0:00:00.000,0:00:18.780
<i>36c3 Vorspannmusik</i>

0:00:18.780,0:00:23.330
Herald: Ich habe hier so ein Handy,[br]vielleicht habt ihr auch ein Smartphone.

0:00:23.330,0:00:29.519
Und ich habe eine App drauf und die[br]damit.. Ich habe so mehrere Konten bei

0:00:29.519,0:00:33.840
verschiedenen Banken, und ich habe so eine[br]App. Da sind die ganzen Konten so drin.

0:00:33.840,0:00:39.260
Und wenn ich wissen will, wie viel Geld[br]ich nicht hab, dann starte ich diese App

0:00:39.260,0:00:44.239
und gucke ich da so drauf, weil mein[br]Telefon mich sonst nicht erkennt. Und dann

0:00:44.239,0:00:46.500
kann ich halt sehen, wie wieviel Geld ich[br]auf den Konten habe und was ich für

0:00:46.500,0:00:50.721
Kontobewegungen hatte. Und dann,[br]irgendwann dieses Jahr <i>lacht</i> , hab ich

0:00:50.721,0:00:53.449
da nicht mehr gesehen, wie viel Geld auf[br]dem Konto hatte. Da kammen immer so Pop-

0:00:53.449,0:01:00.800
ups. Die haben gesagt: Ja, das[br]funktioniert jetzt nicht, weil hab ich

0:01:00.800,0:01:04.600
nicht verstanden. Aber was da immer drin[br]vorkam, das waren drei Buchstaben, eine

0:01:04.600,0:01:09.500
Zahl, und das hieß PSD2, und jedes Mal habe ich[br]gedacht, jetzt muss ich wieder aus der App

0:01:09.500,0:01:11.820
raus und muss wieder irgendwas machen, was[br]ich nicht verstehe. Und dann werden mir

0:01:11.820,0:01:17.350
SMSen geschickt, die ich irgendwo[br]eintragen muss und dachte: Was zum Teufel

0:01:17.350,0:01:24.851
soll dieser Scheiß? Und das Schöne ist:[br]Wir alle werden jetzt möglicherweise eine

0:01:24.851,0:01:29.200
Antwort auf die Frage bekommen, was dieser[br]Scheiß soll. Und falls nicht, dann kann

0:01:29.200,0:01:34.829
man hinterher persönlich zur Rechenschaft[br]ziehen. Sein Name ist Henryk Plötz. <i>lacht</i>

0:01:34.829,0:01:43.649
<i>Applaus</i>

0:01:43.649,0:01:49.250
Henryk Plötz: Ja, genau. Ich Ich versuche[br]die Frage zu stellen, was hat die PSD2 je

0:01:49.250,0:01:53.759
für uns getan? Und Antworten darauf zu[br]geben, in der Hoffnung, dass ich auch

0:01:53.759,0:01:58.330
herausfinden, was der Scheiss soll? Für[br]diejenigen, die, es ist einer der ersten

0:01:58.330,0:02:02.280
Vorträge, die hineingestolpert sind, ohne[br]zu wissen, worum es geht. Es geht um die

0:02:02.280,0:02:08.269
Richtlinie der EU 2015 2366 des[br]Europäischen Parlaments und des Rates vom

0:02:08.269,0:02:12.390
25. November 2015 über Zahlungsdienste im[br]Binnenmarkt zur Änderung der Richtlinie

0:02:12.390,0:02:17.710
und so weiter und so fort und fort. Das[br]ist die Zahlungsdienst, der Richtlinie 2,

0:02:17.710,0:02:23.419
und da dranhängt noch eine Handvoll[br]Delegierter Verordnungen, aber ganz massiv

0:02:23.419,0:02:28.309
die Delegierte Verordnung vom 27. November[br]für die technischen Regulierung Standards

0:02:28.309,0:02:31.650
für eine starke Kunden Authentifizierung[br]und für sichere offene Standards zur

0:02:31.650,0:02:38.130
Kommunikation. Das ist, was in der App die[br]ganzen Pop-ups verursacht hat. Warum bin

0:02:38.130,0:02:43.130
ich hier? Und warum erzähle ich euch etwas[br]zu diesem Thema? Ich bin Informatiker und

0:02:43.130,0:02:47.080
Sicherheitsforscher. Ich glaub, neudeutsch[br]sagt man Hacker dazu. Hab einen meiner

0:02:47.080,0:02:51.500
ersten Vorträge auf dem Kongress vor zehn[br]Jahren zu "Mifaire Classic" gehalten.

0:02:51.500,0:02:57.140
Seitdem einiges gemacht zu[br]Zutrittskontrollsystemen, RFID, Die

0:02:57.140,0:03:03.090
Spezialgebiet sind halt solche Arten von[br]Kommunikationsprotokollen. Ich bin auch

0:03:03.090,0:03:06.150
Open Source Entwickler. Also wenn irgendwo[br]ein Kommunikationsprotokoll rumliegt, dann

0:03:06.150,0:03:09.269
implementiert ich das manchmal unter[br]anderem HBCI. Dazu erzähle ich euch noch

0:03:09.269,0:03:15.910
ein bisschen was. Es gibt im Umfeld des[br]CCC eine Vereinswaltung, die entstanden

0:03:15.910,0:03:24.670
ist, die heißt byro von Rixx. Da habe ich[br]einige größere Dinge zu beigetragen, und

0:03:24.670,0:03:28.850
es gibt von Rami. Die beiden waren ja die[br]Kasse und der Vorverkauf von Rami eine

0:03:28.850,0:03:32.960
Python Implementierung von FinTS, ich[br]sage vielleicht noch, was das ist. Dazu

0:03:32.960,0:03:35.980
hab ich größere Dinge beigetragen. Und[br]dann die Kombination dabei ist das im

0:03:35.980,0:03:41.370
PlugIn byro-fints. Also eine Perspektive,[br]aus der ich das betrachtet, halt als Open

0:03:41.370,0:03:46.260
Source Entwickler. Ich bin auch Gründer[br]und Geschäftsführer. Vor zwei Jahren habe

0:03:46.260,0:03:50.290
ich mit einem Freund zusammen eine eigene[br]Firma gegründet "Digital Wolff und Plötz

0:03:50.290,0:03:54.270
GmbH und Co. Wir haben einen etwas[br]schwammigen, schwammige Selbstverständnis,

0:03:54.270,0:03:57.620
eigentlich sehr präzise Selbstverständnis,[br]das etwas schwieriger zu verstehen ist.

0:03:57.620,0:04:03.870
Dass die Digitalisierung in komplexen[br]Umfeldern. Wir entwickeln. Wir machen halt

0:04:03.870,0:04:07.200
Beratung, aber entwickeln halt auch[br]Software. Auf dieser Ebene gucke ich das

0:04:07.200,0:04:11.400
auch an bzw. andere Produkte. Für die[br]evangelische Kirche bauen wir den

0:04:11.400,0:04:15.030
digitalen Klingelbeutel. Wir sind jetzt[br]Zahlungsdienstleister. Zum Glück hat es

0:04:15.030,0:04:18.680
nichts damit zu tun. Ich bin. Ich freue[br]mich sehr, dass alles, was wir tun, an der

0:04:18.680,0:04:23.800
PSD2 vorbeigeschrammt ist, außer halt als[br]Privatkunde. Ich bin nämlich auch noch

0:04:23.800,0:04:30.640
neugieriger Nutzer. Wir haben gerade in[br]der Einführung gehört, dass jemand

0:04:30.640,0:04:33.230
durchaus eine App von mehreren Konten[br]haben könnte. Ich habe mal kurz

0:04:33.230,0:04:36.800
durchgezählt. Bei mir sind es neun[br]verschiedene Konten, weil ich auch noch

0:04:36.800,0:04:42.670
mehrere Hüte auf habe, also sowohl[br]Geschäftskunden, neun verschiedene Banken.

0:04:42.670,0:04:48.201
Konten sind es ein paar mehr. Als sowohl[br]geschäftliche Konten als auch

0:04:48.201,0:04:53.530
Privatkonnten bzw. Familien Konto. Als[br]auch ich bin in Vereinen, Vorstand,

0:04:53.530,0:05:00.310
Vereinskonten. Ich glaube sieben oder so.[br]Davon benutze ich auch regelmäßig. Der

0:05:00.310,0:05:04.280
Rest war halt so kostenloses Girokonto. Mal[br]ausprobieren, was die tun. Und dann sind

0:05:04.280,0:05:08.400
da halt 10 Euro drauf und man kann sehen,[br]wie die auf diese Umstellung reagiert

0:05:08.400,0:05:13.270
haben. Das hilft dann auch wieder beim[br]Entwickeln von Open-Source-Software. Wenn

0:05:13.270,0:05:18.360
man Testkonten hat und mal gucken kann,[br]was die Banken so anstellen. Agenda also.

0:05:18.360,0:05:22.910
Wir haben gerade gehört, worum es gehen[br]soll. Ich werde euch gleich den

0:05:22.910,0:05:29.191
wunderschönen vorher Zustand darstellen.[br]Die Begründungen geben, die die

0:05:29.191,0:05:32.880
Europäische Kommission gegeben hat, warum[br]diese Richtlinie veröffentlicht,

0:05:32.880,0:05:38.550
beschlossen werden sollte. Dann auf die[br]Frage antworten, was uns PSD2 wirklich

0:05:38.550,0:05:46.520
gebracht hat. In der Form, die schön ist[br]und dann in der Form. Was ist dann

0:05:46.520,0:05:54.280
tatsächlich herausgekommen? Ist mit einer[br]kurzen, kurzen Eingehen auf die Zeitlinie

0:05:54.280,0:06:02.020
und dann zu den diversen Problemen,[br]Ärgerungen, ja, Blutdruck kommen. Ich fand

0:06:02.020,0:06:06.220
das sehr schön. Als die zwei Minuten bevor[br]der Vortrag losging, war hier im Info

0:06:06.220,0:06:13.370
Beamer, eine Werbefolie für BTX. Irgendwo[br]hier stehen BTX Terminals, die man

0:06:13.370,0:06:18.180
ausprobieren kann. Es war ja nicht alles[br]schlecht in 2018 oder auch in den 80ern.

0:06:18.180,0:06:24.350
Schon seit den 80ern gibt es Online-[br]Banking für Privatkunden. In Deutschland

0:06:24.350,0:06:28.701
fing das halt so, in den frühen 80ern mit[br]BTX. Ich glaube der CCC hat ein bisschen

0:06:28.701,0:06:34.550
Geschichte mit BTX, der Eine oder Andere[br]wird sich erinnern. Es wurde 2007 leider

0:06:34.550,0:06:39.520
abgeschaltet, aber man hat bis dahin ganz[br]gut funktioniert. Daraus entstanden mehr

0:06:39.520,0:06:43.520
oder weniger direkt ist das sogenannte[br]HBCI-Buchstaben. Abkürzungen haben

0:06:43.520,0:06:50.250
vielleicht die meisten schon mal gehört:[br]Homebanking Computer Interface. Das ist

0:06:50.250,0:06:57.180
ein Datenübertragungen,[br]Kommunikationsprotokoll zum Austausch von

0:06:57.180,0:07:06.690
Bankdaten für Endanwender. Naja, komma[br]separierte Werte auf Drogen. Das hat

0:07:06.690,0:07:09.950
Semikolons als Trennzeichen, aber manchmal[br]sind dann auch noch Doppelpunkt

0:07:09.950,0:07:14.590
Trennzeichen und manchmal Pluszeichen[br]Trennzeichen. Was das... Ich habe es

0:07:14.590,0:07:18.450
implementiert. Es ist tatsächlich parsbar,[br]ich hätte es mir nicht gedacht. Es gibt durchaus

0:07:18.450,0:07:21.840
Protokolle, die nicht parsbar sind. Dies[br]gehört nicht dazu. Aber es erscheint mir

0:07:21.840,0:07:27.560
wie ein Zufall. <i>lachen</i> Es ist sehr[br]hierarchisch aufgebaut, die

0:07:27.560,0:07:30.692
Datenstrukturen sind hierarchisch, man[br]kann Dinge in Dinge, in Dinge tun. Aber es

0:07:30.692,0:07:35.523
gibt nur drei Ebenen von Trennzeichen, und[br]irgendwann sind dann die Trennzeichen

0:07:35.523,0:07:41.550
alle. Aber rein zufällig sind dann auch die[br]Ebenen alle. Das ist übergegangen, es

0:07:41.550,0:07:48.350
wurde immer wieder erweitert und[br]verbessert eingeführt 1998. Version 2.1

0:07:48.350,0:07:52.370
war, glaub ich, die erste brauchbare. Das[br]hat sich immer, wurde immer weiter

0:07:52.370,0:07:58.300
verbessert, ist übergegangen. HBCI[br]3.0 kennen die meisten, und dann wurde es

0:07:58.300,0:08:02.220
umbenannt in FinTS --- Financial[br]Transaction Services. Es war ursprünglich

0:08:02.220,0:08:08.320
ein rein deutsches Ding. Es ist ein rein[br]deutsches Ding. Mit FinTS haben Sie dann

0:08:08.320,0:08:12.110
versucht, das international einsetzbar zu[br]machen, unter anderem, in dem Sie es in

0:08:12.110,0:08:20.190
XML gegossen haben. Und ja, das XML ist[br]auch parsbar, aber doch eine der

0:08:20.190,0:08:25.500
unschönsten Implementierungen, wie man[br]sich das vorstellen kann. Es gibt auch

0:08:25.500,0:08:29.890
niemand, der das einsetzt. Ne, ist nicht[br]richtig. Es gibt tatsächlich eine zentrale

0:08:29.890,0:08:34.180
Liste, wo alle Banken drinstehen mit den[br]FinTS bzw. HBCI-Versionen, die sie

0:08:34.180,0:08:39.950
unterstützen. Sind ja. In Deutschland[br]erreicht man damit quasi jede Bank, manche

0:08:39.950,0:08:44.589
noch mit Version 2, ich glaub die Deutsche[br]Bank. Die meisten unterstützen Version 3,

0:08:44.589,0:08:49.760
und ich glaube, es gibt exakt einen Eintrag,[br]der FinTS Version 4 ankündigt. Wie gesagt,

0:08:49.760,0:08:57.750
benutzt niemand, 4. FinTS 3 total überall, weil[br]es damit erst der breiteren Öffentlichkeit

0:08:57.750,0:09:02.180
zugänglich wurde. Früher HBCI war ein[br]typisch deutsches Ding. Sehr schön, sehr

0:09:02.180,0:09:06.390
sicher. So, mit Smartcard in Computer[br]stecken. Dazu muss man erst mal die

0:09:06.390,0:09:13.260
Smartcard besorgen, eine PIN dafür haben,[br]einen separaten Berechtigungsvertrag bzw.

0:09:13.260,0:09:18.560
es gab auch ein Allternativverfahren, wo man[br]Disketten durch die Gegend... Briefe durch die

0:09:18.560,0:09:27.191
Gegend geschickt hat, auf denen RSA-Keys[br]abgedruckt waren. <i>lachen</i> Seit FinTS 3

0:09:27.191,0:09:30.611
gibt es auch als alternatives Verfahren[br]PinTan. Das ist, was die meisten in

0:09:30.611,0:09:34.640
Deutschland als Online-Banking kennen. Man[br]meldet sich mit seiner PIN an, hat dann

0:09:34.640,0:09:38.980
nur Lese Zugriff aufs Konto, und wenn man[br]eine Transaktion durchführen möchte,

0:09:38.980,0:09:42.729
braucht man einen Transactions[br]Autorisierung Nummer, eine TAN. Sehr

0:09:42.729,0:09:49.500
schön, sehr einfach. Leider demnächst tot.[br]Die Franzosen haben so etwas ähnliches wie

0:09:49.500,0:09:52.490
BTX. Sie haben minitel. Das ist aber auch[br]schon vor ein paar Jahren abgeschaltet worden.

0:09:52.490,0:09:57.080
Das ist so der Überblick für die anderen[br]Länder. Ansonsten wars das im Wesentlichen

0:09:57.080,0:10:02.370
an schönen, strukturierten Verfahren. Seit[br]den, seit der Mitte der 90 hier habe ich

0:10:02.370,0:10:06.460
einen Screenshot von Wells Fargo. Die[br]waren eine der ersten, die man hingeguckt

0:10:06.460,0:10:12.570
rechts oben Online-Banking anbieten 1995.[br]Man bemerke auch die Adresse. Das war vor

0:10:12.570,0:10:22.560
https, gab es einen Wildwuchs, das halt[br]viele Banken irgendeine Form von Online-

0:10:22.560,0:10:27.510
Banking angeboten haben, aber halt immer[br]durch das Web-Interface und immer mit

0:10:27.510,0:10:34.060
unterschiedlichen Formen von[br]Berechtigungs-Methoden und -Mechanismen .

0:10:34.060,0:10:38.680
Für Firmenkunden, sieht das Ganze noch[br]verwirrender bzw. besser aus. Das sind

0:10:38.680,0:10:42.140
halt alles nur die Privatkunden.[br]Firmenkunden haben schon schon wesentlich

0:10:42.140,0:10:45.350
früher angefangen, weil ja auch mehr[br]Transaktionen hatten, mit tatsächlich Disketten

0:10:45.350,0:10:50.620
durch die Gegend schicken, das[br]Datenträgeraustauschverfahren. Später gab

0:10:50.620,0:10:56.151
es dann Nachfolger BCS und das aktuelle[br]EBICS. Da werde ich dann gleich noch

0:10:56.151,0:11:01.960
drauf kommen, wenn ich die Situation bei[br]meiner Firma beschreibe, weil das mit dem

0:11:01.960,0:11:06.990
FinTS ist jetzt leider schade war. Es[br]ermöglichte damals interoperables

0:11:06.990,0:11:12.029
Multibanking. In FinTS selber sind[br]sogenannte Geschäftsvorfälle definiert.

0:11:12.029,0:11:15.720
Man kann halt nicht alle Banken[br]unterstützen alles. Aber man kann im

0:11:15.720,0:11:23.020
Wesentlichen abrufen, Kontoauszüge abrufen[br]oder Transaktionsliste. Man kann

0:11:23.020,0:11:26.361
Überweisungen einkippen oder Lastschriften[br]verursachen. Das ist das Wichtigste, was

0:11:26.361,0:11:30.280
man machen kann. Alle Banken haben noch[br]irgendwas anderes. Aber das Schöne ist, das

0:11:30.280,0:11:34.860
funktioniert eigentlich überall. Und dann[br]gibt es einfach auf meinem Handy eine App,

0:11:34.860,0:11:38.510
die das implementiert. Das Schöne daran[br]war, dass das Protokoll einfach frei im

0:11:38.510,0:11:44.570
Internet verfügbar war. Ursprünglich kommt[br]es von der ZKA der Zentrale Kreditausschuss.

0:11:44.570,0:11:47.510
Die haben sich irgendwann umbenannt und[br]haben sich bei der Bahn ein Beispiel

0:11:47.510,0:11:53.870
genommen und heißen jetzt DEKA. Die[br]Kreditwirtschaft <i>einzelne Lachen</i> oder

0:11:53.870,0:11:59.060
die deutsche Kreditwirtschaft je nachdem.[br]Da kann man die Spezifikation runterladen.

0:11:59.060,0:12:02.090
Wie gesagt, das ist prinzipiell parsbar.[br]Man kann es implementieren, ich habs

0:12:02.090,0:12:09.290
gemacht. Und dann braucht man nur noch[br]Benutzername und Pin, wie man sie von der

0:12:09.290,0:12:13.450
Bank erhalten hat und die gleichen[br]Zugangsdaten wie im Onlinebanking gelten.

0:12:13.450,0:12:16.590
Und man muss niemanden fragen, das finde[br]ich das Wichtigste, sondern muss niemand

0:12:16.590,0:12:19.410
fragen, wofür man eine Implementierung[br]schreibt. Man muss niemanden fragen, bevor

0:12:19.410,0:12:23.520
man die Implementierung benutzt. Ich habe[br]das für Vereinsverwaltungsoftware

0:12:23.520,0:12:30.089
geschrieben, das die gesamten Finanzen des[br]Vereins quasi vollautomatisiert

0:12:30.089,0:12:35.070
verarbeitet werden können, ohne dass[br]irgendjemand im Webinterface die Dinge

0:12:35.070,0:12:44.830
herunterlädt und irgendwo eingibt oder gar[br]abtippt. Das Schöne an diesem FinTS ist

0:12:44.830,0:12:50.510
eine der Eigenschaften von diesem FinTS[br]ist, dass es zukunftskompatibel ist. Man

0:12:50.510,0:12:54.351
kann halt, es gibt diese einzelnen[br]Datensätze, haben eine Versionsnummer, und

0:12:54.351,0:12:58.780
man kann dann jedes Mal eine neue Version[br]einführen. Der alte Datensatz funktioniert

0:12:58.780,0:13:02.610
weiterhin für die Banken oder die Software[br]nur das alte unterstützt. Man sieht daran

0:13:02.610,0:13:06.380
aber auch jedes Mal, wenn irgendwas in der[br]Geschichte passiert ist, wenn es neue

0:13:06.380,0:13:10.989
Regulierungen gab, die darauf Auswirkungen[br]hatten, dann kommt gibts halt eine neue

0:13:10.989,0:13:14.660
Version von z.Bsp. dem Datensatz zum[br]Anmelden, das dann plötzlich ein neues

0:13:14.660,0:13:18.630
Feld drin ist für ein SMS Abbuchungskonto.[br]Weil, ich weiß nicht genau wann das war,

0:13:18.630,0:13:24.490
2012 die EU beschlossen hat, dass der[br]Kunde das Konto angeben muss, von dem die

0:13:24.490,0:13:29.580
SMS Gebühren berechnet werden, die für die[br]AnmeldeTan benutzt werden. Später gab es

0:13:29.580,0:13:34.600
neue Veränderung, eine neue Versionen. Es[br]ist an der Stelle schön, dass man so quasi

0:13:34.600,0:13:38.890
in Fossilienmäßig sehen kann, was in der[br]Vergangenheit passiert ist, indem man sich

0:13:38.890,0:13:46.240
das Protokoll anguckt. Wie gesagt,[br]Multibanking war die wichtigste

0:13:46.240,0:13:49.570
Funktionalität um seine Finanzsoftware auf[br]deinem Computer oder deinem Telefon oder

0:13:49.570,0:13:53.720
auf deinem Server oder sonst wo zu haben[br]und sie funktioniert mit allen Banken in

0:13:53.720,0:14:03.110
Deutschland. Was gab es noch für der[br]andere wichtige Punkt für Endverbraucher

0:14:03.110,0:14:07.310
ist Onlineshopping. Ich möchte gerne[br]bezahlen. Ich brauche irgendeine Zahlung.

0:14:07.310,0:14:12.240
Da gab es gibt es immer noch Dienste wie[br]PayPal oder irgendwelche Wallit Dienste,

0:14:12.240,0:14:18.660
wo man auf eine beliebige Art vorher Geld[br]auflädt, das Geld ausgeben kann, was aber

0:14:18.660,0:14:22.980
nichts mit dem eigentlichen Bankkonto zu[br]tun hat. Was für den Verbraucher natürlich

0:14:22.980,0:14:26.740
wesentlich angenehmer ist, Konntobezogene[br]Zahlungsdienste, irgendwas, was direkt mit

0:14:26.740,0:14:30.450
meinem Konto, das ich sowieso habe,[br]verbunden ist. Am einfachsten für alle

0:14:30.450,0:14:35.040
Beteiligten ist die Vorkasse, kann man[br]halt vorher überweisen und kriegt dann

0:14:35.040,0:14:39.589
seinen Gut oder auch nicht. Am einfachsten[br]für den Verbraucher ist die Lastschrift,

0:14:39.589,0:14:46.240
verschickt halt der Versender das Gut und[br]belastet nachher das Konto. Beides nicht

0:14:46.240,0:14:52.340
so ideal. Deswegen gab es immer wieder[br]Versuche, andere Systeme einzuführen. Ich

0:14:52.340,0:14:55.440
glaube, die ersten waren die Niederländer[br]mit einem System, das so einen

0:14:55.440,0:15:01.340
integrierten Prozess anbot. Der Händler[br]kann das System ansprechen. Ihm sagen: Ich

0:15:01.340,0:15:07.019
hätte gerne von einem Benutzer so viel[br]Euro. Oder 2005, ja? Ich hätte gerne so

0:15:07.019,0:15:11.220
und so viel Geld von diesen Benutzer. Der[br]macht das dann auf der Webseite seiner

0:15:11.220,0:15:16.650
Bank mit den Zugangsdaten der Bank, gibt[br]den Betrag frei. Der Händler kriegt sofort

0:15:16.650,0:15:20.100
die Bestätigung, dass der Betrag[br]freigegeben wurde und kann sofort die Ware

0:15:20.100,0:15:24.459
losschicken. In Deutschland haben wir das[br]auch. Das kennt natürlich wieder keiner,

0:15:24.459,0:15:30.640
weil die Sparkassen sitzen es ein. Und[br]dann war's das fast. Das heißt Giropay,

0:15:30.640,0:15:37.910
und das ist, wie man Onlinezahlungen übers[br]Konto eigentlich machen würde. Parallel um

0:15:37.910,0:15:41.850
2006 entstand ein Dienstleister, ich hatte[br]vorhin einen anderen Namen, die

0:15:41.850,0:15:46.150
Sofortüberweisung. Das kennen Leute doch[br]noch, und man wundert sich ein bisschen,

0:15:46.150,0:15:51.990
dass überhaupt entstehen konnte. Also, ich[br]fand das Geschäftsmodell schon immer ein

0:15:51.990,0:16:00.450
bisschen komisch. Sofortüberweisung-in-[br]the-Middle. Der Benutzer gibt seine

0:16:00.450,0:16:03.579
Zugangsdaten, die er von seiner Bank[br]bekommen hat, auf der Webseite von

0:16:03.579,0:16:09.780
Sofortüberweisung ein. Sofortüberweisung[br]loggt sich bei der Bank ein. Macht, was

0:16:09.780,0:16:13.600
auch immer, gibt dem Händler halt[br]Bescheid, dass die Transaktion

0:16:13.600,0:16:19.040
durchgeführt worden ist und führt dem[br]Benutzer dann zum Händler zurück. Sie

0:16:19.040,0:16:23.540
geben ihr Indianerehrenwort, dass sie[br]nichts anderes tun, außer die Transaktion

0:16:23.540,0:16:27.360
freizuschalten und gegebenenfalls ein[br]Konto nachzuschauen, ob du Gebounste,

0:16:27.360,0:16:31.750
Überweisung oder sonst was hast.[br]Irgendeine Risikobewertung. Sie haben auch

0:16:31.750,0:16:35.770
TüV gibt TüV geprüften Datenschutz, der[br]TüV Saarland steht dafür gerade. Und wenn

0:16:35.770,0:16:39.199
ich mich richtig erinnere, haben sie sogar[br]dann doch noch etwas passiert, haben auch

0:16:39.199,0:16:42.959
noch eine Versicherung abgeschlossen.[br]<i>eizelne Gelächter</i> Falls das

0:16:42.959,0:16:53.709
Indianerehrenwort nicht reicht. Damals,[br]2012, verstieß das jetzt mal abgesehen vom

0:16:53.709,0:16:57.580
gesunden Menschenverstand auch gegen die[br]Teilnahmebedingungen für das Pin/Tan-

0:16:57.580,0:17:00.970
Verfahren, die ihr bei eurer Bank[br]unterschrieben habt. Ich habe hier das Mal

0:17:00.970,0:17:04.360
rausgesucht von der DKB. Der Teilnehmer[br]ist verpflichtet, die technische

0:17:04.360,0:17:10.029
Verbindung zum Onlinebanking der Bank nur[br]nur über die Internetseite der Bank oder

0:17:10.029,0:17:16.509
andere mitgeteilte Kommunikationswege[br]herzustellen. Um kurz zu illustrieren,

0:17:16.509,0:17:22.929
habe ich eine Abbildung aus der Wikipedia[br]herausgesucht. Eigentlich verstößt man

0:17:22.929,0:17:26.989
damit gegen die Bedingungen seiner Bank[br]und im schlimmsten Fall die Bank übernimmt

0:17:26.989,0:17:30.580
erst einmal nicht, garantiert nicht, dass[br]es funktioniert, übernimmt die Schäden

0:17:30.580,0:17:35.271
nicht. Es gab da dann so verschiedene[br]Banken, die versucht haben, das auch

0:17:35.271,0:17:39.029
technisch zu unterbieten, zu verbieten.[br]Ich habe da keine Bestätigung, aber ich

0:17:39.029,0:17:43.639
hörte die Geschichte, dass die Sparkasse[br]wohl versucht hätte, die Zufgriffe, die

0:17:43.639,0:17:47.030
Sofortüberweisung auslöst, zu blockieren,[br]indem sie die IP-Adresse sperren,

0:17:47.030,0:17:52.299
woraufhin dann drei Stunden später die[br]Zugrffe von drei anderen IP-Adressen kamen.

0:17:52.299,0:17:55.380
Da gab es auch juristische[br]Auseinandersetzungen, weil die Sparkasse

0:17:55.380,0:17:59.239
vorher, wie ich auf der vorherigen Folie[br]gezeigt habe, ein eigenes System anbot,

0:17:59.239,0:18:01.899
das als Mitbewerber gesehen werden kann.[br]Auch wenn es technisch halt richtig

0:18:01.899,0:18:06.309
rum ist, im Gegensatz zur[br]Sofortüberweisung, die falsch rum ist.

0:18:06.309,0:18:09.349
Deswegen wurde Ihnen dann verboten zu[br]versuchen, die Sofortüberweisung zu

0:18:09.349,0:18:14.359
torpedieren. Das zog auch so langsam ein.[br]Ich habe deswegen die DKB von 2012

0:18:14.359,0:18:18.799
rausgesucht, weil ich mich erinnere. Mein[br]Konto ist schon ein bisschen länger, dass

0:18:18.799,0:18:22.850
ich irgendwann AGB Änderungen mitgeteilt[br]bekommen habe. Da haben Sie halt diesen

0:18:22.850,0:18:26.549
Absatz einfach gestrichen. Und statt[br]dessen stand dort. "Sie dürfen die

0:18:26.549,0:18:32.130
Zugangsdaten nur auf der Webseite der DKB[br]eingeben, oder einem anderen von uns

0:18:32.130,0:18:36.200
autorisierten Zahlungsdienstleister siehe[br]Anhang." Der Anhang enthielt genau eine

0:18:36.200,0:18:45.060
Zeile "Sofortüberweisung.de", so nebenbei.[br]Um herauszufinden, was die Bedingungen von

0:18:45.060,0:18:53.090
2012 waren, musste ich bei mir bei der DKB[br]mal einloggen, um mein Postfach zu gucken,

0:18:53.090,0:18:57.050
wie wir gleich sehen werden, braucht man[br]zum Einloggen neuerdings manchmal eine TAN.

0:18:57.050,0:19:02.139
Dazu gibts den TAN Generator, der ein[br]Passwort will, das ich natürlich nicht

0:19:02.139,0:19:06.919
mehr wusste, aber gar kein Problem, es hat[br]einen Rücksetzfluß. Man kann sich einfach

0:19:06.919,0:19:09.480
eine SMS schicken lassen und den TAN[br]Generator zurücksetzen und dann

0:19:09.480,0:19:20.460
funktioniert es wieder. OK, glaube, das[br]Passwort brauche ich mir nicht merken. So das

0:19:20.460,0:19:33.800
war der Zustand bis Anfang diesen Jahres,[br]bis Mitte dieses Jahres. 2015 kam diese

0:19:33.800,0:19:37.169
Zahlungsrichtlinie heraus, und das ist die[br]Begründung, warum die herausgebracht wird,

0:19:37.169,0:19:44.089
die dort stehen. Unter anderem seit der[br]vorherigen Richtlinie 2007, die PSD, die

0:19:44.089,0:19:49.100
Zahlungsrichtlinie, nicht die[br]Zahlungsrichtlinie 2, sind neue Arten von

0:19:49.100,0:19:54.460
Zahlungsdiensten entstanden. Vor allen[br]Dingen Zahlungsauslösedienste. Ein anderes

0:19:54.460,0:20:02.779
Wort für Sofortüberweisung. Oder[br]Kontoinformationsdienste. Diese Richtlinie

0:20:02.779,0:20:07.020
soll darauf abzielen, die Kontinuität im[br]Markt sicherzustellen. Mit anderen Worten

0:20:07.020,0:20:10.619
Diese Richtlinie ist in keiner Form[br]gedacht oder geeignet, irgendeinen der

0:20:10.619,0:20:16.020
bisherigen Player am Markt zu[br]benachteiligen oder zu disruptieren.

0:20:16.020,0:20:21.270
Ich las irgendwann mal den schönen Satz[br]Lex-Sofortüberweisung. Hier ist die

0:20:21.270,0:20:25.509
Gegenüberstellung von der[br]Zahlungsdiensterichtlinie 2007 und

0:20:25.509,0:20:31.619
Zahlungsdiensterichtlinie 2 2015. Die[br]haben relativ langes Zeugs und unglaublich

0:20:31.619,0:20:34.569
komplizierte Sätze an einigen Stellen. Man[br]muss so 2 Minuten lang lesen, um

0:20:34.569,0:20:39.450
herauszufinden, dass das... A. Diese[br]Richtlinie gilt nicht für Geldabheben im

0:20:39.450,0:20:46.250
Supermarkt. Der Satz, der das beschreibt[br]ist vier Zeilen lang. Es gibt einen

0:20:46.250,0:20:51.159
Anhang, der steht, worauf sie sich[br]bezieht. Die ersten Paar sind gleich

0:20:51.159,0:20:54.240
geblieben, und in[br]Zahlungsdiensterichtlinie 2 sind

0:20:54.240,0:21:00.260
neuerdings Zahlungsauslösedienste und[br]Kontoinformationsdienste hinzugekommen. Und

0:21:00.260,0:21:09.169
dann noch ein paar Regeln dazu. Was hat also[br]diese PSD2 gebracht? Die neuen Kategorien des

0:21:09.169,0:21:15.049
Zahlungsauslösedienstleisters und des[br]Konto-Informationsdienstleisters, neue

0:21:15.049,0:21:20.179
Sicherheitsmaßnahmen. Das ist der Teil,[br]den die meisten mitgekriegt haben. Die

0:21:20.179,0:21:25.860
sogenannte starke Kundenauthentifizierung[br]SCA, Strong Customer Authentification.

0:21:25.860,0:21:29.820
Damit zusammenhängend eine ganz[br]merkwürdige 90-Tage-Regelung, die keiner

0:21:29.820,0:21:35.279
so richtig versteht und nur manchmal[br]angewendet wird. Ich weiß nicht, ob das

0:21:35.279,0:21:38.850
haben die wenigsten mitgekriegt, ausser[br]wenn Sie sich geärgert haben, dass Timeout

0:21:38.850,0:21:42.959
im Onlinebanking ist heruntergesetzt worden[br]auf fünf Minuten. Wenn man nicht alle fünf

0:21:42.959,0:21:45.709
Minuten etwas anklickt, zum Beispiel, weil[br]man gerade versucht TAN Generator heraus-

0:21:45.709,0:21:53.099
zusuchen, wird man ausgeloggt, und muss sich[br]wieder einloggen und eine TAN eingeben. Es

0:21:53.099,0:21:57.090
gibt, das ist tatsächlich ganz positiv, neue[br]Transparenzpflichten. Das ist so der Teil,

0:21:57.090,0:22:01.940
den die wenigsten mitkriegen, weil man das[br]mal so abnickt. Da steht dann drin, dass

0:22:01.940,0:22:05.809
alle Dienstleister jetzt auch dieses Mal[br]ordentlich und transparent darüber

0:22:05.809,0:22:10.200
Auskunft geben müssen, welche Kosten[br]entstehen, welche Gebühren entstehen, die

0:22:10.200,0:22:14.639
Gebührenstruktur nachvollziehbar sein[br]soll, dass man sie auf einem dauerhaften

0:22:14.639,0:22:25.600
Datenträger ausgehändigt bekommen muss. Es[br]gibt in der PSD2 neue Meldepflichten, zum einen

0:22:25.600,0:22:32.090
an die Bundesbank bzw. die Bankenaufsicht.[br]Zum anderen vor der Aufnahme des Betriebs

0:22:32.090,0:22:37.499
muss man sich registrieren lassen. Das[br]finden glaube ich alle ganz gut. Wir hatten mal

0:22:37.499,0:22:41.029
ein Meeting bei der Bundesbank, die meinten,[br]das fanden sie ganz toll, dass sie jetzt

0:22:41.029,0:22:44.580
diese Daten über den Finanzmarkt kriegen und[br]die Finanzmarktstabilität besser

0:22:44.580,0:22:50.289
einschätzen können. Besser bewerten[br]können, weil für einen Dienstleister nach

0:22:50.289,0:22:54.290
dieser Richtlinie jetzt sehr ausführlich[br]vorgeschrieben ist, welche

0:22:54.290,0:22:59.019
Risikokategorien, welche Risikobewertung[br]er machen muss und in welcher Form er

0:22:59.019,0:23:02.239
diese Daten dann nach oben melden muss[br]auch was Betrugsversuche und erfolgreichen

0:23:02.239,0:23:08.970
Betrug angeht. Und es gibt neue[br]Schnittstellen. Naja, mehr oder weniger.

0:23:08.970,0:23:14.289
In der Zahlungsdiensterichtlinie bzw. tech-[br]nischen Durchführung ist von dedizierten

0:23:14.289,0:23:19.509
Schnittstellen für Zahlungsauslösedienste[br]bzw. Kontoinformationsdienste die Rede, die

0:23:19.509,0:23:25.410
angeboten werden müssen. Neudeutsch sagt[br]man dazu API. Das ist dann das, was unter

0:23:25.410,0:23:32.270
PSD2 API überall läuft. Es steht[br]allerdings nicht drin, wie der aussehen

0:23:32.270,0:23:40.579
soll, nur was sie leisten können. Die[br]neuen Kategorien. Wie gesagt,

0:23:40.579,0:23:48.279
Zahlungsauslösedienst ist jemand, der im[br]Auftrag von jemandem eine Zahlung auslöst.

0:23:48.279,0:23:53.090
Also Sofortüberweisung.de oder theoretisch[br]auch andere. Aber man muss bestimmte

0:23:53.090,0:23:57.879
Voraussetzungen erfüllen, um überhaupt in[br]diese Kategorie fallen zu können. Das hält

0:23:57.879,0:24:02.129
unter anderem eine ganze Menge[br]Eigenkapital und Zertifizierungen und so

0:24:02.129,0:24:06.509
weiter. Und Kontoinformationsdienste.[br]Damit ist das, was wir früher unter

0:24:06.509,0:24:12.749
Multibanking gekannt haben. Ich bin mir[br]nicht ganz sicher, welche wie die Leute

0:24:12.749,0:24:15.960
drauf waren, die das formuliert haben oder[br]geschrieben haben. Aber sie hatten

0:24:15.960,0:24:18.750
offensichtlich kein Handy, auf dem sie[br]eine App installiert haben, wo man alle

0:24:18.750,0:24:22.339
seine Konten hat, sondern sie haben es[br]auf einer Webseite gemacht. Es ist also

0:24:22.339,0:24:28.619
neuerdings vorgesehen, dass ein online[br]Anbieter, eine Webseite, ein Portal halt sich

0:24:28.619,0:24:32.870
auf alle meine Konten einloggt und mir[br]dann auf der Webseite anzeigt, wie mein

0:24:32.870,0:24:37.950
Finanzstatus ist. Dazu muss sie natürlich[br]sich überall einloggen können. Und dann

0:24:37.950,0:24:42.749
braucht man neue Richtlinien, Regulierung[br]und den ganzen Kram. Ein kurzer Blick

0:24:42.749,0:24:47.239
zurück, wie man sich das dachte. Ich habe[br]beim Recherchieren, ich fand es total

0:24:47.239,0:24:53.280
toll, ein Screenshot von Heise aus dem[br]Newsticker vom Jahr 2000. Das stimmt

0:24:53.280,0:24:58.890
nicht. Das Datum ist falsch. Ich glaube,[br]es war 2016. Ein Screenshot von 2016, wie

0:24:58.890,0:25:04.729
wir uns die schöne neue Zukunft mit PSD2[br]vorstellen. Aktuell muss man durch ein

0:25:04.729,0:25:11.519
Bezahldienstleister gehen, der mit meiner[br]Kreditkarte zur Bank geht. Neuerdings kann

0:25:11.519,0:25:20.669
der Online-Shop via PSD2-API direkt auf[br]das Bankkonto zugreifen. Ja, ne. *einzelne

0:25:20.669,0:25:27.680
Kommentare* Ich nenne das die Lüge von der[br]dritten Partei. Ein kurzer Blick, wie wir

0:25:27.680,0:25:34.729
das bei uns einer Firma hatten. Wir haben[br]Abrechnungssoftware, Personalverwaltung,

0:25:34.729,0:25:39.570
Lohnbuchung, den ganzen Kram. Die hat dann[br]einfach über FinTS mit meiner Bank

0:25:39.570,0:25:42.120
geredet. Ein Rechner, der bei mir in[br]meiner Firma steht, der gehört mir, da ist

0:25:42.120,0:25:45.730
Software drauf installiert, die ich[br]gekauft habe. Und da ist mal meine Bank,

0:25:45.730,0:25:48.380
und dazwischen ist halt ein[br]Vertrauensverhältnis, weil das meine Bank

0:25:48.380,0:25:51.950
ist und ich gebe irgendwie meine[br]Zugangsdaten meiner Bank. Und dann

0:25:51.950,0:25:58.809
funktioniert das hervorragend. Das ist zum[br]14. September 2019 abgeschaltet worden.

0:25:58.809,0:26:02.809
Datev hat uns gesagt, Sie haben einen[br]neuen Kooperationspartner, die FinApi

0:26:02.809,0:26:07.629
GmbH. Das heißt, neuerdings läuft das so,[br]dass die Daten meiner Firma erstmal an das

0:26:07.629,0:26:14.509
Datav Rechenzentrum gehen, von dort an die[br]FinAPI GmbH, die dann die API

0:26:14.509,0:26:21.070
implementiert, die meine Bank implementiert.[br]Ich weiß nicht, ich kann es hier vorne ganz

0:26:21.070,0:26:25.270
gut sehen, aber das Logo der FinAPI GmbH, ist[br]deswegen sehr schön weil da steht Schufa

0:26:25.270,0:26:31.940
Comany. FinApi hat sich aufkaufen lassen[br]bzw. Mehrheitsbeteiligung der Schufa Holding

0:26:31.940,0:26:38.000
GmbH. <i>einzelne Gelächter</i> In der schönen[br]neuen Welt gehen alle meine Daten jetzt

0:26:38.000,0:26:43.099
mal nicht abgesehen davon, dass sie durch[br]Datev gehen, auch noch durch die Schufa,

0:26:43.099,0:26:48.099
die natürlich verpflichtet sind, damit[br]nichts Böses zu tun. Allerdings habe ich

0:26:48.099,0:26:51.019
mit der Schufa irgendwie auch keinen[br]Vertrag dazu abgeschlossen, sondern ich habe

0:26:51.019,0:26:55.550
meinen Vertrag mit jemandem anderen,[br]deswegen nicht so schön. Überall wird

0:26:55.550,0:27:00.399
immer von Drittdienstleistern gesprochen,[br]das heißt immer die dritte Partei

0:27:00.399,0:27:04.545
implementiert halt PSD2 API. Das ist ja[br]falsch! Sind ja immer vier Parteien

0:27:04.545,0:27:13.269
beteiligt. Es ist ja immer ich, ich kann[br]mal, ich darf nicht mich vorbeugen ich

0:27:13.269,0:27:17.689
nehme mal diesen Laserpointer hier, es ist[br]ja immer ich daran beteiligt es ist ja

0:27:17.689,0:27:21.479
immer meine Bank daran beteiligt sind wir[br]schon bei zweien. Dann gibt es irgendwas

0:27:21.479,0:27:25.460
was ich in Wirklichkeit machen möchte.[br]Also meinetwegen Zahlungen, das wäre dann

0:27:25.460,0:27:29.350
meinetwegen Zahlungen. Das wäre hier so[br]irgend eine Partei. Aber de facto muss es immer

0:27:29.350,0:27:32.239
immer eine vierte Partei geben, einen[br]neuen Gatekeeper, der dann die API

0:27:32.239,0:27:36.249
tatsächlich implementiert. Ich sag gleich[br]warum. Aber im Wesentlichen läuft es

0:27:36.249,0:27:41.049
darauf hinaus, dass die hier einen[br]bevorzugten Zugang zu allen Banken

0:27:41.049,0:27:45.390
erhalten, der nicht so einfach auf einer[br]der anderen drei Ebenen, zum anderen

0:27:45.390,0:27:48.580
beiden Ebenen zu implementieren ist. Es[br]gibt aber eigentlich immer eine vierte

0:27:48.580,0:27:53.029
Partei. Es gibt quasi keinen Anwendungs-[br]fall, der mir einfällt, wo es nur drei

0:27:53.029,0:27:56.429
Parteien sind, außer vielleicht[br]der Kontoinformationendienstleister, der

0:27:56.429,0:28:01.969
selber ein Webportal betreibt, auf dem ich[br]meinen Kontostand einsehen kann. Der

0:28:01.969,0:28:08.320
einzige Fall, der einem einfällt, wo es[br]nur drei sind. Die PSD2 API schreibt, wie

0:28:08.320,0:28:15.279
gesagt, einen offenen Zugriff vor. Naja, offen[br]ist halt so gemeint wie ein Bürokrat das

0:28:15.279,0:28:20.779
als offen versteht. Es ist kein[br]Vertragsverhältnis erforderlich zwischen

0:28:20.779,0:28:25.179
den Banken und den Leuten, die darauf[br]zugreifen, das ist schon mal ganz gut. Die

0:28:25.179,0:28:29.070
Banken sind verpflichtet, ein API[br]anzubieten, aber es steht halt nur, dass

0:28:29.070,0:28:32.200
es verfügbar sein muss und was es leisten[br]können muss und dass es genauso gut sein

0:28:32.200,0:28:38.019
muss wie der Zugriff, den die Bank dem[br]Kunden direkt anbietet. Und die gleichen

0:28:38.019,0:28:41.200
Servicelevel Agreements erfüllen muss, die[br]gleiche Verfügbarkeit haben muss. Es steht

0:28:41.200,0:28:44.869
nicht drin, wie es tatsächlich[br]ausgestaltet ist. Es steht nicht drin,

0:28:44.869,0:28:50.190
welche Spezifikation dies erfüllen soll.[br]Das führt dazu, dass nicht jede Bank

0:28:50.190,0:28:54.789
entwickelt ihr eigenes API. Die haben gar[br]keine Lust darauf. Die kaufen schon noch

0:28:54.789,0:29:02.129
APIs von externen Dienstleistern diese[br]Funktionalität ein. Aber dennoch gibt es

0:29:02.129,0:29:05.881
eine größere Handvoll an verschiedenen[br]APIs, die von verschiedenen Banken

0:29:05.881,0:29:12.269
eingesetzt werden. Die, wenn ich also,[br]wenn ich eine Funktionalität

0:29:12.269,0:29:15.179
implementieren möchte, die auf[br]Zahlungskonten zugreift, muss ich sie

0:29:15.179,0:29:19.249
eigentlich alle implementieren. Oder ich[br]nehme mir einen zusätzlichen Dienstleister

0:29:19.249,0:29:24.820
wie die FinApi dazu, der dann für mich[br]alle implementiert. Es gibt ein quasi-

0:29:24.820,0:29:30.459
Standard. Die Berlin Group hat sich[br]zusammengesetzt, um eine PSD2 API zu

0:29:30.459,0:29:34.090
spezifizieren, die jeder implementieren[br]kann, wo dann alle Seiten nur einmal das

0:29:34.090,0:29:37.000
machen müssen. Die Webseite ist ein[br]bisschen schlimm, ist relativ schwierig,

0:29:37.000,0:29:42.871
den Standard herunterzuladen. Aber das ist[br]mittlerweile der quasi-Standard. Es gibt

0:29:42.871,0:29:49.289
noch keinen echten Standard. Voraussetzung[br]dafür ist, um die PSD2 API nutzen zu

0:29:49.289,0:29:55.650
können, dass ich ein lizensierte bzw.[br]registrierter Dienstleister bin. Gute

0:29:55.650,0:30:00.070
Nachricht, ich hab nicht notwendigerweise[br]Eigenkapitalanforderungen. Also, ich als

0:30:00.070,0:30:02.789
Privatperson kann es leider nicht machen,[br]aber zumindest meine juristische Person

0:30:02.789,0:30:05.480
kann ich schnell gründen ohne[br]Eigenkapital. Wenn ich eine

0:30:05.480,0:30:08.309
Berufshaftpflichtversicherung abschließen.[br]Das gilt auch nur für

0:30:08.309,0:30:14.879
Kontoinformationsdienstleister. Sobald ich[br]Zahlungsauslösedienst sein möchte, muss

0:30:14.879,0:30:25.880
ich 50.000 Euro Eigenkapital Anfangskapital[br]hinlegen. Die meisten Dienstleistungen

0:30:25.880,0:30:28.489
oder die meisten Funktionen, die ich mir[br]vorstellen könnte, machen mit nur

0:30:28.489,0:30:32.779
Kontoinformation nicht so viel Sinn. Wenn[br]ich an meinem Beispiel des Vereins denke,

0:30:32.779,0:30:36.130
wenn ich die Vereinsverwaltung mache,[br]möchte ich halt sowohl Zahlungseingänge

0:30:36.130,0:30:40.870
verbuchen können als auch mindestens[br]Lastschriften auslösen können. Und da bin

0:30:40.870,0:30:45.629
ich schon Zahlungsauslösedienst, und der[br]Zug ist abgefahren in meinem Verein hat

0:30:45.629,0:30:52.409
keine 50.000 Euro. Plus Zugang ist offen.[br]Solange ich ein qualifiziertes

0:30:52.409,0:30:57.150
elektronisches Zertifikat habe, das mich[br]als registrierter Zahlungsauslösedienst

0:30:57.150,0:31:03.900
ausweist. In der gesamten Spec kommt das[br]Konzept. Dies ist kein Cloud-Dienst. Dies

0:31:03.900,0:31:07.800
ist eine Software, die ich herunterladen[br]und ausführen kann, einfach nicht vor.

0:31:07.800,0:31:11.989
PSD2 API ist komplett nutzlos für Leute,[br]die Software auf ihrem eigenen Rechner

0:31:11.989,0:31:18.569
ausführen wollen. Was kann sie denn noch?[br]Neu dazugekommen ist schon Customer

0:31:18.569,0:31:26.090
Authentification, das ist das mit dem[br]Blutdruck. Neuerdings kann manchmal Ich

0:31:26.090,0:31:30.570
komme gleich drauf, Strong Customer[br]Authentication gefordert werden, und

0:31:30.570,0:31:36.890
das bedeutet, dass mindestens zwei der[br]Elemente Wissen, Besitz und Inhärenz

0:31:36.890,0:31:44.559
benutzt werden müssen. Inhärenz ist das[br]fancy Wort für Biometrie. Müssen benutzt

0:31:44.559,0:31:48.089
werden und müssen voneinander unabhängig[br]sein. Dann steht da also Kram drin. Unter

0:31:48.089,0:31:51.269
anderem steht da auch drin, dass nach fünf[br]Fehlversuchen der Zugang gesperrt werden

0:31:51.269,0:31:57.990
muss. Die Abmeldungen nach fünf Minuten[br]Inaktivität kommt auch darin vor.

0:31:57.990,0:32:01.789
Verpflichtend ist eine dynamische[br]Verknüpfung der Customer Authentication

0:32:01.789,0:32:07.129
mit dem jeweiligen Vorgang. Das heißt,[br]iTAN Listen sind halt absolut verboten. Es

0:32:07.129,0:32:12.460
muss in jedem Fall der Code auf irgend[br]eine Art mit dem Betrag den ich überweisen

0:32:12.460,0:32:17.879
möchte verbunden sein. Hier steht auch die[br]Formulierung, dass dafür gesorgt werden

0:32:17.879,0:32:23.299
muss, dass Mechanismen vorhanden sind, die[br]sicherstellen, dass die Software oder das

0:32:23.299,0:32:29.819
Gerät nicht vom Zahler oder einem Dritten[br]verändert wurden. Es war dann das wo ich

0:32:29.819,0:32:32.860
meinen Blutdruck gekriegt habe, weil ich[br]mein Android-Telefon natürlich gerootet

0:32:32.860,0:32:36.130
habe, unter anderem um Backups machen zu[br]können und mir die App dann

0:32:36.130,0:32:41.359
freundlicherweise sagt "Ja ne, ist nicht,[br]ist ja gerootet". Und dann überlegt man

0:32:41.359,0:32:45.119
sich nochmal, was gerootet bedeutet, na ja[br]bedeutet, dass das Telefon unter anderem

0:32:45.119,0:32:48.289
in der Lage wäre, über seinen Zustand zu[br]lügen. Die App möchte nicht funktionieren

0:32:48.289,0:32:51.150
auf einem Telefon, das in der Lage wäre,[br]über seinen Zustand zu lügen, es sei denn

0:32:51.150,0:32:54.710
natürlich, das Telefon lügt über seinen[br]Zustand so gut, dass die App dann doch

0:32:54.710,0:32:58.709
wieder funktioniert. Das war dann für mich[br]die Motivation doch mal magisk

0:32:58.709,0:33:04.880
auszuprobieren, dass ein hinreichend[br]erfolgreiche Rootdetectionsverhinderung

0:33:04.880,0:33:11.400
hat, wobei es dann wieder zu so einer[br]Waffen Spirale kommt, das mit zunehmenden

0:33:11.400,0:33:15.019
App Updates die Detection besser wird was[br]dazu führt, dass die Leute die die

0:33:15.019,0:33:20.940
Detection verhindern, wieder besser werden[br]und ich dann am Ende doch ein zweites

0:33:20.940,0:33:25.809
Gerät habe <i>lächelt</i>, auf dem ich die Tan[br]Apps ausführe, die sich zurzeit nicht

0:33:25.809,0:33:32.579
austricksen lassen und am Ende halt für[br]vollkommenen Unfug. Wird noch besser. Das

0:33:32.579,0:33:37.679
Feature nennt sich "Surprise SCA". Bisher[br]war die Sache einfach. Ich habe mich mit

0:33:37.679,0:33:40.829
der PIN angemeldet, dann hab ich einen[br]read-only Zugang gekriegt. Wenn ich

0:33:40.829,0:33:44.849
irgendwas read-write-mäßiges machen[br]wollte, musste ich eine TAN eingeben, die

0:33:44.849,0:33:50.419
auf diesen Vorgang bezogen war. Jetzt[br]brauche ich die TAN für wesentlich mehr.

0:33:50.419,0:33:53.519
Und zwar brauche ich die TAN teilweise zum[br]Anmelden, also die genaue Formulierung

0:33:53.519,0:33:57.639
die genaue Formulierung ist zum Zugriff[br]auf Kontodaten oder sensible Kontodaten,

0:33:57.639,0:34:00.739
damit ist halt in der Regel Anmelden in[br]der App beziehungsweise im Web-Interface

0:34:00.739,0:34:07.239
gemeint, ausser manchmal. Es gibt vier[br]oder fünf Seiten in der technischen

0:34:07.239,0:34:13.160
Richtlinie, die Ausnahmen beschreiben.[br]Also zum einen darf ich die SCA weg lassen

0:34:13.160,0:34:18.630
wenn ich nur Zahlungskontoinformationen[br]bis 90 Tage alt abrufe, außer beim ersten

0:34:18.630,0:34:23.650
Mal oder wenn das letzte Mal mehr als 90[br]Tage her ist. Da kommen die 90 Tage her,

0:34:23.650,0:34:26.700
du musst die TAN alle 90 Tage eingeben,[br]weil dann die Ausnahme garantiert nicht

0:34:26.700,0:34:34.260
mehr gilt. Bei kontaktlos Zahlungen sind[br]es 50 Euro. Die ohne PIN bzw. Strong

0:34:34.260,0:34:38.670
Customer Authentification, weil den Besitz[br]habe ich ja durch die Karte immer

0:34:38.670,0:34:44.230
gewährleistet, die ohne zusätzliche PIN[br]möglich sind. Ausser es sind schon 150€

0:34:44.230,0:34:48.370
vergangen seit dem letzten Mal.[br]Parkgebühren sind grundsätzlich ohne SCA,

0:34:48.370,0:34:54.260
das ist sehr angenehm. Vertrauenswürdige[br]Empfänger sind ohne SCA, ausser natürlich

0:34:54.260,0:34:58.980
der Vorgang, vertrauenswürdige Empfänger[br]zu definieren. Wiederkehrende

0:34:58.980,0:35:03.600
Zahlungsvorgänge ab dem zweiten Mal kann[br]ich auch ohne machen. Überweisungen auf

0:35:03.600,0:35:09.620
ein anderes Konto derselben Person können,[br]ohne sein. Kleinstbetragszahlung bis 30€

0:35:09.620,0:35:15.460
können ohne sein, außer manchmal.[br]Unternehmen fallen eher ganz raus das war

0:35:15.460,0:35:20.820
dann unsere Lösung gegen das FinTS FinAPI[br]Fiasko. Es gibt einfach EBICS, da ist dann

0:35:20.820,0:35:24.300
quasi nichts drin. Es ist dann so, man[br]wirft die Zahlung dahin und wenn die halt

0:35:24.300,0:35:28.000
von der Firma kommen, dann werden die halt[br]so stimmen. Da braucht niemand mehr

0:35:28.000,0:35:33.470
irgendwo eine TAN eingeben und[br]Transaktions Risikoanalysen, die

0:35:33.470,0:35:37.410
modifizieren den ganzen Kram wieder. Also[br]die können dann sowohl bei bisherigen

0:35:37.410,0:35:41.560
Ausnahmen die SCA wieder erfordern als[br]auch, man kann halt sagen, na gut, die

0:35:41.560,0:35:46.411
Zahlung hat ein so geringes Risiko, dass[br]ich dann doch wieder keiner SCA brauche.

0:35:46.411,0:35:51.050
Außer natürlich die laufende Berechnung[br]der Betrugsraten, die ich verpflichtet bin

0:35:51.050,0:35:53.660
durchzuführen. Ergibt, das eine höhere[br]Betrugsrate eingesetzt hat, da muss ich

0:35:53.660,0:36:00.560
wieder dauernd SCA machen.[br]Schlussfolgerung: In Summe ist es von

0:36:00.560,0:36:05.870
außen nicht vorhersehbar, wann eine TAN[br]verwendet werden muss. Das macht beim User

0:36:05.870,0:36:09.820
Interface Design. Ich weiß nicht, wie viele sich[br]mal damit beschäftigt haben. Natürlich

0:36:09.820,0:36:14.250
besonders viel Spaß. Also, ich hab das in[br]Byro, das ist eine Web-App. Ein bisschen

0:36:14.250,0:36:17.220
schwierig, wenn man irgendwie auf SUBMIT[br]drückt und dann passiert halt nicht das,

0:36:17.220,0:36:22.389
sondern da kommt erst mal: Übrigens musst[br]noch eine TAN eingeben. Das ist für den

0:36:22.389,0:36:27.000
User natürlich total verwirrend, weil der[br]sich auf nichts mehr verlassen kann. Er

0:36:27.000,0:36:31.340
kann halt nicht mehr vorhersehen, was[br]passiert, wenn er ein Knopf drückt. Das

0:36:31.340,0:36:39.310
ist für automatisierte Dienste, die FinTS[br]benutzen wollen, total unmöglich, weil ich

0:36:39.310,0:36:42.200
selbst von den Vorgängen, von denen ich[br]bisher ausgegangen bin, dass sie zum

0:36:42.200,0:36:45.860
Beispiel read-only sind und keine TAN[br]brauchen. Wenn ich also zum Beispiel die

0:36:45.860,0:36:50.410
Kontoeingänge bei meinem Verein laufend[br]verbuchen möchte und einen Cronjob starte,

0:36:50.410,0:36:55.360
der alle x-Tage mal abruft, kann es[br]passieren, dass dann trotzdem wieder Mal

0:36:55.360,0:36:59.300
eine TAN nötig ist. Ich kann halt auch[br]nicht den Zugriff unterdrücken. Ich weiß

0:36:59.300,0:37:02.320
es halt nicht vorher. Es kann halt[br]irgendeinen ein Sonderfall eingetreten

0:37:02.320,0:37:05.212
sein. Und wenn man dann so einen[br]Pushdienst verwendet, ist es

0:37:05.212,0:37:08.010
halt toll, weil derjenige, dem der Zugang[br]gehört, dann plötzlich eine Push-

0:37:08.010,0:37:10.600
Nachrichten kriegt. Und es ist nicht ganz[br]zu unterscheiden, ob das jetzt derselbe

0:37:10.600,0:37:18.080
aufgesetzte, automatisierte Vorgang war[br]oder ob es irgendein anderer Bösewicht.

0:37:18.080,0:37:21.930
Die verschiedenen Banken handhaben das[br]auch sehr unterschiedlich. Bei der DKB zum

0:37:21.930,0:37:26.050
Beispiel muss man jedes Mal eine TAN[br]eingeben, wenn man sich irgendwo einloggt.

0:37:26.050,0:37:30.760
Bei der Sparkasse nicht. Die Sparkasse[br]macht Gebrauch von den 90 Tagen Ausnahmen.

0:37:30.760,0:37:33.640
Dafür muss man bei der Sparkasse die TAN[br]eingeben, wenn man einen Suchvorgang

0:37:33.640,0:37:38.580
startet, der mehr als 90 Tage[br]beinhaltet. Die DKB hat gesagt, dass es

0:37:38.580,0:37:43.330
Ihnen zu umständlich. Deswegen fragen Sie[br]immer nach der TAN. Außer man hat halt,

0:37:43.330,0:37:47.060
dann sind danach alle Transaktionen ohne[br]TAN. Ausser natürlich es sind wieder fünf

0:37:47.060,0:37:56.380
Minuten vergangen. *Stimmen im Publikum"[br]Euch fällt auf, das passiert eigentlich

0:37:56.380,0:37:59.950
nur bei solchen EU-Richtlinien oder[br]solchen EU-Regulierung. Ich weiß nicht,

0:37:59.950,0:38:04.481
wer ein PayPal-Konto hat, PayPal hat seit[br]immer kein 2-Faktor-System. Die machen

0:38:04.481,0:38:08.730
einfach irgendwas: Keine Ahnung die machen[br]auch Transaktionsrisiko und Zeugs. Die

0:38:08.730,0:38:12.090
wissen halt, dass so eine TAN eigentlich[br]nur dazu führt, dass der Nutzer den

0:38:12.090,0:38:16.310
Prozess im Zweifelsfall einfach abbricht,[br]was halt bei Zahlungen doof ist, weil dann

0:38:16.310,0:38:22.000
die Einnahmen entgehen. Das ist einer der[br]Gründe, warum PayPal das nicht hat und

0:38:22.000,0:38:24.660
Leute immer wieder sagen "Ihr seid doch so[br]unsicher" und am Ende naja eigentlich

0:38:24.660,0:38:31.050
nicht offensichtlich, weil sie sind ja[br]noch am Markt. Der Effekt Multi-Banking

0:38:31.050,0:38:33.850
haben wir gehört. Ich habe eine App, wo[br]ich alle meine Dinge drin hat. Führte

0:38:33.850,0:38:41.860
dazu, dass ich Multifaktor habe. Hier den[br]Dilo Delwitz Witz einfügen. Das sind die

0:38:41.860,0:38:46.020
TAN-Generierungsapps im Wesentlichen, die[br]ich auf meinem Telefon habe. Ich habe

0:38:46.020,0:38:50.840
neulich mal in meiner, ich glaube kurz[br]nach dem 14. September in meiner

0:38:50.840,0:38:54.680
Online-Banking-App versehentlich auf alle[br]Konten aktualisieren gedrückt, was dazu

0:38:54.680,0:39:02.090
führte, dass ich acht, neun verschiedene[br]TANs eingeben musste, eine davon zweimal

0:39:02.090,0:39:07.410
auf vier verschiedenen Modalitäten. Also[br]ich habe ja auch noch TAN-Generatoren mit

0:39:07.410,0:39:11.050
ChipTAN, was ja eigentlich das bessere[br]Verfahren ist. Da muss man halt

0:39:11.050,0:39:13.560
raussuchen. Aber ist ja nicht so schlimm,[br]weil macht man ja nur, wenn man eine

0:39:13.560,0:39:22.440
Überweisung durchführt. Und die DKB hat[br]Ihr Kreditkartenkonto von FInTS jetzt abgehängt,

0:39:22.440,0:39:26.000
das heißt, die Software, die ich verwende,[br]macht dann Webcalling, was die alte

0:39:26.000,0:39:31.250
Methode war, um Finanzdaten abzurufen.[br]Wozu dann nochmal ein separater TAN-

0:39:31.250,0:39:35.550
Eingabe nötig ist, um sich im Webinterface[br]anzumelden. Ich habe seitdem nicht nochmal

0:39:35.550,0:39:40.300
auf alles Abrufen gedrückt. Ich sollte das[br]mal irgendwann wieder tun. Ich muss mich

0:39:40.300,0:39:46.370
bloß vorbereiten. <i>Stimmen im Publikum</i>[br]Genau. Zeitlinie, also die Richtlinie vom

0:39:46.370,0:39:50.320
25. November. Sie ist technisch gesehen im[br]Januar 2016 in Kraft getreten. Das

0:39:50.320,0:39:54.230
bedeutet, da gibt es eine 2-Jahresfrist,[br]die ist 2018 in nationales Recht umgesetzt

0:39:54.230,0:40:00.480
worden. Das Zahlungsdiensteumsetzungs -[br]gesetz in Deutschland. Da steht bloß Copy

0:40:00.480,0:40:05.440
und Paste von der Richtlinie drin. In der[br]Richtlinie ist eine Verordnung delegiert

0:40:05.440,0:40:09.230
worden, was die technische Umsetzung[br]angeht von 2017. Und jetzt kommen wir

0:40:09.230,0:40:13.760
Warum ist es eigentlich alles am 14.[br]November? 14. September explodiert? Weil

0:40:13.760,0:40:26.770
die Frist am 14. September wird diese[br]delegierte Verordnung gültig. Sechs Monate

0:40:26.770,0:40:31.490
vorher hätten die Banken eine Testumgebung[br]zur Verfügung stellen müssen, damit

0:40:31.490,0:40:36.490
Softwareentwickler, die nicht der Größte[br]am Markt sind, das mal testen können. Es

0:40:36.490,0:40:41.890
gibt eine Fallbacklösung, falls man sich[br]außerstande sieht, eine PSD2 API

0:40:41.890,0:40:46.040
anzubieten oder da irgendwas nicht ist,[br]oder ein Notfall eintritt, wobei Notfall

0:40:46.040,0:40:52.590
glaube ich definiert ist als fünf Vorgänge[br]haben mehr als 30 Sekunden Latenz, dürfen

0:40:52.590,0:40:55.800
Zahlungsdienstleister also die[br]Kontoinformationsdienste oder die

0:40:55.800,0:40:59.770
Zahlungsauslösedienste ein Fallback[br]benutzen, nämlich das Interface, was der

0:40:59.770,0:41:07.230
normale Kunde benutzt. Da sind wir wieder[br]beim Webcalling. Wenn die Banken das

0:41:07.230,0:41:12.820
nicht möchten, müssen sie mindestens drei[br]Monate am Stück die normale PSD2-API zur

0:41:12.820,0:41:18.370
Verfügung stellen. Das heißt, Sie hätten[br]im Juni die PSD2-API produktiv laufen

0:41:18.370,0:41:24.320
müssen haben müssen, um von der[br]Ausnahmeregelung ausgenommen zu werden.

0:41:24.320,0:41:29.350
Ich glaube, das hat keiner. Am 14.[br]September ist dann alles explodiert. Dann

0:41:29.350,0:41:36.720
wurde die Durchführungsverordnung gültig.[br]Die Delegierteverordnung gültig, was dazu

0:41:36.720,0:41:38.930
führte, dass noch nicht sofort alles[br]explodiert ist. Erstmal sind nur

0:41:38.930,0:41:42.240
Transaktionen und Onlineanmeldung, weil[br]manche Banken haben tatsächlich davon

0:41:42.240,0:41:46.420
Gebrauch gemacht, dass da irgendwo 90 Tage[br]steht. Und wenn man sich halt am 13.

0:41:46.420,0:41:50.680
September angemeldet hat, dann war man ja[br]angemeldet. Ja, das war dann am 13.

0:41:50.680,0:41:53.370
Dezember vorbei. Das heißt spätestens seit[br]dem 13. Dezember hat jeder der

0:41:53.370,0:41:59.010
Online-Banking benutzt Spaß. Gibt kleinere[br]Problemchen. Die Anmeldefluß für

0:41:59.010,0:42:04.500
2-Faktor-Apps sind oft kompliziert, der[br]Support etwas überlastet. Bei der Postbank

0:42:04.500,0:42:08.070
habe ich das Problem, dass ich neu etwas[br]unterschreiben musste, weil ich als

0:42:08.070,0:42:11.550
Vereinskonto, das war das doofe, es ist[br]ein Gemeinschaftskonto, war ja früher

0:42:11.550,0:42:14.750
nicht so schlimm. Man teilt halt einfach[br]die Pin, und nur einer kriegt die

0:42:14.750,0:42:17.640
Chipkarte für die TAN-Generierung.[br]Neuerdings müssen halt alle

0:42:17.640,0:42:21.610
Gemeinschaftskonten extra Personenaccounts[br]für jeden, der Lesezugriff haben soll

0:42:21.610,0:42:27.030
haben. Bei der Postbank lief es darauf[br]hinaus, dass ich unterschreiben musste und

0:42:27.030,0:42:30.350
die meine E-Mail nicht angenommen haben.[br]Der Mailserver hat gemeint "Aufgrund der

0:42:30.350,0:42:38.510
hohen Betrugsraten können Sie zurzeit keine[br]Mail annehmen." <i>Gelächter</i> Moment,

0:42:38.510,0:42:41.820
nachdem ich den Support gefragt habe, ich[br]habe tatsächlich telefonisch was erreicht,

0:42:41.820,0:42:46.640
meinte er, faxen sie es uns. Das habe ich[br]vorgeschlagen Faxen. Das habe ich gemacht.

0:42:46.640,0:42:50.030
Das hat auch nur vier Wochen gedauert. Es[br]hat funktioniert. Andere Leute haben

0:42:50.030,0:42:52.750
andere Probleme, irgendwie. Geräte,[br]Wechsel, Verlust ist ein bisschen

0:42:52.750,0:42:55.850
schwierig. Ich habe mit jemandem geredet.[br]Ich habe gesagt, ihr habt ja im vorigen

0:42:55.850,0:43:00.330
Screenshot gesehen, welches Handy verliere[br]oder auch nur tauschen möchte, muss ich

0:43:00.330,0:43:04.640
halt acht verschiedene Apps neu[br]einrichten, teilweise in acht Schritten.

0:43:04.640,0:43:09.410
Ich habe gerade jemandem geholfen, bei der[br]Apobank seine TAN-App einzurichten, weil es

0:43:09.410,0:43:14.420
halt dreimal nicht geklappt hat. Der Knopf[br]Brief generieren mit dem Bestätigungscode

0:43:14.420,0:43:17.730
der hat immer funktioniert. Da kam ein neuer[br]Brief. Aber es war nicht zu sehen, wo man

0:43:17.730,0:43:21.910
den Bestätigungscode eingibt, bis man auf[br]der Webseite war und das vierseitige PDF

0:43:21.910,0:43:28.740
mit den acht einfachen Schritten gefunden[br]hat. <i>Gelächter</i> Der schärfste Trick: Für

0:43:28.740,0:43:31.660
Kreditkarten gilt das eigentlich auch[br]mit der starken

0:43:31.660,0:43:35.441
Kundenauthentifizierung. Bloß das hat noch[br]keiner umgesetzt. Das muss noch im Webshop

0:43:35.441,0:43:40.290
implementiert werden. Deswegen hat die EBA[br]jetzt gesagt: Na gut, ihr habt noch mal

0:43:40.290,0:43:47.950
ein bisschen Zeit bis 2020. Und was ich[br]vorhin sagte: Die APIs waren und oder sind

0:43:47.950,0:43:51.330
nicht funktional. Die Leute haben einfach[br]zu wenig Zeit gehabt zum Testen. Kurzer

0:43:51.330,0:43:57.510
Seitenhieb. 3D Secure. Es gab da schon mal[br]ein Vortrag über einen Vortrag halten.

0:43:57.510,0:44:01.780
Aber es gibt auf jeden Fall ein sehr[br]schönes Paper dazu "Verified bei Visa and

0:44:01.780,0:44:09.790
Mastercard Secure-Code or how not to[br]design authentication" von Murdoch und

0:44:09.790,0:44:14.470
Anderson. Three D secure steht für Three[br]-Domain-, acquirere, Issuer and

0:44:14.470,0:44:20.130
Interoperability sind die Domains der Herausgeber[br]Akzeptanz und die dazwischen Leute. Der

0:44:20.130,0:44:25.590
Kunde fehlt in der Liste, die hier[br]geschützt werden. Es ist dafür da, dem

0:44:25.590,0:44:29.390
Kunden neue AGB aufzudrücken und die[br]Schuld zu verschieben, weil offensichtlich

0:44:29.390,0:44:36.321
der Kunde schuld ist. Ist ja, jetzt sicher.[br]Bei einer meiner Banken, ist eine am VR-Banken-Netz

0:44:36.321,0:44:41.720
angeschlossene bei der Fiducia muss man sich[br]registrieren, da kriegt man so ein

0:44:41.720,0:44:44.521
Brief? Gehen Sie mal wieder auf diese[br]Webseite und füllen Sie dort die

0:44:44.521,0:44:49.720
Registrierung aus. So online[br]sichereinkaufen.de oder so ähnlich.

0:44:49.720,0:44:53.600
Sicheronlineeinkaufen.de? Sicher[br]einkaufen. Ich bin mir sicher es war sicher

0:44:53.600,0:45:02.260
online einkaufen. Ich weiß es, weil diese[br]Seite existiert, die anderen nicht. Diese

0:45:02.260,0:45:11.560
Seite existiert. <i>applaus</i> Und hat ein[br]gültiges Sicherheitszertifikat von

0:45:11.560,0:45:19.310
LetsEncrypt. <i>Gelächter</i> Und dann war[br]wieder da die Sache mit dem Blutdruck, die

0:45:19.310,0:45:22.870
hat dann wieder gemeint na ja, Sie können[br]sich jetzt hier registrieren und die Push-TAN-

0:45:22.870,0:45:28.280
App aktivieren. Das geht auf Ihrem Telefon[br]nicht, weil es gerootet ist. Das Telefon

0:45:28.280,0:45:32.620
ist unsicher. Gar kein Problem. Sie können[br]auch den Alternativprozess verwenden. Wir

0:45:32.620,0:45:43.080
schicken ihn einfach eine SMS an dieses[br]Telefon. <i>fröhliches Lachen</i> Ok. Muss ich

0:45:43.080,0:45:49.420
jetzt nicht verstehen. Dieses Formular,[br]wie gesagt, das ist aktuell online hat

0:45:49.420,0:45:52.140
immer noch die gleichen Probleme, die[br]Murdoch und Anderson von damals genannt

0:45:52.140,0:46:00.630
haben. Wenn man runter scrollt, findet man[br]diesen Signup System. Das ist ein IFrame,

0:46:00.630,0:46:03.580
das von irgendeiner anderen Domain kommt.[br]Die hat sogar ein Extended-Validation-

0:46:03.580,0:46:09.900
Zertifikat, nur dass es halt niemand[br]sieht, weil ist halt ein iFrame. Was ist noch so

0:46:09.900,0:46:14.060
passiert? Wie gesagt, Gemeinschaftskonten[br]benötigen jetzt einen Login pro Person.

0:46:14.060,0:46:19.140
Ich glaube hier. Die CCV-Veranstaltungs[br]GmbH hat auch schon Spaß damit gehabt. Die

0:46:19.140,0:46:22.380
Banken gehen langsam dazu über[br]FinTS abzuschalten oder loszuwerden, weil sie

0:46:22.380,0:46:28.460
haben ja jetzt die PSD2 API. Die regulierten[br]Dienstleister dürfen nicht mehr über FinTS

0:46:28.460,0:46:35.270
zugreifen außer halt im Fallbackmodus,[br]außer manchmal. Surprise SCA, wie gesagt,

0:46:35.270,0:46:41.080
ist Userinterface wird halt nur noch[br]merkwürdiger. User sind frustriert und

0:46:41.080,0:46:45.400
kriegen Hals. Was gar nicht so schlecht[br]ist. Es gibt jetzt ein

0:46:45.400,0:46:48.130
Registrierungspflicht für Anwendungen, die[br]auch für FinTS gilt. Also auch meine

0:46:48.130,0:46:55.540
Anwendung byro, FinTs ist registriert. Und[br]es ist im Sinne der Transparenz sieht man

0:46:55.540,0:47:00.420
im Online-Banking, welche App verwendet[br]wurden. Das ist erst mal nicht schlecht.

0:47:00.420,0:47:02.700
Kann man nichts gegen haben, zumal die[br]Registrierung auch als Open Source

0:47:02.700,0:47:09.510
Entwickler möglich ist. Ist ja nicht immer[br]so. Aber fast jede Transaktion kann

0:47:09.510,0:47:14.540
manchmal eine TAN anfordern. Wie gesagt,[br]ich hab das auch gerade gesehen. Wir

0:47:14.540,0:47:18.640
kommen zum Schluss. Transparenz und[br]Aufsicht sind verbessert worden.

0:47:18.640,0:47:22.530
Verbraucher sind zunehmend genervt.[br]Perfekte Grundlage für Wirsching? Ich weiß

0:47:22.530,0:47:25.450
nicht, wie viele von euch so eine Mail[br]gekriegt haben. PSD2 tritt jetzt in Kraft.

0:47:25.450,0:47:28.370
Bitte geben Sie jetzt hier nochmal Ihre[br]Kontonummer ein. Sie müssen sich jetzt neu

0:47:28.370,0:47:34.270
anmelden, weil neue sichere Umstellung des[br]Sicherheitsverfahrens. Gewerbliche Nutzer,

0:47:34.270,0:47:37.830
wie gesagt, müssen komplett ausweichen,[br]weil das macht gar keinen Sinn. Dafür gibt

0:47:37.830,0:47:40.720
es jetzt neue Geschäftsfelder für[br]Startups, die entsprechende

0:47:40.720,0:47:48.620
Anfangsinvestitionen haben. Open Source[br]kannste halt vergessen in Zukunft. Danke.

0:47:48.620,0:48:00.600
<i>Applaus</i>

0:48:00.600,0:48:03.950
Herald: Wir haben Zwölf Minuten Zeit für[br]Fragen und Antworten. Drei Mikrofone im

0:48:03.950,0:48:07.930
Saal verteilt. Falls ihr Fragen habt,[br]stellt euch hin. Ich versuche, euch

0:48:07.930,0:48:14.960
halbwegs fair aufzurufen. Eine Frage[br]hätte ich. Was soll der Scheiß? <i>Lachen</i>

0:48:14.960,0:48:18.700
Henryk: Hast du nicht gehört?[br]Sofortüberweisung ist jetzt legal. *Herald

0:48:18.700,0:48:27.260
lacht.*[br]Frage: Okay, du hast gesagt, dass FinTS

0:48:27.260,0:48:30.650
jetzt langsam ausgeschlichen wird von den[br]Banken. Ich weiß von einigen Banken, dass

0:48:30.650,0:48:36.300
sie bei PSD2 direkt das FinTS abgeklemmt haben,[br]weil sie es nicht implementiert hatten PSD2

0:48:36.300,0:48:40.230
konform. Aber weißt du, wie das bei den[br]anderen Banken aussieht? Also gibt es da

0:48:40.230,0:48:45.060
schon Ankündigungen von den großen[br]Rechenzentren Fiducia oder Sparkasse oder

0:48:45.060,0:48:47.740
wie wir alle heißen?[br]Henryk: Die haben sich größtenteils

0:48:47.740,0:48:52.170
zurückgehalten. Sie sagen da nur durch die[br]Blume, dass sie es zumindest nicht mehr

0:48:52.170,0:48:56.420
erweitern wollen. Sie haben ja jetzt das[br]andere. Ich glaube ING-Diba hatte da genau

0:48:56.420,0:48:58.690
dieses Problem. Sie haben ein bisschen[br]zurückgerudert. Wenn mich nicht alles

0:48:58.690,0:49:03.600
täuscht. Aber es gibt ja keinen[br]Grund mehr dafür.

0:49:03.600,0:49:07.040
Frage: Die haben zurückgerudert nach dam[br]sich 3000 Leute beschwert haben in einem

0:49:07.040,0:49:12.230
wütenden Mob Blogpost.[br]Henryk: Ja.

0:49:12.230,0:49:15.820
Herald: Bitte.[br]Frage: Gibts irgendwie so eine Art

0:49:15.820,0:49:20.880
Informationsblatt, was ich als Kunde der[br]Bank geben kann? Wenn ich der Meinung bin,

0:49:20.880,0:49:26.500
dass sie mir völligen Bullshit zu der PSD2[br]erzählt und irgendwelche neuen Änderungen

0:49:26.500,0:49:29.970
damit versucht zu begründen?[br]Henryk: Ja, das steht sogar in der

0:49:29.970,0:49:33.730
Richtlinie drin, das die europäische[br]Bankenaufsicht und die BaFin jeweils ein

0:49:33.730,0:49:38.330
Merkblatt für Kunden herausgeben, in denen[br]alle Änderungen und neuen Pflichten und

0:49:38.330,0:49:41.290
Rechte des Kunden dargelegt sind. Es[br]müsste auch der Webseite der BaFin zu

0:49:41.290,0:49:43.480
finden sein.[br]Frage: Ich meine eigentlich umgekehrt,

0:49:43.480,0:49:46.050
Richtung Bank.[br]Henryk: Ja, das ist das Merkblatt für dich

0:49:46.050,0:49:50.380
als Kunde, und du kannst der Bank[br]vorhalten und sagen: "Guck mal, was ihr

0:49:50.380,0:49:57.290
mir sagt, steht da nicht drauf."[br]Frage: Du meinst, es ist das nicht

0:49:57.290,0:50:00.530
sonderlich kompliziert, sich eine[br]juristische Person anzulegen. Könnte ich

0:50:00.530,0:50:04.050
dann mit einer juristischen Person mir ein[br]Geschäftskonto anlegen, damit ich dann

0:50:04.050,0:50:09.800
wieder APIs habe, die ich von einer App[br]aus verwenden kann? Ist das der neue Weg?

0:50:09.800,0:50:12.710
Henryk: Klar. Aber ja! Also du brauchst[br]halt eine

0:50:12.710,0:50:25.450
neue App. Es ist dann EBICS, aber ja...[br]Frage: Du hast aufgelistet, dass es ja

0:50:25.450,0:50:31.220
drei Authentifizierundsmerkmale gibt und[br]du hast sehr konsequent nur von TANs

0:50:31.220,0:50:38.700
gesprochen. Wenn ich die Richtlinie[br]korrekt interpretiere, ist Wissen und

0:50:38.700,0:50:45.140
Besitz. Also Pin und Chipkarte nach wie[br]vor eigentlich vollkommen valides

0:50:45.140,0:50:48.290
Authentifizierungsmittel.[br]Henryk: Korrekt. Also steht die

0:50:48.290,0:50:52.010
Formulierung, die Sie verwenden, ist, dass[br]diese aus den drei Faktoren muss ein

0:50:52.010,0:50:56.750
Authentifizierungscode abgeleitet werden.[br]Das kann auch eine Signatur oder was auch

0:50:56.750,0:51:01.560
immer sein. Ich habe aber keine[br]Implementierung davon gesehen, also

0:51:01.560,0:51:05.690
ausser halt innerhalb von Apps. Die DKB zum[br]Beispiel hat eine eigene App und wenn man

0:51:05.690,0:51:10.480
innerhalb der DKB App bleibt. Dann bleibt[br]also alles innerhalb der DKB App inklusive

0:51:10.480,0:51:15.150
mit iPhone, wie auch immer diese[br]Gesichtserkennung heißt, da braucht man

0:51:15.150,0:51:20.460
auch keine TAN mehr das stimmt. Aber wenn man[br]eine andere App benutzt, die nicht, die

0:51:20.460,0:51:23.540
ist, ist es irgendwie schwierig, der[br]Signatur abzutippen. Deswegen tippt man

0:51:23.540,0:51:29.070
meistens lieber TANs ab. Ich frag nur,[br]weil die Sparkasse mir erzählt hat, das

0:51:29.070,0:51:34.600
HBCI mit Chipkarte ja diese[br]Authentifizierungsbedingungen nicht

0:51:34.600,0:51:37.280
erfüllen würde.[br]Henryk: Das ist inkorrekt. HBCI mit

0:51:37.280,0:51:43.090
Chipkarte ist halt gerade Besitz, Besitz[br]und Wissen, sie können sich eventuell

0:51:43.090,0:51:47.210
darauf herausreden, dass irgendwie PIN mit[br]der Verifikation auf der Karte eventuell

0:51:47.210,0:51:50.960
nicht güle, aber eigentlich dann doch[br]schon.

0:51:50.960,0:51:53.960
Herald: Ok, und die Mitte mal wieder.[br]Zuhörer: Mal wieder nur eine kleine

0:51:53.960,0:51:58.970
Anmerkung. Du meint, dass das PayPal mit[br]2-Faktor nicht funktioniert. Aber in der

0:51:58.970,0:52:03.440
Tat habe ich PayPal mit 2-Faktor.[br]Henryk: Es gab vor fünf Jahren, glaub ich,

0:52:03.440,0:52:06.070
eine kurze Zeit, wo sie das angeboten[br]haben. Aber ich glaube, es wird nicht mehr

0:52:06.070,0:52:08.490
beworben.[br]Zuhörer: Ich konnte das in der App

0:52:08.490,0:52:11.520
anklicken, vor ungefähr einem halben Jahr.[br]Henryk: Oh, dann haben Sie was neues

0:52:11.520,0:52:23.530
eingebaut.Wollen Sie jetzt? Ist das schon?[br]Frage: Ich frag für einen Freund, der

0:52:23.530,0:52:28.370
entwickelt einen Webshop, und da müssen[br]Sie sich auch mit dem 3D Secure Kram

0:52:28.370,0:52:32.610
herumschlagen. Und der[br]Zahlungsdienstleister sagt: Es ist in

0:52:32.610,0:52:38.060
Ordnung, wenn man für das Hinterlegen der[br]Kreditkarte beim Zahlungsdienstleister

0:52:38.060,0:52:42.560
einmal dieses 3D Secure Verfahren macht.[br]Und danach kann man als Shop quasi

0:52:42.560,0:52:45.810
beliebig oft davon abbuchen, und der Kunde[br]muss dann nicht mehr nochmal irgendwelche

0:52:45.810,0:52:48.690
TANs eingeben. Ist das überhaupt korrekt[br]so, weil dann sehe ich den Sinn dahinter

0:52:48.690,0:52:53.920
nicht so ganz.[br]Henryk: Ja, für die erste Zahlung bei

0:52:53.920,0:52:58.010
wiederkehrenden Zahlungen ja. Aber es muss[br]trotzdem jede Zahlung autorisiert werden.

0:52:58.010,0:53:02.220
Bloß das für wiederkehrende Zahlungen[br]einfache Autorisierung reicht. Ich

0:53:02.220,0:53:05.230
bin mir da aber auch nicht ganz sicher.[br]Frage: Das muss dann aber nicht über

0:53:05.230,0:53:08.680
den Dienstleister gehen. Das reicht dann[br]einfach, wenn der Kunde im Onlineshop

0:53:08.680,0:53:11.280
einmal klickt: Ja, diese Kreditkarte,[br]oder?

0:53:11.280,0:53:15.270
Henryk: Genau, das kann mit Passwort, würde dann[br]reichen. Also nicht zwei Merkmale, sondern

0:53:15.270,0:53:18.450
nur eins.[br]Herald: Entweder habe ich unseren Signal-

0:53:18.450,0:53:24.060
Angel die ganze Zeit übersehen oder es[br]gibt gerade was Neues, bitte!

0:53:24.060,0:53:28.190
Signal-Engel: Kam gerade erst die Frage.[br]Wärest du mit PSD2 glücklicher, wenn sie

0:53:28.190,0:53:31.920
ein bisschen glücklicher, wenn es ein[br]bisschen Open Source wäre, die Zugang für

0:53:31.920,0:53:37.300
Open Source Programme offen wäre? Oder sagt[br]es allgemein eher mäh gelaufen?

0:53:37.300,0:53:40.820
Henryk: Na ja, es gibt relativ, es ist [br]relativ schwierig, diese Anforderungen

0:53:40.820,0:53:44.150
grundsätzlich umzusetzen bei Software, die[br]der Anwender selber runter kompiliert und

0:53:44.150,0:53:53.080
laufen lässt. Deswegen sehe ich nicht, wie[br]man das umsetzen könnte. Man müsste halt

0:53:53.080,0:53:58.030
auf die Anforderungen verzichten, das die[br]Endpunkte durch qualifiziertes Zertifikat

0:53:58.030,0:54:02.710
identifiziert werden. Und dann hat man nur[br]noch die Probleme. Die Benutzer haben mit

0:54:02.710,0:54:07.600
dem ganzen TAN-Scheiss. Zumindest Open-[br]Source Entwickler keine Probleme mehr und

0:54:07.600,0:54:13.980
der Userinterface Flow ist immer noch kaputt.[br]Frage: Ich wollte einfach nur

0:54:13.980,0:54:18.190
nochmal anmerken. Die meisten hier[br]Anwesenden werden wahrscheinlich zwei

0:54:18.190,0:54:25.280
Geräte besitzen. Aber gerade dieses ganze[br]2-Faktor wird ja ab ad absurdum geführt.

0:54:25.280,0:54:29.010
Wenn ich mein Online-Banking auf demselben[br]Gerät mache, wo auch der TAN Generator

0:54:29.010,0:54:36.770
ist, ist auch die App zu App trans-Integration die[br]manche Banken anbieten. Wird ja hier auf

0:54:36.770,0:54:41.370
dem Kongress vor paar Jahren auch schon[br]mal gezeigt, dass das sinnlos ist, weil es

0:54:41.370,0:54:45.950
irgendwo gehackt werden kann. Ist man da[br]irgendwie gesichert, wenn man das macht

0:54:45.950,0:54:50.700
als Kunde? Die meisten haben ja doch nur[br]ein Gerät zu Hause und halten sich nicht

0:54:50.700,0:54:53.910
dran, das man dann als Kunde eigentlich[br]der Gearschte diesbezüglich.

0:54:53.910,0:54:58.890
Henryk: Es steht drinnen, dass es zwei[br]getrennte Geräte sein sollten oder oft auf

0:54:58.890,0:55:02.500
dem Gerät. Das ist unter anderem einer der[br]Gründe für die Rootdetektion auf dem

0:55:02.500,0:55:08.960
Gerät, für eine Trennung der. Es gibt da[br]einen Absatz, der irgendwie. Man müsse die

0:55:08.960,0:55:12.640
Trennungssysteme des Betriebssystems[br]nutzen. Also ich vermute mal, das geht

0:55:12.640,0:55:16.240
eher in Richtung Samsung Knox und nicht[br]auf normales Android. Aber eigentlich

0:55:16.240,0:55:19.390
sollte normales Android ausreichen. Ich[br]bin mir nicht sicher. Ich glaube als dieser App-TAN

0:55:19.390,0:55:25.940
Hack war da. Oder waren es auch gerootete[br]Geräte oder erweiterte lokaler Zugriff.

0:55:25.940,0:55:29.950
Frage: Ich nutze so ein Open-Source-[br]Software, um so persönliche Finanzen zu

0:55:29.950,0:55:33.480
tracken und habe das auf meinem Server[br]installiert. Erste Frage, bin ich jetzt

0:55:33.480,0:55:40.010
schon Konntoinformationsdienstleister?[br]Der Entwickler hat gesagt, er möchte PSD2

0:55:40.010,0:55:44.260
einbauen. Und wenn ich das richtig[br]verstanden habe, dann geht das gar nicht.

0:55:44.260,0:55:49.200
Ich habe auch gelesen auf GitHub, er hat[br]sich irgendwo registriert, und ich habe

0:55:49.200,0:55:55.270
aber nicht ganz verstanden, ob das geht.[br]Kann er überhaupt das jetzt so einbauen,

0:55:55.270,0:55:59.040
dass ich das dann benutzen kann?[br]Henryk: Ja, die Registrierung war die

0:55:59.040,0:56:04.420
HBCI-Registrierung. Ob du dann schon für[br]dich selber? Ich bin mir nicht sicher, ich

0:56:04.420,0:56:07.910
glaube für dich selber. Ich bin mir nicht[br]sicher, ob da etwas von einem Dritten

0:56:07.910,0:56:13.260
drinsteht. Da müsste ich nachgucken. Kann[br]ich so nicht beantworten. Müsste man ...

0:56:13.260,0:56:16.980
Frage: Kann er denn PSD2 in seine[br]Software einbauen, dass es jemand benutzen

0:56:16.980,0:56:19.020
kann?[br]Henryk: Ne, keine PSD2 API. Es wird immer

0:56:19.020,0:56:21.010
über FinTs laufen, was du beschrieben[br]hast.

0:56:21.010,0:56:23.540
Frage: Ok. Und wenn die Bank FinTS[br]abschaltet, bin ich im Arsch.

0:56:23.540,0:56:29.760
Henryk: Ja, du kannst auf EBICS[br]wechseln. <i>Herald lacht</i>

0:56:29.760,0:56:33.390
Frage: Hast du eine Vermutung, wer[br]hinter dem Ganzen steht? Warum die das

0:56:33.390,0:56:38.050
gemacht haben? Weil ich meine[br]Sofortüberweisung alleine gegen die ganze

0:56:38.050,0:56:41.150
Bankenlobby. Banken mögen das[br]offensichtlich nicht. Irgendwer muss es

0:56:41.150,0:56:46.990
doch durchgedrückt haben.[br]Henryk: Ich weiß es tatsächlich nicht. Wir

0:56:46.990,0:56:51.410
haben kurz vorher uns unterhalten, dass es[br]da so ein Slogan gab: Digital first,

0:56:51.410,0:56:56.270
Bedenken second. Das könnte damit[br]zusammenhängen. Es klingt nach

0:56:56.270,0:57:03.210
Fortschritt. Es wird halt besser.[br]Frage: Ich wollte noch einmal

0:57:03.210,0:57:08.310
Fragen: Sind hier Organisationen oder[br]politische Akteure bekannt, die die

0:57:08.310,0:57:14.010
Benutzerinteressen in irgendeiner Form[br]bündeln und versuchen zu kanalisieren? Wir

0:57:14.010,0:57:17.220
versuchen da irgendwie ein bisschen Lobby[br]im Sinne der Nutzer und der User zu

0:57:17.220,0:57:22.920
machen an der Stelle. Verbraucherschutz welche?[br]Henryk: Es gibt ein Voice-Verband der IT

0:57:22.920,0:57:29.060
Anwendunger EV. Aber ich weiß nicht ob die[br]in dem Rahmen Aktivitäten haben. Mir wird

0:57:29.060,0:57:32.080
gerade gesagt, dass sie eine Selbst-Hilfe-[br]Gruppe sind. Aber es ist... <i>Alle lachen</i>

0:57:32.080,0:57:37.480
Du hast nur gefrat, das ist mir bekannt.[br]Antwort: ich kenne nur eine.

0:57:37.480,0:57:42.270
Herald: Bitte. Scheint auch letzte Frage zu sein. [br]Frage: Du erwähntest die

0:57:42.270,0:57:47.740
Registrierung für die Drittdienste. Ist es[br]nicht eigentlich auch eine Art Zulassung

0:57:47.740,0:57:53.570
bei der BaFin und da kam doch gerade vor[br]ein paar Wochen auch Standards raus, was

0:57:53.570,0:57:57.080
für Sicherheitsmaßnahmen da umzusetzten sind,[br]die auch möglicherweise geprüft werden .

0:57:57.080,0:58:01.630
Und auch diese Zulassung[br]entzogen werden kann.

0:58:01.630,0:58:04.970
Henryk: Genau. Deswegen seht auch da[br]"Registriert und Zugelassen", als

0:58:04.970,0:58:08.480
Formulierung. Weil es für[br]Kontoinformationsdienstleister ein

0:58:08.480,0:58:14.741
bisschen einfacher dann ist. Die Absätze 1[br]bis 6 außer Paragraphen 3 und dings gelten

0:58:14.741,0:58:17.520
nicht für Kontoinformationsdienstleister[br]oder so ähnlich. Aber für alle, die

0:58:17.520,0:58:21.770
weitergehend es machen, es ist mit[br]Zulassung und Bericht und vorige

0:58:21.770,0:58:27.820
Registrierung und so weiter drin,[br]inklusive Entzug.

0:58:27.820,0:58:34.220
Herald: Bist du glücklich? Du siehst nicht[br]glücklich aus.

0:58:34.220,0:58:38.010
Signal-Engel: Ich habe sogar noch 2 auf[br]Twitter. 1) Kann ich irgendwie verhindern,

0:58:38.010,0:58:45.500
dass mein Arbeitgeber meine Bankdaten an datev[br]weitergibt? Oder habe ich da keine Chance?

0:58:45.500,0:58:51.060
Henryk: Lustige Frage, ich glaube nicht.[br]Frage: 2) Kannst du einen Ausblick

0:58:51.060,0:58:55.160
geben? Siehst du Hoffnung, dass irgendwas[br]verbessert wird, oder müssen wir halt 20

0:58:55.160,0:58:57.900
Jahre warten, bis das nächste neue Gesetz[br]kommt?

0:58:57.900,0:59:02.820
Henryk: Da steht drin, dass die alle[br]X-Jahre evaluiert und aktualisiert werden

0:59:02.820,0:59:07.720
sollen. Ab 2021 ist das nächste Mal.[br]Vielleicht wird nachgebessert. Ich bin da

0:59:07.720,0:59:12.700
aber nicht so sehr hoffnungsvoll, weil[br]hier, wie gesagt, aus Sicht der zentralen

0:59:12.700,0:59:19.630
Behörden nicht so nicht Cloud Anwendungen,[br]eher Nischenprodukte. Etwas auf seinem

0:59:19.630,0:59:22.510
eigenen Rechner zu betreiben,[br]kommt aus der Mode.

0:59:22.510,0:59:24.870
Herald: Jetzt aber wirklich die letzte[br]Frage.

0:59:24.870,0:59:27.840
Fragender : Ich würde gerne an eine[br]vorherige Frage anknüpfen, nämlich ob es

0:59:27.840,0:59:31.770
Institutionen gibt, die sich dafür[br]einsetzen, dass das Ganze gebessert wird.

0:59:31.770,0:59:35.780
Ich arbeite jetzt für sofort, und wir sind[br]Sofortüberweisung. <i>fröhliche Gelächter</i>

0:59:35.780,0:59:40.220
Wir sind aktiv dabei, mit nahezu allen[br]Banken in Europa und auch den nationalen

0:59:40.220,0:59:44.140
Behörden zu diskutieren, dass es da[br]schnellstmöglich Änderungen gibt. Noch vor

0:59:44.140,0:59:48.620
einer neuen Direktive, also in möglichst[br]naher Zukunft. Es gibt Leute, die sich

0:59:48.620,0:59:52.600
dafür einsetzen.[br]Henryk: Sehr gut.

0:59:52.600,0:59:54.810
Herald: Es könnte also sein, dass du die[br]Frage beantworten kannst, die ich vorhin

0:59:54.810,1:00:00.830
gestellt habe. Ich komme gleich vor! <i>Alle[br]Lachen</i>

1:00:00.830,1:00:02.390
Herald: Henryk Plötz! Vielen Dank!

1:00:02.390,1:00:04.950
<i>Applaus</i>

1:00:04.950,1:00:08.730
<i>36c3 Abspannmusik</i>

1:00:08.730,1:00:32.000
Untertitel erstellt von c3subtitles.de[br]im Jahr 2020. Mach mit und hilf uns!