<i>36c3 Vorspannmusik</i>

Herald: Ich habe hier so ein Handy,
vielleicht habt ihr auch ein Smartphone.

Und ich habe eine App drauf und die
damit.. Ich habe so mehrere Konten bei

verschiedenen Banken, und ich habe so eine
App. Da sind die ganzen Konten so drin.

Und wenn ich wissen will, wie viel Geld
ich nicht hab, dann starte ich diese App

und gucke ich da so drauf, weil mein
Telefon mich sonst nicht erkennt. Und dann

kann ich halt sehen, wie wieviel Geld ich
auf den Konten habe und was ich für

Kontobewegungen hatte. Und dann,
irgendwann dieses Jahr <i>lacht</i> , hab ich

da nicht mehr gesehen, wie viel Geld auf
dem Konto hatte. Da kammen immer so Pop-

ups. Die haben gesagt: Ja, das
funktioniert jetzt nicht, weil hab ich

nicht verstanden. Aber was da immer drin
vorkam, das waren drei Buchstaben, eine

Zahl, und das hieß PSD2, und jedes Mal habe ich
gedacht, jetzt muss ich wieder aus der App

raus und muss wieder irgendwas machen, was
ich nicht verstehe. Und dann werden mir

SMSen geschickt, die ich irgendwo
eintragen muss und dachte: Was zum Teufel

soll dieser Scheiß? Und das Schöne ist:
Wir alle werden jetzt möglicherweise eine

Antwort auf die Frage bekommen, was dieser
Scheiß soll. Und falls nicht, dann kann

man hinterher persönlich zur Rechenschaft
ziehen. Sein Name ist Henryk Plötz. <i>lacht</i>

<i>Applaus</i>

Henryk Plötz: Ja, genau. Ich Ich versuche
die Frage zu stellen, was hat die PSD2 je

für uns getan? Und Antworten darauf zu
geben, in der Hoffnung, dass ich auch

herausfinden, was der Scheiss soll? Für
diejenigen, die, es ist einer der ersten

Vorträge, die hineingestolpert sind, ohne
zu wissen, worum es geht. Es geht um die

Richtlinie der EU 2015 2366 des
Europäischen Parlaments und des Rates vom

25. November 2015 über Zahlungsdienste im
Binnenmarkt zur Änderung der Richtlinie

und so weiter und so fort und fort. Das
ist die Zahlungsdienst, der Richtlinie 2,

und da dranhängt noch eine Handvoll
Delegierter Verordnungen, aber ganz massiv

die Delegierte Verordnung vom 27. November
für die technischen Regulierung Standards

für eine starke Kunden Authentifizierung
und für sichere offene Standards zur

Kommunikation. Das ist, was in der App die
ganzen Pop-ups verursacht hat. Warum bin

ich hier? Und warum erzähle ich euch etwas
zu diesem Thema? Ich bin Informatiker und

Sicherheitsforscher. Ich glaub, neudeutsch
sagt man Hacker dazu. Hab einen meiner

ersten Vorträge auf dem Kongress vor zehn
Jahren zu "Mifaire Classic" gehalten.

Seitdem einiges gemacht zu
Zutrittskontrollsystemen, RFID, Die

Spezialgebiet sind halt solche Arten von
Kommunikationsprotokollen. Ich bin auch

Open Source Entwickler. Also wenn irgendwo
ein Kommunikationsprotokoll rumliegt, dann

implementiert ich das manchmal unter
anderem HBCI. Dazu erzähle ich euch noch

ein bisschen was. Es gibt im Umfeld des
CCC eine Vereinswaltung, die entstanden

ist, die heißt byro von Rixx. Da habe ich
einige größere Dinge zu beigetragen, und

es gibt von Rami. Die beiden waren ja die
Kasse und der Vorverkauf von Rami eine

Python Implementierung von FinTS, ich
sage vielleicht noch, was das ist. Dazu

hab ich größere Dinge beigetragen. Und
dann die Kombination dabei ist das im

PlugIn byro-fints. Also eine Perspektive,
aus der ich das betrachtet, halt als Open

Source Entwickler. Ich bin auch Gründer
und Geschäftsführer. Vor zwei Jahren habe

ich mit einem Freund zusammen eine eigene
Firma gegründet "Digital Wolff und Plötz

GmbH und Co. Wir haben einen etwas
schwammigen, schwammige Selbstverständnis,

eigentlich sehr präzise Selbstverständnis,
das etwas schwieriger zu verstehen ist.

Dass die Digitalisierung in komplexen
Umfeldern. Wir entwickeln. Wir machen halt

Beratung, aber entwickeln halt auch
Software. Auf dieser Ebene gucke ich das

auch an bzw. andere Produkte. Für die
evangelische Kirche bauen wir den

digitalen Klingelbeutel. Wir sind jetzt
Zahlungsdienstleister. Zum Glück hat es

nichts damit zu tun. Ich bin. Ich freue
mich sehr, dass alles, was wir tun, an der

PSD2 vorbeigeschrammt ist, außer halt als
Privatkunde. Ich bin nämlich auch noch

neugieriger Nutzer. Wir haben gerade in
der Einführung gehört, dass jemand

durchaus eine App von mehreren Konten
haben könnte. Ich habe mal kurz

durchgezählt. Bei mir sind es neun
verschiedene Konten, weil ich auch noch

mehrere Hüte auf habe, also sowohl
Geschäftskunden, neun verschiedene Banken.

Konten sind es ein paar mehr. Als sowohl
geschäftliche Konten als auch

Privatkonnten bzw. Familien Konto. Als
auch ich bin in Vereinen, Vorstand,

Vereinskonten. Ich glaube sieben oder so.
Davon benutze ich auch regelmäßig. Der

Rest war halt so kostenloses Girokonto. Mal
ausprobieren, was die tun. Und dann sind

da halt 10 Euro drauf und man kann sehen,
wie die auf diese Umstellung reagiert

haben. Das hilft dann auch wieder beim
Entwickeln von Open-Source-Software. Wenn

man Testkonten hat und mal gucken kann,
was die Banken so anstellen. Agenda also.

Wir haben gerade gehört, worum es gehen
soll. Ich werde euch gleich den

wunderschönen vorher Zustand darstellen.
Die Begründungen geben, die die

Europäische Kommission gegeben hat, warum
diese Richtlinie veröffentlicht,

beschlossen werden sollte. Dann auf die
Frage antworten, was uns PSD2 wirklich

gebracht hat. In der Form, die schön ist
und dann in der Form. Was ist dann

tatsächlich herausgekommen? Ist mit einer
kurzen, kurzen Eingehen auf die Zeitlinie

und dann zu den diversen Problemen,
Ärgerungen, ja, Blutdruck kommen. Ich fand

das sehr schön. Als die zwei Minuten bevor
der Vortrag losging, war hier im Info

Beamer, eine Werbefolie für BTX. Irgendwo
hier stehen BTX Terminals, die man

ausprobieren kann. Es war ja nicht alles
schlecht in 2018 oder auch in den 80ern.

Schon seit den 80ern gibt es Online-
Banking für Privatkunden. In Deutschland

fing das halt so, in den frühen 80ern mit
BTX. Ich glaube der CCC hat ein bisschen

Geschichte mit BTX, der Eine oder Andere
wird sich erinnern. Es wurde 2007 leider

abgeschaltet, aber man hat bis dahin ganz
gut funktioniert. Daraus entstanden mehr

oder weniger direkt ist das sogenannte
HBCI-Buchstaben. Abkürzungen haben

vielleicht die meisten schon mal gehört:
Homebanking Computer Interface. Das ist

ein Datenübertragungen,
Kommunikationsprotokoll zum Austausch von

Bankdaten für Endanwender. Naja, komma
separierte Werte auf Drogen. Das hat

Semikolons als Trennzeichen, aber manchmal
sind dann auch noch Doppelpunkt

Trennzeichen und manchmal Pluszeichen
Trennzeichen. Was das... Ich habe es

implementiert. Es ist tatsächlich parsbar,
ich hätte es mir nicht gedacht. Es gibt durchaus

Protokolle, die nicht parsbar sind. Dies
gehört nicht dazu. Aber es erscheint mir

wie ein Zufall. <i>lachen</i> Es ist sehr
hierarchisch aufgebaut, die

Datenstrukturen sind hierarchisch, man
kann Dinge in Dinge, in Dinge tun. Aber es

gibt nur drei Ebenen von Trennzeichen, und
irgendwann sind dann die Trennzeichen

alle. Aber rein zufällig sind dann auch die
Ebenen alle. Das ist übergegangen, es

wurde immer wieder erweitert und
verbessert eingeführt 1998. Version 2.1

war, glaub ich, die erste brauchbare. Das
hat sich immer, wurde immer weiter

verbessert, ist übergegangen. HBCI
3.0 kennen die meisten, und dann wurde es

umbenannt in FinTS --- Financial
Transaction Services. Es war ursprünglich

ein rein deutsches Ding. Es ist ein rein
deutsches Ding. Mit FinTS haben Sie dann

versucht, das international einsetzbar zu
machen, unter anderem, in dem Sie es in

XML gegossen haben. Und ja, das XML ist
auch parsbar, aber doch eine der

unschönsten Implementierungen, wie man
sich das vorstellen kann. Es gibt auch

niemand, der das einsetzt. Ne, ist nicht
richtig. Es gibt tatsächlich eine zentrale

Liste, wo alle Banken drinstehen mit den
FinTS bzw. HBCI-Versionen, die sie

unterstützen. Sind ja. In Deutschland
erreicht man damit quasi jede Bank, manche

noch mit Version 2, ich glaub die Deutsche
Bank. Die meisten unterstützen Version 3,

und ich glaube, es gibt exakt einen Eintrag,
der FinTS Version 4 ankündigt. Wie gesagt,

benutzt niemand, 4. FinTS 3 total überall, weil
es damit erst der breiteren Öffentlichkeit

zugänglich wurde. Früher HBCI war ein
typisch deutsches Ding. Sehr schön, sehr

sicher. So, mit Smartcard in Computer
stecken. Dazu muss man erst mal die

Smartcard besorgen, eine PIN dafür haben,
einen separaten Berechtigungsvertrag bzw.

es gab auch ein Allternativverfahren, wo man
Disketten durch die Gegend... Briefe durch die

Gegend geschickt hat, auf denen RSA-Keys
abgedruckt waren. <i>lachen</i> Seit FinTS 3

gibt es auch als alternatives Verfahren
PinTan. Das ist, was die meisten in

Deutschland als Online-Banking kennen. Man
meldet sich mit seiner PIN an, hat dann

nur Lese Zugriff aufs Konto, und wenn man
eine Transaktion durchführen möchte,

braucht man einen Transactions
Autorisierung Nummer, eine TAN. Sehr

schön, sehr einfach. Leider demnächst tot.
Die Franzosen haben so etwas ähnliches wie

BTX. Sie haben minitel. Das ist aber auch
schon vor ein paar Jahren abgeschaltet worden.

Das ist so der Überblick für die anderen
Länder. Ansonsten wars das im Wesentlichen

an schönen, strukturierten Verfahren. Seit
den, seit der Mitte der 90 hier habe ich

einen Screenshot von Wells Fargo. Die
waren eine der ersten, die man hingeguckt

rechts oben Online-Banking anbieten 1995.
Man bemerke auch die Adresse. Das war vor

https, gab es einen Wildwuchs, das halt
viele Banken irgendeine Form von Online-

Banking angeboten haben, aber halt immer
durch das Web-Interface und immer mit

unterschiedlichen Formen von
Berechtigungs-Methoden und -Mechanismen .

Für Firmenkunden, sieht das Ganze noch
verwirrender bzw. besser aus. Das sind

halt alles nur die Privatkunden.
Firmenkunden haben schon schon wesentlich

früher angefangen, weil ja auch mehr
Transaktionen hatten, mit tatsächlich Disketten

durch die Gegend schicken, das
Datenträgeraustauschverfahren. Später gab

es dann Nachfolger BCS und das aktuelle
EBICS. Da werde ich dann gleich noch

drauf kommen, wenn ich die Situation bei
meiner Firma beschreibe, weil das mit dem

FinTS ist jetzt leider schade war. Es
ermöglichte damals interoperables

Multibanking. In FinTS selber sind
sogenannte Geschäftsvorfälle definiert.

Man kann halt nicht alle Banken
unterstützen alles. Aber man kann im

Wesentlichen abrufen, Kontoauszüge abrufen
oder Transaktionsliste. Man kann

Überweisungen einkippen oder Lastschriften
verursachen. Das ist das Wichtigste, was

man machen kann. Alle Banken haben noch
irgendwas anderes. Aber das Schöne ist, das

funktioniert eigentlich überall. Und dann
gibt es einfach auf meinem Handy eine App,

die das implementiert. Das Schöne daran
war, dass das Protokoll einfach frei im

Internet verfügbar war. Ursprünglich kommt
es von der ZKA der Zentrale Kreditausschuss.

Die haben sich irgendwann umbenannt und
haben sich bei der Bahn ein Beispiel

genommen und heißen jetzt DEKA. Die
Kreditwirtschaft <i>einzelne Lachen</i> oder

die deutsche Kreditwirtschaft je nachdem.
Da kann man die Spezifikation runterladen.

Wie gesagt, das ist prinzipiell parsbar.
Man kann es implementieren, ich habs

gemacht. Und dann braucht man nur noch
Benutzername und Pin, wie man sie von der

Bank erhalten hat und die gleichen
Zugangsdaten wie im Onlinebanking gelten.

Und man muss niemanden fragen, das finde
ich das Wichtigste, sondern muss niemand

fragen, wofür man eine Implementierung
schreibt. Man muss niemanden fragen, bevor

man die Implementierung benutzt. Ich habe
das für Vereinsverwaltungsoftware

geschrieben, das die gesamten Finanzen des
Vereins quasi vollautomatisiert

verarbeitet werden können, ohne dass
irgendjemand im Webinterface die Dinge

herunterlädt und irgendwo eingibt oder gar
abtippt. Das Schöne an diesem FinTS ist

eine der Eigenschaften von diesem FinTS
ist, dass es zukunftskompatibel ist. Man

kann halt, es gibt diese einzelnen
Datensätze, haben eine Versionsnummer, und

man kann dann jedes Mal eine neue Version
einführen. Der alte Datensatz funktioniert

weiterhin für die Banken oder die Software
nur das alte unterstützt. Man sieht daran

aber auch jedes Mal, wenn irgendwas in der
Geschichte passiert ist, wenn es neue

Regulierungen gab, die darauf Auswirkungen
hatten, dann kommt gibts halt eine neue

Version von z.Bsp. dem Datensatz zum
Anmelden, das dann plötzlich ein neues

Feld drin ist für ein SMS Abbuchungskonto.
Weil, ich weiß nicht genau wann das war,

2012 die EU beschlossen hat, dass der
Kunde das Konto angeben muss, von dem die

SMS Gebühren berechnet werden, die für die
AnmeldeTan benutzt werden. Später gab es

neue Veränderung, eine neue Versionen. Es
ist an der Stelle schön, dass man so quasi

in Fossilienmäßig sehen kann, was in der
Vergangenheit passiert ist, indem man sich

das Protokoll anguckt. Wie gesagt,
Multibanking war die wichtigste

Funktionalität um seine Finanzsoftware auf
deinem Computer oder deinem Telefon oder

auf deinem Server oder sonst wo zu haben
und sie funktioniert mit allen Banken in

Deutschland. Was gab es noch für der
andere wichtige Punkt für Endverbraucher

ist Onlineshopping. Ich möchte gerne
bezahlen. Ich brauche irgendeine Zahlung.

Da gab es gibt es immer noch Dienste wie
PayPal oder irgendwelche Wallit Dienste,

wo man auf eine beliebige Art vorher Geld
auflädt, das Geld ausgeben kann, was aber

nichts mit dem eigentlichen Bankkonto zu
tun hat. Was für den Verbraucher natürlich

wesentlich angenehmer ist, Konntobezogene
Zahlungsdienste, irgendwas, was direkt mit

meinem Konto, das ich sowieso habe,
verbunden ist. Am einfachsten für alle

Beteiligten ist die Vorkasse, kann man
halt vorher überweisen und kriegt dann

seinen Gut oder auch nicht. Am einfachsten
für den Verbraucher ist die Lastschrift,

verschickt halt der Versender das Gut und
belastet nachher das Konto. Beides nicht

so ideal. Deswegen gab es immer wieder
Versuche, andere Systeme einzuführen. Ich

glaube, die ersten waren die Niederländer
mit einem System, das so einen

integrierten Prozess anbot. Der Händler
kann das System ansprechen. Ihm sagen: Ich

hätte gerne von einem Benutzer so viel
Euro. Oder 2005, ja? Ich hätte gerne so

und so viel Geld von diesen Benutzer. Der
macht das dann auf der Webseite seiner

Bank mit den Zugangsdaten der Bank, gibt
den Betrag frei. Der Händler kriegt sofort

die Bestätigung, dass der Betrag
freigegeben wurde und kann sofort die Ware

losschicken. In Deutschland haben wir das
auch. Das kennt natürlich wieder keiner,

weil die Sparkassen sitzen es ein. Und
dann war's das fast. Das heißt Giropay,

und das ist, wie man Onlinezahlungen übers
Konto eigentlich machen würde. Parallel um

2006 entstand ein Dienstleister, ich hatte
vorhin einen anderen Namen, die

Sofortüberweisung. Das kennen Leute doch
noch, und man wundert sich ein bisschen,

dass überhaupt entstehen konnte. Also, ich
fand das Geschäftsmodell schon immer ein

bisschen komisch. Sofortüberweisung-in-
the-Middle. Der Benutzer gibt seine

Zugangsdaten, die er von seiner Bank
bekommen hat, auf der Webseite von

Sofortüberweisung ein. Sofortüberweisung
loggt sich bei der Bank ein. Macht, was

auch immer, gibt dem Händler halt
Bescheid, dass die Transaktion

durchgeführt worden ist und führt dem
Benutzer dann zum Händler zurück. Sie

geben ihr Indianerehrenwort, dass sie
nichts anderes tun, außer die Transaktion

freizuschalten und gegebenenfalls ein
Konto nachzuschauen, ob du Gebounste,

Überweisung oder sonst was hast.
Irgendeine Risikobewertung. Sie haben auch

TüV gibt TüV geprüften Datenschutz, der
TüV Saarland steht dafür gerade. Und wenn

ich mich richtig erinnere, haben sie sogar
dann doch noch etwas passiert, haben auch

noch eine Versicherung abgeschlossen.
<i>eizelne Gelächter</i> Falls das

Indianerehrenwort nicht reicht. Damals,
2012, verstieß das jetzt mal abgesehen vom

gesunden Menschenverstand auch gegen die
Teilnahmebedingungen für das Pin/Tan-

Verfahren, die ihr bei eurer Bank
unterschrieben habt. Ich habe hier das Mal

rausgesucht von der DKB. Der Teilnehmer
ist verpflichtet, die technische

Verbindung zum Onlinebanking der Bank nur
nur über die Internetseite der Bank oder

andere mitgeteilte Kommunikationswege
herzustellen. Um kurz zu illustrieren,

habe ich eine Abbildung aus der Wikipedia
herausgesucht. Eigentlich verstößt man

damit gegen die Bedingungen seiner Bank
und im schlimmsten Fall die Bank übernimmt

erst einmal nicht, garantiert nicht, dass
es funktioniert, übernimmt die Schäden

nicht. Es gab da dann so verschiedene
Banken, die versucht haben, das auch

technisch zu unterbieten, zu verbieten.
Ich habe da keine Bestätigung, aber ich

hörte die Geschichte, dass die Sparkasse
wohl versucht hätte, die Zufgriffe, die

Sofortüberweisung auslöst, zu blockieren,
indem sie die IP-Adresse sperren,

woraufhin dann drei Stunden später die
Zugrffe von drei anderen IP-Adressen kamen.

Da gab es auch juristische
Auseinandersetzungen, weil die Sparkasse

vorher, wie ich auf der vorherigen Folie
gezeigt habe, ein eigenes System anbot,

das als Mitbewerber gesehen werden kann.
Auch wenn es technisch halt richtig

rum ist, im Gegensatz zur
Sofortüberweisung, die falsch rum ist.

Deswegen wurde Ihnen dann verboten zu
versuchen, die Sofortüberweisung zu

torpedieren. Das zog auch so langsam ein.
Ich habe deswegen die DKB von 2012

rausgesucht, weil ich mich erinnere. Mein
Konto ist schon ein bisschen länger, dass

ich irgendwann AGB Änderungen mitgeteilt
bekommen habe. Da haben Sie halt diesen

Absatz einfach gestrichen. Und statt
dessen stand dort. "Sie dürfen die

Zugangsdaten nur auf der Webseite der DKB
eingeben, oder einem anderen von uns

autorisierten Zahlungsdienstleister siehe
Anhang." Der Anhang enthielt genau eine

Zeile "Sofortüberweisung.de", so nebenbei.
Um herauszufinden, was die Bedingungen von

2012 waren, musste ich bei mir bei der DKB
mal einloggen, um mein Postfach zu gucken,

wie wir gleich sehen werden, braucht man
zum Einloggen neuerdings manchmal eine TAN.

Dazu gibts den TAN Generator, der ein
Passwort will, das ich natürlich nicht

mehr wusste, aber gar kein Problem, es hat
einen Rücksetzfluß. Man kann sich einfach

eine SMS schicken lassen und den TAN
Generator zurücksetzen und dann

funktioniert es wieder. OK, glaube, das
Passwort brauche ich mir nicht merken. So das

war der Zustand bis Anfang diesen Jahres,
bis Mitte dieses Jahres. 2015 kam diese

Zahlungsrichtlinie heraus, und das ist die
Begründung, warum die herausgebracht wird,

die dort stehen. Unter anderem seit der
vorherigen Richtlinie 2007, die PSD, die

Zahlungsrichtlinie, nicht die
Zahlungsrichtlinie 2, sind neue Arten von

Zahlungsdiensten entstanden. Vor allen
Dingen Zahlungsauslösedienste. Ein anderes

Wort für Sofortüberweisung. Oder
Kontoinformationsdienste. Diese Richtlinie

soll darauf abzielen, die Kontinuität im
Markt sicherzustellen. Mit anderen Worten

Diese Richtlinie ist in keiner Form
gedacht oder geeignet, irgendeinen der

bisherigen Player am Markt zu
benachteiligen oder zu disruptieren.

Ich las irgendwann mal den schönen Satz
Lex-Sofortüberweisung. Hier ist die

Gegenüberstellung von der
Zahlungsdiensterichtlinie 2007 und

Zahlungsdiensterichtlinie 2 2015. Die
haben relativ langes Zeugs und unglaublich

komplizierte Sätze an einigen Stellen. Man
muss so 2 Minuten lang lesen, um

herauszufinden, dass das... A. Diese
Richtlinie gilt nicht für Geldabheben im

Supermarkt. Der Satz, der das beschreibt
ist vier Zeilen lang. Es gibt einen

Anhang, der steht, worauf sie sich
bezieht. Die ersten Paar sind gleich

geblieben, und in
Zahlungsdiensterichtlinie 2 sind

neuerdings Zahlungsauslösedienste und
Kontoinformationsdienste hinzugekommen. Und

dann noch ein paar Regeln dazu. Was hat also
diese PSD2 gebracht? Die neuen Kategorien des

Zahlungsauslösedienstleisters und des
Konto-Informationsdienstleisters, neue

Sicherheitsmaßnahmen. Das ist der Teil,
den die meisten mitgekriegt haben. Die

sogenannte starke Kundenauthentifizierung
SCA, Strong Customer Authentification.

Damit zusammenhängend eine ganz
merkwürdige 90-Tage-Regelung, die keiner

so richtig versteht und nur manchmal
angewendet wird. Ich weiß nicht, ob das

haben die wenigsten mitgekriegt, ausser
wenn Sie sich geärgert haben, dass Timeout

im Onlinebanking ist heruntergesetzt worden
auf fünf Minuten. Wenn man nicht alle fünf

Minuten etwas anklickt, zum Beispiel, weil
man gerade versucht TAN Generator heraus-

zusuchen, wird man ausgeloggt, und muss sich
wieder einloggen und eine TAN eingeben. Es

gibt, das ist tatsächlich ganz positiv, neue
Transparenzpflichten. Das ist so der Teil,

den die wenigsten mitkriegen, weil man das
mal so abnickt. Da steht dann drin, dass

alle Dienstleister jetzt auch dieses Mal
ordentlich und transparent darüber

Auskunft geben müssen, welche Kosten
entstehen, welche Gebühren entstehen, die

Gebührenstruktur nachvollziehbar sein
soll, dass man sie auf einem dauerhaften

Datenträger ausgehändigt bekommen muss. Es
gibt in der PSD2 neue Meldepflichten, zum einen

an die Bundesbank bzw. die Bankenaufsicht.
Zum anderen vor der Aufnahme des Betriebs

muss man sich registrieren lassen. Das
finden glaube ich alle ganz gut. Wir hatten mal

ein Meeting bei der Bundesbank, die meinten,
das fanden sie ganz toll, dass sie jetzt

diese Daten über den Finanzmarkt kriegen und
die Finanzmarktstabilität besser

einschätzen können. Besser bewerten
können, weil für einen Dienstleister nach

dieser Richtlinie jetzt sehr ausführlich
vorgeschrieben ist, welche

Risikokategorien, welche Risikobewertung
er machen muss und in welcher Form er

diese Daten dann nach oben melden muss
auch was Betrugsversuche und erfolgreichen

Betrug angeht. Und es gibt neue
Schnittstellen. Naja, mehr oder weniger.

In der Zahlungsdiensterichtlinie bzw. tech-
nischen Durchführung ist von dedizierten

Schnittstellen für Zahlungsauslösedienste
bzw. Kontoinformationsdienste die Rede, die

angeboten werden müssen. Neudeutsch sagt
man dazu API. Das ist dann das, was unter

PSD2 API überall läuft. Es steht
allerdings nicht drin, wie der aussehen

soll, nur was sie leisten können. Die
neuen Kategorien. Wie gesagt,

Zahlungsauslösedienst ist jemand, der im
Auftrag von jemandem eine Zahlung auslöst.

Also Sofortüberweisung.de oder theoretisch
auch andere. Aber man muss bestimmte

Voraussetzungen erfüllen, um überhaupt in
diese Kategorie fallen zu können. Das hält

unter anderem eine ganze Menge
Eigenkapital und Zertifizierungen und so

weiter. Und Kontoinformationsdienste.
Damit ist das, was wir früher unter

Multibanking gekannt haben. Ich bin mir
nicht ganz sicher, welche wie die Leute

drauf waren, die das formuliert haben oder
geschrieben haben. Aber sie hatten

offensichtlich kein Handy, auf dem sie
eine App installiert haben, wo man alle

seine Konten hat, sondern sie haben es
auf einer Webseite gemacht. Es ist also

neuerdings vorgesehen, dass ein online
Anbieter, eine Webseite, ein Portal halt sich

auf alle meine Konten einloggt und mir
dann auf der Webseite anzeigt, wie mein

Finanzstatus ist. Dazu muss sie natürlich
sich überall einloggen können. Und dann

braucht man neue Richtlinien, Regulierung
und den ganzen Kram. Ein kurzer Blick

zurück, wie man sich das dachte. Ich habe
beim Recherchieren, ich fand es total

toll, ein Screenshot von Heise aus dem
Newsticker vom Jahr 2000. Das stimmt

nicht. Das Datum ist falsch. Ich glaube,
es war 2016. Ein Screenshot von 2016, wie

wir uns die schöne neue Zukunft mit PSD2
vorstellen. Aktuell muss man durch ein

Bezahldienstleister gehen, der mit meiner
Kreditkarte zur Bank geht. Neuerdings kann

der Online-Shop via PSD2-API direkt auf
das Bankkonto zugreifen. Ja, ne. *einzelne

Kommentare* Ich nenne das die Lüge von der
dritten Partei. Ein kurzer Blick, wie wir

das bei uns einer Firma hatten. Wir haben
Abrechnungssoftware, Personalverwaltung,

Lohnbuchung, den ganzen Kram. Die hat dann
einfach über FinTS mit meiner Bank

geredet. Ein Rechner, der bei mir in
meiner Firma steht, der gehört mir, da ist

Software drauf installiert, die ich
gekauft habe. Und da ist mal meine Bank,

und dazwischen ist halt ein
Vertrauensverhältnis, weil das meine Bank

ist und ich gebe irgendwie meine
Zugangsdaten meiner Bank. Und dann

funktioniert das hervorragend. Das ist zum
14. September 2019 abgeschaltet worden.

Datev hat uns gesagt, Sie haben einen
neuen Kooperationspartner, die FinApi

GmbH. Das heißt, neuerdings läuft das so,
dass die Daten meiner Firma erstmal an das

Datav Rechenzentrum gehen, von dort an die
FinAPI GmbH, die dann die API

implementiert, die meine Bank implementiert.
Ich weiß nicht, ich kann es hier vorne ganz

gut sehen, aber das Logo der FinAPI GmbH, ist
deswegen sehr schön weil da steht Schufa

Comany. FinApi hat sich aufkaufen lassen
bzw. Mehrheitsbeteiligung der Schufa Holding

GmbH. <i>einzelne Gelächter</i> In der schönen
neuen Welt gehen alle meine Daten jetzt

mal nicht abgesehen davon, dass sie durch
Datev gehen, auch noch durch die Schufa,

die natürlich verpflichtet sind, damit
nichts Böses zu tun. Allerdings habe ich

mit der Schufa irgendwie auch keinen
Vertrag dazu abgeschlossen, sondern ich habe

meinen Vertrag mit jemandem anderen,
deswegen nicht so schön. Überall wird

immer von Drittdienstleistern gesprochen,
das heißt immer die dritte Partei

implementiert halt PSD2 API. Das ist ja
falsch! Sind ja immer vier Parteien

beteiligt. Es ist ja immer ich, ich kann
mal, ich darf nicht mich vorbeugen ich

nehme mal diesen Laserpointer hier, es ist
ja immer ich daran beteiligt es ist ja

immer meine Bank daran beteiligt sind wir
schon bei zweien. Dann gibt es irgendwas

was ich in Wirklichkeit machen möchte.
Also meinetwegen Zahlungen, das wäre dann

meinetwegen Zahlungen. Das wäre hier so
irgend eine Partei. Aber de facto muss es immer

immer eine vierte Partei geben, einen
neuen Gatekeeper, der dann die API

tatsächlich implementiert. Ich sag gleich
warum. Aber im Wesentlichen läuft es

darauf hinaus, dass die hier einen
bevorzugten Zugang zu allen Banken

erhalten, der nicht so einfach auf einer
der anderen drei Ebenen, zum anderen

beiden Ebenen zu implementieren ist. Es
gibt aber eigentlich immer eine vierte

Partei. Es gibt quasi keinen Anwendungs-
fall, der mir einfällt, wo es nur drei

Parteien sind, außer vielleicht
der Kontoinformationendienstleister, der

selber ein Webportal betreibt, auf dem ich
meinen Kontostand einsehen kann. Der

einzige Fall, der einem einfällt, wo es
nur drei sind. Die PSD2 API schreibt, wie

gesagt, einen offenen Zugriff vor. Naja, offen
ist halt so gemeint wie ein Bürokrat das

als offen versteht. Es ist kein
Vertragsverhältnis erforderlich zwischen

den Banken und den Leuten, die darauf
zugreifen, das ist schon mal ganz gut. Die

Banken sind verpflichtet, ein API
anzubieten, aber es steht halt nur, dass

es verfügbar sein muss und was es leisten
können muss und dass es genauso gut sein

muss wie der Zugriff, den die Bank dem
Kunden direkt anbietet. Und die gleichen

Servicelevel Agreements erfüllen muss, die
gleiche Verfügbarkeit haben muss. Es steht

nicht drin, wie es tatsächlich
ausgestaltet ist. Es steht nicht drin,

welche Spezifikation dies erfüllen soll.
Das führt dazu, dass nicht jede Bank

entwickelt ihr eigenes API. Die haben gar
keine Lust darauf. Die kaufen schon noch

APIs von externen Dienstleistern diese
Funktionalität ein. Aber dennoch gibt es

eine größere Handvoll an verschiedenen
APIs, die von verschiedenen Banken

eingesetzt werden. Die, wenn ich also,
wenn ich eine Funktionalität

implementieren möchte, die auf
Zahlungskonten zugreift, muss ich sie

eigentlich alle implementieren. Oder ich
nehme mir einen zusätzlichen Dienstleister

wie die FinApi dazu, der dann für mich
alle implementiert. Es gibt ein quasi-

Standard. Die Berlin Group hat sich
zusammengesetzt, um eine PSD2 API zu

spezifizieren, die jeder implementieren
kann, wo dann alle Seiten nur einmal das

machen müssen. Die Webseite ist ein
bisschen schlimm, ist relativ schwierig,

den Standard herunterzuladen. Aber das ist
mittlerweile der quasi-Standard. Es gibt

noch keinen echten Standard. Voraussetzung
dafür ist, um die PSD2 API nutzen zu

können, dass ich ein lizensierte bzw.
registrierter Dienstleister bin. Gute

Nachricht, ich hab nicht notwendigerweise
Eigenkapitalanforderungen. Also, ich als

Privatperson kann es leider nicht machen,
aber zumindest meine juristische Person

kann ich schnell gründen ohne
Eigenkapital. Wenn ich eine

Berufshaftpflichtversicherung abschließen.
Das gilt auch nur für

Kontoinformationsdienstleister. Sobald ich
Zahlungsauslösedienst sein möchte, muss

ich 50.000 Euro Eigenkapital Anfangskapital
hinlegen. Die meisten Dienstleistungen

oder die meisten Funktionen, die ich mir
vorstellen könnte, machen mit nur

Kontoinformation nicht so viel Sinn. Wenn
ich an meinem Beispiel des Vereins denke,

wenn ich die Vereinsverwaltung mache,
möchte ich halt sowohl Zahlungseingänge

verbuchen können als auch mindestens
Lastschriften auslösen können. Und da bin

ich schon Zahlungsauslösedienst, und der
Zug ist abgefahren in meinem Verein hat

keine 50.000 Euro. Plus Zugang ist offen.
Solange ich ein qualifiziertes

elektronisches Zertifikat habe, das mich
als registrierter Zahlungsauslösedienst

ausweist. In der gesamten Spec kommt das
Konzept. Dies ist kein Cloud-Dienst. Dies

ist eine Software, die ich herunterladen
und ausführen kann, einfach nicht vor.

PSD2 API ist komplett nutzlos für Leute,
die Software auf ihrem eigenen Rechner

ausführen wollen. Was kann sie denn noch?
Neu dazugekommen ist schon Customer

Authentification, das ist das mit dem
Blutdruck. Neuerdings kann manchmal Ich

komme gleich drauf, Strong Customer
Authentication gefordert werden, und

das bedeutet, dass mindestens zwei der
Elemente Wissen, Besitz und Inhärenz

benutzt werden müssen. Inhärenz ist das
fancy Wort für Biometrie. Müssen benutzt

werden und müssen voneinander unabhängig
sein. Dann steht da also Kram drin. Unter

anderem steht da auch drin, dass nach fünf
Fehlversuchen der Zugang gesperrt werden

muss. Die Abmeldungen nach fünf Minuten
Inaktivität kommt auch darin vor.

Verpflichtend ist eine dynamische
Verknüpfung der Customer Authentication

mit dem jeweiligen Vorgang. Das heißt,
iTAN Listen sind halt absolut verboten. Es

muss in jedem Fall der Code auf irgend
eine Art mit dem Betrag den ich überweisen

möchte verbunden sein. Hier steht auch die
Formulierung, dass dafür gesorgt werden

muss, dass Mechanismen vorhanden sind, die
sicherstellen, dass die Software oder das

Gerät nicht vom Zahler oder einem Dritten
verändert wurden. Es war dann das wo ich

meinen Blutdruck gekriegt habe, weil ich
mein Android-Telefon natürlich gerootet

habe, unter anderem um Backups machen zu
können und mir die App dann

freundlicherweise sagt "Ja ne, ist nicht,
ist ja gerootet". Und dann überlegt man

sich nochmal, was gerootet bedeutet, na ja
bedeutet, dass das Telefon unter anderem

in der Lage wäre, über seinen Zustand zu
lügen. Die App möchte nicht funktionieren

auf einem Telefon, das in der Lage wäre,
über seinen Zustand zu lügen, es sei denn

natürlich, das Telefon lügt über seinen
Zustand so gut, dass die App dann doch

wieder funktioniert. Das war dann für mich
die Motivation doch mal magisk

auszuprobieren, dass ein hinreichend
erfolgreiche Rootdetectionsverhinderung

hat, wobei es dann wieder zu so einer
Waffen Spirale kommt, das mit zunehmenden

App Updates die Detection besser wird was
dazu führt, dass die Leute die die

Detection verhindern, wieder besser werden
und ich dann am Ende doch ein zweites

Gerät habe <i>lächelt</i>, auf dem ich die Tan
Apps ausführe, die sich zurzeit nicht

austricksen lassen und am Ende halt für
vollkommenen Unfug. Wird noch besser. Das

Feature nennt sich "Surprise SCA". Bisher
war die Sache einfach. Ich habe mich mit

der PIN angemeldet, dann hab ich einen
read-only Zugang gekriegt. Wenn ich

irgendwas read-write-mäßiges machen
wollte, musste ich eine TAN eingeben, die

auf diesen Vorgang bezogen war. Jetzt
brauche ich die TAN für wesentlich mehr.

Und zwar brauche ich die TAN teilweise zum
Anmelden, also die genaue Formulierung

die genaue Formulierung ist zum Zugriff
auf Kontodaten oder sensible Kontodaten,

damit ist halt in der Regel Anmelden in
der App beziehungsweise im Web-Interface

gemeint, ausser manchmal. Es gibt vier
oder fünf Seiten in der technischen

Richtlinie, die Ausnahmen beschreiben.
Also zum einen darf ich die SCA weg lassen

wenn ich nur Zahlungskontoinformationen
bis 90 Tage alt abrufe, außer beim ersten

Mal oder wenn das letzte Mal mehr als 90
Tage her ist. Da kommen die 90 Tage her,

du musst die TAN alle 90 Tage eingeben,
weil dann die Ausnahme garantiert nicht

mehr gilt. Bei kontaktlos Zahlungen sind
es 50 Euro. Die ohne PIN bzw. Strong

Customer Authentification, weil den Besitz
habe ich ja durch die Karte immer

gewährleistet, die ohne zusätzliche PIN
möglich sind. Ausser es sind schon 150€

vergangen seit dem letzten Mal.
Parkgebühren sind grundsätzlich ohne SCA,

das ist sehr angenehm. Vertrauenswürdige
Empfänger sind ohne SCA, ausser natürlich

der Vorgang, vertrauenswürdige Empfänger
zu definieren. Wiederkehrende

Zahlungsvorgänge ab dem zweiten Mal kann
ich auch ohne machen. Überweisungen auf

ein anderes Konto derselben Person können,
ohne sein. Kleinstbetragszahlung bis 30€

können ohne sein, außer manchmal.
Unternehmen fallen eher ganz raus das war

dann unsere Lösung gegen das FinTS FinAPI
Fiasko. Es gibt einfach EBICS, da ist dann

quasi nichts drin. Es ist dann so, man
wirft die Zahlung dahin und wenn die halt

von der Firma kommen, dann werden die halt
so stimmen. Da braucht niemand mehr

irgendwo eine TAN eingeben und
Transaktions Risikoanalysen, die

modifizieren den ganzen Kram wieder. Also
die können dann sowohl bei bisherigen

Ausnahmen die SCA wieder erfordern als
auch, man kann halt sagen, na gut, die

Zahlung hat ein so geringes Risiko, dass
ich dann doch wieder keiner SCA brauche.

Außer natürlich die laufende Berechnung
der Betrugsraten, die ich verpflichtet bin

durchzuführen. Ergibt, das eine höhere
Betrugsrate eingesetzt hat, da muss ich

wieder dauernd SCA machen.
Schlussfolgerung: In Summe ist es von

außen nicht vorhersehbar, wann eine TAN
verwendet werden muss. Das macht beim User

Interface Design. Ich weiß nicht, wie viele sich
mal damit beschäftigt haben. Natürlich

besonders viel Spaß. Also, ich hab das in
Byro, das ist eine Web-App. Ein bisschen

schwierig, wenn man irgendwie auf SUBMIT
drückt und dann passiert halt nicht das,

sondern da kommt erst mal: Übrigens musst
noch eine TAN eingeben. Das ist für den

User natürlich total verwirrend, weil der
sich auf nichts mehr verlassen kann. Er

kann halt nicht mehr vorhersehen, was
passiert, wenn er ein Knopf drückt. Das

ist für automatisierte Dienste, die FinTS
benutzen wollen, total unmöglich, weil ich

selbst von den Vorgängen, von denen ich
bisher ausgegangen bin, dass sie zum

Beispiel read-only sind und keine TAN
brauchen. Wenn ich also zum Beispiel die

Kontoeingänge bei meinem Verein laufend
verbuchen möchte und einen Cronjob starte,

der alle x-Tage mal abruft, kann es
passieren, dass dann trotzdem wieder Mal

eine TAN nötig ist. Ich kann halt auch
nicht den Zugriff unterdrücken. Ich weiß

es halt nicht vorher. Es kann halt
irgendeinen ein Sonderfall eingetreten

sein. Und wenn man dann so einen
Pushdienst verwendet, ist es

halt toll, weil derjenige, dem der Zugang
gehört, dann plötzlich eine Push-

Nachrichten kriegt. Und es ist nicht ganz
zu unterscheiden, ob das jetzt derselbe

aufgesetzte, automatisierte Vorgang war
oder ob es irgendein anderer Bösewicht.

Die verschiedenen Banken handhaben das
auch sehr unterschiedlich. Bei der DKB zum

Beispiel muss man jedes Mal eine TAN
eingeben, wenn man sich irgendwo einloggt.

Bei der Sparkasse nicht. Die Sparkasse
macht Gebrauch von den 90 Tagen Ausnahmen.

Dafür muss man bei der Sparkasse die TAN
eingeben, wenn man einen Suchvorgang

startet, der mehr als 90 Tage
beinhaltet. Die DKB hat gesagt, dass es

Ihnen zu umständlich. Deswegen fragen Sie
immer nach der TAN. Außer man hat halt,

dann sind danach alle Transaktionen ohne
TAN. Ausser natürlich es sind wieder fünf

Minuten vergangen. *Stimmen im Publikum"
Euch fällt auf, das passiert eigentlich

nur bei solchen EU-Richtlinien oder
solchen EU-Regulierung. Ich weiß nicht,

wer ein PayPal-Konto hat, PayPal hat seit
immer kein 2-Faktor-System. Die machen

einfach irgendwas: Keine Ahnung die machen
auch Transaktionsrisiko und Zeugs. Die

wissen halt, dass so eine TAN eigentlich
nur dazu führt, dass der Nutzer den

Prozess im Zweifelsfall einfach abbricht,
was halt bei Zahlungen doof ist, weil dann

die Einnahmen entgehen. Das ist einer der
Gründe, warum PayPal das nicht hat und

Leute immer wieder sagen "Ihr seid doch so
unsicher" und am Ende naja eigentlich

nicht offensichtlich, weil sie sind ja
noch am Markt. Der Effekt Multi-Banking

haben wir gehört. Ich habe eine App, wo
ich alle meine Dinge drin hat. Führte

dazu, dass ich Multifaktor habe. Hier den
Dilo Delwitz Witz einfügen. Das sind die

TAN-Generierungsapps im Wesentlichen, die
ich auf meinem Telefon habe. Ich habe

neulich mal in meiner, ich glaube kurz
nach dem 14. September in meiner

Online-Banking-App versehentlich auf alle
Konten aktualisieren gedrückt, was dazu

führte, dass ich acht, neun verschiedene
TANs eingeben musste, eine davon zweimal

auf vier verschiedenen Modalitäten. Also
ich habe ja auch noch TAN-Generatoren mit

ChipTAN, was ja eigentlich das bessere
Verfahren ist. Da muss man halt

raussuchen. Aber ist ja nicht so schlimm,
weil macht man ja nur, wenn man eine

Überweisung durchführt. Und die DKB hat
Ihr Kreditkartenkonto von FInTS jetzt abgehängt,

das heißt, die Software, die ich verwende,
macht dann Webcalling, was die alte

Methode war, um Finanzdaten abzurufen.
Wozu dann nochmal ein separater TAN-

Eingabe nötig ist, um sich im Webinterface
anzumelden. Ich habe seitdem nicht nochmal

auf alles Abrufen gedrückt. Ich sollte das
mal irgendwann wieder tun. Ich muss mich

bloß vorbereiten. <i>Stimmen im Publikum</i>
Genau. Zeitlinie, also die Richtlinie vom

25. November. Sie ist technisch gesehen im
Januar 2016 in Kraft getreten. Das

bedeutet, da gibt es eine 2-Jahresfrist,
die ist 2018 in nationales Recht umgesetzt

worden. Das Zahlungsdiensteumsetzungs -
gesetz in Deutschland. Da steht bloß Copy

und Paste von der Richtlinie drin. In der
Richtlinie ist eine Verordnung delegiert

worden, was die technische Umsetzung
angeht von 2017. Und jetzt kommen wir

Warum ist es eigentlich alles am 14.
November? 14. September explodiert? Weil

die Frist am 14. September wird diese
delegierte Verordnung gültig. Sechs Monate

vorher hätten die Banken eine Testumgebung
zur Verfügung stellen müssen, damit

Softwareentwickler, die nicht der Größte
am Markt sind, das mal testen können. Es

gibt eine Fallbacklösung, falls man sich
außerstande sieht, eine PSD2 API

anzubieten oder da irgendwas nicht ist,
oder ein Notfall eintritt, wobei Notfall

glaube ich definiert ist als fünf Vorgänge
haben mehr als 30 Sekunden Latenz, dürfen

Zahlungsdienstleister also die
Kontoinformationsdienste oder die

Zahlungsauslösedienste ein Fallback
benutzen, nämlich das Interface, was der

normale Kunde benutzt. Da sind wir wieder
beim Webcalling. Wenn die Banken das

nicht möchten, müssen sie mindestens drei
Monate am Stück die normale PSD2-API zur

Verfügung stellen. Das heißt, Sie hätten
im Juni die PSD2-API produktiv laufen

müssen haben müssen, um von der
Ausnahmeregelung ausgenommen zu werden.

Ich glaube, das hat keiner. Am 14.
September ist dann alles explodiert. Dann

wurde die Durchführungsverordnung gültig.
Die Delegierteverordnung gültig, was dazu

führte, dass noch nicht sofort alles
explodiert ist. Erstmal sind nur

Transaktionen und Onlineanmeldung, weil
manche Banken haben tatsächlich davon

Gebrauch gemacht, dass da irgendwo 90 Tage
steht. Und wenn man sich halt am 13.

September angemeldet hat, dann war man ja
angemeldet. Ja, das war dann am 13.

Dezember vorbei. Das heißt spätestens seit
dem 13. Dezember hat jeder der

Online-Banking benutzt Spaß. Gibt kleinere
Problemchen. Die Anmeldefluß für

2-Faktor-Apps sind oft kompliziert, der
Support etwas überlastet. Bei der Postbank

habe ich das Problem, dass ich neu etwas
unterschreiben musste, weil ich als

Vereinskonto, das war das doofe, es ist
ein Gemeinschaftskonto, war ja früher

nicht so schlimm. Man teilt halt einfach
die Pin, und nur einer kriegt die

Chipkarte für die TAN-Generierung.
Neuerdings müssen halt alle

Gemeinschaftskonten extra Personenaccounts
für jeden, der Lesezugriff haben soll

haben. Bei der Postbank lief es darauf
hinaus, dass ich unterschreiben musste und

die meine E-Mail nicht angenommen haben.
Der Mailserver hat gemeint "Aufgrund der

hohen Betrugsraten können Sie zurzeit keine
Mail annehmen." <i>Gelächter</i> Moment,

nachdem ich den Support gefragt habe, ich
habe tatsächlich telefonisch was erreicht,

meinte er, faxen sie es uns. Das habe ich
vorgeschlagen Faxen. Das habe ich gemacht.

Das hat auch nur vier Wochen gedauert. Es
hat funktioniert. Andere Leute haben

andere Probleme, irgendwie. Geräte,
Wechsel, Verlust ist ein bisschen

schwierig. Ich habe mit jemandem geredet.
Ich habe gesagt, ihr habt ja im vorigen

Screenshot gesehen, welches Handy verliere
oder auch nur tauschen möchte, muss ich

halt acht verschiedene Apps neu
einrichten, teilweise in acht Schritten.

Ich habe gerade jemandem geholfen, bei der
Apobank seine TAN-App einzurichten, weil es

halt dreimal nicht geklappt hat. Der Knopf
Brief generieren mit dem Bestätigungscode

der hat immer funktioniert. Da kam ein neuer
Brief. Aber es war nicht zu sehen, wo man

den Bestätigungscode eingibt, bis man auf
der Webseite war und das vierseitige PDF

mit den acht einfachen Schritten gefunden
hat. <i>Gelächter</i> Der schärfste Trick: Für

Kreditkarten gilt das eigentlich auch
mit der starken

Kundenauthentifizierung. Bloß das hat noch
keiner umgesetzt. Das muss noch im Webshop

implementiert werden. Deswegen hat die EBA
jetzt gesagt: Na gut, ihr habt noch mal

ein bisschen Zeit bis 2020. Und was ich
vorhin sagte: Die APIs waren und oder sind

nicht funktional. Die Leute haben einfach
zu wenig Zeit gehabt zum Testen. Kurzer

Seitenhieb. 3D Secure. Es gab da schon mal
ein Vortrag über einen Vortrag halten.

Aber es gibt auf jeden Fall ein sehr
schönes Paper dazu "Verified bei Visa and

Mastercard Secure-Code or how not to
design authentication" von Murdoch und

Anderson. Three D secure steht für Three
-Domain-, acquirere, Issuer and

Interoperability sind die Domains der Herausgeber
Akzeptanz und die dazwischen Leute. Der

Kunde fehlt in der Liste, die hier
geschützt werden. Es ist dafür da, dem

Kunden neue AGB aufzudrücken und die
Schuld zu verschieben, weil offensichtlich

der Kunde schuld ist. Ist ja, jetzt sicher.
Bei einer meiner Banken, ist eine am VR-Banken-Netz

angeschlossene bei der Fiducia muss man sich
registrieren, da kriegt man so ein

Brief? Gehen Sie mal wieder auf diese
Webseite und füllen Sie dort die

Registrierung aus. So online
sichereinkaufen.de oder so ähnlich.

Sicheronlineeinkaufen.de? Sicher
einkaufen. Ich bin mir sicher es war sicher

online einkaufen. Ich weiß es, weil diese
Seite existiert, die anderen nicht. Diese

Seite existiert. <i>applaus</i> Und hat ein
gültiges Sicherheitszertifikat von

LetsEncrypt. <i>Gelächter</i> Und dann war
wieder da die Sache mit dem Blutdruck, die

hat dann wieder gemeint na ja, Sie können
sich jetzt hier registrieren und die Push-TAN-

App aktivieren. Das geht auf Ihrem Telefon
nicht, weil es gerootet ist. Das Telefon

ist unsicher. Gar kein Problem. Sie können
auch den Alternativprozess verwenden. Wir

schicken ihn einfach eine SMS an dieses
Telefon. <i>fröhliches Lachen</i> Ok. Muss ich

jetzt nicht verstehen. Dieses Formular,
wie gesagt, das ist aktuell online hat

immer noch die gleichen Probleme, die
Murdoch und Anderson von damals genannt

haben. Wenn man runter scrollt, findet man
diesen Signup System. Das ist ein IFrame,

das von irgendeiner anderen Domain kommt.
Die hat sogar ein Extended-Validation-

Zertifikat, nur dass es halt niemand
sieht, weil ist halt ein iFrame. Was ist noch so

passiert? Wie gesagt, Gemeinschaftskonten
benötigen jetzt einen Login pro Person.

Ich glaube hier. Die CCV-Veranstaltungs
GmbH hat auch schon Spaß damit gehabt. Die

Banken gehen langsam dazu über
FinTS abzuschalten oder loszuwerden, weil sie

haben ja jetzt die PSD2 API. Die regulierten
Dienstleister dürfen nicht mehr über FinTS

zugreifen außer halt im Fallbackmodus,
außer manchmal. Surprise SCA, wie gesagt,

ist Userinterface wird halt nur noch
merkwürdiger. User sind frustriert und

kriegen Hals. Was gar nicht so schlecht
ist. Es gibt jetzt ein

Registrierungspflicht für Anwendungen, die
auch für FinTS gilt. Also auch meine

Anwendung byro, FinTs ist registriert. Und
es ist im Sinne der Transparenz sieht man

im Online-Banking, welche App verwendet
wurden. Das ist erst mal nicht schlecht.

Kann man nichts gegen haben, zumal die
Registrierung auch als Open Source

Entwickler möglich ist. Ist ja nicht immer
so. Aber fast jede Transaktion kann

manchmal eine TAN anfordern. Wie gesagt,
ich hab das auch gerade gesehen. Wir

kommen zum Schluss. Transparenz und
Aufsicht sind verbessert worden.

Verbraucher sind zunehmend genervt.
Perfekte Grundlage für Wirsching? Ich weiß

nicht, wie viele von euch so eine Mail
gekriegt haben. PSD2 tritt jetzt in Kraft.

Bitte geben Sie jetzt hier nochmal Ihre
Kontonummer ein. Sie müssen sich jetzt neu

anmelden, weil neue sichere Umstellung des
Sicherheitsverfahrens. Gewerbliche Nutzer,

wie gesagt, müssen komplett ausweichen,
weil das macht gar keinen Sinn. Dafür gibt

es jetzt neue Geschäftsfelder für
Startups, die entsprechende

Anfangsinvestitionen haben. Open Source
kannste halt vergessen in Zukunft. Danke.

<i>Applaus</i>

Herald: Wir haben Zwölf Minuten Zeit für
Fragen und Antworten. Drei Mikrofone im

Saal verteilt. Falls ihr Fragen habt,
stellt euch hin. Ich versuche, euch

halbwegs fair aufzurufen. Eine Frage
hätte ich. Was soll der Scheiß? <i>Lachen</i>

Henryk: Hast du nicht gehört?
Sofortüberweisung ist jetzt legal. *Herald

lacht.*
Frage: Okay, du hast gesagt, dass FinTS

jetzt langsam ausgeschlichen wird von den
Banken. Ich weiß von einigen Banken, dass

sie bei PSD2 direkt das FinTS abgeklemmt haben,
weil sie es nicht implementiert hatten PSD2

konform. Aber weißt du, wie das bei den
anderen Banken aussieht? Also gibt es da

schon Ankündigungen von den großen
Rechenzentren Fiducia oder Sparkasse oder

wie wir alle heißen?
Henryk: Die haben sich größtenteils

zurückgehalten. Sie sagen da nur durch die
Blume, dass sie es zumindest nicht mehr

erweitern wollen. Sie haben ja jetzt das
andere. Ich glaube ING-Diba hatte da genau

dieses Problem. Sie haben ein bisschen
zurückgerudert. Wenn mich nicht alles

täuscht. Aber es gibt ja keinen
Grund mehr dafür.

Frage: Die haben zurückgerudert nach dam
sich 3000 Leute beschwert haben in einem

wütenden Mob Blogpost.
Henryk: Ja.

Herald: Bitte.
Frage: Gibts irgendwie so eine Art

Informationsblatt, was ich als Kunde der
Bank geben kann? Wenn ich der Meinung bin,

dass sie mir völligen Bullshit zu der PSD2
erzählt und irgendwelche neuen Änderungen

damit versucht zu begründen?
Henryk: Ja, das steht sogar in der

Richtlinie drin, das die europäische
Bankenaufsicht und die BaFin jeweils ein

Merkblatt für Kunden herausgeben, in denen
alle Änderungen und neuen Pflichten und

Rechte des Kunden dargelegt sind. Es
müsste auch der Webseite der BaFin zu

finden sein.
Frage: Ich meine eigentlich umgekehrt,

Richtung Bank.
Henryk: Ja, das ist das Merkblatt für dich

als Kunde, und du kannst der Bank
vorhalten und sagen: "Guck mal, was ihr

mir sagt, steht da nicht drauf."
Frage: Du meinst, es ist das nicht

sonderlich kompliziert, sich eine
juristische Person anzulegen. Könnte ich

dann mit einer juristischen Person mir ein
Geschäftskonto anlegen, damit ich dann

wieder APIs habe, die ich von einer App
aus verwenden kann? Ist das der neue Weg?

Henryk: Klar. Aber ja! Also du brauchst
halt eine

neue App. Es ist dann EBICS, aber ja...
Frage: Du hast aufgelistet, dass es ja

drei Authentifizierundsmerkmale gibt und
du hast sehr konsequent nur von TANs

gesprochen. Wenn ich die Richtlinie
korrekt interpretiere, ist Wissen und

Besitz. Also Pin und Chipkarte nach wie
vor eigentlich vollkommen valides

Authentifizierungsmittel.
Henryk: Korrekt. Also steht die

Formulierung, die Sie verwenden, ist, dass
diese aus den drei Faktoren muss ein

Authentifizierungscode abgeleitet werden.
Das kann auch eine Signatur oder was auch

immer sein. Ich habe aber keine
Implementierung davon gesehen, also

ausser halt innerhalb von Apps. Die DKB zum
Beispiel hat eine eigene App und wenn man

innerhalb der DKB App bleibt. Dann bleibt
also alles innerhalb der DKB App inklusive

mit iPhone, wie auch immer diese
Gesichtserkennung heißt, da braucht man

auch keine TAN mehr das stimmt. Aber wenn man
eine andere App benutzt, die nicht, die

ist, ist es irgendwie schwierig, der
Signatur abzutippen. Deswegen tippt man

meistens lieber TANs ab. Ich frag nur,
weil die Sparkasse mir erzählt hat, das

HBCI mit Chipkarte ja diese
Authentifizierungsbedingungen nicht

erfüllen würde.
Henryk: Das ist inkorrekt. HBCI mit

Chipkarte ist halt gerade Besitz, Besitz
und Wissen, sie können sich eventuell

darauf herausreden, dass irgendwie PIN mit
der Verifikation auf der Karte eventuell

nicht güle, aber eigentlich dann doch
schon.

Herald: Ok, und die Mitte mal wieder.
Zuhörer: Mal wieder nur eine kleine

Anmerkung. Du meint, dass das PayPal mit
2-Faktor nicht funktioniert. Aber in der

Tat habe ich PayPal mit 2-Faktor.
Henryk: Es gab vor fünf Jahren, glaub ich,

eine kurze Zeit, wo sie das angeboten
haben. Aber ich glaube, es wird nicht mehr

beworben.
Zuhörer: Ich konnte das in der App

anklicken, vor ungefähr einem halben Jahr.
Henryk: Oh, dann haben Sie was neues

eingebaut.Wollen Sie jetzt? Ist das schon?
Frage: Ich frag für einen Freund, der

entwickelt einen Webshop, und da müssen
Sie sich auch mit dem 3D Secure Kram

herumschlagen. Und der
Zahlungsdienstleister sagt: Es ist in

Ordnung, wenn man für das Hinterlegen der
Kreditkarte beim Zahlungsdienstleister

einmal dieses 3D Secure Verfahren macht.
Und danach kann man als Shop quasi

beliebig oft davon abbuchen, und der Kunde
muss dann nicht mehr nochmal irgendwelche

TANs eingeben. Ist das überhaupt korrekt
so, weil dann sehe ich den Sinn dahinter

nicht so ganz.
Henryk: Ja, für die erste Zahlung bei

wiederkehrenden Zahlungen ja. Aber es muss
trotzdem jede Zahlung autorisiert werden.

Bloß das für wiederkehrende Zahlungen
einfache Autorisierung reicht. Ich

bin mir da aber auch nicht ganz sicher.
Frage: Das muss dann aber nicht über

den Dienstleister gehen. Das reicht dann
einfach, wenn der Kunde im Onlineshop

einmal klickt: Ja, diese Kreditkarte,
oder?

Henryk: Genau, das kann mit Passwort, würde dann
reichen. Also nicht zwei Merkmale, sondern

nur eins.
Herald: Entweder habe ich unseren Signal-

Angel die ganze Zeit übersehen oder es
gibt gerade was Neues, bitte!

Signal-Engel: Kam gerade erst die Frage.
Wärest du mit PSD2 glücklicher, wenn sie

ein bisschen glücklicher, wenn es ein
bisschen Open Source wäre, die Zugang für

Open Source Programme offen wäre? Oder sagt
es allgemein eher mäh gelaufen?

Henryk: Na ja, es gibt relativ, es ist 
relativ schwierig, diese Anforderungen

grundsätzlich umzusetzen bei Software, die
der Anwender selber runter kompiliert und

laufen lässt. Deswegen sehe ich nicht, wie
man das umsetzen könnte. Man müsste halt

auf die Anforderungen verzichten, das die
Endpunkte durch qualifiziertes Zertifikat

identifiziert werden. Und dann hat man nur
noch die Probleme. Die Benutzer haben mit

dem ganzen TAN-Scheiss. Zumindest Open-
Source Entwickler keine Probleme mehr und

der Userinterface Flow ist immer noch kaputt.
Frage: Ich wollte einfach nur

nochmal anmerken. Die meisten hier
Anwesenden werden wahrscheinlich zwei

Geräte besitzen. Aber gerade dieses ganze
2-Faktor wird ja ab ad absurdum geführt.

Wenn ich mein Online-Banking auf demselben
Gerät mache, wo auch der TAN Generator

ist, ist auch die App zu App trans-Integration die
manche Banken anbieten. Wird ja hier auf

dem Kongress vor paar Jahren auch schon
mal gezeigt, dass das sinnlos ist, weil es

irgendwo gehackt werden kann. Ist man da
irgendwie gesichert, wenn man das macht

als Kunde? Die meisten haben ja doch nur
ein Gerät zu Hause und halten sich nicht

dran, das man dann als Kunde eigentlich
der Gearschte diesbezüglich.

Henryk: Es steht drinnen, dass es zwei
getrennte Geräte sein sollten oder oft auf

dem Gerät. Das ist unter anderem einer der
Gründe für die Rootdetektion auf dem

Gerät, für eine Trennung der. Es gibt da
einen Absatz, der irgendwie. Man müsse die

Trennungssysteme des Betriebssystems
nutzen. Also ich vermute mal, das geht

eher in Richtung Samsung Knox und nicht
auf normales Android. Aber eigentlich

sollte normales Android ausreichen. Ich
bin mir nicht sicher. Ich glaube als dieser App-TAN

Hack war da. Oder waren es auch gerootete
Geräte oder erweiterte lokaler Zugriff.

Frage: Ich nutze so ein Open-Source-
Software, um so persönliche Finanzen zu

tracken und habe das auf meinem Server
installiert. Erste Frage, bin ich jetzt

schon Konntoinformationsdienstleister?
Der Entwickler hat gesagt, er möchte PSD2

einbauen. Und wenn ich das richtig
verstanden habe, dann geht das gar nicht.

Ich habe auch gelesen auf GitHub, er hat
sich irgendwo registriert, und ich habe

aber nicht ganz verstanden, ob das geht.
Kann er überhaupt das jetzt so einbauen,

dass ich das dann benutzen kann?
Henryk: Ja, die Registrierung war die

HBCI-Registrierung. Ob du dann schon für
dich selber? Ich bin mir nicht sicher, ich

glaube für dich selber. Ich bin mir nicht
sicher, ob da etwas von einem Dritten

drinsteht. Da müsste ich nachgucken. Kann
ich so nicht beantworten. Müsste man ...

Frage: Kann er denn PSD2 in seine
Software einbauen, dass es jemand benutzen

kann?
Henryk: Ne, keine PSD2 API. Es wird immer

über FinTs laufen, was du beschrieben
hast.

Frage: Ok. Und wenn die Bank FinTS
abschaltet, bin ich im Arsch.

Henryk: Ja, du kannst auf EBICS
wechseln. <i>Herald lacht</i>

Frage: Hast du eine Vermutung, wer
hinter dem Ganzen steht? Warum die das

gemacht haben? Weil ich meine
Sofortüberweisung alleine gegen die ganze

Bankenlobby. Banken mögen das
offensichtlich nicht. Irgendwer muss es

doch durchgedrückt haben.
Henryk: Ich weiß es tatsächlich nicht. Wir

haben kurz vorher uns unterhalten, dass es
da so ein Slogan gab: Digital first,

Bedenken second. Das könnte damit
zusammenhängen. Es klingt nach

Fortschritt. Es wird halt besser.
Frage: Ich wollte noch einmal

Fragen: Sind hier Organisationen oder
politische Akteure bekannt, die die

Benutzerinteressen in irgendeiner Form
bündeln und versuchen zu kanalisieren? Wir

versuchen da irgendwie ein bisschen Lobby
im Sinne der Nutzer und der User zu

machen an der Stelle. Verbraucherschutz welche?
Henryk: Es gibt ein Voice-Verband der IT

Anwendunger EV. Aber ich weiß nicht ob die
in dem Rahmen Aktivitäten haben. Mir wird

gerade gesagt, dass sie eine Selbst-Hilfe-
Gruppe sind. Aber es ist... <i>Alle lachen</i>

Du hast nur gefrat, das ist mir bekannt.
Antwort: ich kenne nur eine.

Herald: Bitte. Scheint auch letzte Frage zu sein. 
Frage: Du erwähntest die

Registrierung für die Drittdienste. Ist es
nicht eigentlich auch eine Art Zulassung

bei der BaFin und da kam doch gerade vor
ein paar Wochen auch Standards raus, was

für Sicherheitsmaßnahmen da umzusetzten sind,
die auch möglicherweise geprüft werden .

Und auch diese Zulassung
entzogen werden kann.

Henryk: Genau. Deswegen seht auch da
"Registriert und Zugelassen", als

Formulierung. Weil es für
Kontoinformationsdienstleister ein

bisschen einfacher dann ist. Die Absätze 1
bis 6 außer Paragraphen 3 und dings gelten

nicht für Kontoinformationsdienstleister
oder so ähnlich. Aber für alle, die

weitergehend es machen, es ist mit
Zulassung und Bericht und vorige

Registrierung und so weiter drin,
inklusive Entzug.

Herald: Bist du glücklich? Du siehst nicht
glücklich aus.

Signal-Engel: Ich habe sogar noch 2 auf
Twitter. 1) Kann ich irgendwie verhindern,

dass mein Arbeitgeber meine Bankdaten an datev
weitergibt? Oder habe ich da keine Chance?

Henryk: Lustige Frage, ich glaube nicht.
Frage: 2) Kannst du einen Ausblick

geben? Siehst du Hoffnung, dass irgendwas
verbessert wird, oder müssen wir halt 20

Jahre warten, bis das nächste neue Gesetz
kommt?

Henryk: Da steht drin, dass die alle
X-Jahre evaluiert und aktualisiert werden

sollen. Ab 2021 ist das nächste Mal.
Vielleicht wird nachgebessert. Ich bin da

aber nicht so sehr hoffnungsvoll, weil
hier, wie gesagt, aus Sicht der zentralen

Behörden nicht so nicht Cloud Anwendungen,
eher Nischenprodukte. Etwas auf seinem

eigenen Rechner zu betreiben,
kommt aus der Mode.

Herald: Jetzt aber wirklich die letzte
Frage.

Fragender : Ich würde gerne an eine
vorherige Frage anknüpfen, nämlich ob es

Institutionen gibt, die sich dafür
einsetzen, dass das Ganze gebessert wird.

Ich arbeite jetzt für sofort, und wir sind
Sofortüberweisung. <i>fröhliche Gelächter</i>

Wir sind aktiv dabei, mit nahezu allen
Banken in Europa und auch den nationalen

Behörden zu diskutieren, dass es da
schnellstmöglich Änderungen gibt. Noch vor

einer neuen Direktive, also in möglichst
naher Zukunft. Es gibt Leute, die sich

dafür einsetzen.
Henryk: Sehr gut.

Herald: Es könnte also sein, dass du die
Frage beantworten kannst, die ich vorhin

gestellt habe. Ich komme gleich vor! <i>Alle
Lachen</i>

Herald: Henryk Plötz! Vielen Dank!

<i>Applaus</i>

<i>36c3 Abspannmusik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!