen halt alle
0:42:17.640,0:42:21.610
Gemeinschaftskonten extra Personenaccounts[br]für jeden, der Lesezugriff haben soll
0:42:21.610,0:42:27.030
haben. Bei der Postbank lief es darauf[br]hinaus, dass ich unterschreiben musste und
0:42:27.030,0:42:30.350
die meine E-Mail nicht angenommen haben.[br]Der Mailserver hat gemeint "Aufgrund der
0:42:30.350,0:42:38.510
hohen Betrugsraten können Sie zurzeit keine[br]Mail annehmen." Gelächter Moment,
0:42:38.510,0:42:41.820
nachdem ich den Support gefragt habe, ich[br]habe tatsächlich telefonisch was erreicht,
0:42:41.820,0:42:46.640
meinte er, faxen sie es uns. Das habe ich[br]vorgeschlagen Faxen. Das habe ich gemacht.
0:42:46.640,0:42:50.030
Das hat auch nur vier Wochen gedauert. Es[br]hat funktioniert. Andere Leute haben
0:42:50.030,0:42:52.750
andere Probleme, irgendwie. Geräte,[br]Wechsel, Verlust ist ein bisschen
0:42:52.750,0:42:55.850
schwierig. Ich habe mit jemandem geredet.[br]Ich habe gesagt, ihr habt ja im vorigen
0:42:55.850,0:43:00.330
Screenshot gesehen, welches Handy verliere[br]oder auch nur tauschen möchte, muss ich
0:43:00.330,0:43:04.640
halt acht verschiedene Apps neu[br]einrichten, teilweise in acht Schritten.
0:43:04.640,0:43:09.410
Ich habe gerade jemandem geholfen, bei der[br]Apobank seine TAN-App einzurichten, weil es
0:43:09.410,0:43:14.420
halt dreimal nicht geklappt hat. Der Knopf[br]Brief generieren mit dem Bestätigungscode
0:43:14.420,0:43:17.730
der hat immer funktioniert. Da kam ein neuer[br]Brief. Aber es war nicht zu sehen, wo man
0:43:17.730,0:43:21.910
den Bestätigungscode eingibt, bis man auf[br]der Webseite war und das vierseitige PDF
0:43:21.910,0:43:28.740
mit den acht einfachen Schritten gefunden[br]hat. Gelächter Der schärfste Trick: Für
0:43:28.740,0:43:31.660
Kreditkarten gilt das eigentlich auch[br]mit der starken
0:43:31.660,0:43:35.441
Kundenauthentifizierung. Bloß das hat noch[br]keiner umgesetzt. Das muss noch im Webshop
0:43:35.441,0:43:40.290
implementiert werden. Deswegen hat die EBA[br]jetzt gesagt: Na gut, ihr habt noch mal
0:43:40.290,0:43:47.950
ein bisschen Zeit bis 2020. Und was ich[br]vorhin sagte: Die APIs waren und oder sind
0:43:47.950,0:43:51.330
nicht funktional. Die Leute haben einfach[br]zu wenig Zeit gehabt zum Testen. Kurzer
0:43:51.330,0:43:57.510
Seitenhieb. 3D Secure. Es gab da schon mal[br]ein Vortrag über einen Vortrag halten.
0:43:57.510,0:44:01.780
Aber es gibt auf jeden Fall ein sehr[br]schönes Paper dazu "Verified bei Visa and
0:44:01.780,0:44:09.790
Mastercard Secure-Code or how not to[br]design authentication" von Murdoch und
0:44:09.790,0:44:14.470
Anderson. Three D secure steht für Three[br]-Domain-, acquirere, Issuer and
0:44:14.470,0:44:20.130
Interoperability sind die Domains der Herausgeber[br]Akzeptanz und die dazwischen Leute. Der
0:44:20.130,0:44:25.590
Kunde fehlt in der Liste, die hier[br]geschützt werden. Es ist dafür da, dem
0:44:25.590,0:44:29.390
Kunden neue AGB aufzudrücken und die[br]Schuld zu verschieben, weil offensichtlich
0:44:29.390,0:44:36.321
der Kunde schuld ist. Ist ja, jetzt sicher.[br]Bei einer meiner Banken, ist eine am VR-Banken-Netz
0:44:36.321,0:44:41.720
angeschlossene bei der Fiducia muss man sich[br]registrieren, da kriegt man so ein
0:44:41.720,0:44:44.521
Brief? Gehen Sie mal wieder auf diese[br]Webseite und füllen Sie dort die
0:44:44.521,0:44:49.720
Registrierung aus. So online[br]sichereinkaufen.de oder so ähnlich.
0:44:49.720,0:44:53.600
Sicheronlineeinkaufen.de? Sicher[br]einkaufen. Ich bin mir sicher es war sicher
0:44:53.600,0:45:02.260
online einkaufen. Ich weiß es, weil diese[br]Seite existiert, die anderen nicht. Diese
0:45:02.260,0:45:11.560
Seite existiert. applaus Und hat ein[br]gültiges Sicherheitszertifikat von
0:45:11.560,0:45:19.310
LetsEncrypt. Gelächter Und dann war[br]wieder da die Sache mit dem Blutdruck, die
0:45:19.310,0:45:22.870
hat dann wieder gemeint na ja, Sie können[br]sich jetzt hier registrieren und die Push-TAN-
0:45:22.870,0:45:28.280
App aktivieren. Das geht auf Ihrem Telefon[br]nicht, weil es gerootet ist. Das Telefon
0:45:28.280,0:45:32.620
ist unsicher. Gar kein Problem. Sie können[br]auch den Alternativprozess verwenden. Wir
0:45:32.620,0:45:43.080
schicken ihn einfach eine SMS an dieses[br]Telefon. fröhliches Lachen Ok. Muss ich
0:45:43.080,0:45:49.420
jetzt nicht verstehen. Dieses Formular,[br]wie gesagt, das ist aktuell online hat
0:45:49.420,0:45:52.140
immer noch die gleichen Probleme, die[br]Murdoch und Anderson von damals genannt
0:45:52.140,0:46:00.630
haben. Wenn man runter scrollt, findet man[br]diesen Signup System. Das ist ein IFrame,
0:46:00.630,0:46:03.580
das von irgendeiner anderen Domain kommt.[br]Die hat sogar ein Extended-Validation-
0:46:03.580,0:46:09.900
Zertifikat, nur dass es halt niemand[br]sieht, weil ist halt ein iFrame. Was ist noch so
0:46:09.900,0:46:14.060
passiert? Wie gesagt, Gemeinschaftskonten[br]benötigen jetzt einen Login pro Person.
0:46:14.060,0:46:19.140
Ich glaube hier. Die CCV-Veranstaltungs[br]GmbH hat auch schon Spaß damit gehabt. Die
0:46:19.140,0:46:22.380
Banken gehen langsam dazu über[br]FinTS abzuschalten oder loszuwerden, weil sie
0:46:22.380,0:46:28.460
haben ja jetzt die PSD2 API. Die regulierten[br]Dienstleister dürfen nicht mehr über FinTS
0:46:28.460,0:46:35.270
zugreifen außer halt im Fallbackmodus,[br]außer manchmal. Surprise SCA, wie gesagt,
0:46:35.270,0:46:41.080
ist Userinterface wird halt nur noch[br]merkwürdiger. User sind frustriert und
0:46:41.080,0:46:45.400
kriegen Hals. Was gar nicht so schlecht[br]ist. Es gibt jetzt ein
0:46:45.400,0:46:48.130
Registrierungspflicht für Anwendungen, die[br]auch für FinTS gilt. Also auch meine
0:46:48.130,0:46:55.540
Anwendung byro, FinTs ist registriert. Und[br]es ist im Sinne der Transparenz sieht man
0:46:55.540,0:47:00.420
im Online-Banking, welche App verwendet[br]wurden. Das ist erst mal nicht schlecht.
0:47:00.420,0:47:02.700
Kann man nichts gegen haben, zumal die[br]Registrierung auch als Open Source
0:47:02.700,0:47:09.510
Entwickler möglich ist. Ist ja nicht immer[br]so. Aber fast jede Transaktion kann
0:47:09.510,0:47:14.540
manchmal eine TAN anfordern. Wie gesagt,[br]ich hab das auch gerade gesehen. Wir
0:47:14.540,0:47:18.640
kommen zum Schluss. Transparenz und[br]Aufsicht sind verbessert worden.
0:47:18.640,0:47:22.530
Verbraucher sind zunehmend genervt.[br]Perfekte Grundlage für Wirsching? Ich weiß
0:47:22.530,0:47:25.450
nicht, wie viele von euch so eine Mail[br]gekriegt haben. PSD2 tritt jetzt in Kraft.
0:47:25.450,0:47:28.370
Bitte geben Sie jetzt hier nochmal Ihre[br]Kontonummer ein. Sie müssen sich jetzt neu
0:47:28.370,0:47:34.270
anmelden, weil neue sichere Umstellung des[br]Sicherheitsverfahrens. Gewerbliche Nutzer,
0:47:34.270,0:47:37.830
wie gesagt, müssen komplett ausweichen,[br]weil das macht gar keinen Sinn. Dafür gibt
0:47:37.830,0:47:40.720
es jetzt neue Geschäftsfelder für[br]Startups, die entsprechende
0:47:40.720,0:47:48.620
Anfangsinvestitionen haben. Open Source[br]kannste halt vergessen in Zukunft. Danke.
0:47:48.620,0:48:00.600
Applaus
0:48:00.600,0:48:03.950
Herald: Wir haben Zwölf Minuten Zeit für[br]Fragen und Antworten. Drei Mikrofone im
0:48:03.950,0:48:07.930
Saal verteilt. Falls ihr Fragen habt,[br]stellt euch hin. Ich versuche, euch
0:48:07.930,0:48:14.960
halbwegs fair aufzurufen. Eine Frage[br]hätte ich. Was soll der Scheiß? Lachen
0:48:14.960,0:48:18.700
Henryk: Hast du nicht gehört?[br]Sofortüberweisung ist jetzt legal. *Herald
0:48:18.700,0:48:27.260
lacht.*[br]Frage: Okay, du hast gesagt, dass FinTS
0:48:27.260,0:48:30.650
jetzt langsam ausgeschlichen wird von den[br]Banken. Ich weiß von einigen Banken, dass
0:48:30.650,0:48:36.300
sie bei PSD2 direkt das FinTS abgeklemmt haben,[br]weil sie es nicht implementiert hatten PSD2
0:48:36.300,0:48:40.230
konform. Aber weißt du, wie das bei den[br]anderen Banken aussieht? Also gibt es da
0:48:40.230,0:48:45.060
schon Ankündigungen von den großen[br]Rechenzentren Fiducia oder Sparkasse oder
0:48:45.060,0:48:47.740
wie wir alle heißen?[br]Henryk: Die haben sich größtenteils
0:48:47.740,0:48:52.170
zurückgehalten. Sie sagen da nur durch die[br]Blume, dass sie es zumindest nicht mehr
0:48:52.170,0:48:56.420
erweitern wollen. Sie haben ja jetzt das[br]andere. Ich glaube ING-Diba hatte da genau
0:48:56.420,0:48:58.690
dieses Problem. Sie haben ein bisschen[br]zurückgerudert. Wenn mich nicht alles
0:48:58.690,0:49:03.600
täuscht. Aber es gibt ja keinen[br]Grund mehr dafür.
0:49:03.600,0:49:07.040
Frage: Die haben zurückgerudert nach dam[br]sich 3000 Leute beschwert haben in einem
0:49:07.040,0:49:12.230
wütenden Mob Blogpost.[br]Henryk: Ja.
0:49:12.230,0:49:15.820
Herald: Bitte.[br]Frage: Gibts irgendwie so eine Art
0:49:15.820,0:49:20.880
Informationsblatt, was ich als Kunde der[br]Bank geben kann? Wenn ich der Meinung bin,
0:49:20.880,0:49:26.500
dass sie mir völligen Bullshit zu der PSD2[br]erzählt und irgendwelche neuen Änderungen
0:49:26.500,0:49:29.970
damit versucht zu begründen?[br]Henryk: Ja, das steht sogar in der
0:49:29.970,0:49:33.730
Richtlinie drin, das die europäische[br]Bankenaufsicht und die BaFin jeweils ein
0:49:33.730,0:49:38.330
Merkblatt für Kunden herausgeben, in denen[br]alle Änderungen und neuen Pflichten und
0:49:38.330,0:49:41.290
Rechte des Kunden dargelegt sind. Es[br]müsste auch der Webseite der BaFin zu
0:49:41.290,0:49:43.480
finden sein.[br]Frage: Ich meine eigentlich umgekehrt,
0:49:43.480,0:49:46.050
Richtung Bank.[br]Henryk: Ja, das ist das Merkblatt für dich
0:49:46.050,0:49:50.380
als Kunde, und du kannst der Bank[br]vorhalten und sagen: "Guck mal, was ihr
0:49:50.380,0:49:57.290
mir sagt, steht da nicht drauf."[br]Frage: Du meinst, es ist das nicht
0:49:57.290,0:50:00.530
sonderlich kompliziert, sich eine[br]juristische Person anzulegen. Könnte ich
0:50:00.530,0:50:04.050
dann mit einer juristischen Person mir ein[br]Geschäftskonto anlegen, damit ich dann
0:50:04.050,0:50:09.800
wieder APIs habe, die ich von einer App[br]aus verwenden kann? Ist das der neue Weg?
0:50:09.800,0:50:12.710
Henryk: Klar. Aber ja! Also du brauchst[br]halt eine
0:50:12.710,0:50:25.450
neue App. Es ist dann EBICS, aber ja...[br]Frage: Du hast aufgelistet, dass es ja
0:50:25.450,0:50:31.220
drei Authentifizierundsmerkmale gibt und[br]du hast sehr konsequent nur von TANs
0:50:31.220,0:50:38.700
gesprochen. Wenn ich die Richtlinie[br]korrekt interpretiere, ist Wissen und
0:50:38.700,0:50:45.140
Besitz. Also Pin und Chipkarte nach wie[br]vor eigentlich vollkommen valides
0:50:45.140,0:50:48.290
Authentifizierungsmittel.[br]Henryk: Korrekt. Also steht die
0:50:48.290,0:50:52.010
Formulierung, die Sie verwenden, ist, dass[br]diese aus den drei Faktoren muss ein
0:50:52.010,0:50:56.750
Authentifizierungscode abgeleitet werden.[br]Das kann auch eine Signatur oder was auch
0:50:56.750,0:51:01.560
immer sein. Ich habe aber keine[br]Implementierung davon gesehen, also
0:51:01.560,0:51:05.690
ausser halt innerhalb von Apps. Die DKB zum[br]Beispiel hat eine eigene App und wenn man
0:51:05.690,0:51:10.480
innerhalb der DKB App bleibt. Dann bleibt[br]also alles innerhalb der DKB App inklusive
0:51:10.480,0:51:15.150
mit iPhone, wie auch immer diese[br]Gesichtserkennung heißt, da braucht man
0:51:15.150,0:51:20.460
auch keine TAN mehr das stimmt. Aber wenn man[br]eine andere App benutzt, die nicht, die
0:51:20.460,0:51:23.540
ist, ist es irgendwie schwierig, der[br]Signatur abzutippen. Deswegen tippt man
0:51:23.540,0:51:29.070
meistens lieber TANs ab. Ich frag nur,[br]weil die Sparkasse mir erzählt hat, das
0:51:29.070,0:51:34.600
HBCI mit Chipkarte ja diese[br]Authentifizierungsbedingungen nicht
0:51:34.600,0:51:37.280
erfüllen würde.[br]Henryk: Das ist inkorrekt. HBCI mit
0:51:37.280,0:51:43.090
Chipkarte ist halt gerade Besitz, Besitz[br]und Wissen, sie können sich eventuell
0:51:43.090,0:51:47.210
darauf herausreden, dass irgendwie PIN mit[br]der Verifikation auf der Karte eventuell
0:51:47.210,0:51:50.960
nicht güle, aber eigentlich dann doch[br]schon.
0:51:50.960,0:51:53.960
Herald: Ok, und die Mitte mal wieder.[br]Zuhörer: Mal wieder nur eine kleine
0:51:53.960,0:51:58.970
Anmerkung. Du meint, dass das PayPal mit[br]2-Faktor nicht funktioniert. Aber in der
0:51:58.970,0:52:03.440
Tat habe ich PayPal mit 2-Faktor.[br]Henryk: Es gab vor fünf Jahren, glaub ich,
0:52:03.440,0:52:06.070
eine kurze Zeit, wo sie das angeboten[br]haben. Aber ich glaube, es wird nicht mehr
0:52:06.070,0:52:08.490
beworben.[br]Zuhörer: Ich konnte das in der App
0:52:08.490,0:52:11.520
anklicken, vor ungefähr einem halben Jahr.[br]Henryk: Oh, dann haben Sie was neues
0:52:11.520,0:52:23.530
eingebaut.Wollen Sie jetzt? Ist das schon?[br]Frage: Ich frag für einen Freund, der
0:52:23.530,0:52:28.370
entwickelt einen Webshop, und da müssen[br]Sie sich auch mit dem 3D Secure Kram
0:52:28.370,0:52:32.610
herumschlagen. Und der[br]Zahlungsdienstleister sagt: Es ist in
0:52:32.610,0:52:38.060
Ordnung, wenn man für das Hinterlegen der[br]Kreditkarte beim Zahlungsdienstleister
0:52:38.060,0:52:42.560
einmal dieses 3D Secure Verfahren macht.[br]Und danach kann man als Shop quasi
0:52:42.560,0:52:45.810
beliebig oft davon abbuchen, und der Kunde[br]muss dann nicht mehr nochmal irgendwelche
0:52:45.810,0:52:48.690
TANs eingeben. Ist das überhaupt korrekt[br]so, weil dann sehe ich den Sinn dahinter
0:52:48.690,0:52:53.920
nicht so ganz.[br]Henryk: Ja, für die erste Zahlung bei
0:52:53.920,0:52:58.010
wiederkehrenden Zahlungen ja. Aber es muss[br]trotzdem jede Zahlung autorisiert werden.
0:52:58.010,0:53:02.220
Bloß das für wiederkehrende Zahlungen[br]einfache Autorisierung reicht. Ich
0:53:02.220,0:53:05.230
bin mir da aber auch nicht ganz sicher.[br]Frage: Das muss dann aber nicht über
0:53:05.230,0:53:08.680
den Dienstleister gehen. Das reicht dann[br]einfach, wenn der Kunde im Onlineshop
0:53:08.680,0:53:11.280
einmal klickt: Ja, diese Kreditkarte,[br]oder?
0:53:11.280,0:53:15.270
Henryk: Genau, das kann mit Passwort, würde dann[br]reichen. Also nicht zwei Merkmale, sondern
0:53:15.270,0:53:18.450
nur eins.[br]Herald: Entweder habe ich unseren Signal-
0:53:18.450,0:53:24.060
Angel die ganze Zeit übersehen oder es[br]gibt gerade was Neues, bitte!
0:53:24.060,0:53:28.190
Signal-Engel: Kam gerade erst die Frage.[br]Wärest du mit PSD2 glücklicher, wenn sie
0:53:28.190,0:53:31.920
ein bisschen glücklicher, wenn es ein[br]bisschen Open Source wäre, die Zugang für
0:53:31.920,0:53:37.300
Open Source Programme offen wäre? Oder sagt[br]es allgemein eher mäh gelaufen?
0:53:37.300,0:53:40.820
Henryk: Na ja, es gibt relativ, es ist [br]relativ schwierig, diese Anforderungen
0:53:40.820,0:53:44.150
grundsätzlich umzusetzen bei Software, die[br]der Anwender selber runter kompiliert und
0:53:44.150,0:53:53.080
laufen lässt. Deswegen sehe ich nicht, wie[br]man das umsetzen könnte. Man müsste halt
0:53:53.080,0:53:58.030
auf die Anforderungen verzichten, das die[br]Endpunkte durch qualifiziertes Zertifikat
0:53:58.030,0:54:02.710
identifiziert werden. Und dann hat man nur[br]noch die Probleme. Die Benutzer haben mit
0:54:02.710,0:54:07.600
dem ganzen TAN-Scheiss. Zumindest Open-[br]Source Entwickler keine Probleme mehr und
0:54:07.600,0:54:13.980
der Userinterface Flow ist immer noch kaputt.[br]Frage: Ich wollte einfach nur
0:54:13.980,0:54:18.190
nochmal anmerken. Die meisten hier[br]Anwesenden werden wahrscheinlich zwei
0:54:18.190,0:54:25.280
Geräte besitzen. Aber gerade dieses ganze[br]2-Faktor wird ja ab ad absurdum geführt.
0:54:25.280,0:54:29.010
Wenn ich mein Online-Banking auf demselben[br]Gerät mache, wo auch der TAN Generator
0:54:29.010,0:54:36.770
ist, ist auch die App zu App trans-Integration die[br]manche Banken anbieten. Wird ja hier auf
0:54:36.770,0:54:41.370
dem Kongress vor paar Jahren auch schon[br]mal gezeigt, dass das sinnlos ist, weil es
0:54:41.370,0:54:45.950
irgendwo gehackt werden kann. Ist man da[br]irgendwie gesichert, wenn man das macht
0:54:45.950,0:54:50.700
als Kunde? Die meisten haben ja doch nur[br]ein Gerät zu Hause und halten sich nicht
0:54:50.700,0:54:53.910
dran, das man dann als Kunde eigentlich[br]der Gearschte diesbezüglich.
0:54:53.910,0:54:58.890
Henryk: Es steht drinnen, dass es zwei[br]getrennte Geräte sein sollten oder oft auf
0:54:58.890,0:55:02.500
dem Gerät. Das ist unter anderem einer der[br]Gründe für die Rootdetektion auf dem
0:55:02.500,0:55:08.960
Gerät, für eine Trennung der. Es gibt da[br]einen Absatz, der irgendwie. Man müsse die
0:55:08.960,0:55:12.640
Trennungssysteme des Betriebssystems[br]nutzen. Also ich vermute mal, das geht
0:55:12.640,0:55:16.240
eher in Richtung Samsung Knox und nicht[br]auf normales Android. Aber eigentlich
0:55:16.240,0:55:19.390
sollte normales Android ausreichen. Ich[br]bin mir nicht sicher. Ich glaube als dieser App-TAN
0:55:19.390,0:55:25.940
Hack war da. Oder waren es auch gerootete[br]Geräte oder erweiterte lokaler Zugriff.
0:55:25.940,0:55:29.950
Frage: Ich nutze so ein Open-Source-[br]Software, um so persönliche Finanzen zu
0:55:29.950,0:55:33.480
tracken und habe das auf meinem Server[br]installiert. Erste Frage, bin ich jetzt
0:55:33.480,0:55:40.010
schon Konntoinformationsdienstleister?[br]Der Entwickler hat gesagt, er möchte PSD2
0:55:40.010,0:55:44.260
einbauen. Und wenn ich das richtig[br]verstanden habe, dann geht das gar nicht.
0:55:44.260,0:55:49.200
Ich habe auch gelesen auf GitHub, er hat[br]sich irgendwo registriert, und ich habe
0:55:49.200,0:55:55.270
aber nicht ganz verstanden, ob das geht.[br]Kann er überhaupt das jetzt so einbauen,
0:55:55.270,0:55:59.040
dass ich das dann benutzen kann?[br]Henryk: Ja, die Registrierung war die
0:55:59.040,0:56:04.420
HBCI-Registrierung. Ob du dann schon für[br]dich selber? Ich bin mir nicht sicher, ich
0:56:04.420,0:56:07.910
glaube für dich selber. Ich bin mir nicht[br]sicher, ob da etwas von einem Dritten
0:56:07.910,0:56:13.260
drinsteht. Da müsste ich nachgucken. Kann[br]ich so nicht beantworten. Müsste man ...
0:56:13.260,0:56:16.980
Frage: Kann er denn PSD2 in seine[br]Software einbauen, dass es jemand benutzen
0:56:16.980,0:56:19.020
kann?[br]Henryk: Ne, keine PSD2 API. Es wird immer
0:56:19.020,0:56:21.010
über FinTs laufen, was du beschrieben[br]hast.
0:56:21.010,0:56:23.540
Frage: Ok. Und wenn die Bank FinTS[br]abschaltet, bin ich im Arsch.
0:56:23.540,0:56:29.760
Henryk: Ja, du kannst auf EBICS[br]wechseln. Herald lacht
0:56:29.760,0:56:33.390
Frage: Hast du eine Vermutung, wer[br]hinter dem Ganzen steht? Warum die das
0:56:33.390,0:56:38.050
gemacht haben? Weil ich meine[br]Sofortüberweisung alleine gegen die ganze
0:56:38.050,0:56:41.150
Bankenlobby. Banken mögen das[br]offensichtlich nicht. Irgendwer muss es
0:56:41.150,0:56:46.990
doch durchgedrückt haben.[br]Henryk: Ich weiß es tatsächlich nicht. Wir
0:56:46.990,0:56:51.410
haben kurz vorher uns unterhalten, dass es[br]da so ein Slogan gab: Digital first,
0:56:51.410,0:56:56.270
Bedenken second. Das könnte damit[br]zusammenhängen. Es klingt nach
0:56:56.270,0:57:03.210
Fortschritt. Es wird halt besser.[br]Frage: Ich wollte noch einmal
0:57:03.210,0:57:08.310
Fragen: Sind hier Organisationen oder[br]politische Akteure bekannt, die die
0:57:08.310,0:57:14.010
Benutzerinteressen in irgendeiner Form[br]bündeln und versuchen zu kanalisieren? Wir
0:57:14.010,0:57:17.220
versuchen da irgendwie ein bisschen Lobby[br]im Sinne der Nutzer und der User zu
0:57:17.220,0:57:22.920
machen an der Stelle. Verbraucherschutz welche?[br]Henryk: Es gibt ein Voice-Verband der IT
0:57:22.920,0:57:29.060
Anwendunger EV. Aber ich weiß nicht ob die[br]in dem Rahmen Aktivitäten haben. Mir wird
0:57:29.060,0:57:32.080
gerade gesagt, dass sie eine Selbst-Hilfe-[br]Gruppe sind. Aber es ist... Alle lachen
0:57:32.080,0:57:37.480
Du hast nur gefrat, das ist mir bekannt.[br]Antwort: ich kenne nur eine.
0:57:37.480,0:57:42.270
Herald: Bitte. Scheint auch letzte Frage zu sein. [br]Frage: Du erwähntest die
0:57:42.270,0:57:47.740
Registrierung für die Drittdienste. Ist es[br]nicht eigentlich auch eine Art Zulassung
0:57:47.740,0:57:53.570
bei der BaFin und da kam doch gerade vor[br]ein paar Wochen auch Standards raus, was
0:57:53.570,0:57:57.080
für Sicherheitsmaßnahmen da umzusetzten sind,[br]die auch möglicherweise geprüft werden .
0:57:57.080,0:58:01.630
Und auch diese Zulassung[br]entzogen werden kann.
0:58:01.630,0:58:04.970
Henryk: Genau. Deswegen seht auch da[br]"Registriert und Zugelassen", als
0:58:04.970,0:58:08.480
Formulierung. Weil es für[br]Kontoinformationsdienstleister ein
0:58:08.480,0:58:14.741
bisschen einfacher dann ist. Die Absätze 1[br]bis 6 außer Paragraphen 3 und dings gelten
0:58:14.741,0:58:17.520
nicht für Kontoinformationsdienstleister[br]oder so ähnlich. Aber für alle, die
0:58:17.520,0:58:21.770
weitergehend es machen, es ist mit[br]Zulassung und Bericht und vorige
0:58:21.770,0:58:27.820
Registrierung und so weiter drin,[br]inklusive Entzug.
0:58:27.820,0:58:34.220
Herald: Bist du glücklich? Du siehst nicht[br]glücklich aus.
0:58:34.220,0:58:38.010
Signal-Engel: Ich habe sogar noch 2 auf[br]Twitter. 1) Kann ich irgendwie verhindern,
0:58:38.010,0:58:45.500
dass mein Arbeitgeber meine Bankdaten an datev[br]weitergibt? Oder habe ich da keine Chance?
0:58:45.500,0:58:51.060
Henryk: Lustige Frage, ich glaube nicht.[br]Frage: 2) Kannst du einen Ausblick
0:58:51.060,0:58:55.160
geben? Siehst du Hoffnung, dass irgendwas[br]verbessert wird, oder müssen wir halt 20
0:58:55.160,0:58:57.900
Jahre warten, bis das nächste neue Gesetz[br]kommt?
0:58:57.900,0:59:02.820
Henryk: Da steht drin, dass die alle[br]X-Jahre evaluiert und aktualisiert werden
0:59:02.820,0:59:07.720
sollen. Ab 2021 ist das nächste Mal.[br]Vielleicht wird nachgebessert. Ich bin da
0:59:07.720,0:59:12.700
aber nicht so sehr hoffnungsvoll, weil[br]hier, wie gesagt, aus Sicht der zentralen
0:59:12.700,0:59:19.630
Behörden nicht so nicht Cloud Anwendungen,[br]eher Nischenprodukte. Etwas auf seinem
0:59:19.630,0:59:22.510
eigenen Rechner zu betreiben,[br]kommt aus der Mode.
0:59:22.510,0:59:24.870
Herald: Jetzt aber wirklich die letzte[br]Frage.
0:59:24.870,0:59:27.840
Fragender : Ich würde gerne an eine[br]vorherige Frage anknüpfen, nämlich ob es
0:59:27.840,0:59:31.770
Institutionen gibt, die sich dafür[br]einsetzen, dass das Ganze gebessert wird.
0:59:31.770,0:59:35.780
Ich arbeite jetzt für sofort, und wir sind[br]Sofortüberweisung. fröhliche Gelächter
0:59:35.780,0:59:40.220
Wir sind aktiv dabei, mit nahezu allen[br]Banken in Europa und auch den nationalen
0:59:40.220,0:59:44.140
Behörden zu diskutieren, dass es da[br]schnellstmöglich Änderungen gibt. Noch vor
0:59:44.140,0:59:48.620
einer neuen Direktive, also in möglichst[br]naher Zukunft. Es gibt Leute, die sich
0:59:48.620,0:59:52.600
dafür einsetzen.[br]Henryk: Sehr gut.
0:59:52.600,0:59:54.810
Herald: Es könnte also sein, dass du die[br]Frage beantworten kannst, die ich vorhin
0:59:54.810,1:00:00.830
gestellt habe. Ich komme gleich vor! Alle[br]Lachen
1:00:00.830,1:00:02.390
Herald: Henryk Plötz! Vielen Dank!
1:00:02.390,1:00:04.950
Applaus
1:00:04.950,1:00:08.730
36c3 Abspannmusik
1:00:08.730,1:00:32.000
Untertitel erstellt von c3subtitles.de[br]im Jahr 2020. Mach mit und hilf uns!