1
00:00:00,000 --> 00:00:18,780
36c3 Vorspannmusik
2
00:00:18,780 --> 00:00:23,330
Herald: Ich habe hier so ein Handy,
vielleicht habt ihr auch ein Smartphone.
3
00:00:23,330 --> 00:00:29,519
Und ich habe eine App drauf und die
damit.. Ich habe so mehrere Konten bei
4
00:00:29,519 --> 00:00:33,840
verschiedenen Banken, und ich habe so eine
App. Da sind die ganzen Konten so drin.
5
00:00:33,840 --> 00:00:39,260
Und wenn ich wissen will, wie viel Geld
ich nicht hab, dann starte ich diese App
6
00:00:39,260 --> 00:00:44,239
und gucke ich da so drauf, weil mein
Telefon mich sonst nicht erkennt. Und dann
7
00:00:44,239 --> 00:00:46,500
kann ich halt sehen, wie wieviel Geld ich
auf den Konten habe und was ich für
8
00:00:46,500 --> 00:00:50,721
Kontobewegungen hatte. Und dann,
irgendwann dieses Jahr lacht , hab ich
9
00:00:50,721 --> 00:00:53,449
da nicht mehr gesehen, wie viel Geld auf
dem Konto hatte. Da kammen immer so Pop-
10
00:00:53,449 --> 00:01:00,800
ups. Die haben gesagt: Ja, das
funktioniert jetzt nicht, weil hab ich
11
00:01:00,800 --> 00:01:04,600
nicht verstanden. Aber was da immer drin
vorkam, das waren drei Buchstaben, eine
12
00:01:04,600 --> 00:01:09,500
Zahl, und das hieß PSD2, und jedes Mal habe ich
gedacht, jetzt muss ich wieder aus der App
13
00:01:09,500 --> 00:01:11,820
raus und muss wieder irgendwas machen, was
ich nicht verstehe. Und dann werden mir
14
00:01:11,820 --> 00:01:17,350
SMSen geschickt, die ich irgendwo
eintragen muss und dachte: Was zum Teufel
15
00:01:17,350 --> 00:01:24,851
soll dieser Scheiß? Und das Schöne ist:
Wir alle werden jetzt möglicherweise eine
16
00:01:24,851 --> 00:01:29,200
Antwort auf die Frage bekommen, was dieser
Scheiß soll. Und falls nicht, dann kann
17
00:01:29,200 --> 00:01:34,829
man hinterher persönlich zur Rechenschaft
ziehen. Sein Name ist Henryk Plötz. lacht
18
00:01:34,829 --> 00:01:43,649
Applaus
19
00:01:43,649 --> 00:01:49,250
Henryk Plötz: Ja, genau. Ich Ich versuche
die Frage zu stellen, was hat die PSD2 je
20
00:01:49,250 --> 00:01:53,759
für uns getan? Und Antworten darauf zu
geben, in der Hoffnung, dass ich auch
21
00:01:53,759 --> 00:01:58,330
herausfinden, was der Scheiss soll? Für
diejenigen, die, es ist einer der ersten
22
00:01:58,330 --> 00:02:02,280
Vorträge, die hineingestolpert sind, ohne
zu wissen, worum es geht. Es geht um die
23
00:02:02,280 --> 00:02:08,269
Richtlinie der EU 2015 2366 des
Europäischen Parlaments und des Rates vom
24
00:02:08,269 --> 00:02:12,390
25. November 2015 über Zahlungsdienste im
Binnenmarkt zur Änderung der Richtlinie
25
00:02:12,390 --> 00:02:17,710
und so weiter und so fort und fort. Das
ist die Zahlungsdienst, der Richtlinie 2,
26
00:02:17,710 --> 00:02:23,419
und da dranhängt noch eine Handvoll
Delegierter Verordnungen, aber ganz massiv
27
00:02:23,419 --> 00:02:28,309
die Delegierte Verordnung vom 27. November
für die technischen Regulierung Standards
28
00:02:28,309 --> 00:02:31,650
für eine starke Kunden Authentifizierung
und für sichere offene Standards zur
29
00:02:31,650 --> 00:02:38,130
Kommunikation. Das ist, was in der App die
ganzen Pop-ups verursacht hat. Warum bin
30
00:02:38,130 --> 00:02:43,130
ich hier? Und warum erzähle ich euch etwas
zu diesem Thema? Ich bin Informatiker und
31
00:02:43,130 --> 00:02:47,080
Sicherheitsforscher. Ich glaub, neudeutsch
sagt man Hacker dazu. Hab einen meiner
32
00:02:47,080 --> 00:02:51,500
ersten Vorträge auf dem Kongress vor zehn
Jahren zu "Mifaire Classic" gehalten.
33
00:02:51,500 --> 00:02:57,140
Seitdem einiges gemacht zu
Zutrittskontrollsystemen, RFID, Die
34
00:02:57,140 --> 00:03:03,090
Spezialgebiet sind halt solche Arten von
Kommunikationsprotokollen. Ich bin auch
35
00:03:03,090 --> 00:03:06,150
Open Source Entwickler. Also wenn irgendwo
ein Kommunikationsprotokoll rumliegt, dann
36
00:03:06,150 --> 00:03:09,269
implementiert ich das manchmal unter
anderem HBCI. Dazu erzähle ich euch noch
37
00:03:09,269 --> 00:03:15,910
ein bisschen was. Es gibt im Umfeld des
CCC eine Vereinswaltung, die entstanden
38
00:03:15,910 --> 00:03:24,670
ist, die heißt byro von Rixx. Da habe ich
einige größere Dinge zu beigetragen, und
39
00:03:24,670 --> 00:03:28,850
es gibt von Rami. Die beiden waren ja die
Kasse und der Vorverkauf von Rami eine
40
00:03:28,850 --> 00:03:32,960
Python Implementierung von FinTS, ich
sage vielleicht noch, was das ist. Dazu
41
00:03:32,960 --> 00:03:35,980
hab ich größere Dinge beigetragen. Und
dann die Kombination dabei ist das im
42
00:03:35,980 --> 00:03:41,370
PlugIn byro-fints. Also eine Perspektive,
aus der ich das betrachtet, halt als Open
43
00:03:41,370 --> 00:03:46,260
Source Entwickler. Ich bin auch Gründer
und Geschäftsführer. Vor zwei Jahren habe
44
00:03:46,260 --> 00:03:50,290
ich mit einem Freund zusammen eine eigene
Firma gegründet "Digital Wolff und Plötz
45
00:03:50,290 --> 00:03:54,270
GmbH und Co. Wir haben einen etwas
schwammigen, schwammige Selbstverständnis,
46
00:03:54,270 --> 00:03:57,620
eigentlich sehr präzise Selbstverständnis,
das etwas schwieriger zu verstehen ist.
47
00:03:57,620 --> 00:04:03,870
Dass die Digitalisierung in komplexen
Umfeldern. Wir entwickeln. Wir machen halt
48
00:04:03,870 --> 00:04:07,200
Beratung, aber entwickeln halt auch
Software. Auf dieser Ebene gucke ich das
49
00:04:07,200 --> 00:04:11,400
auch an bzw. andere Produkte. Für die
evangelische Kirche bauen wir den
50
00:04:11,400 --> 00:04:15,030
digitalen Klingelbeutel. Wir sind jetzt
Zahlungsdienstleister. Zum Glück hat es
51
00:04:15,030 --> 00:04:18,680
nichts damit zu tun. Ich bin. Ich freue
mich sehr, dass alles, was wir tun, an der
52
00:04:18,680 --> 00:04:23,800
PSD2 vorbeigeschrammt ist, außer halt als
Privatkunde. Ich bin nämlich auch noch
53
00:04:23,800 --> 00:04:30,640
neugieriger Nutzer. Wir haben gerade in
der Einführung gehört, dass jemand
54
00:04:30,640 --> 00:04:33,230
durchaus eine App von mehreren Konten
haben könnte. Ich habe mal kurz
55
00:04:33,230 --> 00:04:36,800
durchgezählt. Bei mir sind es neun
verschiedene Konten, weil ich auch noch
56
00:04:36,800 --> 00:04:42,670
mehrere Hüte auf habe, also sowohl
Geschäftskunden, neun verschiedene Banken.
57
00:04:42,670 --> 00:04:48,201
Konten sind es ein paar mehr. Als sowohl
geschäftliche Konten als auch
58
00:04:48,201 --> 00:04:53,530
Privatkonnten bzw. Familien Konto. Als
auch ich bin in Vereinen, Vorstand,
59
00:04:53,530 --> 00:05:00,310
Vereinskonten. Ich glaube sieben oder so.
Davon benutze ich auch regelmäßig. Der
60
00:05:00,310 --> 00:05:04,280
Rest war halt so kostenloses Girokonto. Mal
ausprobieren, was die tun. Und dann sind
61
00:05:04,280 --> 00:05:08,400
da halt 10 Euro drauf und man kann sehen,
wie die auf diese Umstellung reagiert
62
00:05:08,400 --> 00:05:13,270
haben. Das hilft dann auch wieder beim
Entwickeln von Open-Source-Software. Wenn
63
00:05:13,270 --> 00:05:18,360
man Testkonten hat und mal gucken kann,
was die Banken so anstellen. Agenda also.
64
00:05:18,360 --> 00:05:22,910
Wir haben gerade gehört, worum es gehen
soll. Ich werde euch gleich den
65
00:05:22,910 --> 00:05:29,191
wunderschönen vorher Zustand darstellen.
Die Begründungen geben, die die
66
00:05:29,191 --> 00:05:32,880
Europäische Kommission gegeben hat, warum
diese Richtlinie veröffentlicht,
67
00:05:32,880 --> 00:05:38,550
beschlossen werden sollte. Dann auf die
Frage antworten, was uns PSD2 wirklich
68
00:05:38,550 --> 00:05:46,520
gebracht hat. In der Form, die schön ist
und dann in der Form. Was ist dann
69
00:05:46,520 --> 00:05:54,280
tatsächlich herausgekommen? Ist mit einer
kurzen, kurzen Eingehen auf die Zeitlinie
70
00:05:54,280 --> 00:06:02,020
und dann zu den diversen Problemen,
Ärgerungen, ja, Blutdruck kommen. Ich fand
71
00:06:02,020 --> 00:06:06,220
das sehr schön. Als die zwei Minuten bevor
der Vortrag losging, war hier im Info
72
00:06:06,220 --> 00:06:13,370
Beamer, eine Werbefolie für BTX. Irgendwo
hier stehen BTX Terminals, die man
73
00:06:13,370 --> 00:06:18,180
ausprobieren kann. Es war ja nicht alles
schlecht in 2018 oder auch in den 80ern.
74
00:06:18,180 --> 00:06:24,350
Schon seit den 80ern gibt es Online-
Banking für Privatkunden. In Deutschland
75
00:06:24,350 --> 00:06:28,701
fing das halt so, in den frühen 80ern mit
BTX. Ich glaube der CCC hat ein bisschen
76
00:06:28,701 --> 00:06:34,550
Geschichte mit BTX, der Eine oder Andere
wird sich erinnern. Es wurde 2007 leider
77
00:06:34,550 --> 00:06:39,520
abgeschaltet, aber man hat bis dahin ganz
gut funktioniert. Daraus entstanden mehr
78
00:06:39,520 --> 00:06:43,520
oder weniger direkt ist das sogenannte
HBCI-Buchstaben. Abkürzungen haben
79
00:06:43,520 --> 00:06:50,250
vielleicht die meisten schon mal gehört:
Homebanking Computer Interface. Das ist
80
00:06:50,250 --> 00:06:57,180
ein Datenübertragungen,
Kommunikationsprotokoll zum Austausch von
81
00:06:57,180 --> 00:07:06,690
Bankdaten für Endanwender. Naja, komma
separierte Werte auf Drogen. Das hat
82
00:07:06,690 --> 00:07:09,950
Semikolons als Trennzeichen, aber manchmal
sind dann auch noch Doppelpunkt
83
00:07:09,950 --> 00:07:14,590
Trennzeichen und manchmal Pluszeichen
Trennzeichen. Was das... Ich habe es
84
00:07:14,590 --> 00:07:18,450
implementiert. Es ist tatsächlich parsbar,
ich hätte es mir nicht gedacht. Es gibt durchaus
85
00:07:18,450 --> 00:07:21,840
Protokolle, die nicht parsbar sind. Dies
gehört nicht dazu. Aber es erscheint mir
86
00:07:21,840 --> 00:07:27,560
wie ein Zufall. lachen Es ist sehr
hierarchisch aufgebaut, die
87
00:07:27,560 --> 00:07:30,692
Datenstrukturen sind hierarchisch, man
kann Dinge in Dinge, in Dinge tun. Aber es
88
00:07:30,692 --> 00:07:35,523
gibt nur drei Ebenen von Trennzeichen, und
irgendwann sind dann die Trennzeichen
89
00:07:35,523 --> 00:07:41,550
alle. Aber rein zufällig sind dann auch die
Ebenen alle. Das ist übergegangen, es
90
00:07:41,550 --> 00:07:48,350
wurde immer wieder erweitert und
verbessert eingeführt 1998. Version 2.1
91
00:07:48,350 --> 00:07:52,370
war, glaub ich, die erste brauchbare. Das
hat sich immer, wurde immer weiter
92
00:07:52,370 --> 00:07:58,300
verbessert, ist übergegangen. HBCI
3.0 kennen die meisten, und dann wurde es
93
00:07:58,300 --> 00:08:02,220
umbenannt in FinTS --- Financial
Transaction Services. Es war ursprünglich
94
00:08:02,220 --> 00:08:08,320
ein rein deutsches Ding. Es ist ein rein
deutsches Ding. Mit FinTS haben Sie dann
95
00:08:08,320 --> 00:08:12,110
versucht, das international einsetzbar zu
machen, unter anderem, in dem Sie es in
96
00:08:12,110 --> 00:08:20,190
XML gegossen haben. Und ja, das XML ist
auch parsbar, aber doch eine der
97
00:08:20,190 --> 00:08:25,500
unschönsten Implementierungen, wie man
sich das vorstellen kann. Es gibt auch
98
00:08:25,500 --> 00:08:29,890
niemand, der das einsetzt. Ne, ist nicht
richtig. Es gibt tatsächlich eine zentrale
99
00:08:29,890 --> 00:08:34,180
Liste, wo alle Banken drinstehen mit den
FinTS bzw. HBCI-Versionen, die sie
100
00:08:34,180 --> 00:08:39,950
unterstützen. Sind ja. In Deutschland
erreicht man damit quasi jede Bank, manche
101
00:08:39,950 --> 00:08:44,589
noch mit Version 2, ich glaub die Deutsche
Bank. Die meisten unterstützen Version 3,
102
00:08:44,589 --> 00:08:49,760
und ich glaube, es gibt exakt einen Eintrag,
der FinTS Version 4 ankündigt. Wie gesagt,
103
00:08:49,760 --> 00:08:57,750
benutzt niemand, 4. FinTS 3 total überall, weil
es damit erst der breiteren Öffentlichkeit
104
00:08:57,750 --> 00:09:02,180
zugänglich wurde. Früher HBCI war ein
typisch deutsches Ding. Sehr schön, sehr
105
00:09:02,180 --> 00:09:06,390
sicher. So, mit Smartcard in Computer
stecken. Dazu muss man erst mal die
106
00:09:06,390 --> 00:09:13,260
Smartcard besorgen, eine PIN dafür haben,
einen separaten Berechtigungsvertrag bzw.
107
00:09:13,260 --> 00:09:18,560
es gab auch ein Allternativverfahren, wo man
Disketten durch die Gegend... Briefe durch die
108
00:09:18,560 --> 00:09:27,191
Gegend geschickt hat, auf denen RSA-Keys
abgedruckt waren. lachen Seit FinTS 3
109
00:09:27,191 --> 00:09:30,611
gibt es auch als alternatives Verfahren
PinTan. Das ist, was die meisten in
110
00:09:30,611 --> 00:09:34,640
Deutschland als Online-Banking kennen. Man
meldet sich mit seiner PIN an, hat dann
111
00:09:34,640 --> 00:09:38,980
nur Lese Zugriff aufs Konto, und wenn man
eine Transaktion durchführen möchte,
112
00:09:38,980 --> 00:09:42,729
braucht man einen Transactions
Autorisierung Nummer, eine TAN. Sehr
113
00:09:42,729 --> 00:09:49,500
schön, sehr einfach. Leider demnächst tot.
Die Franzosen haben so etwas ähnliches wie
114
00:09:49,500 --> 00:09:52,490
BTX. Sie haben minitel. Das ist aber auch
schon vor ein paar Jahren abgeschaltet worden.
115
00:09:52,490 --> 00:09:57,080
Das ist so der Überblick für die anderen
Länder. Ansonsten wars das im Wesentlichen
116
00:09:57,080 --> 00:10:02,370
an schönen, strukturierten Verfahren. Seit
den, seit der Mitte der 90 hier habe ich
117
00:10:02,370 --> 00:10:06,460
einen Screenshot von Wells Fargo. Die
waren eine der ersten, die man hingeguckt
118
00:10:06,460 --> 00:10:12,570
rechts oben Online-Banking anbieten 1995.
Man bemerke auch die Adresse. Das war vor
119
00:10:12,570 --> 00:10:22,560
https, gab es einen Wildwuchs, das halt
viele Banken irgendeine Form von Online-
120
00:10:22,560 --> 00:10:27,510
Banking angeboten haben, aber halt immer
durch das Web-Interface und immer mit
121
00:10:27,510 --> 00:10:34,060
unterschiedlichen Formen von
Berechtigungs-Methoden und -Mechanismen .
122
00:10:34,060 --> 00:10:38,680
Für Firmenkunden, sieht das Ganze noch
verwirrender bzw. besser aus. Das sind
123
00:10:38,680 --> 00:10:42,140
halt alles nur die Privatkunden.
Firmenkunden haben schon schon wesentlich
124
00:10:42,140 --> 00:10:45,350
früher angefangen, weil ja auch mehr
Transaktionen hatten, mit tatsächlich Disketten
125
00:10:45,350 --> 00:10:50,620
durch die Gegend schicken, das
Datenträgeraustauschverfahren. Später gab
126
00:10:50,620 --> 00:10:56,151
es dann Nachfolger BCS und das aktuelle
EBICS. Da werde ich dann gleich noch
127
00:10:56,151 --> 00:11:01,960
drauf kommen, wenn ich die Situation bei
meiner Firma beschreibe, weil das mit dem
128
00:11:01,960 --> 00:11:06,990
FinTS ist jetzt leider schade war. Es
ermöglichte damals interoperables
129
00:11:06,990 --> 00:11:12,029
Multibanking. In FinTS selber sind
sogenannte Geschäftsvorfälle definiert.
130
00:11:12,029 --> 00:11:15,720
Man kann halt nicht alle Banken
unterstützen alles. Aber man kann im
131
00:11:15,720 --> 00:11:23,020
Wesentlichen abrufen, Kontoauszüge abrufen
oder Transaktionsliste. Man kann
132
00:11:23,020 --> 00:11:26,361
Überweisungen einkippen oder Lastschriften
verursachen. Das ist das Wichtigste, was
133
00:11:26,361 --> 00:11:30,280
man machen kann. Alle Banken haben noch
irgendwas anderes. Aber das Schöne ist, das
134
00:11:30,280 --> 00:11:34,860
funktioniert eigentlich überall. Und dann
gibt es einfach auf meinem Handy eine App,
135
00:11:34,860 --> 00:11:38,510
die das implementiert. Das Schöne daran
war, dass das Protokoll einfach frei im
136
00:11:38,510 --> 00:11:44,570
Internet verfügbar war. Ursprünglich kommt
es von der ZKA der Zentrale Kreditausschuss.
137
00:11:44,570 --> 00:11:47,510
Die haben sich irgendwann umbenannt und
haben sich bei der Bahn ein Beispiel
138
00:11:47,510 --> 00:11:53,870
genommen und heißen jetzt DEKA. Die
Kreditwirtschaft einzelne Lachen oder
139
00:11:53,870 --> 00:11:59,060
die deutsche Kreditwirtschaft je nachdem.
Da kann man die Spezifikation runterladen.
140
00:11:59,060 --> 00:12:02,090
Wie gesagt, das ist prinzipiell parsbar.
Man kann es implementieren, ich habs
141
00:12:02,090 --> 00:12:09,290
gemacht. Und dann braucht man nur noch
Benutzername und Pin, wie man sie von der
142
00:12:09,290 --> 00:12:13,450
Bank erhalten hat und die gleichen
Zugangsdaten wie im Onlinebanking gelten.
143
00:12:13,450 --> 00:12:16,590
Und man muss niemanden fragen, das finde
ich das Wichtigste, sondern muss niemand
144
00:12:16,590 --> 00:12:19,410
fragen, wofür man eine Implementierung
schreibt. Man muss niemanden fragen, bevor
145
00:12:19,410 --> 00:12:23,520
man die Implementierung benutzt. Ich habe
das für Vereinsverwaltungsoftware
146
00:12:23,520 --> 00:12:30,089
geschrieben, das die gesamten Finanzen des
Vereins quasi vollautomatisiert
147
00:12:30,089 --> 00:12:35,070
verarbeitet werden können, ohne dass
irgendjemand im Webinterface die Dinge
148
00:12:35,070 --> 00:12:44,830
herunterlädt und irgendwo eingibt oder gar
abtippt. Das Schöne an diesem FinTS ist
149
00:12:44,830 --> 00:12:50,510
eine der Eigenschaften von diesem FinTS
ist, dass es zukunftskompatibel ist. Man
150
00:12:50,510 --> 00:12:54,351
kann halt, es gibt diese einzelnen
Datensätze, haben eine Versionsnummer, und
151
00:12:54,351 --> 00:12:58,780
man kann dann jedes Mal eine neue Version
einführen. Der alte Datensatz funktioniert
152
00:12:58,780 --> 00:13:02,610
weiterhin für die Banken oder die Software
nur das alte unterstützt. Man sieht daran
153
00:13:02,610 --> 00:13:06,380
aber auch jedes Mal, wenn irgendwas in der
Geschichte passiert ist, wenn es neue
154
00:13:06,380 --> 00:13:10,989
Regulierungen gab, die darauf Auswirkungen
hatten, dann kommt gibts halt eine neue
155
00:13:10,989 --> 00:13:14,660
Version von z.Bsp. dem Datensatz zum
Anmelden, das dann plötzlich ein neues
156
00:13:14,660 --> 00:13:18,630
Feld drin ist für ein SMS Abbuchungskonto.
Weil, ich weiß nicht genau wann das war,
157
00:13:18,630 --> 00:13:24,490
2012 die EU beschlossen hat, dass der
Kunde das Konto angeben muss, von dem die
158
00:13:24,490 --> 00:13:29,580
SMS Gebühren berechnet werden, die für die
AnmeldeTan benutzt werden. Später gab es
159
00:13:29,580 --> 00:13:34,600
neue Veränderung, eine neue Versionen. Es
ist an der Stelle schön, dass man so quasi
160
00:13:34,600 --> 00:13:38,890
in Fossilienmäßig sehen kann, was in der
Vergangenheit passiert ist, indem man sich
161
00:13:38,890 --> 00:13:46,240
das Protokoll anguckt. Wie gesagt,
Multibanking war die wichtigste
162
00:13:46,240 --> 00:13:49,570
Funktionalität um seine Finanzsoftware auf
deinem Computer oder deinem Telefon oder
163
00:13:49,570 --> 00:13:53,720
auf deinem Server oder sonst wo zu haben
und sie funktioniert mit allen Banken in
164
00:13:53,720 --> 00:14:03,110
Deutschland. Was gab es noch für der
andere wichtige Punkt für Endverbraucher
165
00:14:03,110 --> 00:14:07,310
ist Onlineshopping. Ich möchte gerne
bezahlen. Ich brauche irgendeine Zahlung.
166
00:14:07,310 --> 00:14:12,240
Da gab es gibt es immer noch Dienste wie
PayPal oder irgendwelche Wallit Dienste,
167
00:14:12,240 --> 00:14:18,660
wo man auf eine beliebige Art vorher Geld
auflädt, das Geld ausgeben kann, was aber
168
00:14:18,660 --> 00:14:22,980
nichts mit dem eigentlichen Bankkonto zu
tun hat. Was für den Verbraucher natürlich
169
00:14:22,980 --> 00:14:26,740
wesentlich angenehmer ist, Konntobezogene
Zahlungsdienste, irgendwas, was direkt mit
170
00:14:26,740 --> 00:14:30,450
meinem Konto, das ich sowieso habe,
verbunden ist. Am einfachsten für alle
171
00:14:30,450 --> 00:14:35,040
Beteiligten ist die Vorkasse, kann man
halt vorher überweisen und kriegt dann
172
00:14:35,040 --> 00:14:39,589
seinen Gut oder auch nicht. Am einfachsten
für den Verbraucher ist die Lastschrift,
173
00:14:39,589 --> 00:14:46,240
verschickt halt der Versender das Gut und
belastet nachher das Konto. Beides nicht
174
00:14:46,240 --> 00:14:52,340
so ideal. Deswegen gab es immer wieder
Versuche, andere Systeme einzuführen. Ich
175
00:14:52,340 --> 00:14:55,440
glaube, die ersten waren die Niederländer
mit einem System, das so einen
176
00:14:55,440 --> 00:15:01,340
integrierten Prozess anbot. Der Händler
kann das System ansprechen. Ihm sagen: Ich
177
00:15:01,340 --> 00:15:07,019
hätte gerne von einem Benutzer so viel
Euro. Oder 2005, ja? Ich hätte gerne so
178
00:15:07,019 --> 00:15:11,220
und so viel Geld von diesen Benutzer. Der
macht das dann auf der Webseite seiner
179
00:15:11,220 --> 00:15:16,650
Bank mit den Zugangsdaten der Bank, gibt
den Betrag frei. Der Händler kriegt sofort
180
00:15:16,650 --> 00:15:20,100
die Bestätigung, dass der Betrag
freigegeben wurde und kann sofort die Ware
181
00:15:20,100 --> 00:15:24,459
losschicken. In Deutschland haben wir das
auch. Das kennt natürlich wieder keiner,
182
00:15:24,459 --> 00:15:30,640
weil die Sparkassen sitzen es ein. Und
dann war's das fast. Das heißt Giropay,
183
00:15:30,640 --> 00:15:37,910
und das ist, wie man Onlinezahlungen übers
Konto eigentlich machen würde. Parallel um
184
00:15:37,910 --> 00:15:41,850
2006 entstand ein Dienstleister, ich hatte
vorhin einen anderen Namen, die
185
00:15:41,850 --> 00:15:46,150
Sofortüberweisung. Das kennen Leute doch
noch, und man wundert sich ein bisschen,
186
00:15:46,150 --> 00:15:51,990
dass überhaupt entstehen konnte. Also, ich
fand das Geschäftsmodell schon immer ein
187
00:15:51,990 --> 00:16:00,450
bisschen komisch. Sofortüberweisung-in-
the-Middle. Der Benutzer gibt seine
188
00:16:00,450 --> 00:16:03,579
Zugangsdaten, die er von seiner Bank
bekommen hat, auf der Webseite von
189
00:16:03,579 --> 00:16:09,780
Sofortüberweisung ein. Sofortüberweisung
loggt sich bei der Bank ein. Macht, was
190
00:16:09,780 --> 00:16:13,600
auch immer, gibt dem Händler halt
Bescheid, dass die Transaktion
191
00:16:13,600 --> 00:16:19,040
durchgeführt worden ist und führt dem
Benutzer dann zum Händler zurück. Sie
192
00:16:19,040 --> 00:16:23,540
geben ihr Indianerehrenwort, dass sie
nichts anderes tun, außer die Transaktion
193
00:16:23,540 --> 00:16:27,360
freizuschalten und gegebenenfalls ein
Konto nachzuschauen, ob du Gebounste,
194
00:16:27,360 --> 00:16:31,750
Überweisung oder sonst was hast.
Irgendeine Risikobewertung. Sie haben auch
195
00:16:31,750 --> 00:16:35,770
TüV gibt TüV geprüften Datenschutz, der
TüV Saarland steht dafür gerade. Und wenn
196
00:16:35,770 --> 00:16:39,199
ich mich richtig erinnere, haben sie sogar
dann doch noch etwas passiert, haben auch
197
00:16:39,199 --> 00:16:42,959
noch eine Versicherung abgeschlossen.
eizelne Gelächter Falls das
198
00:16:42,959 --> 00:16:53,709
Indianerehrenwort nicht reicht. Damals,
2012, verstieß das jetzt mal abgesehen vom
199
00:16:53,709 --> 00:16:57,580
gesunden Menschenverstand auch gegen die
Teilnahmebedingungen für das Pin/Tan-
200
00:16:57,580 --> 00:17:00,970
Verfahren, die ihr bei eurer Bank
unterschrieben habt. Ich habe hier das Mal
201
00:17:00,970 --> 00:17:04,360
rausgesucht von der DKB. Der Teilnehmer
ist verpflichtet, die technische
202
00:17:04,360 --> 00:17:10,029
Verbindung zum Onlinebanking der Bank nur
nur über die Internetseite der Bank oder
203
00:17:10,029 --> 00:17:16,509
andere mitgeteilte Kommunikationswege
herzustellen. Um kurz zu illustrieren,
204
00:17:16,509 --> 00:17:22,929
habe ich eine Abbildung aus der Wikipedia
herausgesucht. Eigentlich verstößt man
205
00:17:22,929 --> 00:17:26,989
damit gegen die Bedingungen seiner Bank
und im schlimmsten Fall die Bank übernimmt
206
00:17:26,989 --> 00:17:30,580
erst einmal nicht, garantiert nicht, dass
es funktioniert, übernimmt die Schäden
207
00:17:30,580 --> 00:17:35,271
nicht. Es gab da dann so verschiedene
Banken, die versucht haben, das auch
208
00:17:35,271 --> 00:17:39,029
technisch zu unterbieten, zu verbieten.
Ich habe da keine Bestätigung, aber ich
209
00:17:39,029 --> 00:17:43,639
hörte die Geschichte, dass die Sparkasse
wohl versucht hätte, die Zufgriffe, die
210
00:17:43,639 --> 00:17:47,030
Sofortüberweisung auslöst, zu blockieren,
indem sie die IP-Adresse sperren,
211
00:17:47,030 --> 00:17:52,299
woraufhin dann drei Stunden später die
Zugrffe von drei anderen IP-Adressen kamen.
212
00:17:52,299 --> 00:17:55,380
Da gab es auch juristische
Auseinandersetzungen, weil die Sparkasse
213
00:17:55,380 --> 00:17:59,239
vorher, wie ich auf der vorherigen Folie
gezeigt habe, ein eigenes System anbot,
214
00:17:59,239 --> 00:18:01,899
das als Mitbewerber gesehen werden kann.
Auch wenn es technisch halt richtig
215
00:18:01,899 --> 00:18:06,309
rum ist, im Gegensatz zur
Sofortüberweisung, die falsch rum ist.
216
00:18:06,309 --> 00:18:09,349
Deswegen wurde Ihnen dann verboten zu
versuchen, die Sofortüberweisung zu
217
00:18:09,349 --> 00:18:14,359
torpedieren. Das zog auch so langsam ein.
Ich habe deswegen die DKB von 2012
218
00:18:14,359 --> 00:18:18,799
rausgesucht, weil ich mich erinnere. Mein
Konto ist schon ein bisschen länger, dass
219
00:18:18,799 --> 00:18:22,850
ich irgendwann AGB Änderungen mitgeteilt
bekommen habe. Da haben Sie halt diesen
220
00:18:22,850 --> 00:18:26,549
Absatz einfach gestrichen. Und statt
dessen stand dort. "Sie dürfen die
221
00:18:26,549 --> 00:18:32,130
Zugangsdaten nur auf der Webseite der DKB
eingeben, oder einem anderen von uns
222
00:18:32,130 --> 00:18:36,200
autorisierten Zahlungsdienstleister siehe
Anhang." Der Anhang enthielt genau eine
223
00:18:36,200 --> 00:18:45,060
Zeile "Sofortüberweisung.de", so nebenbei.
Um herauszufinden, was die Bedingungen von
224
00:18:45,060 --> 00:18:53,090
2012 waren, musste ich bei mir bei der DKB
mal einloggen, um mein Postfach zu gucken,
225
00:18:53,090 --> 00:18:57,050
wie wir gleich sehen werden, braucht man
zum Einloggen neuerdings manchmal eine TAN.
226
00:18:57,050 --> 00:19:02,139
Dazu gibts den TAN Generator, der ein
Passwort will, das ich natürlich nicht
227
00:19:02,139 --> 00:19:06,919
mehr wusste, aber gar kein Problem, es hat
einen Rücksetzfluß. Man kann sich einfach
228
00:19:06,919 --> 00:19:09,480
eine SMS schicken lassen und den TAN
Generator zurücksetzen und dann
229
00:19:09,480 --> 00:19:20,460
funktioniert es wieder. OK, glaube, das
Passwort brauche ich mir nicht merken. So das
230
00:19:20,460 --> 00:19:33,800
war der Zustand bis Anfang diesen Jahres,
bis Mitte dieses Jahres. 2015 kam diese
231
00:19:33,800 --> 00:19:37,169
Zahlungsrichtlinie heraus, und das ist die
Begründung, warum die herausgebracht wird,
232
00:19:37,169 --> 00:19:44,089
die dort stehen. Unter anderem seit der
vorherigen Richtlinie 2007, die PSD, die
233
00:19:44,089 --> 00:19:49,100
Zahlungsrichtlinie, nicht die
Zahlungsrichtlinie 2, sind neue Arten von
234
00:19:49,100 --> 00:19:54,460
Zahlungsdiensten entstanden. Vor allen
Dingen Zahlungsauslösedienste. Ein anderes
235
00:19:54,460 --> 00:20:02,779
Wort für Sofortüberweisung. Oder
Kontoinformationsdienste. Diese Richtlinie
236
00:20:02,779 --> 00:20:07,020
soll darauf abzielen, die Kontinuität im
Markt sicherzustellen. Mit anderen Worten
237
00:20:07,020 --> 00:20:10,619
Diese Richtlinie ist in keiner Form
gedacht oder geeignet, irgendeinen der
238
00:20:10,619 --> 00:20:16,020
bisherigen Player am Markt zu
benachteiligen oder zu disruptieren.
239
00:20:16,020 --> 00:20:21,270
Ich las irgendwann mal den schönen Satz
Lex-Sofortüberweisung. Hier ist die
240
00:20:21,270 --> 00:20:25,509
Gegenüberstellung von der
Zahlungsdiensterichtlinie 2007 und
241
00:20:25,509 --> 00:20:31,619
Zahlungsdiensterichtlinie 2 2015. Die
haben relativ langes Zeugs und unglaublich
242
00:20:31,619 --> 00:20:34,569
komplizierte Sätze an einigen Stellen. Man
muss so 2 Minuten lang lesen, um
243
00:20:34,569 --> 00:20:39,450
herauszufinden, dass das... A. Diese
Richtlinie gilt nicht für Geldabheben im
244
00:20:39,450 --> 00:20:46,250
Supermarkt. Der Satz, der das beschreibt
ist vier Zeilen lang. Es gibt einen
245
00:20:46,250 --> 00:20:51,159
Anhang, der steht, worauf sie sich
bezieht. Die ersten Paar sind gleich
246
00:20:51,159 --> 00:20:54,240
geblieben, und in
Zahlungsdiensterichtlinie 2 sind
247
00:20:54,240 --> 00:21:00,260
neuerdings Zahlungsauslösedienste und
Kontoinformationsdienste hinzugekommen. Und
248
00:21:00,260 --> 00:21:09,169
dann noch ein paar Regeln dazu. Was hat also
diese PSD2 gebracht? Die neuen Kategorien des
249
00:21:09,169 --> 00:21:15,049
Zahlungsauslösedienstleisters und des
Konto-Informationsdienstleisters, neue
250
00:21:15,049 --> 00:21:20,179
Sicherheitsmaßnahmen. Das ist der Teil,
den die meisten mitgekriegt haben. Die
251
00:21:20,179 --> 00:21:25,860
sogenannte starke Kundenauthentifizierung
SCA, Strong Customer Authentification.
252
00:21:25,860 --> 00:21:29,820
Damit zusammenhängend eine ganz
merkwürdige 90-Tage-Regelung, die keiner
253
00:21:29,820 --> 00:21:35,279
so richtig versteht und nur manchmal
angewendet wird. Ich weiß nicht, ob das
254
00:21:35,279 --> 00:21:38,850
haben die wenigsten mitgekriegt, ausser
wenn Sie sich geärgert haben, dass Timeout
255
00:21:38,850 --> 00:21:42,959
im Onlinebanking ist heruntergesetzt worden
auf fünf Minuten. Wenn man nicht alle fünf
256
00:21:42,959 --> 00:21:45,709
Minuten etwas anklickt, zum Beispiel, weil
man gerade versucht TAN Generator heraus-
257
00:21:45,709 --> 00:21:53,099
zusuchen, wird man ausgeloggt, und muss sich
wieder einloggen und eine TAN eingeben. Es
258
00:21:53,099 --> 00:21:57,090
gibt, das ist tatsächlich ganz positiv, neue
Transparenzpflichten. Das ist so der Teil,
259
00:21:57,090 --> 00:22:01,940
den die wenigsten mitkriegen, weil man das
mal so abnickt. Da steht dann drin, dass
260
00:22:01,940 --> 00:22:05,809
alle Dienstleister jetzt auch dieses Mal
ordentlich und transparent darüber
261
00:22:05,809 --> 00:22:10,200
Auskunft geben müssen, welche Kosten
entstehen, welche Gebühren entstehen, die
262
00:22:10,200 --> 00:22:14,639
Gebührenstruktur nachvollziehbar sein
soll, dass man sie auf einem dauerhaften
263
00:22:14,639 --> 00:22:25,600
Datenträger ausgehändigt bekommen muss. Es
gibt in der PSD2 neue Meldepflichten, zum einen
264
00:22:25,600 --> 00:22:32,090
an die Bundesbank bzw. die Bankenaufsicht.
Zum anderen vor der Aufnahme des Betriebs
265
00:22:32,090 --> 00:22:37,499
muss man sich registrieren lassen. Das
finden glaube ich alle ganz gut. Wir hatten mal
266
00:22:37,499 --> 00:22:41,029
ein Meeting bei der Bundesbank, die meinten,
das fanden sie ganz toll, dass sie jetzt
267
00:22:41,029 --> 00:22:44,580
diese Daten über den Finanzmarkt kriegen und
die Finanzmarktstabilität besser
268
00:22:44,580 --> 00:22:50,289
einschätzen können. Besser bewerten
können, weil für einen Dienstleister nach
269
00:22:50,289 --> 00:22:54,290
dieser Richtlinie jetzt sehr ausführlich
vorgeschrieben ist, welche
270
00:22:54,290 --> 00:22:59,019
Risikokategorien, welche Risikobewertung
er machen muss und in welcher Form er
271
00:22:59,019 --> 00:23:02,239
diese Daten dann nach oben melden muss
auch was Betrugsversuche und erfolgreichen
272
00:23:02,239 --> 00:23:08,970
Betrug angeht. Und es gibt neue
Schnittstellen. Naja, mehr oder weniger.
273
00:23:08,970 --> 00:23:14,289
In der Zahlungsdiensterichtlinie bzw. tech-
nischen Durchführung ist von dedizierten
274
00:23:14,289 --> 00:23:19,509
Schnittstellen für Zahlungsauslösedienste
bzw. Kontoinformationsdienste die Rede, die
275
00:23:19,509 --> 00:23:25,410
angeboten werden müssen. Neudeutsch sagt
man dazu API. Das ist dann das, was unter
276
00:23:25,410 --> 00:23:32,270
PSD2 API überall läuft. Es steht
allerdings nicht drin, wie der aussehen
277
00:23:32,270 --> 00:23:40,579
soll, nur was sie leisten können. Die
neuen Kategorien. Wie gesagt,
278
00:23:40,579 --> 00:23:48,279
Zahlungsauslösedienst ist jemand, der im
Auftrag von jemandem eine Zahlung auslöst.
279
00:23:48,279 --> 00:23:53,090
Also Sofortüberweisung.de oder theoretisch
auch andere. Aber man muss bestimmte
280
00:23:53,090 --> 00:23:57,879
Voraussetzungen erfüllen, um überhaupt in
diese Kategorie fallen zu können. Das hält
281
00:23:57,879 --> 00:24:02,129
unter anderem eine ganze Menge
Eigenkapital und Zertifizierungen und so
282
00:24:02,129 --> 00:24:06,509
weiter. Und Kontoinformationsdienste.
Damit ist das, was wir früher unter
283
00:24:06,509 --> 00:24:12,749
Multibanking gekannt haben. Ich bin mir
nicht ganz sicher, welche wie die Leute
284
00:24:12,749 --> 00:24:15,960
drauf waren, die das formuliert haben oder
geschrieben haben. Aber sie hatten
285
00:24:15,960 --> 00:24:18,750
offensichtlich kein Handy, auf dem sie
eine App installiert haben, wo man alle
286
00:24:18,750 --> 00:24:22,339
seine Konten hat, sondern sie haben es
auf einer Webseite gemacht. Es ist also
287
00:24:22,339 --> 00:24:28,619
neuerdings vorgesehen, dass ein online
Anbieter, eine Webseite, ein Portal halt sich
288
00:24:28,619 --> 00:24:32,870
auf alle meine Konten einloggt und mir
dann auf der Webseite anzeigt, wie mein
289
00:24:32,870 --> 00:24:37,950
Finanzstatus ist. Dazu muss sie natürlich
sich überall einloggen können. Und dann
290
00:24:37,950 --> 00:24:42,749
braucht man neue Richtlinien, Regulierung
und den ganzen Kram. Ein kurzer Blick
291
00:24:42,749 --> 00:24:47,239
zurück, wie man sich das dachte. Ich habe
beim Recherchieren, ich fand es total
292
00:24:47,239 --> 00:24:53,280
toll, ein Screenshot von Heise aus dem
Newsticker vom Jahr 2000. Das stimmt
293
00:24:53,280 --> 00:24:58,890
nicht. Das Datum ist falsch. Ich glaube,
es war 2016. Ein Screenshot von 2016, wie
294
00:24:58,890 --> 00:25:04,729
wir uns die schöne neue Zukunft mit PSD2
vorstellen. Aktuell muss man durch ein
295
00:25:04,729 --> 00:25:11,519
Bezahldienstleister gehen, der mit meiner
Kreditkarte zur Bank geht. Neuerdings kann
296
00:25:11,519 --> 00:25:20,669
der Online-Shop via PSD2-API direkt auf
das Bankkonto zugreifen. Ja, ne. *einzelne
297
00:25:20,669 --> 00:25:27,680
Kommentare* Ich nenne das die Lüge von der
dritten Partei. Ein kurzer Blick, wie wir
298
00:25:27,680 --> 00:25:34,729
das bei uns einer Firma hatten. Wir haben
Abrechnungssoftware, Personalverwaltung,
299
00:25:34,729 --> 00:25:39,570
Lohnbuchung, den ganzen Kram. Die hat dann
einfach über FinTS mit meiner Bank
300
00:25:39,570 --> 00:25:42,120
geredet. Ein Rechner, der bei mir in
meiner Firma steht, der gehört mir, da ist
301
00:25:42,120 --> 00:25:45,730
Software drauf installiert, die ich
gekauft habe. Und da ist mal meine Bank,
302
00:25:45,730 --> 00:25:48,380
und dazwischen ist halt ein
Vertrauensverhältnis, weil das meine Bank
303
00:25:48,380 --> 00:25:51,950
ist und ich gebe irgendwie meine
Zugangsdaten meiner Bank. Und dann
304
00:25:51,950 --> 00:25:58,809
funktioniert das hervorragend. Das ist zum
14. September 2019 abgeschaltet worden.
305
00:25:58,809 --> 00:26:02,809
Datev hat uns gesagt, Sie haben einen
neuen Kooperationspartner, die FinApi
306
00:26:02,809 --> 00:26:07,629
GmbH. Das heißt, neuerdings läuft das so,
dass die Daten meiner Firma erstmal an das
307
00:26:07,629 --> 00:26:14,509
Datav Rechenzentrum gehen, von dort an die
FinAPI GmbH, die dann die API
308
00:26:14,509 --> 00:26:21,070
implementiert, die meine Bank implementiert.
Ich weiß nicht, ich kann es hier vorne ganz
309
00:26:21,070 --> 00:26:25,270
gut sehen, aber das Logo der FinAPI GmbH, ist
deswegen sehr schön weil da steht Schufa
310
00:26:25,270 --> 00:26:31,940
Comany. FinApi hat sich aufkaufen lassen
bzw. Mehrheitsbeteiligung der Schufa Holding
311
00:26:31,940 --> 00:26:38,000
GmbH. einzelne Gelächter In der schönen
neuen Welt gehen alle meine Daten jetzt
312
00:26:38,000 --> 00:26:43,099
mal nicht abgesehen davon, dass sie durch
Datev gehen, auch noch durch die Schufa,
313
00:26:43,099 --> 00:26:48,099
die natürlich verpflichtet sind, damit
nichts Böses zu tun. Allerdings habe ich
314
00:26:48,099 --> 00:26:51,019
mit der Schufa irgendwie auch keinen
Vertrag dazu abgeschlossen, sondern ich habe
315
00:26:51,019 --> 00:26:55,550
meinen Vertrag mit jemandem anderen,
deswegen nicht so schön. Überall wird
316
00:26:55,550 --> 00:27:00,399
immer von Drittdienstleistern gesprochen,
das heißt immer die dritte Partei
317
00:27:00,399 --> 00:27:04,545
implementiert halt PSD2 API. Das ist ja
falsch! Sind ja immer vier Parteien
318
00:27:04,545 --> 00:27:13,269
beteiligt. Es ist ja immer ich, ich kann
mal, ich darf nicht mich vorbeugen ich
319
00:27:13,269 --> 00:27:17,689
nehme mal diesen Laserpointer hier, es ist
ja immer ich daran beteiligt es ist ja
320
00:27:17,689 --> 00:27:21,479
immer meine Bank daran beteiligt sind wir
schon bei zweien. Dann gibt es irgendwas
321
00:27:21,479 --> 00:27:25,460
was ich in Wirklichkeit machen möchte.
Also meinetwegen Zahlungen, das wäre dann
322
00:27:25,460 --> 00:27:29,350
meinetwegen Zahlungen. Das wäre hier so
irgend eine Partei. Aber de facto muss es immer
323
00:27:29,350 --> 00:27:32,239
immer eine vierte Partei geben, einen
neuen Gatekeeper, der dann die API
324
00:27:32,239 --> 00:27:36,249
tatsächlich implementiert. Ich sag gleich
warum. Aber im Wesentlichen läuft es
325
00:27:36,249 --> 00:27:41,049
darauf hinaus, dass die hier einen
bevorzugten Zugang zu allen Banken
326
00:27:41,049 --> 00:27:45,390
erhalten, der nicht so einfach auf einer
der anderen drei Ebenen, zum anderen
327
00:27:45,390 --> 00:27:48,580
beiden Ebenen zu implementieren ist. Es
gibt aber eigentlich immer eine vierte
328
00:27:48,580 --> 00:27:53,029
Partei. Es gibt quasi keinen Anwendungs-
fall, der mir einfällt, wo es nur drei
329
00:27:53,029 --> 00:27:56,429
Parteien sind, außer vielleicht
der Kontoinformationendienstleister, der
330
00:27:56,429 --> 00:28:01,969
selber ein Webportal betreibt, auf dem ich
meinen Kontostand einsehen kann. Der
331
00:28:01,969 --> 00:28:08,320
einzige Fall, der einem einfällt, wo es
nur drei sind. Die PSD2 API schreibt, wie
332
00:28:08,320 --> 00:28:15,279
gesagt, einen offenen Zugriff vor. Naja, offen
ist halt so gemeint wie ein Bürokrat das
333
00:28:15,279 --> 00:28:20,779
als offen versteht. Es ist kein
Vertragsverhältnis erforderlich zwischen
334
00:28:20,779 --> 00:28:25,179
den Banken und den Leuten, die darauf
zugreifen, das ist schon mal ganz gut. Die
335
00:28:25,179 --> 00:28:29,070
Banken sind verpflichtet, ein API
anzubieten, aber es steht halt nur, dass
336
00:28:29,070 --> 00:28:32,200
es verfügbar sein muss und was es leisten
können muss und dass es genauso gut sein
337
00:28:32,200 --> 00:28:38,019
muss wie der Zugriff, den die Bank dem
Kunden direkt anbietet. Und die gleichen
338
00:28:38,019 --> 00:28:41,200
Servicelevel Agreements erfüllen muss, die
gleiche Verfügbarkeit haben muss. Es steht
339
00:28:41,200 --> 00:28:44,869
nicht drin, wie es tatsächlich
ausgestaltet ist. Es steht nicht drin,
340
00:28:44,869 --> 00:28:50,190
welche Spezifikation dies erfüllen soll.
Das führt dazu, dass nicht jede Bank
341
00:28:50,190 --> 00:28:54,789
entwickelt ihr eigenes API. Die haben gar
keine Lust darauf. Die kaufen schon noch
342
00:28:54,789 --> 00:29:02,129
APIs von externen Dienstleistern diese
Funktionalität ein. Aber dennoch gibt es
343
00:29:02,129 --> 00:29:05,881
eine größere Handvoll an verschiedenen
APIs, die von verschiedenen Banken
344
00:29:05,881 --> 00:29:12,269
eingesetzt werden. Die, wenn ich also,
wenn ich eine Funktionalität
345
00:29:12,269 --> 00:29:15,179
implementieren möchte, die auf
Zahlungskonten zugreift, muss ich sie
346
00:29:15,179 --> 00:29:19,249
eigentlich alle implementieren. Oder ich
nehme mir einen zusätzlichen Dienstleister
347
00:29:19,249 --> 00:29:24,820
wie die FinApi dazu, der dann für mich
alle implementiert. Es gibt ein quasi-
348
00:29:24,820 --> 00:29:30,459
Standard. Die Berlin Group hat sich
zusammengesetzt, um eine PSD2 API zu
349
00:29:30,459 --> 00:29:34,090
spezifizieren, die jeder implementieren
kann, wo dann alle Seiten nur einmal das
350
00:29:34,090 --> 00:29:37,000
machen müssen. Die Webseite ist ein
bisschen schlimm, ist relativ schwierig,
351
00:29:37,000 --> 00:29:42,871
den Standard herunterzuladen. Aber das ist
mittlerweile der quasi-Standard. Es gibt
352
00:29:42,871 --> 00:29:49,289
noch keinen echten Standard. Voraussetzung
dafür ist, um die PSD2 API nutzen zu
353
00:29:49,289 --> 00:29:55,650
können, dass ich ein lizensierte bzw.
registrierter Dienstleister bin. Gute
354
00:29:55,650 --> 00:30:00,070
Nachricht, ich hab nicht notwendigerweise
Eigenkapitalanforderungen. Also, ich als
355
00:30:00,070 --> 00:30:02,789
Privatperson kann es leider nicht machen,
aber zumindest meine juristische Person
356
00:30:02,789 --> 00:30:05,480
kann ich schnell gründen ohne
Eigenkapital. Wenn ich eine
357
00:30:05,480 --> 00:30:08,309
Berufshaftpflichtversicherung abschließen.
Das gilt auch nur für
358
00:30:08,309 --> 00:30:14,879
Kontoinformationsdienstleister. Sobald ich
Zahlungsauslösedienst sein möchte, muss
359
00:30:14,879 --> 00:30:25,880
ich 50.000 Euro Eigenkapital Anfangskapital
hinlegen. Die meisten Dienstleistungen
360
00:30:25,880 --> 00:30:28,489
oder die meisten Funktionen, die ich mir
vorstellen könnte, machen mit nur
361
00:30:28,489 --> 00:30:32,779
Kontoinformation nicht so viel Sinn. Wenn
ich an meinem Beispiel des Vereins denke,
362
00:30:32,779 --> 00:30:36,130
wenn ich die Vereinsverwaltung mache,
möchte ich halt sowohl Zahlungseingänge
363
00:30:36,130 --> 00:30:40,870
verbuchen können als auch mindestens
Lastschriften auslösen können. Und da bin
364
00:30:40,870 --> 00:30:45,629
ich schon Zahlungsauslösedienst, und der
Zug ist abgefahren in meinem Verein hat
365
00:30:45,629 --> 00:30:52,409
keine 50.000 Euro. Plus Zugang ist offen.
Solange ich ein qualifiziertes
366
00:30:52,409 --> 00:30:57,150
elektronisches Zertifikat habe, das mich
als registrierter Zahlungsauslösedienst
367
00:30:57,150 --> 00:31:03,900
ausweist. In der gesamten Spec kommt das
Konzept. Dies ist kein Cloud-Dienst. Dies
368
00:31:03,900 --> 00:31:07,800
ist eine Software, die ich herunterladen
und ausführen kann, einfach nicht vor.
369
00:31:07,800 --> 00:31:11,989
PSD2 API ist komplett nutzlos für Leute,
die Software auf ihrem eigenen Rechner
370
00:31:11,989 --> 00:31:18,569
ausführen wollen. Was kann sie denn noch?
Neu dazugekommen ist schon Customer
371
00:31:18,569 --> 00:31:26,090
Authentification, das ist das mit dem
Blutdruck. Neuerdings kann manchmal Ich
372
00:31:26,090 --> 00:31:30,570
komme gleich drauf, Strong Customer
Authentication gefordert werden, und
373
00:31:30,570 --> 00:31:36,890
das bedeutet, dass mindestens zwei der
Elemente Wissen, Besitz und Inhärenz
374
00:31:36,890 --> 00:31:44,559
benutzt werden müssen. Inhärenz ist das
fancy Wort für Biometrie. Müssen benutzt
375
00:31:44,559 --> 00:31:48,089
werden und müssen voneinander unabhängig
sein. Dann steht da also Kram drin. Unter
376
00:31:48,089 --> 00:31:51,269
anderem steht da auch drin, dass nach fünf
Fehlversuchen der Zugang gesperrt werden
377
00:31:51,269 --> 00:31:57,990
muss. Die Abmeldungen nach fünf Minuten
Inaktivität kommt auch darin vor.
378
00:31:57,990 --> 00:32:01,789
Verpflichtend ist eine dynamische
Verknüpfung der Customer Authentication
379
00:32:01,789 --> 00:32:07,129
mit dem jeweiligen Vorgang. Das heißt,
iTAN Listen sind halt absolut verboten. Es
380
00:32:07,129 --> 00:32:12,460
muss in jedem Fall der Code auf irgend
eine Art mit dem Betrag den ich überweisen
381
00:32:12,460 --> 00:32:17,879
möchte verbunden sein. Hier steht auch die
Formulierung, dass dafür gesorgt werden
382
00:32:17,879 --> 00:32:23,299
muss, dass Mechanismen vorhanden sind, die
sicherstellen, dass die Software oder das
383
00:32:23,299 --> 00:32:29,819
Gerät nicht vom Zahler oder einem Dritten
verändert wurden. Es war dann das wo ich
384
00:32:29,819 --> 00:32:32,860
meinen Blutdruck gekriegt habe, weil ich
mein Android-Telefon natürlich gerootet
385
00:32:32,860 --> 00:32:36,130
habe, unter anderem um Backups machen zu
können und mir die App dann
386
00:32:36,130 --> 00:32:41,359
freundlicherweise sagt "Ja ne, ist nicht,
ist ja gerootet". Und dann überlegt man
387
00:32:41,359 --> 00:32:45,119
sich nochmal, was gerootet bedeutet, na ja
bedeutet, dass das Telefon unter anderem
388
00:32:45,119 --> 00:32:48,289
in der Lage wäre, über seinen Zustand zu
lügen. Die App möchte nicht funktionieren
389
00:32:48,289 --> 00:32:51,150
auf einem Telefon, das in der Lage wäre,
über seinen Zustand zu lügen, es sei denn
390
00:32:51,150 --> 00:32:54,710
natürlich, das Telefon lügt über seinen
Zustand so gut, dass die App dann doch
391
00:32:54,710 --> 00:32:58,709
wieder funktioniert. Das war dann für mich
die Motivation doch mal magisk
392
00:32:58,709 --> 00:33:04,880
auszuprobieren, dass ein hinreichend
erfolgreiche Rootdetectionsverhinderung
393
00:33:04,880 --> 00:33:11,400
hat, wobei es dann wieder zu so einer
Waffen Spirale kommt, das mit zunehmenden
394
00:33:11,400 --> 00:33:15,019
App Updates die Detection besser wird was
dazu führt, dass die Leute die die
395
00:33:15,019 --> 00:33:20,940
Detection verhindern, wieder besser werden
und ich dann am Ende doch ein zweites
396
00:33:20,940 --> 00:33:25,809
Gerät habe lächelt, auf dem ich die Tan
Apps ausführe, die sich zurzeit nicht
397
00:33:25,809 --> 00:33:32,579
austricksen lassen und am Ende halt für
vollkommenen Unfug. Wird noch besser. Das
398
00:33:32,579 --> 00:33:37,679
Feature nennt sich "Surprise SCA". Bisher
war die Sache einfach. Ich habe mich mit
399
00:33:37,679 --> 00:33:40,829
der PIN angemeldet, dann hab ich einen
read-only Zugang gekriegt. Wenn ich
400
00:33:40,829 --> 00:33:44,849
irgendwas read-write-mäßiges machen
wollte, musste ich eine TAN eingeben, die
401
00:33:44,849 --> 00:33:50,419
auf diesen Vorgang bezogen war. Jetzt
brauche ich die TAN für wesentlich mehr.
402
00:33:50,419 --> 00:33:53,519
Und zwar brauche ich die TAN teilweise zum
Anmelden, also die genaue Formulierung
403
00:33:53,519 --> 00:33:57,639
die genaue Formulierung ist zum Zugriff
auf Kontodaten oder sensible Kontodaten,
404
00:33:57,639 --> 00:34:00,739
damit ist halt in der Regel Anmelden in
der App beziehungsweise im Web-Interface
405
00:34:00,739 --> 00:34:07,239
gemeint, ausser manchmal. Es gibt vier
oder fünf Seiten in der technischen
406
00:34:07,239 --> 00:34:13,160
Richtlinie, die Ausnahmen beschreiben.
Also zum einen darf ich die SCA weg lassen
407
00:34:13,160 --> 00:34:18,630
wenn ich nur Zahlungskontoinformationen
bis 90 Tage alt abrufe, außer beim ersten
408
00:34:18,630 --> 00:34:23,650
Mal oder wenn das letzte Mal mehr als 90
Tage her ist. Da kommen die 90 Tage her,
409
00:34:23,650 --> 00:34:26,700
du musst die TAN alle 90 Tage eingeben,
weil dann die Ausnahme garantiert nicht
410
00:34:26,700 --> 00:34:34,260
mehr gilt. Bei kontaktlos Zahlungen sind
es 50 Euro. Die ohne PIN bzw. Strong
411
00:34:34,260 --> 00:34:38,670
Customer Authentification, weil den Besitz
habe ich ja durch die Karte immer
412
00:34:38,670 --> 00:34:44,230
gewährleistet, die ohne zusätzliche PIN
möglich sind. Ausser es sind schon 150€
413
00:34:44,230 --> 00:34:48,370
vergangen seit dem letzten Mal.
Parkgebühren sind grundsätzlich ohne SCA,
414
00:34:48,370 --> 00:34:54,260
das ist sehr angenehm. Vertrauenswürdige
Empfänger sind ohne SCA, ausser natürlich
415
00:34:54,260 --> 00:34:58,980
der Vorgang, vertrauenswürdige Empfänger
zu definieren. Wiederkehrende
416
00:34:58,980 --> 00:35:03,600
Zahlungsvorgänge ab dem zweiten Mal kann
ich auch ohne machen. Überweisungen auf
417
00:35:03,600 --> 00:35:09,620
ein anderes Konto derselben Person können,
ohne sein. Kleinstbetragszahlung bis 30€
418
00:35:09,620 --> 00:35:15,460
können ohne sein, außer manchmal.
Unternehmen fallen eher ganz raus das war
419
00:35:15,460 --> 00:35:20,820
dann unsere Lösung gegen das FinTS FinAPI
Fiasko. Es gibt einfach EBICS, da ist dann
420
00:35:20,820 --> 00:35:24,300
quasi nichts drin. Es ist dann so, man
wirft die Zahlung dahin und wenn die halt
421
00:35:24,300 --> 00:35:28,000
von der Firma kommen, dann werden die halt
so stimmen. Da braucht niemand mehr
422
00:35:28,000 --> 00:35:33,470
irgendwo eine TAN eingeben und
Transaktions Risikoanalysen, die
423
00:35:33,470 --> 00:35:37,410
modifizieren den ganzen Kram wieder. Also
die können dann sowohl bei bisherigen
424
00:35:37,410 --> 00:35:41,560
Ausnahmen die SCA wieder erfordern als
auch, man kann halt sagen, na gut, die
425
00:35:41,560 --> 00:35:46,411
Zahlung hat ein so geringes Risiko, dass
ich dann doch wieder keiner SCA brauche.
426
00:35:46,411 --> 00:35:51,050
Außer natürlich die laufende Berechnung
der Betrugsraten, die ich verpflichtet bin
427
00:35:51,050 --> 00:35:53,660
durchzuführen. Ergibt, das eine höhere
Betrugsrate eingesetzt hat, da muss ich
428
00:35:53,660 --> 00:36:00,560
wieder dauernd SCA machen.
Schlussfolgerung: In Summe ist es von
429
00:36:00,560 --> 00:36:05,870
außen nicht vorhersehbar, wann eine TAN
verwendet werden muss. Das macht beim User
430
00:36:05,870 --> 00:36:09,820
Interface Design. Ich weiß nicht, wie viele sich
mal damit beschäftigt haben. Natürlich
431
00:36:09,820 --> 00:36:14,250
besonders viel Spaß. Also, ich hab das in
Byro, das ist eine Web-App. Ein bisschen
432
00:36:14,250 --> 00:36:17,220
schwierig, wenn man irgendwie auf SUBMIT
drückt und dann passiert halt nicht das,
433
00:36:17,220 --> 00:36:22,389
sondern da kommt erst mal: Übrigens musst
noch eine TAN eingeben. Das ist für den
434
00:36:22,389 --> 00:36:27,000
User natürlich total verwirrend, weil der
sich auf nichts mehr verlassen kann. Er
435
00:36:27,000 --> 00:36:31,340
kann halt nicht mehr vorhersehen, was
passiert, wenn er ein Knopf drückt. Das
436
00:36:31,340 --> 00:36:39,310
ist für automatisierte Dienste, die FinTS
benutzen wollen, total unmöglich, weil ich
437
00:36:39,310 --> 00:36:42,200
selbst von den Vorgängen, von denen ich
bisher ausgegangen bin, dass sie zum
438
00:36:42,200 --> 00:36:45,860
Beispiel read-only sind und keine TAN
brauchen. Wenn ich also zum Beispiel die
439
00:36:45,860 --> 00:36:50,410
Kontoeingänge bei meinem Verein laufend
verbuchen möchte und einen Cronjob starte,
440
00:36:50,410 --> 00:36:55,360
der alle x-Tage mal abruft, kann es
passieren, dass dann trotzdem wieder Mal
441
00:36:55,360 --> 00:36:59,300
eine TAN nötig ist. Ich kann halt auch
nicht den Zugriff unterdrücken. Ich weiß
442
00:36:59,300 --> 00:37:02,320
es halt nicht vorher. Es kann halt
irgendeinen ein Sonderfall eingetreten
443
00:37:02,320 --> 00:37:05,212
sein. Und wenn man dann so einen
Pushdienst verwendet, ist es
444
00:37:05,212 --> 00:37:08,010
halt toll, weil derjenige, dem der Zugang
gehört, dann plötzlich eine Push-
445
00:37:08,010 --> 00:37:10,600
Nachrichten kriegt. Und es ist nicht ganz
zu unterscheiden, ob das jetzt derselbe
446
00:37:10,600 --> 00:37:18,080
aufgesetzte, automatisierte Vorgang war
oder ob es irgendein anderer Bösewicht.
447
00:37:18,080 --> 00:37:21,930
Die verschiedenen Banken handhaben das
auch sehr unterschiedlich. Bei der DKB zum
448
00:37:21,930 --> 00:37:26,050
Beispiel muss man jedes Mal eine TAN
eingeben, wenn man sich irgendwo einloggt.
449
00:37:26,050 --> 00:37:30,760
Bei der Sparkasse nicht. Die Sparkasse
macht Gebrauch von den 90 Tagen Ausnahmen.
450
00:37:30,760 --> 00:37:33,640
Dafür muss man bei der Sparkasse die TAN
eingeben, wenn man einen Suchvorgang
451
00:37:33,640 --> 00:37:38,580
startet, der mehr als 90 Tage
beinhaltet. Die DKB hat gesagt, dass es
452
00:37:38,580 --> 00:37:43,330
Ihnen zu umständlich. Deswegen fragen Sie
immer nach der TAN. Außer man hat halt,
453
00:37:43,330 --> 00:37:47,060
dann sind danach alle Transaktionen ohne
TAN. Ausser natürlich es sind wieder fünf
454
00:37:47,060 --> 00:37:56,380
Minuten vergangen. *Stimmen im Publikum"
Euch fällt auf, das passiert eigentlich
455
00:37:56,380 --> 00:37:59,950
nur bei solchen EU-Richtlinien oder
solchen EU-Regulierung. Ich weiß nicht,
456
00:37:59,950 --> 00:38:04,481
wer ein PayPal-Konto hat, PayPal hat seit
immer kein 2-Faktor-System. Die machen
457
00:38:04,481 --> 00:38:08,730
einfach irgendwas: Keine Ahnung die machen
auch Transaktionsrisiko und Zeugs. Die
458
00:38:08,730 --> 00:38:12,090
wissen halt, dass so eine TAN eigentlich
nur dazu führt, dass der Nutzer den
459
00:38:12,090 --> 00:38:16,310
Prozess im Zweifelsfall einfach abbricht,
was halt bei Zahlungen doof ist, weil dann
460
00:38:16,310 --> 00:38:22,000
die Einnahmen entgehen. Das ist einer der
Gründe, warum PayPal das nicht hat und
461
00:38:22,000 --> 00:38:24,660
Leute immer wieder sagen "Ihr seid doch so
unsicher" und am Ende naja eigentlich
462
00:38:24,660 --> 00:38:31,050
nicht offensichtlich, weil sie sind ja
noch am Markt. Der Effekt Multi-Banking
463
00:38:31,050 --> 00:38:33,850
haben wir gehört. Ich habe eine App, wo
ich alle meine Dinge drin hat. Führte
464
00:38:33,850 --> 00:38:41,860
dazu, dass ich Multifaktor habe. Hier den
Dilo Delwitz Witz einfügen. Das sind die
465
00:38:41,860 --> 00:38:46,020
TAN-Generierungsapps im Wesentlichen, die
ich auf meinem Telefon habe. Ich habe
466
00:38:46,020 --> 00:38:50,840
neulich mal in meiner, ich glaube kurz
nach dem 14. September in meiner
467
00:38:50,840 --> 00:38:54,680
Online-Banking-App versehentlich auf alle
Konten aktualisieren gedrückt, was dazu
468
00:38:54,680 --> 00:39:02,090
führte, dass ich acht, neun verschiedene
TANs eingeben musste, eine davon zweimal
469
00:39:02,090 --> 00:39:07,410
auf vier verschiedenen Modalitäten. Also
ich habe ja auch noch TAN-Generatoren mit
470
00:39:07,410 --> 00:39:11,050
ChipTAN, was ja eigentlich das bessere
Verfahren ist. Da muss man halt
471
00:39:11,050 --> 00:39:13,560
raussuchen. Aber ist ja nicht so schlimm,
weil macht man ja nur, wenn man eine
472
00:39:13,560 --> 00:39:22,440
Überweisung durchführt. Und die DKB hat
Ihr Kreditkartenkonto von FInTS jetzt abgehängt,
473
00:39:22,440 --> 00:39:26,000
das heißt, die Software, die ich verwende,
macht dann Webcalling, was die alte
474
00:39:26,000 --> 00:39:31,250
Methode war, um Finanzdaten abzurufen.
Wozu dann nochmal ein separater TAN-
475
00:39:31,250 --> 00:39:35,550
Eingabe nötig ist, um sich im Webinterface
anzumelden. Ich habe seitdem nicht nochmal
476
00:39:35,550 --> 00:39:40,300
auf alles Abrufen gedrückt. Ich sollte das
mal irgendwann wieder tun. Ich muss mich
477
00:39:40,300 --> 00:39:46,370
bloß vorbereiten. Stimmen im Publikum
Genau. Zeitlinie, also die Richtlinie vom
478
00:39:46,370 --> 00:39:50,320
25. November. Sie ist technisch gesehen im
Januar 2016 in Kraft getreten. Das
479
00:39:50,320 --> 00:39:54,230
bedeutet, da gibt es eine 2-Jahresfrist,
die ist 2018 in nationales Recht umgesetzt
480
00:39:54,230 --> 00:40:00,480
worden. Das Zahlungsdiensteumsetzungs -
gesetz in Deutschland. Da steht bloß Copy
481
00:40:00,480 --> 00:40:05,440
und Paste von der Richtlinie drin. In der
Richtlinie ist eine Verordnung delegiert
482
00:40:05,440 --> 00:40:09,230
worden, was die technische Umsetzung
angeht von 2017. Und jetzt kommen wir
483
00:40:09,230 --> 00:40:13,760
Warum ist es eigentlich alles am 14.
November? 14. September explodiert? Weil
484
00:40:13,760 --> 00:40:26,770
die Frist am 14. September wird diese
delegierte Verordnung gültig. Sechs Monate
485
00:40:26,770 --> 00:40:31,490
vorher hätten die Banken eine Testumgebung
zur Verfügung stellen müssen, damit
486
00:40:31,490 --> 00:40:36,490
Softwareentwickler, die nicht der Größte
am Markt sind, das mal testen können. Es
487
00:40:36,490 --> 00:40:41,890
gibt eine Fallbacklösung, falls man sich
außerstande sieht, eine PSD2 API
488
00:40:41,890 --> 00:40:46,040
anzubieten oder da irgendwas nicht ist,
oder ein Notfall eintritt, wobei Notfall
489
00:40:46,040 --> 00:40:52,590
glaube ich definiert ist als fünf Vorgänge
haben mehr als 30 Sekunden Latenz, dürfen
490
00:40:52,590 --> 00:40:55,800
Zahlungsdienstleister also die
Kontoinformationsdienste oder die
491
00:40:55,800 --> 00:40:59,770
Zahlungsauslösedienste ein Fallback
benutzen, nämlich das Interface, was der
492
00:40:59,770 --> 00:41:07,230
normale Kunde benutzt. Da sind wir wieder
beim Webcalling. Wenn die Banken das
493
00:41:07,230 --> 00:41:12,820
nicht möchten, müssen sie mindestens drei
Monate am Stück die normale PSD2-API zur
494
00:41:12,820 --> 00:41:18,370
Verfügung stellen. Das heißt, Sie hätten
im Juni die PSD2-API produktiv laufen
495
00:41:18,370 --> 00:41:24,320
müssen haben müssen, um von der
Ausnahmeregelung ausgenommen zu werden.
496
00:41:24,320 --> 00:41:29,350
Ich glaube, das hat keiner. Am 14.
September ist dann alles explodiert. Dann
497
00:41:29,350 --> 00:41:36,720
wurde die Durchführungsverordnung gültig.
Die Delegierteverordnung gültig, was dazu
498
00:41:36,720 --> 00:41:38,930
führte, dass noch nicht sofort alles
explodiert ist. Erstmal sind nur
499
00:41:38,930 --> 00:41:42,240
Transaktionen und Onlineanmeldung, weil
manche Banken haben tatsächlich davon
500
00:41:42,240 --> 00:41:46,420
Gebrauch gemacht, dass da irgendwo 90 Tage
steht. Und wenn man sich halt am 13.
501
00:41:46,420 --> 00:41:50,680
September angemeldet hat, dann war man ja
angemeldet. Ja, das war dann am 13.
502
00:41:50,680 --> 00:41:53,370
Dezember vorbei. Das heißt spätestens seit
dem 13. Dezember hat jeder der
503
00:41:53,370 --> 00:41:59,010
Online-Banking benutzt Spaß. Gibt kleinere
Problemchen. Die Anmeldefluß für
504
00:41:59,010 --> 00:42:04,500
2-Faktor-Apps sind oft kompliziert, der
Support etwas überlastet. Bei der Postbank
505
00:42:04,500 --> 00:42:08,070
habe ich das Problem, dass ich neu etwas
unterschreiben musste, weil ich als
506
00:42:08,070 --> 00:42:11,550
Vereinskonto, das war das doofe, es ist
ein Gemeinschaftskonto, war ja früher
507
00:42:11,550 --> 00:42:14,750
nicht so schlimm. Man teilt halt einfach
die Pin, und nur einer kriegt die
508
00:42:14,750 --> 00:42:17,640
Chipkarte für die TAN-Generierung.
Neuerdings müssen halt alle
509
00:42:17,640 --> 00:42:21,610
Gemeinschaftskonten extra Personenaccounts
für jeden, der Lesezugriff haben soll
510
00:42:21,610 --> 00:42:27,030
haben. Bei der Postbank lief es darauf
hinaus, dass ich unterschreiben musste und
511
00:42:27,030 --> 00:42:30,350
die meine E-Mail nicht angenommen haben.
Der Mailserver hat gemeint "Aufgrund der
512
00:42:30,350 --> 00:42:38,510
hohen Betrugsraten können Sie zurzeit keine
Mail annehmen." Gelächter Moment,
513
00:42:38,510 --> 00:42:41,820
nachdem ich den Support gefragt habe, ich
habe tatsächlich telefonisch was erreicht,
514
00:42:41,820 --> 00:42:46,640
meinte er, faxen sie es uns. Das habe ich
vorgeschlagen Faxen. Das habe ich gemacht.
515
00:42:46,640 --> 00:42:50,030
Das hat auch nur vier Wochen gedauert. Es
hat funktioniert. Andere Leute haben
516
00:42:50,030 --> 00:42:52,750
andere Probleme, irgendwie. Geräte,
Wechsel, Verlust ist ein bisschen
517
00:42:52,750 --> 00:42:55,850
schwierig. Ich habe mit jemandem geredet.
Ich habe gesagt, ihr habt ja im vorigen
518
00:42:55,850 --> 00:43:00,330
Screenshot gesehen, welches Handy verliere
oder auch nur tauschen möchte, muss ich
519
00:43:00,330 --> 00:43:04,640
halt acht verschiedene Apps neu
einrichten, teilweise in acht Schritten.
520
00:43:04,640 --> 00:43:09,410
Ich habe gerade jemandem geholfen, bei der
Apobank seine TAN-App einzurichten, weil es
521
00:43:09,410 --> 00:43:14,420
halt dreimal nicht geklappt hat. Der Knopf
Brief generieren mit dem Bestätigungscode
522
00:43:14,420 --> 00:43:17,730
der hat immer funktioniert. Da kam ein neuer
Brief. Aber es war nicht zu sehen, wo man
523
00:43:17,730 --> 00:43:21,910
den Bestätigungscode eingibt, bis man auf
der Webseite war und das vierseitige PDF
524
00:43:21,910 --> 00:43:28,740
mit den acht einfachen Schritten gefunden
hat. Gelächter Der schärfste Trick: Für
525
00:43:28,740 --> 00:43:31,660
Kreditkarten gilt das eigentlich auch
mit der starken
526
00:43:31,660 --> 00:43:35,441
Kundenauthentifizierung. Bloß das hat noch
keiner umgesetzt. Das muss noch im Webshop
527
00:43:35,441 --> 00:43:40,290
implementiert werden. Deswegen hat die EBA
jetzt gesagt: Na gut, ihr habt noch mal
528
00:43:40,290 --> 00:43:47,950
ein bisschen Zeit bis 2020. Und was ich
vorhin sagte: Die APIs waren und oder sind
529
00:43:47,950 --> 00:43:51,330
nicht funktional. Die Leute haben einfach
zu wenig Zeit gehabt zum Testen. Kurzer
530
00:43:51,330 --> 00:43:57,510
Seitenhieb. 3D Secure. Es gab da schon mal
ein Vortrag über einen Vortrag halten.
531
00:43:57,510 --> 00:44:01,780
Aber es gibt auf jeden Fall ein sehr
schönes Paper dazu "Verified bei Visa and
532
00:44:01,780 --> 00:44:09,790
Mastercard Secure-Code or how not to
design authentication" von Murdoch und
533
00:44:09,790 --> 00:44:14,470
Anderson. Three D secure steht für Three
-Domain-, acquirere, Issuer and
534
00:44:14,470 --> 00:44:20,130
Interoperability sind die Domains der Herausgeber
Akzeptanz und die dazwischen Leute. Der
535
00:44:20,130 --> 00:44:25,590
Kunde fehlt in der Liste, die hier
geschützt werden. Es ist dafür da, dem
536
00:44:25,590 --> 00:44:29,390
Kunden neue AGB aufzudrücken und die
Schuld zu verschieben, weil offensichtlich
537
00:44:29,390 --> 00:44:36,321
der Kunde schuld ist. Ist ja, jetzt sicher.
Bei einer meiner Banken, ist eine am VR-Banken-Netz
538
00:44:36,321 --> 00:44:41,720
angeschlossene bei der Fiducia muss man sich
registrieren, da kriegt man so ein
539
00:44:41,720 --> 00:44:44,521
Brief? Gehen Sie mal wieder auf diese
Webseite und füllen Sie dort die
540
00:44:44,521 --> 00:44:49,720
Registrierung aus. So online
sichereinkaufen.de oder so ähnlich.
541
00:44:49,720 --> 00:44:53,600
Sicheronlineeinkaufen.de? Sicher
einkaufen. Ich bin mir sicher es war sicher
542
00:44:53,600 --> 00:45:02,260
online einkaufen. Ich weiß es, weil diese
Seite existiert, die anderen nicht. Diese
543
00:45:02,260 --> 00:45:11,560
Seite existiert. applaus Und hat ein
gültiges Sicherheitszertifikat von
544
00:45:11,560 --> 00:45:19,310
LetsEncrypt. Gelächter Und dann war
wieder da die Sache mit dem Blutdruck, die
545
00:45:19,310 --> 00:45:22,870
hat dann wieder gemeint na ja, Sie können
sich jetzt hier registrieren und die Push-TAN-
546
00:45:22,870 --> 00:45:28,280
App aktivieren. Das geht auf Ihrem Telefon
nicht, weil es gerootet ist. Das Telefon
547
00:45:28,280 --> 00:45:32,620
ist unsicher. Gar kein Problem. Sie können
auch den Alternativprozess verwenden. Wir
548
00:45:32,620 --> 00:45:43,080
schicken ihn einfach eine SMS an dieses
Telefon. fröhliches Lachen Ok. Muss ich
549
00:45:43,080 --> 00:45:49,420
jetzt nicht verstehen. Dieses Formular,
wie gesagt, das ist aktuell online hat
550
00:45:49,420 --> 00:45:52,140
immer noch die gleichen Probleme, die
Murdoch und Anderson von damals genannt
551
00:45:52,140 --> 00:46:00,630
haben. Wenn man runter scrollt, findet man
diesen Signup System. Das ist ein IFrame,
552
00:46:00,630 --> 00:46:03,580
das von irgendeiner anderen Domain kommt.
Die hat sogar ein Extended-Validation-
553
00:46:03,580 --> 00:46:09,900
Zertifikat, nur dass es halt niemand
sieht, weil ist halt ein iFrame. Was ist noch so
554
00:46:09,900 --> 00:46:14,060
passiert? Wie gesagt, Gemeinschaftskonten
benötigen jetzt einen Login pro Person.
555
00:46:14,060 --> 00:46:19,140
Ich glaube hier. Die CCV-Veranstaltungs
GmbH hat auch schon Spaß damit gehabt. Die
556
00:46:19,140 --> 00:46:22,380
Banken gehen langsam dazu über
FinTS abzuschalten oder loszuwerden, weil sie
557
00:46:22,380 --> 00:46:28,460
haben ja jetzt die PSD2 API. Die regulierten
Dienstleister dürfen nicht mehr über FinTS
558
00:46:28,460 --> 00:46:35,270
zugreifen außer halt im Fallbackmodus,
außer manchmal. Surprise SCA, wie gesagt,
559
00:46:35,270 --> 00:46:41,080
ist Userinterface wird halt nur noch
merkwürdiger. User sind frustriert und
560
00:46:41,080 --> 00:46:45,400
kriegen Hals. Was gar nicht so schlecht
ist. Es gibt jetzt ein
561
00:46:45,400 --> 00:46:48,130
Registrierungspflicht für Anwendungen, die
auch für FinTS gilt. Also auch meine
562
00:46:48,130 --> 00:46:55,540
Anwendung byro, FinTs ist registriert. Und
es ist im Sinne der Transparenz sieht man
563
00:46:55,540 --> 00:47:00,420
im Online-Banking, welche App verwendet
wurden. Das ist erst mal nicht schlecht.
564
00:47:00,420 --> 00:47:02,700
Kann man nichts gegen haben, zumal die
Registrierung auch als Open Source
565
00:47:02,700 --> 00:47:09,510
Entwickler möglich ist. Ist ja nicht immer
so. Aber fast jede Transaktion kann
566
00:47:09,510 --> 00:47:14,540
manchmal eine TAN anfordern. Wie gesagt,
ich hab das auch gerade gesehen. Wir
567
00:47:14,540 --> 00:47:18,640
kommen zum Schluss. Transparenz und
Aufsicht sind verbessert worden.
568
00:47:18,640 --> 00:47:22,530
Verbraucher sind zunehmend genervt.
Perfekte Grundlage für Wirsching? Ich weiß
569
00:47:22,530 --> 00:47:25,450
nicht, wie viele von euch so eine Mail
gekriegt haben. PSD2 tritt jetzt in Kraft.
570
00:47:25,450 --> 00:47:28,370
Bitte geben Sie jetzt hier nochmal Ihre
Kontonummer ein. Sie müssen sich jetzt neu
571
00:47:28,370 --> 00:47:34,270
anmelden, weil neue sichere Umstellung des
Sicherheitsverfahrens. Gewerbliche Nutzer,
572
00:47:34,270 --> 00:47:37,830
wie gesagt, müssen komplett ausweichen,
weil das macht gar keinen Sinn. Dafür gibt
573
00:47:37,830 --> 00:47:40,720
es jetzt neue Geschäftsfelder für
Startups, die entsprechende
574
00:47:40,720 --> 00:47:48,620
Anfangsinvestitionen haben. Open Source
kannste halt vergessen in Zukunft. Danke.
575
00:47:48,620 --> 00:48:00,600
Applaus
576
00:48:00,600 --> 00:48:03,950
Herald: Wir haben Zwölf Minuten Zeit für
Fragen und Antworten. Drei Mikrofone im
577
00:48:03,950 --> 00:48:07,930
Saal verteilt. Falls ihr Fragen habt,
stellt euch hin. Ich versuche, euch
578
00:48:07,930 --> 00:48:14,960
halbwegs fair aufzurufen. Eine Frage
hätte ich. Was soll der Scheiß? Lachen
579
00:48:14,960 --> 00:48:18,700
Henryk: Hast du nicht gehört?
Sofortüberweisung ist jetzt legal. *Herald
580
00:48:18,700 --> 00:48:27,260
lacht.*
Frage: Okay, du hast gesagt, dass FinTS
581
00:48:27,260 --> 00:48:30,650
jetzt langsam ausgeschlichen wird von den
Banken. Ich weiß von einigen Banken, dass
582
00:48:30,650 --> 00:48:36,300
sie bei PSD2 direkt das FinTS abgeklemmt haben,
weil sie es nicht implementiert hatten PSD2
583
00:48:36,300 --> 00:48:40,230
konform. Aber weißt du, wie das bei den
anderen Banken aussieht? Also gibt es da
584
00:48:40,230 --> 00:48:45,060
schon Ankündigungen von den großen
Rechenzentren Fiducia oder Sparkasse oder
585
00:48:45,060 --> 00:48:47,740
wie wir alle heißen?
Henryk: Die haben sich größtenteils
586
00:48:47,740 --> 00:48:52,170
zurückgehalten. Sie sagen da nur durch die
Blume, dass sie es zumindest nicht mehr
587
00:48:52,170 --> 00:48:56,420
erweitern wollen. Sie haben ja jetzt das
andere. Ich glaube ING-Diba hatte da genau
588
00:48:56,420 --> 00:48:58,690
dieses Problem. Sie haben ein bisschen
zurückgerudert. Wenn mich nicht alles
589
00:48:58,690 --> 00:49:03,600
täuscht. Aber es gibt ja keinen
Grund mehr dafür.
590
00:49:03,600 --> 00:49:07,040
Frage: Die haben zurückgerudert nach dam
sich 3000 Leute beschwert haben in einem
591
00:49:07,040 --> 00:49:12,230
wütenden Mob Blogpost.
Henryk: Ja.
592
00:49:12,230 --> 00:49:15,820
Herald: Bitte.
Frage: Gibts irgendwie so eine Art
593
00:49:15,820 --> 00:49:20,880
Informationsblatt, was ich als Kunde der
Bank geben kann? Wenn ich der Meinung bin,
594
00:49:20,880 --> 00:49:26,500
dass sie mir völligen Bullshit zu der PSD2
erzählt und irgendwelche neuen Änderungen
595
00:49:26,500 --> 00:49:29,970
damit versucht zu begründen?
Henryk: Ja, das steht sogar in der
596
00:49:29,970 --> 00:49:33,730
Richtlinie drin, das die europäische
Bankenaufsicht und die BaFin jeweils ein
597
00:49:33,730 --> 00:49:38,330
Merkblatt für Kunden herausgeben, in denen
alle Änderungen und neuen Pflichten und
598
00:49:38,330 --> 00:49:41,290
Rechte des Kunden dargelegt sind. Es
müsste auch der Webseite der BaFin zu
599
00:49:41,290 --> 00:49:43,480
finden sein.
Frage: Ich meine eigentlich umgekehrt,
600
00:49:43,480 --> 00:49:46,050
Richtung Bank.
Henryk: Ja, das ist das Merkblatt für dich
601
00:49:46,050 --> 00:49:50,380
als Kunde, und du kannst der Bank
vorhalten und sagen: "Guck mal, was ihr
602
00:49:50,380 --> 00:49:57,290
mir sagt, steht da nicht drauf."
Frage: Du meinst, es ist das nicht
603
00:49:57,290 --> 00:50:00,530
sonderlich kompliziert, sich eine
juristische Person anzulegen. Könnte ich
604
00:50:00,530 --> 00:50:04,050
dann mit einer juristischen Person mir ein
Geschäftskonto anlegen, damit ich dann
605
00:50:04,050 --> 00:50:09,800
wieder APIs habe, die ich von einer App
aus verwenden kann? Ist das der neue Weg?
606
00:50:09,800 --> 00:50:12,710
Henryk: Klar. Aber ja! Also du brauchst
halt eine
607
00:50:12,710 --> 00:50:25,450
neue App. Es ist dann EBICS, aber ja...
Frage: Du hast aufgelistet, dass es ja
608
00:50:25,450 --> 00:50:31,220
drei Authentifizierundsmerkmale gibt und
du hast sehr konsequent nur von TANs
609
00:50:31,220 --> 00:50:38,700
gesprochen. Wenn ich die Richtlinie
korrekt interpretiere, ist Wissen und
610
00:50:38,700 --> 00:50:45,140
Besitz. Also Pin und Chipkarte nach wie
vor eigentlich vollkommen valides
611
00:50:45,140 --> 00:50:48,290
Authentifizierungsmittel.
Henryk: Korrekt. Also steht die
612
00:50:48,290 --> 00:50:52,010
Formulierung, die Sie verwenden, ist, dass
diese aus den drei Faktoren muss ein
613
00:50:52,010 --> 00:50:56,750
Authentifizierungscode abgeleitet werden.
Das kann auch eine Signatur oder was auch
614
00:50:56,750 --> 00:51:01,560
immer sein. Ich habe aber keine
Implementierung davon gesehen, also
615
00:51:01,560 --> 00:51:05,690
ausser halt innerhalb von Apps. Die DKB zum
Beispiel hat eine eigene App und wenn man
616
00:51:05,690 --> 00:51:10,480
innerhalb der DKB App bleibt. Dann bleibt
also alles innerhalb der DKB App inklusive
617
00:51:10,480 --> 00:51:15,150
mit iPhone, wie auch immer diese
Gesichtserkennung heißt, da braucht man
618
00:51:15,150 --> 00:51:20,460
auch keine TAN mehr das stimmt. Aber wenn man
eine andere App benutzt, die nicht, die
619
00:51:20,460 --> 00:51:23,540
ist, ist es irgendwie schwierig, der
Signatur abzutippen. Deswegen tippt man
620
00:51:23,540 --> 00:51:29,070
meistens lieber TANs ab. Ich frag nur,
weil die Sparkasse mir erzählt hat, das
621
00:51:29,070 --> 00:51:34,600
HBCI mit Chipkarte ja diese
Authentifizierungsbedingungen nicht
622
00:51:34,600 --> 00:51:37,280
erfüllen würde.
Henryk: Das ist inkorrekt. HBCI mit
623
00:51:37,280 --> 00:51:43,090
Chipkarte ist halt gerade Besitz, Besitz
und Wissen, sie können sich eventuell
624
00:51:43,090 --> 00:51:47,210
darauf herausreden, dass irgendwie PIN mit
der Verifikation auf der Karte eventuell
625
00:51:47,210 --> 00:51:50,960
nicht güle, aber eigentlich dann doch
schon.
626
00:51:50,960 --> 00:51:53,960
Herald: Ok, und die Mitte mal wieder.
Zuhörer: Mal wieder nur eine kleine
627
00:51:53,960 --> 00:51:58,970
Anmerkung. Du meint, dass das PayPal mit
2-Faktor nicht funktioniert. Aber in der
628
00:51:58,970 --> 00:52:03,440
Tat habe ich PayPal mit 2-Faktor.
Henryk: Es gab vor fünf Jahren, glaub ich,
629
00:52:03,440 --> 00:52:06,070
eine kurze Zeit, wo sie das angeboten
haben. Aber ich glaube, es wird nicht mehr
630
00:52:06,070 --> 00:52:08,490
beworben.
Zuhörer: Ich konnte das in der App
631
00:52:08,490 --> 00:52:11,520
anklicken, vor ungefähr einem halben Jahr.
Henryk: Oh, dann haben Sie was neues
632
00:52:11,520 --> 00:52:23,530
eingebaut.Wollen Sie jetzt? Ist das schon?
Frage: Ich frag für einen Freund, der
633
00:52:23,530 --> 00:52:28,370
entwickelt einen Webshop, und da müssen
Sie sich auch mit dem 3D Secure Kram
634
00:52:28,370 --> 00:52:32,610
herumschlagen. Und der
Zahlungsdienstleister sagt: Es ist in
635
00:52:32,610 --> 00:52:38,060
Ordnung, wenn man für das Hinterlegen der
Kreditkarte beim Zahlungsdienstleister
636
00:52:38,060 --> 00:52:42,560
einmal dieses 3D Secure Verfahren macht.
Und danach kann man als Shop quasi
637
00:52:42,560 --> 00:52:45,810
beliebig oft davon abbuchen, und der Kunde
muss dann nicht mehr nochmal irgendwelche
638
00:52:45,810 --> 00:52:48,690
TANs eingeben. Ist das überhaupt korrekt
so, weil dann sehe ich den Sinn dahinter
639
00:52:48,690 --> 00:52:53,920
nicht so ganz.
Henryk: Ja, für die erste Zahlung bei
640
00:52:53,920 --> 00:52:58,010
wiederkehrenden Zahlungen ja. Aber es muss
trotzdem jede Zahlung autorisiert werden.
641
00:52:58,010 --> 00:53:02,220
Bloß das für wiederkehrende Zahlungen
einfache Autorisierung reicht. Ich
642
00:53:02,220 --> 00:53:05,230
bin mir da aber auch nicht ganz sicher.
Frage: Das muss dann aber nicht über
643
00:53:05,230 --> 00:53:08,680
den Dienstleister gehen. Das reicht dann
einfach, wenn der Kunde im Onlineshop
644
00:53:08,680 --> 00:53:11,280
einmal klickt: Ja, diese Kreditkarte,
oder?
645
00:53:11,280 --> 00:53:15,270
Henryk: Genau, das kann mit Passwort, würde dann
reichen. Also nicht zwei Merkmale, sondern
646
00:53:15,270 --> 00:53:18,450
nur eins.
Herald: Entweder habe ich unseren Signal-
647
00:53:18,450 --> 00:53:24,060
Angel die ganze Zeit übersehen oder es
gibt gerade was Neues, bitte!
648
00:53:24,060 --> 00:53:28,190
Signal-Engel: Kam gerade erst die Frage.
Wärest du mit PSD2 glücklicher, wenn sie
649
00:53:28,190 --> 00:53:31,920
ein bisschen glücklicher, wenn es ein
bisschen Open Source wäre, die Zugang für
650
00:53:31,920 --> 00:53:37,300
Open Source Programme offen wäre? Oder sagt
es allgemein eher mäh gelaufen?
651
00:53:37,300 --> 00:53:40,820
Henryk: Na ja, es gibt relativ, es ist
relativ schwierig, diese Anforderungen
652
00:53:40,820 --> 00:53:44,150
grundsätzlich umzusetzen bei Software, die
der Anwender selber runter kompiliert und
653
00:53:44,150 --> 00:53:53,080
laufen lässt. Deswegen sehe ich nicht, wie
man das umsetzen könnte. Man müsste halt
654
00:53:53,080 --> 00:53:58,030
auf die Anforderungen verzichten, das die
Endpunkte durch qualifiziertes Zertifikat
655
00:53:58,030 --> 00:54:02,710
identifiziert werden. Und dann hat man nur
noch die Probleme. Die Benutzer haben mit
656
00:54:02,710 --> 00:54:07,600
dem ganzen TAN-Scheiss. Zumindest Open-
Source Entwickler keine Probleme mehr und
657
00:54:07,600 --> 00:54:13,980
der Userinterface Flow ist immer noch kaputt.
Frage: Ich wollte einfach nur
658
00:54:13,980 --> 00:54:18,190
nochmal anmerken. Die meisten hier
Anwesenden werden wahrscheinlich zwei
659
00:54:18,190 --> 00:54:25,280
Geräte besitzen. Aber gerade dieses ganze
2-Faktor wird ja ab ad absurdum geführt.
660
00:54:25,280 --> 00:54:29,010
Wenn ich mein Online-Banking auf demselben
Gerät mache, wo auch der TAN Generator
661
00:54:29,010 --> 00:54:36,770
ist, ist auch die App zu App trans-Integration die
manche Banken anbieten. Wird ja hier auf
662
00:54:36,770 --> 00:54:41,370
dem Kongress vor paar Jahren auch schon
mal gezeigt, dass das sinnlos ist, weil es
663
00:54:41,370 --> 00:54:45,950
irgendwo gehackt werden kann. Ist man da
irgendwie gesichert, wenn man das macht
664
00:54:45,950 --> 00:54:50,700
als Kunde? Die meisten haben ja doch nur
ein Gerät zu Hause und halten sich nicht
665
00:54:50,700 --> 00:54:53,910
dran, das man dann als Kunde eigentlich
der Gearschte diesbezüglich.
666
00:54:53,910 --> 00:54:58,890
Henryk: Es steht drinnen, dass es zwei
getrennte Geräte sein sollten oder oft auf
667
00:54:58,890 --> 00:55:02,500
dem Gerät. Das ist unter anderem einer der
Gründe für die Rootdetektion auf dem
668
00:55:02,500 --> 00:55:08,960
Gerät, für eine Trennung der. Es gibt da
einen Absatz, der irgendwie. Man müsse die
669
00:55:08,960 --> 00:55:12,640
Trennungssysteme des Betriebssystems
nutzen. Also ich vermute mal, das geht
670
00:55:12,640 --> 00:55:16,240
eher in Richtung Samsung Knox und nicht
auf normales Android. Aber eigentlich
671
00:55:16,240 --> 00:55:19,390
sollte normales Android ausreichen. Ich
bin mir nicht sicher. Ich glaube als dieser App-TAN
672
00:55:19,390 --> 00:55:25,940
Hack war da. Oder waren es auch gerootete
Geräte oder erweiterte lokaler Zugriff.
673
00:55:25,940 --> 00:55:29,950
Frage: Ich nutze so ein Open-Source-
Software, um so persönliche Finanzen zu
674
00:55:29,950 --> 00:55:33,480
tracken und habe das auf meinem Server
installiert. Erste Frage, bin ich jetzt
675
00:55:33,480 --> 00:55:40,010
schon Konntoinformationsdienstleister?
Der Entwickler hat gesagt, er möchte PSD2
676
00:55:40,010 --> 00:55:44,260
einbauen. Und wenn ich das richtig
verstanden habe, dann geht das gar nicht.
677
00:55:44,260 --> 00:55:49,200
Ich habe auch gelesen auf GitHub, er hat
sich irgendwo registriert, und ich habe
678
00:55:49,200 --> 00:55:55,270
aber nicht ganz verstanden, ob das geht.
Kann er überhaupt das jetzt so einbauen,
679
00:55:55,270 --> 00:55:59,040
dass ich das dann benutzen kann?
Henryk: Ja, die Registrierung war die
680
00:55:59,040 --> 00:56:04,420
HBCI-Registrierung. Ob du dann schon für
dich selber? Ich bin mir nicht sicher, ich
681
00:56:04,420 --> 00:56:07,910
glaube für dich selber. Ich bin mir nicht
sicher, ob da etwas von einem Dritten
682
00:56:07,910 --> 00:56:13,260
drinsteht. Da müsste ich nachgucken. Kann
ich so nicht beantworten. Müsste man ...
683
00:56:13,260 --> 00:56:16,980
Frage: Kann er denn PSD2 in seine
Software einbauen, dass es jemand benutzen
684
00:56:16,980 --> 00:56:19,020
kann?
Henryk: Ne, keine PSD2 API. Es wird immer
685
00:56:19,020 --> 00:56:21,010
über FinTs laufen, was du beschrieben
hast.
686
00:56:21,010 --> 00:56:23,540
Frage: Ok. Und wenn die Bank FinTS
abschaltet, bin ich im Arsch.
687
00:56:23,540 --> 00:56:29,760
Henryk: Ja, du kannst auf EBICS
wechseln. Herald lacht
688
00:56:29,760 --> 00:56:33,390
Frage: Hast du eine Vermutung, wer
hinter dem Ganzen steht? Warum die das
689
00:56:33,390 --> 00:56:38,050
gemacht haben? Weil ich meine
Sofortüberweisung alleine gegen die ganze
690
00:56:38,050 --> 00:56:41,150
Bankenlobby. Banken mögen das
offensichtlich nicht. Irgendwer muss es
691
00:56:41,150 --> 00:56:46,990
doch durchgedrückt haben.
Henryk: Ich weiß es tatsächlich nicht. Wir
692
00:56:46,990 --> 00:56:51,410
haben kurz vorher uns unterhalten, dass es
da so ein Slogan gab: Digital first,
693
00:56:51,410 --> 00:56:56,270
Bedenken second. Das könnte damit
zusammenhängen. Es klingt nach
694
00:56:56,270 --> 00:57:03,210
Fortschritt. Es wird halt besser.
Frage: Ich wollte noch einmal
695
00:57:03,210 --> 00:57:08,310
Fragen: Sind hier Organisationen oder
politische Akteure bekannt, die die
696
00:57:08,310 --> 00:57:14,010
Benutzerinteressen in irgendeiner Form
bündeln und versuchen zu kanalisieren? Wir
697
00:57:14,010 --> 00:57:17,220
versuchen da irgendwie ein bisschen Lobby
im Sinne der Nutzer und der User zu
698
00:57:17,220 --> 00:57:22,920
machen an der Stelle. Verbraucherschutz welche?
Henryk: Es gibt ein Voice-Verband der IT
699
00:57:22,920 --> 00:57:29,060
Anwendunger EV. Aber ich weiß nicht ob die
in dem Rahmen Aktivitäten haben. Mir wird
700
00:57:29,060 --> 00:57:32,080
gerade gesagt, dass sie eine Selbst-Hilfe-
Gruppe sind. Aber es ist... Alle lachen
701
00:57:32,080 --> 00:57:37,480
Du hast nur gefrat, das ist mir bekannt.
Antwort: ich kenne nur eine.
702
00:57:37,480 --> 00:57:42,270
Herald: Bitte. Scheint auch letzte Frage zu sein.
Frage: Du erwähntest die
703
00:57:42,270 --> 00:57:47,740
Registrierung für die Drittdienste. Ist es
nicht eigentlich auch eine Art Zulassung
704
00:57:47,740 --> 00:57:53,570
bei der BaFin und da kam doch gerade vor
ein paar Wochen auch Standards raus, was
705
00:57:53,570 --> 00:57:57,080
für Sicherheitsmaßnahmen da umzusetzten sind,
die auch möglicherweise geprüft werden .
706
00:57:57,080 --> 00:58:01,630
Und auch diese Zulassung
entzogen werden kann.
707
00:58:01,630 --> 00:58:04,970
Henryk: Genau. Deswegen seht auch da
"Registriert und Zugelassen", als
708
00:58:04,970 --> 00:58:08,480
Formulierung. Weil es für
Kontoinformationsdienstleister ein
709
00:58:08,480 --> 00:58:14,741
bisschen einfacher dann ist. Die Absätze 1
bis 6 außer Paragraphen 3 und dings gelten
710
00:58:14,741 --> 00:58:17,520
nicht für Kontoinformationsdienstleister
oder so ähnlich. Aber für alle, die
711
00:58:17,520 --> 00:58:21,770
weitergehend es machen, es ist mit
Zulassung und Bericht und vorige
712
00:58:21,770 --> 00:58:27,820
Registrierung und so weiter drin,
inklusive Entzug.
713
00:58:27,820 --> 00:58:34,220
Herald: Bist du glücklich? Du siehst nicht
glücklich aus.
714
00:58:34,220 --> 00:58:38,010
Signal-Engel: Ich habe sogar noch 2 auf
Twitter. 1) Kann ich irgendwie verhindern,
715
00:58:38,010 --> 00:58:45,500
dass mein Arbeitgeber meine Bankdaten an datev
weitergibt? Oder habe ich da keine Chance?
716
00:58:45,500 --> 00:58:51,060
Henryk: Lustige Frage, ich glaube nicht.
Frage: 2) Kannst du einen Ausblick
717
00:58:51,060 --> 00:58:55,160
geben? Siehst du Hoffnung, dass irgendwas
verbessert wird, oder müssen wir halt 20
718
00:58:55,160 --> 00:58:57,900
Jahre warten, bis das nächste neue Gesetz
kommt?
719
00:58:57,900 --> 00:59:02,820
Henryk: Da steht drin, dass die alle
X-Jahre evaluiert und aktualisiert werden
720
00:59:02,820 --> 00:59:07,720
sollen. Ab 2021 ist das nächste Mal.
Vielleicht wird nachgebessert. Ich bin da
721
00:59:07,720 --> 00:59:12,700
aber nicht so sehr hoffnungsvoll, weil
hier, wie gesagt, aus Sicht der zentralen
722
00:59:12,700 --> 00:59:19,630
Behörden nicht so nicht Cloud Anwendungen,
eher Nischenprodukte. Etwas auf seinem
723
00:59:19,630 --> 00:59:22,510
eigenen Rechner zu betreiben,
kommt aus der Mode.
724
00:59:22,510 --> 00:59:24,870
Herald: Jetzt aber wirklich die letzte
Frage.
725
00:59:24,870 --> 00:59:27,840
Fragender : Ich würde gerne an eine
vorherige Frage anknüpfen, nämlich ob es
726
00:59:27,840 --> 00:59:31,770
Institutionen gibt, die sich dafür
einsetzen, dass das Ganze gebessert wird.
727
00:59:31,770 --> 00:59:35,780
Ich arbeite jetzt für sofort, und wir sind
Sofortüberweisung. fröhliche Gelächter
728
00:59:35,780 --> 00:59:40,220
Wir sind aktiv dabei, mit nahezu allen
Banken in Europa und auch den nationalen
729
00:59:40,220 --> 00:59:44,140
Behörden zu diskutieren, dass es da
schnellstmöglich Änderungen gibt. Noch vor
730
00:59:44,140 --> 00:59:48,620
einer neuen Direktive, also in möglichst
naher Zukunft. Es gibt Leute, die sich
731
00:59:48,620 --> 00:59:52,600
dafür einsetzen.
Henryk: Sehr gut.
732
00:59:52,600 --> 00:59:54,810
Herald: Es könnte also sein, dass du die
Frage beantworten kannst, die ich vorhin
733
00:59:54,810 --> 01:00:00,830
gestellt habe. Ich komme gleich vor! Alle
Lachen
734
01:00:00,830 --> 01:00:02,390
Herald: Henryk Plötz! Vielen Dank!
735
01:00:02,390 --> 01:00:04,950
Applaus
736
01:00:04,950 --> 01:00:08,730
36c3 Abspannmusik
737
01:00:08,730 --> 01:00:32,000
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!