36c3 Vorspannmusik
Herald: Ich habe hier so ein Handy,
vielleicht habt ihr auch ein Smartphone.
Und ich habe eine App drauf und die
damit.. Ich habe so mehrere Konten bei
verschiedenen Banken, und ich habe so eine
App. Da sind die ganzen Konten so drin.
Und wenn ich wissen will, wie viel Geld
ich nicht hab, dann starte ich diese App
und gucke ich da so drauf, weil mein
Telefon mich sonst nicht erkennt. Und dann
kann ich halt sehen, wie wieviel Geld ich
auf den Konten habe und was ich für
Kontobewegungen hatte. Und dann,
irgendwann dieses Jahr lacht , hab ich
da nicht mehr gesehen, wie viel Geld auf
dem Konto hatte. Da kammen immer so Pop-
ups. Die haben gesagt: Ja, das
funktioniert jetzt nicht, weil hab ich
nicht verstanden. Aber was da immer drin
vorkam, das waren drei Buchstaben, eine
Zahl, und das hieß PSD2, und jedes Mal habe ich
gedacht, jetzt muss ich wieder aus der App
raus und muss wieder irgendwas machen, was
ich nicht verstehe. Und dann werden mir
SMSen geschickt, die ich irgendwo
eintragen muss und dachte: Was zum Teufel
soll dieser Scheiß? Und das Schöne ist:
Wir alle werden jetzt möglicherweise eine
Antwort auf die Frage bekommen, was dieser
Scheiß soll. Und falls nicht, dann kann
man hinterher persönlich zur Rechenschaft
ziehen. Sein Name ist Henryk Plötz. lacht
Applaus
Henryk Plötz: Ja, genau. Ich Ich versuche
die Frage zu stellen, was hat die PSD2 je
für uns getan? Und Antworten darauf zu
geben, in der Hoffnung, dass ich auch
herausfinden, was der Scheiss soll? Für
diejenigen, die, es ist einer der ersten
Vorträge, die hineingestolpert sind, ohne
zu wissen, worum es geht. Es geht um die
Richtlinie der EU 2015 2366 des
Europäischen Parlaments und des Rates vom
25. November 2015 über Zahlungsdienste im
Binnenmarkt zur Änderung der Richtlinie
und so weiter und so fort und fort. Das
ist die Zahlungsdienst, der Richtlinie 2,
und da dranhängt noch eine Handvoll
Delegierter Verordnungen, aber ganz massiv
die Delegierte Verordnung vom 27. November
für die technischen Regulierung Standards
für eine starke Kunden Authentifizierung
und für sichere offene Standards zur
Kommunikation. Das ist, was in der App die
ganzen Pop-ups verursacht hat. Warum bin
ich hier? Und warum erzähle ich euch etwas
zu diesem Thema? Ich bin Informatiker und
Sicherheitsforscher. Ich glaub, neudeutsch
sagt man Hacker dazu. Hab einen meiner
ersten Vorträge auf dem Kongress vor zehn
Jahren zu "Mifaire Classic" gehalten.
Seitdem einiges gemacht zu
Zutrittskontrollsystemen, RFID, Die
Spezialgebiet sind halt solche Arten von
Kommunikationsprotokollen. Ich bin auch
Open Source Entwickler. Also wenn irgendwo
ein Kommunikationsprotokoll rumliegt, dann
implementiert ich das manchmal unter
anderem HBCI. Dazu erzähle ich euch noch
ein bisschen was. Es gibt im Umfeld des
CCC eine Vereinswaltung, die entstanden
ist, die heißt byro von Rixx. Da habe ich
einige größere Dinge zu beigetragen, und
es gibt von Rami. Die beiden waren ja die
Kasse und der Vorverkauf von Rami eine
Python Implementierung von FinTS, ich
sage vielleicht noch, was das ist. Dazu
hab ich größere Dinge beigetragen. Und
dann die Kombination dabei ist das im
PlugIn byro-fints. Also eine Perspektive,
aus der ich das betrachtet, halt als Open
Source Entwickler. Ich bin auch Gründer
und Geschäftsführer. Vor zwei Jahren habe
ich mit einem Freund zusammen eine eigene
Firma gegründet "Digital Wolff und Plötz
GmbH und Co. Wir haben einen etwas
schwammigen, schwammige Selbstverständnis,
eigentlich sehr präzise Selbstverständnis,
das etwas schwieriger zu verstehen ist.
Dass die Digitalisierung in komplexen
Umfeldern. Wir entwickeln. Wir machen halt
Beratung, aber entwickeln halt auch
Software. Auf dieser Ebene gucke ich das
auch an bzw. andere Produkte. Für die
evangelische Kirche bauen wir den
digitalen Klingelbeutel. Wir sind jetzt
Zahlungsdienstleister. Zum Glück hat es
nichts damit zu tun. Ich bin. Ich freue
mich sehr, dass alles, was wir tun, an der
PSD2 vorbeigeschrammt ist, außer halt als
Privatkunde. Ich bin nämlich auch noch
neugieriger Nutzer. Wir haben gerade in
der Einführung gehört, dass jemand
durchaus eine App von mehreren Konten
haben könnte. Ich habe mal kurz
durchgezählt. Bei mir sind es neun
verschiedene Konten, weil ich auch noch
mehrere Hüte auf habe, also sowohl
Geschäftskunden, neun verschiedene Banken.
Konten sind es ein paar mehr. Als sowohl
geschäftliche Konten als auch
Privatkonnten bzw. Familien Konto. Als
auch ich bin in Vereinen, Vorstand,
Vereinskonten. Ich glaube sieben oder so.
Davon benutze ich auch regelmäßig. Der
Rest war halt so kostenloses Girokonto. Mal
ausprobieren, was die tun. Und dann sind
da halt 10 Euro drauf und man kann sehen,
wie die auf diese Umstellung reagiert
haben. Das hilft dann auch wieder beim
Entwickeln von Open-Source-Software. Wenn
man Testkonten hat und mal gucken kann,
was die Banken so anstellen. Agenda also.
Wir haben gerade gehört, worum es gehen
soll. Ich werde euch gleich den
wunderschönen vorher Zustand darstellen.
Die Begründungen geben, die die
Europäische Kommission gegeben hat, warum
diese Richtlinie veröffentlicht,
beschlossen werden sollte. Dann auf die
Frage antworten, was uns PSD2 wirklich
gebracht hat. In der Form, die schön ist
und dann in der Form. Was ist dann
tatsächlich herausgekommen? Ist mit einer
kurzen, kurzen Eingehen auf die Zeitlinie
und dann zu den diversen Problemen,
Ärgerungen, ja, Blutdruck kommen. Ich fand
das sehr schön. Als die zwei Minuten bevor
der Vortrag losging, war hier im Info
Beamer, eine Werbefolie für BTX. Irgendwo
hier stehen BTX Terminals, die man
ausprobieren kann. Es war ja nicht alles
schlecht in 2018 oder auch in den 80ern.
Schon seit den 80ern gibt es Online-
Banking für Privatkunden. In Deutschland
fing das halt so, in den frühen 80ern mit
BTX. Ich glaube der CCC hat ein bisschen
Geschichte mit BTX, der Eine oder Andere
wird sich erinnern. Es wurde 2007 leider
abgeschaltet, aber man hat bis dahin ganz
gut funktioniert. Daraus entstanden mehr
oder weniger direkt ist das sogenannte
HBCI-Buchstaben. Abkürzungen haben
vielleicht die meisten schon mal gehört:
Homebanking Computer Interface. Das ist
ein Datenübertragungen,
Kommunikationsprotokoll zum Austausch von
Bankdaten für Endanwender. Naja, komma
separierte Werte auf Drogen. Das hat
Semikolons als Trennzeichen, aber manchmal
sind dann auch noch Doppelpunkt
Trennzeichen und manchmal Pluszeichen
Trennzeichen. Was das... Ich habe es
implementiert. Es ist tatsächlich parsbar,
ich hätte es mir nicht gedacht. Es gibt durchaus
Protokolle, die nicht parsbar sind. Dies
gehört nicht dazu. Aber es erscheint mir
wie ein Zufall. lachen Es ist sehr
hierarchisch aufgebaut, die
Datenstrukturen sind hierarchisch, man
kann Dinge in Dinge, in Dinge tun. Aber es
gibt nur drei Ebenen von Trennzeichen, und
irgendwann sind dann die Trennzeichen
alle. Aber rein zufällig sind dann auch die
Ebenen alle. Das ist übergegangen, es
wurde immer wieder erweitert und
verbessert eingeführt 1998. Version 2.1
war, glaub ich, die erste brauchbare. Das
hat sich immer, wurde immer weiter
verbessert, ist übergegangen. HBCI
3.0 kennen die meisten, und dann wurde es
umbenannt in FinTS --- Financial
Transaction Services. Es war ursprünglich
ein rein deutsches Ding. Es ist ein rein
deutsches Ding. Mit FinTS haben Sie dann
versucht, das international einsetzbar zu
machen, unter anderem, in dem Sie es in
XML gegossen haben. Und ja, das XML ist
auch parsbar, aber doch eine der
unschönsten Implementierungen, wie man
sich das vorstellen kann. Es gibt auch
niemand, der das einsetzt. Ne, ist nicht
richtig. Es gibt tatsächlich eine zentrale
Liste, wo alle Banken drinstehen mit den
FinTS bzw. HBCI-Versionen, die sie
unterstützen. Sind ja. In Deutschland
erreicht man damit quasi jede Bank, manche
noch mit Version 2, ich glaub die Deutsche
Bank. Die meisten unterstützen Version 3,
und ich glaube, es gibt exakt einen Eintrag,
der FinTS Version 4 ankündigt. Wie gesagt,
benutzt niemand, 4. FinTS 3 total überall, weil
es damit erst der breiteren Öffentlichkeit
zugänglich wurde. Früher HBCI war ein
typisch deutsches Ding. Sehr schön, sehr
sicher. So, mit Smartcard in Computer
stecken. Dazu muss man erst mal die
Smartcard besorgen, eine PIN dafür haben,
einen separaten Berechtigungsvertrag bzw.
es gab auch ein Allternativverfahren, wo man
Disketten durch die Gegend... Briefe durch die
Gegend geschickt hat, auf denen RSA-Keys
abgedruckt waren. lachen Seit FinTS 3
gibt es auch als alternatives Verfahren
PinTan. Das ist, was die meisten in
Deutschland als Online-Banking kennen. Man
meldet sich mit seiner PIN an, hat dann
nur Lese Zugriff aufs Konto, und wenn man
eine Transaktion durchführen möchte,
braucht man einen Transactions
Autorisierung Nummer, eine TAN. Sehr
schön, sehr einfach. Leider demnächst tot.
Die Franzosen haben so etwas ähnliches wie
BTX. Sie haben minitel. Das ist aber auch
schon vor ein paar Jahren abgeschaltet worden.
Das ist so der Überblick für die anderen
Länder. Ansonsten wars das im Wesentlichen
an schönen, strukturierten Verfahren. Seit
den, seit der Mitte der 90 hier habe ich
einen Screenshot von Wells Fargo. Die
waren eine der ersten, die man hingeguckt
rechts oben Online-Banking anbieten 1995.
Man bemerke auch die Adresse. Das war vor
https, gab es einen Wildwuchs, das halt
viele Banken irgendeine Form von Online-
Banking angeboten haben, aber halt immer
durch das Web-Interface und immer mit
unterschiedlichen Formen von
Berechtigungs-Methoden und -Mechanismen .
Für Firmenkunden, sieht das Ganze noch
verwirrender bzw. besser aus. Das sind
halt alles nur die Privatkunden.
Firmenkunden haben schon schon wesentlich
früher angefangen, weil ja auch mehr
Transaktionen hatten, mit tatsächlich Disketten
durch die Gegend schicken, das
Datenträgeraustauschverfahren. Später gab
es dann Nachfolger BCS und das aktuelle
EBICS. Da werde ich dann gleich noch
drauf kommen, wenn ich die Situation bei
meiner Firma beschreibe, weil das mit dem
FinTS ist jetzt leider schade war. Es
ermöglichte damals interoperables
Multibanking. In FinTS selber sind
sogenannte Geschäftsvorfälle definiert.
Man kann halt nicht alle Banken
unterstützen alles. Aber man kann im
Wesentlichen abrufen, Kontoauszüge abrufen
oder Transaktionsliste. Man kann
Überweisungen einkippen oder Lastschriften
verursachen. Das ist das Wichtigste, was
man machen kann. Alle Banken haben noch
irgendwas anderes. Aber das Schöne ist, das
funktioniert eigentlich überall. Und dann
gibt es einfach auf meinem Handy eine App,
die das implementiert. Das Schöne daran
war, dass das Protokoll einfach frei im
Internet verfügbar war. Ursprünglich kommt
es von der ZKA der Zentrale Kreditausschuss.
Die haben sich irgendwann umbenannt und
haben sich bei der Bahn ein Beispiel
genommen und heißen jetzt DEKA. Die
Kreditwirtschaft einzelne Lachen oder
die deutsche Kreditwirtschaft je nachdem.
Da kann man die Spezifikation runterladen.
Wie gesagt, das ist prinzipiell parsbar.
Man kann es implementieren, ich habs
gemacht. Und dann braucht man nur noch
Benutzername und Pin, wie man sie von der
Bank erhalten hat und die gleichen
Zugangsdaten wie im Onlinebanking gelten.
Und man muss niemanden fragen, das finde
ich das Wichtigste, sondern muss niemand
fragen, wofür man eine Implementierung
schreibt. Man muss niemanden fragen, bevor
man die Implementierung benutzt. Ich habe
das für Vereinsverwaltungsoftware
geschrieben, das die gesamten Finanzen des
Vereins quasi vollautomatisiert
verarbeitet werden können, ohne dass
irgendjemand im Webinterface die Dinge
herunterlädt und irgendwo eingibt oder gar
abtippt. Das Schöne an diesem FinTS ist
eine der Eigenschaften von diesem FinTS
ist, dass es zukunftskompatibel ist. Man
kann halt, es gibt diese einzelnen
Datensätze, haben eine Versionsnummer, und
man kann dann jedes Mal eine neue Version
einführen. Der alte Datensatz funktioniert
weiterhin für die Banken oder die Software
nur das alte unterstützt. Man sieht daran
aber auch jedes Mal, wenn irgendwas in der
Geschichte passiert ist, wenn es neue
Regulierungen gab, die darauf Auswirkungen
hatten, dann kommt gibts halt eine neue
Version von z.Bsp. dem Datensatz zum
Anmelden, das dann plötzlich ein neues
Feld drin ist für ein SMS Abbuchungskonto.
Weil, ich weiß nicht genau wann das war,
2012 die EU beschlossen hat, dass der
Kunde das Konto angeben muss, von dem die
SMS Gebühren berechnet werden, die für die
AnmeldeTan benutzt werden. Später gab es
neue Veränderung, eine neue Versionen. Es
ist an der Stelle schön, dass man so quasi
in Fossilienmäßig sehen kann, was in der
Vergangenheit passiert ist, indem man sich
das Protokoll anguckt. Wie gesagt,
Multibanking war die wichtigste
Funktionalität um seine Finanzsoftware auf
deinem Computer oder deinem Telefon oder
auf deinem Server oder sonst wo zu haben
und sie funktioniert mit allen Banken in
Deutschland. Was gab es noch für der
andere wichtige Punkt für Endverbraucher
ist Onlineshopping. Ich möchte gerne
bezahlen. Ich brauche irgendeine Zahlung.
Da gab es gibt es immer noch Dienste wie
PayPal oder irgendwelche Wallit Dienste,
wo man auf eine beliebige Art vorher Geld
auflädt, das Geld ausgeben kann, was aber
nichts mit dem eigentlichen Bankkonto zu
tun hat. Was für den Verbraucher natürlich
wesentlich angenehmer ist, Konntobezogene
Zahlungsdienste, irgendwas, was direkt mit
meinem Konto, das ich sowieso habe,
verbunden ist. Am einfachsten für alle
Beteiligten ist die Vorkasse, kann man
halt vorher überweisen und kriegt dann
seinen Gut oder auch nicht. Am einfachsten
für den Verbraucher ist die Lastschrift,
verschickt halt der Versender das Gut und
belastet nachher das Konto. Beides nicht
so ideal. Deswegen gab es immer wieder
Versuche, andere Systeme einzuführen. Ich
glaube, die ersten waren die Niederländer
mit einem System, das so einen
integrierten Prozess anbot. Der Händler
kann das System ansprechen. Ihm sagen: Ich
hätte gerne von einem Benutzer so viel
Euro. Oder 2005, ja? Ich hätte gerne so
und so viel Geld von diesen Benutzer. Der
macht das dann auf der Webseite seiner
Bank mit den Zugangsdaten der Bank, gibt
den Betrag frei. Der Händler kriegt sofort
die Bestätigung, dass der Betrag
freigegeben wurde und kann sofort die Ware
losschicken. In Deutschland haben wir das
auch. Das kennt natürlich wieder keiner,
weil die Sparkassen sitzen es ein. Und
dann war's das fast. Das heißt Giropay,
und das ist, wie man Onlinezahlungen übers
Konto eigentlich machen würde. Parallel um
2006 entstand ein Dienstleister, ich hatte
vorhin einen anderen Namen, die
Sofortüberweisung. Das kennen Leute doch
noch, und man wundert sich ein bisschen,
dass überhaupt entstehen konnte. Also, ich
fand das Geschäftsmodell schon immer ein
bisschen komisch. Sofortüberweisung-in-
the-Middle. Der Benutzer gibt seine
Zugangsdaten, die er von seiner Bank
bekommen hat, auf der Webseite von
Sofortüberweisung ein. Sofortüberweisung
loggt sich bei der Bank ein. Macht, was
auch immer, gibt dem Händler halt
Bescheid, dass die Transaktion
durchgeführt worden ist und führt dem
Benutzer dann zum Händler zurück. Sie
geben ihr Indianerehrenwort, dass sie
nichts anderes tun, außer die Transaktion
freizuschalten und gegebenenfalls ein
Konto nachzuschauen, ob du Gebounste,
Überweisung oder sonst was hast.
Irgendeine Risikobewertung. Sie haben auch
TüV gibt TüV geprüften Datenschutz, der
TüV Saarland steht dafür gerade. Und wenn
ich mich richtig erinnere, haben sie sogar
dann doch noch etwas passiert, haben auch
noch eine Versicherung abgeschlossen.
eizelne Gelächter Falls das
Indianerehrenwort nicht reicht. Damals,
2012, verstieß das jetzt mal abgesehen vom
gesunden Menschenverstand auch gegen die
Teilnahmebedingungen für das Pin/Tan-
Verfahren, die ihr bei eurer Bank
unterschrieben habt. Ich habe hier das Mal
rausgesucht von der DKB. Der Teilnehmer
ist verpflichtet, die technische
Verbindung zum Onlinebanking der Bank nur
nur über die Internetseite der Bank oder
andere mitgeteilte Kommunikationswege
herzustellen. Um kurz zu illustrieren,
habe ich eine Abbildung aus der Wikipedia
herausgesucht. Eigentlich verstößt man
damit gegen die Bedingungen seiner Bank
und im schlimmsten Fall die Bank übernimmt
erst einmal nicht, garantiert nicht, dass
es funktioniert, übernimmt die Schäden
nicht. Es gab da dann so verschiedene
Banken, die versucht haben, das auch
technisch zu unterbieten, zu verbieten.
Ich habe da keine Bestätigung, aber ich
hörte die Geschichte, dass die Sparkasse
wohl versucht hätte, die Zufgriffe, die
Sofortüberweisung auslöst, zu blockieren,
indem sie die IP-Adresse sperren,
woraufhin dann drei Stunden später die
Zugrffe von drei anderen IP-Adressen kamen.
Da gab es auch juristische
Auseinandersetzungen, weil die Sparkasse
vorher, wie ich auf der vorherigen Folie
gezeigt habe, ein eigenes System anbot,
das als Mitbewerber gesehen werden kann.
Auch wenn es technisch halt richtig
rum ist, im Gegensatz zur
Sofortüberweisung, die falsch rum ist.
Deswegen wurde Ihnen dann verboten zu
versuchen, die Sofortüberweisung zu
torpedieren. Das zog auch so langsam ein.
Ich habe deswegen die DKB von 2012
rausgesucht, weil ich mich erinnere. Mein
Konto ist schon ein bisschen länger, dass
ich irgendwann AGB Änderungen mitgeteilt
bekommen habe. Da haben Sie halt diesen
Absatz einfach gestrichen. Und statt
dessen stand dort. "Sie dürfen die
Zugangsdaten nur auf der Webseite der DKB
eingeben, oder einem anderen von uns
autorisierten Zahlungsdienstleister siehe
Anhang." Der Anhang enthielt genau eine
Zeile "Sofortüberweisung.de", so nebenbei.
Um herauszufinden, was die Bedingungen von
2012 waren, musste ich bei mir bei der DKB
mal einloggen, um mein Postfach zu gucken,
wie wir gleich sehen werden, braucht man
zum Einloggen neuerdings manchmal eine TAN.
Dazu gibts den TAN Generator, der ein
Passwort will, das ich natürlich nicht
mehr wusste, aber gar kein Problem, es hat
einen Rücksetzfluß. Man kann sich einfach
eine SMS schicken lassen und den TAN
Generator zurücksetzen und dann
funktioniert es wieder. OK, glaube, das
Passwort brauche ich mir nicht merken. So das
war der Zustand bis Anfang diesen Jahres,
bis Mitte dieses Jahres. 2015 kam diese
Zahlungsrichtlinie heraus, und das ist die
Begründung, warum die herausgebracht wird,
die dort stehen. Unter anderem seit der
vorherigen Richtlinie 2007, die PSD, die
Zahlungsrichtlinie, nicht die
Zahlungsrichtlinie 2, sind neue Arten von
Zahlungsdiensten entstanden. Vor allen
Dingen Zahlungsauslösedienste. Ein anderes
Wort für Sofortüberweisung. Oder
Kontoinformationsdienste. Diese Richtlinie
soll darauf abzielen, die Kontinuität im
Markt sicherzustellen. Mit anderen Worten
Diese Richtlinie ist in keiner Form
gedacht oder geeignet, irgendeinen der
bisherigen Player am Markt zu
benachteiligen oder zu disruptieren.
Ich las irgendwann mal den schönen Satz
Lex-Sofortüberweisung. Hier ist die
Gegenüberstellung von der
Zahlungsdiensterichtlinie 2007 und
Zahlungsdiensterichtlinie 2 2015. Die
haben relativ langes Zeugs und unglaublich
komplizierte Sätze an einigen Stellen. Man
muss so 2 Minuten lang lesen, um
herauszufinden, dass das... A. Diese
Richtlinie gilt nicht für Geldabheben im
Supermarkt. Der Satz, der das beschreibt
ist vier Zeilen lang. Es gibt einen
Anhang, der steht, worauf sie sich
bezieht. Die ersten Paar sind gleich
geblieben, und in
Zahlungsdiensterichtlinie 2 sind
neuerdings Zahlungsauslösedienste und
Kontoinformationsdienste hinzugekommen. Und
dann noch ein paar Regeln dazu. Was hat also
diese PSD2 gebracht? Die neuen Kategorien des
Zahlungsauslösedienstleisters und des
Konto-Informationsdienstleisters, neue
Sicherheitsmaßnahmen. Das ist der Teil,
den die meisten mitgekriegt haben. Die
sogenannte starke Kundenauthentifizierung
SCA, Strong Customer Authentification.
Damit zusammenhängend eine ganz
merkwürdige 90-Tage-Regelung, die keiner
so richtig versteht und nur manchmal
angewendet wird. Ich weiß nicht, ob das
haben die wenigsten mitgekriegt, ausser
wenn Sie sich geärgert haben, dass Timeout
im Onlinebanking ist heruntergesetzt worden
auf fünf Minuten. Wenn man nicht alle fünf
Minuten etwas anklickt, zum Beispiel, weil
man gerade versucht TAN Generator heraus-
zusuchen, wird man ausgeloggt, und muss sich
wieder einloggen und eine TAN eingeben. Es
gibt, das ist tatsächlich ganz positiv, neue
Transparenzpflichten. Das ist so der Teil,
den die wenigsten mitkriegen, weil man das
mal so abnickt. Da steht dann drin, dass
alle Dienstleister jetzt auch dieses Mal
ordentlich und transparent darüber
Auskunft geben müssen, welche Kosten
entstehen, welche Gebühren entstehen, die
Gebührenstruktur nachvollziehbar sein
soll, dass man sie auf einem dauerhaften
Datenträger ausgehändigt bekommen muss. Es
gibt in der PSD2 neue Meldepflichten, zum einen
an die Bundesbank bzw. die Bankenaufsicht.
Zum anderen vor der Aufnahme des Betriebs
muss man sich registrieren lassen. Das
finden glaube ich alle ganz gut. Wir hatten mal
ein Meeting bei der Bundesbank, die meinten,
das fanden sie ganz toll, dass sie jetzt
diese Daten über den Finanzmarkt kriegen und
die Finanzmarktstabilität besser
einschätzen können. Besser bewerten
können, weil für einen Dienstleister nach
dieser Richtlinie jetzt sehr ausführlich
vorgeschrieben ist, welche
Risikokategorien, welche Risikobewertung
er machen muss und in welcher Form er
diese Daten dann nach oben melden muss
auch was Betrugsversuche und erfolgreichen
Betrug angeht. Und es gibt neue
Schnittstellen. Naja, mehr oder weniger.
In der Zahlungsdiensterichtlinie bzw. tech-
nischen Durchführung ist von dedizierten
Schnittstellen für Zahlungsauslösedienste
bzw. Kontoinformationsdienste die Rede, die
angeboten werden müssen. Neudeutsch sagt
man dazu API. Das ist dann das, was unter
PSD2 API überall läuft. Es steht
allerdings nicht drin, wie der aussehen
soll, nur was sie leisten können. Die
neuen Kategorien. Wie gesagt,
Zahlungsauslösedienst ist jemand, der im
Auftrag von jemandem eine Zahlung auslöst.
Also Sofortüberweisung.de oder theoretisch
auch andere. Aber man muss bestimmte
Voraussetzungen erfüllen, um überhaupt in
diese Kategorie fallen zu können. Das hält
unter anderem eine ganze Menge
Eigenkapital und Zertifizierungen und so
weiter. Und Kontoinformationsdienste.
Damit ist das, was wir früher unter
Multibanking gekannt haben. Ich bin mir
nicht ganz sicher, welche wie die Leute
drauf waren, die das formuliert haben oder
geschrieben haben. Aber sie hatten
offensichtlich kein Handy, auf dem sie
eine App installiert haben, wo man alle
seine Konten hat, sondern sie haben es
auf einer Webseite gemacht. Es ist also
neuerdings vorgesehen, dass ein online
Anbieter, eine Webseite, ein Portal halt sich
auf alle meine Konten einloggt und mir
dann auf der Webseite anzeigt, wie mein
Finanzstatus ist. Dazu muss sie natürlich
sich überall einloggen können. Und dann
braucht man neue Richtlinien, Regulierung
und den ganzen Kram. Ein kurzer Blick
zurück, wie man sich das dachte. Ich habe
beim Recherchieren, ich fand es total
toll, ein Screenshot von Heise aus dem
Newsticker vom Jahr 2000. Das stimmt
nicht. Das Datum ist falsch. Ich glaube,
es war 2016. Ein Screenshot von 2016, wie
wir uns die schöne neue Zukunft mit PSD2
vorstellen. Aktuell muss man durch ein
Bezahldienstleister gehen, der mit meiner
Kreditkarte zur Bank geht. Neuerdings kann
der Online-Shop via PSD2-API direkt auf
das Bankkonto zugreifen. Ja, ne. *einzelne
Kommentare* Ich nenne das die Lüge von der
dritten Partei. Ein kurzer Blick, wie wir
das bei uns einer Firma hatten. Wir haben
Abrechnungssoftware, Personalverwaltung,
Lohnbuchung, den ganzen Kram. Die hat dann
einfach über FinTS mit meiner Bank
geredet. Ein Rechner, der bei mir in
meiner Firma steht, der gehört mir, da ist
Software drauf installiert, die ich
gekauft habe. Und da ist mal meine Bank,
und dazwischen ist halt ein
Vertrauensverhältnis, weil das meine Bank
ist und ich gebe irgendwie meine
Zugangsdaten meiner Bank. Und dann
funktioniert das hervorragend. Das ist zum
14. September 2019 abgeschaltet worden.
Datev hat uns gesagt, Sie haben einen
neuen Kooperationspartner, die FinApi
GmbH. Das heißt, neuerdings läuft das so,
dass die Daten meiner Firma erstmal an das
Datav Rechenzentrum gehen, von dort an die
FinAPI GmbH, die dann die API
implementiert, die meine Bank implementiert.
Ich weiß nicht, ich kann es hier vorne ganz
gut sehen, aber das Logo der FinAPI GmbH, ist
deswegen sehr schön weil da steht Schufa
Comany. FinApi hat sich aufkaufen lassen
bzw. Mehrheitsbeteiligung der Schufa Holding
GmbH. einzelne Gelächter In der schönen
neuen Welt gehen alle meine Daten jetzt
mal nicht abgesehen davon, dass sie durch
Datev gehen, auch noch durch die Schufa,
die natürlich verpflichtet sind, damit
nichts Böses zu tun. Allerdings habe ich
mit der Schufa irgendwie auch keinen
Vertrag dazu abgeschlossen, sondern ich habe
meinen Vertrag mit jemandem anderen,
deswegen nicht so schön. Überall wird
immer von Drittdienstleistern gesprochen,
das heißt immer die dritte Partei
implementiert halt PSD2 API. Das ist ja
falsch! Sind ja immer vier Parteien
beteiligt. Es ist ja immer ich, ich kann
mal, ich darf nicht mich vorbeugen ich
nehme mal diesen Laserpointer hier, es ist
ja immer ich daran beteiligt es ist ja
immer meine Bank daran beteiligt sind wir
schon bei zweien. Dann gibt es irgendwas
was ich in Wirklichkeit machen möchte.
Also meinetwegen Zahlungen, das wäre dann
meinetwegen Zahlungen. Das wäre hier so
irgend eine Partei. Aber de facto muss es immer
immer eine vierte Partei geben, einen
neuen Gatekeeper, der dann die API
tatsächlich implementiert. Ich sag gleich
warum. Aber im Wesentlichen läuft es
darauf hinaus, dass die hier einen
bevorzugten Zugang zu allen Banken
erhalten, der nicht so einfach auf einer
der anderen drei Ebenen, zum anderen
beiden Ebenen zu implementieren ist. Es
gibt aber eigentlich immer eine vierte
Partei. Es gibt quasi keinen Anwendungs-
fall, der mir einfällt, wo es nur drei
Parteien sind, außer vielleicht
der Kontoinformationendienstleister, der
selber ein Webportal betreibt, auf dem ich
meinen Kontostand einsehen kann. Der
einzige Fall, der einem einfällt, wo es
nur drei sind. Die PSD2 API schreibt, wie
gesagt, einen offenen Zugriff vor. Naja, offen
ist halt so gemeint wie ein Bürokrat das
als offen versteht. Es ist kein
Vertragsverhältnis erforderlich zwischen
den Banken und den Leuten, die darauf
zugreifen, das ist schon mal ganz gut. Die
Banken sind verpflichtet, ein API
anzubieten, aber es steht halt nur, dass
es verfügbar sein muss und was es leisten
können muss und dass es genauso gut sein
muss wie der Zugriff, den die Bank dem
Kunden direkt anbietet. Und die gleichen
Servicelevel Agreements erfüllen muss, die
gleiche Verfügbarkeit haben muss. Es steht
nicht drin, wie es tatsächlich
ausgestaltet ist. Es steht nicht drin,
welche Spezifikation dies erfüllen soll.
Das führt dazu, dass nicht jede Bank
entwickelt ihr eigenes API. Die haben gar
keine Lust darauf. Die kaufen schon noch
APIs von externen Dienstleistern diese
Funktionalität ein. Aber dennoch gibt es
eine größere Handvoll an verschiedenen
APIs, die von verschiedenen Banken
eingesetzt werden. Die, wenn ich also,
wenn ich eine Funktionalität
implementieren möchte, die auf
Zahlungskonten zugreift, muss ich sie
eigentlich alle implementieren. Oder ich
nehme mir einen zusätzlichen Dienstleister
wie die FinApi dazu, der dann für mich
alle implementiert. Es gibt ein quasi-
Standard. Die Berlin Group hat sich
zusammengesetzt, um eine PSD2 API zu
spezifizieren, die jeder implementieren
kann, wo dann alle Seiten nur einmal das
machen müssen. Die Webseite ist ein
bisschen schlimm, ist relativ schwierig,
den Standard herunterzuladen. Aber das ist
mittlerweile der quasi-Standard. Es gibt
noch keinen echten Standard. Voraussetzung
dafür ist, um die PSD2 API nutzen zu
können, dass ich ein lizensierte bzw.
registrierter Dienstleister bin. Gute
Nachricht, ich hab nicht notwendigerweise
Eigenkapitalanforderungen. Also, ich als
Privatperson kann es leider nicht machen,
aber zumindest meine juristische Person
kann ich schnell gründen ohne
Eigenkapital. Wenn ich eine
Berufshaftpflichtversicherung abschließen.
Das gilt auch nur für
Kontoinformationsdienstleister. Sobald ich
Zahlungsauslösedienst sein möchte, muss
ich 50.000 Euro Eigenkapital Anfangskapital
hinlegen. Die meisten Dienstleistungen
oder die meisten Funktionen, die ich mir
vorstellen könnte, machen mit nur
Kontoinformation nicht so viel Sinn. Wenn
ich an meinem Beispiel des Vereins denke,
wenn ich die Vereinsverwaltung mache,
möchte ich halt sowohl Zahlungseingänge
verbuchen können als auch mindestens
Lastschriften auslösen können. Und da bin
ich schon Zahlungsauslösedienst, und der
Zug ist abgefahren in meinem Verein hat
keine 50.000 Euro. Plus Zugang ist offen.
Solange ich ein qualifiziertes
elektronisches Zertifikat habe, das mich
als registrierter Zahlungsauslösedienst
ausweist. In der gesamten Spec kommt das
Konzept. Dies ist kein Cloud-Dienst. Dies
ist eine Software, die ich herunterladen
und ausführen kann, einfach nicht vor.
PSD2 API ist komplett nutzlos für Leute,
die Software auf ihrem eigenen Rechner
ausführen wollen. Was kann sie denn noch?
Neu dazugekommen ist schon Customer
Authentification, das ist das mit dem
Blutdruck. Neuerdings kann manchmal Ich
komme gleich drauf, Strong Customer
Authentication gefordert werden, und
das bedeutet, dass mindestens zwei der
Elemente Wissen, Besitz und Inhärenz
benutzt werden müssen. Inhärenz ist das
fancy Wort für Biometrie. Müssen benutzt
werden und müssen voneinander unabhängig
sein. Dann steht da also Kram drin. Unter
anderem steht da auch drin, dass nach fünf
Fehlversuchen der Zugang gesperrt werden
muss. Die Abmeldungen nach fünf Minuten
Inaktivität kommt auch darin vor.
Verpflichtend ist eine dynamische
Verknüpfung der Customer Authentication
mit dem jeweiligen Vorgang. Das heißt,
iTAN Listen sind halt absolut verboten. Es
muss in jedem Fall der Code auf irgend
eine Art mit dem Betrag den ich überweisen
möchte verbunden sein. Hier steht auch die
Formulierung, dass dafür gesorgt werden
muss, dass Mechanismen vorhanden sind, die
sicherstellen, dass die Software oder das
Gerät nicht vom Zahler oder einem Dritten
verändert wurden. Es war dann das wo ich
meinen Blutdruck gekriegt habe, weil ich
mein Android-Telefon natürlich gerootet
habe, unter anderem um Backups machen zu
können und mir die App dann
freundlicherweise sagt "Ja ne, ist nicht,
ist ja gerootet". Und dann überlegt man
sich nochmal, was gerootet bedeutet, na ja
bedeutet, dass das Telefon unter anderem
in der Lage wäre, über seinen Zustand zu
lügen. Die App möchte nicht funktionieren
auf einem Telefon, das in der Lage wäre,
über seinen Zustand zu lügen, es sei denn
natürlich, das Telefon lügt über seinen
Zustand so gut, dass die App dann doch
wieder funktioniert. Das war dann für mich
die Motivation doch mal magisk
auszuprobieren, dass ein hinreichend
erfolgreiche Rootdetectionsverhinderung
hat, wobei es dann wieder zu so einer
Waffen Spirale kommt, das mit zunehmenden
App Updates die Detection besser wird was
dazu führt, dass die Leute die die
Detection verhindern, wieder besser werden
und ich dann am Ende doch ein zweites
Gerät habe lächelt, auf dem ich die Tan
Apps ausführe, die sich zurzeit nicht
austricksen lassen und am Ende halt für
vollkommenen Unfug. Wird noch besser. Das
Feature nennt sich "Surprise SCA". Bisher
war die Sache einfach. Ich habe mich mit
der PIN angemeldet, dann hab ich einen
read-only Zugang gekriegt. Wenn ich
irgendwas read-write-mäßiges machen
wollte, musste ich eine TAN eingeben, die
auf diesen Vorgang bezogen war. Jetzt
brauche ich die TAN für wesentlich mehr.
Und zwar brauche ich die TAN teilweise zum
Anmelden, also die genaue Formulierung
die genaue Formulierung ist zum Zugriff
auf Kontodaten oder sensible Kontodaten,
damit ist halt in der Regel Anmelden in
der App beziehungsweise im Web-Interface
gemeint, ausser manchmal. Es gibt vier
oder fünf Seiten in der technischen
Richtlinie, die Ausnahmen beschreiben.
Also zum einen darf ich die SCA weg lassen
wenn ich nur Zahlungskontoinformationen
bis 90 Tage alt abrufe, außer beim ersten
Mal oder wenn das letzte Mal mehr als 90
Tage her ist. Da kommen die 90 Tage her,
du musst die TAN alle 90 Tage eingeben,
weil dann die Ausnahme garantiert nicht
mehr gilt. Bei kontaktlos Zahlungen sind
es 50 Euro. Die ohne PIN bzw. Strong
Customer Authentification, weil den Besitz
habe ich ja durch die Karte immer
gewährleistet, die ohne zusätzliche PIN
möglich sind. Ausser es sind schon 150€
vergangen seit dem letzten Mal.
Parkgebühren sind grundsätzlich ohne SCA,
das ist sehr angenehm. Vertrauenswürdige
Empfänger sind ohne SCA, ausser natürlich
der Vorgang, vertrauenswürdige Empfänger
zu definieren. Wiederkehrende
Zahlungsvorgänge ab dem zweiten Mal kann
ich auch ohne machen. Überweisungen auf
ein anderes Konto derselben Person können,
ohne sein. Kleinstbetragszahlung bis 30€
können ohne sein, außer manchmal.
Unternehmen fallen eher ganz raus das war
dann unsere Lösung gegen das FinTS FinAPI
Fiasko. Es gibt einfach EBICS, da ist dann
quasi nichts drin. Es ist dann so, man
wirft die Zahlung dahin und wenn die halt
von der Firma kommen, dann werden die halt
so stimmen. Da braucht niemand mehr
irgendwo eine TAN eingeben und
Transaktions Risikoanalysen, die
modifizieren den ganzen Kram wieder. Also
die können dann sowohl bei bisherigen
Ausnahmen die SCA wieder erfordern als
auch, man kann halt sagen, na gut, die
Zahlung hat ein so geringes Risiko, dass
ich dann doch wieder keiner SCA brauche.
Außer natürlich die laufende Berechnung
der Betrugsraten, die ich verpflichtet bin
durchzuführen. Ergibt, das eine höhere
Betrugsrate eingesetzt hat, da muss ich
wieder dauernd SCA machen.
Schlussfolgerung: In Summe ist es von
außen nicht vorhersehbar, wann eine TAN
verwendet werden muss. Das macht beim User
Interface Design. Ich weiß nicht, wie viele sich
mal damit beschäftigt haben. Natürlich
besonders viel Spaß. Also, ich hab das in
Byro, das ist eine Web-App. Ein bisschen
schwierig, wenn man irgendwie auf SUBMIT
drückt und dann passiert halt nicht das,
sondern da kommt erst mal: Übrigens musst
noch eine TAN eingeben. Das ist für den
User natürlich total verwirrend, weil der
sich auf nichts mehr verlassen kann. Er
kann halt nicht mehr vorhersehen, was
passiert, wenn er ein Knopf drückt. Das
ist für automatisierte Dienste, die FinTS
benutzen wollen, total unmöglich, weil ich
selbst von den Vorgängen, von denen ich
bisher ausgegangen bin, dass sie zum
Beispiel read-only sind und keine TAN
brauchen. Wenn ich also zum Beispiel die
Kontoeingänge bei meinem Verein laufend
verbuchen möchte und einen Cronjob starte,
der alle x-Tage mal abruft, kann es
passieren, dass dann trotzdem wieder Mal
eine TAN nötig ist. Ich kann halt auch
nicht den Zugriff unterdrücken. Ich weiß
es halt nicht vorher. Es kann halt
irgendeinen ein Sonderfall eingetreten
sein. Und wenn man dann so einen
Pushdienst verwendet, ist es
halt toll, weil derjenige, dem der Zugang
gehört, dann plötzlich eine Push-
Nachrichten kriegt. Und es ist nicht ganz
zu unterscheiden, ob das jetzt derselbe
aufgesetzte, automatisierte Vorgang war
oder ob es irgendein anderer Bösewicht.
Die verschiedenen Banken handhaben das
auch sehr unterschiedlich. Bei der DKB zum
Beispiel muss man jedes Mal eine TAN
eingeben, wenn man sich irgendwo einloggt.
Bei der Sparkasse nicht. Die Sparkasse
macht Gebrauch von den 90 Tagen Ausnahmen.
Dafür muss man bei der Sparkasse die TAN
eingeben, wenn man einen Suchvorgang
startet, der mehr als 90 Tage
beinhaltet. Die DKB hat gesagt, dass es
Ihnen zu umständlich. Deswegen fragen Sie
immer nach der TAN. Außer man hat halt,
dann sind danach alle Transaktionen ohne
TAN. Ausser natürlich es sind wieder fünf
Minuten vergangen. *Stimmen im Publikum"
Euch fällt auf, das passiert eigentlich
nur bei solchen EU-Richtlinien oder
solchen EU-Regulierung. Ich weiß nicht,
wer ein PayPal-Konto hat, PayPal hat seit
immer kein 2-Faktor-System. Die machen
einfach irgendwas: Keine Ahnung die machen
auch Transaktionsrisiko und Zeugs. Die
wissen halt, dass so eine TAN eigentlich
nur dazu führt, dass der Nutzer den
Prozess im Zweifelsfall einfach abbricht,
was halt bei Zahlungen doof ist, weil dann
die Einnahmen entgehen. Das ist einer der
Gründe, warum PayPal das nicht hat und
Leute immer wieder sagen "Ihr seid doch so
unsicher" und am Ende naja eigentlich
nicht offensichtlich, weil sie sind ja
noch am Markt. Der Effekt Multi-Banking
haben wir gehört. Ich habe eine App, wo
ich alle meine Dinge drin hat. Führte
dazu, dass ich Multifaktor habe. Hier den
Dilo Delwitz Witz einfügen. Das sind die
TAN-Generierungsapps im Wesentlichen, die
ich auf meinem Telefon habe. Ich habe
neulich mal in meiner, ich glaube kurz
nach dem 14. September in meiner
Online-Banking-App versehentlich auf alle
Konten aktualisieren gedrückt, was dazu
führte, dass ich acht, neun verschiedene
TANs eingeben musste, eine davon zweimal
auf vier verschiedenen Modalitäten. Also
ich habe ja auch noch TAN-Generatoren mit
ChipTAN, was ja eigentlich das bessere
Verfahren ist. Da muss man halt
raussuchen. Aber ist ja nicht so schlimm,
weil macht man ja nur, wenn man eine
Überweisung durchführt. Und die DKB hat
Ihr Kreditkartenkonto von FInTS jetzt abgehängt,
das heißt, die Software, die ich verwende,
macht dann Webcalling, was die alte
Methode war, um Finanzdaten abzurufen.
Wozu dann nochmal ein separater TAN-
Eingabe nötig ist, um sich im Webinterface
anzumelden. Ich habe seitdem nicht nochmal
auf alles Abrufen gedrückt. Ich sollte das
mal irgendwann wieder tun. Ich muss mich
bloß vorbereiten. Stimmen im Publikum
Genau. Zeitlinie, also die Richtlinie vom
25. November. Sie ist technisch gesehen im
Januar 2016 in Kraft getreten. Das
bedeutet, da gibt es eine 2-Jahresfrist,
die ist 2018 in nationales Recht umgesetzt
worden. Das Zahlungsdiensteumsetzungs -
gesetz in Deutschland. Da steht bloß Copy
und Paste von der Richtlinie drin. In der
Richtlinie ist eine Verordnung delegiert
worden, was die technische Umsetzung
angeht von 2017. Und jetzt kommen wir
Warum ist es eigentlich alles am 14.
November? 14. September explodiert? Weil
die Frist am 14. September wird diese
delegierte Verordnung gültig. Sechs Monate
vorher hätten die Banken eine Testumgebung
zur Verfügung stellen müssen, damit
Softwareentwickler, die nicht der Größte
am Markt sind, das mal testen können. Es
gibt eine Fallbacklösung, falls man sich
außerstande sieht, eine PSD2 API
anzubieten oder da irgendwas nicht ist,
oder ein Notfall eintritt, wobei Notfall
glaube ich definiert ist als fünf Vorgänge
haben mehr als 30 Sekunden Latenz, dürfen
Zahlungsdienstleister also die
Kontoinformationsdienste oder die
Zahlungsauslösedienste ein Fallback
benutzen, nämlich das Interface, was der
normale Kunde benutzt. Da sind wir wieder
beim Webcalling. Wenn die Banken das
nicht möchten, müssen sie mindestens drei
Monate am Stück die normale PSD2-API zur
Verfügung stellen. Das heißt, Sie hätten
im Juni die PSD2-API produktiv laufen
müssen haben müssen, um von der
Ausnahmeregelung ausgenommen zu werden.
Ich glaube, das hat keiner. Am 14.
September ist dann alles explodiert. Dann
wurde die Durchführungsverordnung gültig.
Die Delegierteverordnung gültig, was dazu
führte, dass noch nicht sofort alles
explodiert ist. Erstmal sind nur
Transaktionen und Onlineanmeldung, weil
manche Banken haben tatsächlich davon
Gebrauch gemacht, dass da irgendwo 90 Tage
steht. Und wenn man sich halt am 13.
September angemeldet hat, dann war man ja
angemeldet. Ja, das war dann am 13.
Dezember vorbei. Das heißt spätestens seit
dem 13. Dezember hat jeder der
Online-Banking benutzt Spaß. Gibt kleinere
Problemchen. Die Anmeldefluß für
2-Faktor-Apps sind oft kompliziert, der
Support etwas überlastet. Bei der Postbank
habe ich das Problem, dass ich neu etwas
unterschreiben musste, weil ich als
Vereinskonto, das war das doofe, es ist
ein Gemeinschaftskonto, war ja früher
nicht so schlimm. Man teilt halt einfach
die Pin, und nur einer kriegt die
Chipkarte für die TAN-Generierung.
Neuerdings müssen halt alle
Gemeinschaftskonten extra Personenaccounts
für jeden, der Lesezugriff haben soll
haben. Bei der Postbank lief es darauf
hinaus, dass ich unterschreiben musste und
die meine E-Mail nicht angenommen haben.
Der Mailserver hat gemeint "Aufgrund der
hohen Betrugsraten können Sie zurzeit keine
Mail annehmen." Gelächter Moment,
nachdem ich den Support gefragt habe, ich
habe tatsächlich telefonisch was erreicht,
meinte er, faxen sie es uns. Das habe ich
vorgeschlagen Faxen. Das habe ich gemacht.
Das hat auch nur vier Wochen gedauert. Es
hat funktioniert. Andere Leute haben
andere Probleme, irgendwie. Geräte,
Wechsel, Verlust ist ein bisschen
schwierig. Ich habe mit jemandem geredet.
Ich habe gesagt, ihr habt ja im vorigen
Screenshot gesehen, welches Handy verliere
oder auch nur tauschen möchte, muss ich
halt acht verschiedene Apps neu
einrichten, teilweise in acht Schritten.
Ich habe gerade jemandem geholfen, bei der
Apobank seine TAN-App einzurichten, weil es
halt dreimal nicht geklappt hat. Der Knopf
Brief generieren mit dem Bestätigungscode
der hat immer funktioniert. Da kam ein neuer
Brief. Aber es war nicht zu sehen, wo man
den Bestätigungscode eingibt, bis man auf
der Webseite war und das vierseitige PDF
mit den acht einfachen Schritten gefunden
hat. Gelächter Der schärfste Trick: Für
Kreditkarten gilt das eigentlich auch
mit der starken
Kundenauthentifizierung. Bloß das hat noch
keiner umgesetzt. Das muss noch im Webshop
implementiert werden. Deswegen hat die EBA
jetzt gesagt: Na gut, ihr habt noch mal
ein bisschen Zeit bis 2020. Und was ich
vorhin sagte: Die APIs waren und oder sind
nicht funktional. Die Leute haben einfach
zu wenig Zeit gehabt zum Testen. Kurzer
Seitenhieb. 3D Secure. Es gab da schon mal
ein Vortrag über einen Vortrag halten.
Aber es gibt auf jeden Fall ein sehr
schönes Paper dazu "Verified bei Visa and
Mastercard Secure-Code or how not to
design authentication" von Murdoch und
Anderson. Three D secure steht für Three
-Domain-, acquirere, Issuer and
Interoperability sind die Domains der Herausgeber
Akzeptanz und die dazwischen Leute. Der
Kunde fehlt in der Liste, die hier
geschützt werden. Es ist dafür da, dem
Kunden neue AGB aufzudrücken und die
Schuld zu verschieben, weil offensichtlich
der Kunde schuld ist. Ist ja, jetzt sicher.
Bei einer meiner Banken, ist eine am VR-Banken-Netz
angeschlossene bei der Fiducia muss man sich
registrieren, da kriegt man so ein
Brief? Gehen Sie mal wieder auf diese
Webseite und füllen Sie dort die
Registrierung aus. So online
sichereinkaufen.de oder so ähnlich.
Sicheronlineeinkaufen.de? Sicher
einkaufen. Ich bin mir sicher es war sicher
online einkaufen. Ich weiß es, weil diese
Seite existiert, die anderen nicht. Diese
Seite existiert. applaus Und hat ein
gültiges Sicherheitszertifikat von
LetsEncrypt. Gelächter Und dann war
wieder da die Sache mit dem Blutdruck, die
hat dann wieder gemeint na ja, Sie können
sich jetzt hier registrieren und die Push-TAN-
App aktivieren. Das geht auf Ihrem Telefon
nicht, weil es gerootet ist. Das Telefon
ist unsicher. Gar kein Problem. Sie können
auch den Alternativprozess verwenden. Wir
schicken ihn einfach eine SMS an dieses
Telefon. fröhliches Lachen Ok. Muss ich
jetzt nicht verstehen. Dieses Formular,
wie gesagt, das ist aktuell online hat
immer noch die gleichen Probleme, die
Murdoch und Anderson von damals genannt
haben. Wenn man runter scrollt, findet man
diesen Signup System. Das ist ein IFrame,
das von irgendeiner anderen Domain kommt.
Die hat sogar ein Extended-Validation-
Zertifikat, nur dass es halt niemand
sieht, weil ist halt ein iFrame. Was ist noch so
passiert? Wie gesagt, Gemeinschaftskonten
benötigen jetzt einen Login pro Person.
Ich glaube hier. Die CCV-Veranstaltungs
GmbH hat auch schon Spaß damit gehabt. Die
Banken gehen langsam dazu über
FinTS abzuschalten oder loszuwerden, weil sie
haben ja jetzt die PSD2 API. Die regulierten
Dienstleister dürfen nicht mehr über FinTS
zugreifen außer halt im Fallbackmodus,
außer manchmal. Surprise SCA, wie gesagt,
ist Userinterface wird halt nur noch
merkwürdiger. User sind frustriert und
kriegen Hals. Was gar nicht so schlecht
ist. Es gibt jetzt ein
Registrierungspflicht für Anwendungen, die
auch für FinTS gilt. Also auch meine
Anwendung byro, FinTs ist registriert. Und
es ist im Sinne der Transparenz sieht man
im Online-Banking, welche App verwendet
wurden. Das ist erst mal nicht schlecht.
Kann man nichts gegen haben, zumal die
Registrierung auch als Open Source
Entwickler möglich ist. Ist ja nicht immer
so. Aber fast jede Transaktion kann
manchmal eine TAN anfordern. Wie gesagt,
ich hab das auch gerade gesehen. Wir
kommen zum Schluss. Transparenz und
Aufsicht sind verbessert worden.
Verbraucher sind zunehmend genervt.
Perfekte Grundlage für Wirsching? Ich weiß
nicht, wie viele von euch so eine Mail
gekriegt haben. PSD2 tritt jetzt in Kraft.
Bitte geben Sie jetzt hier nochmal Ihre
Kontonummer ein. Sie müssen sich jetzt neu
anmelden, weil neue sichere Umstellung des
Sicherheitsverfahrens. Gewerbliche Nutzer,
wie gesagt, müssen komplett ausweichen,
weil das macht gar keinen Sinn. Dafür gibt
es jetzt neue Geschäftsfelder für
Startups, die entsprechende
Anfangsinvestitionen haben. Open Source
kannste halt vergessen in Zukunft. Danke.
Applaus
Herald: Wir haben Zwölf Minuten Zeit für
Fragen und Antworten. Drei Mikrofone im
Saal verteilt. Falls ihr Fragen habt,
stellt euch hin. Ich versuche, euch
halbwegs fair aufzurufen. Eine Frage
hätte ich. Was soll der Scheiß? Lachen
Henryk: Hast du nicht gehört?
Sofortüberweisung ist jetzt legal. *Herald
lacht.*
Frage: Okay, du hast gesagt, dass FinTS
jetzt langsam ausgeschlichen wird von den
Banken. Ich weiß von einigen Banken, dass
sie bei PSD2 direkt das FinTS abgeklemmt haben,
weil sie es nicht implementiert hatten PSD2
konform. Aber weißt du, wie das bei den
anderen Banken aussieht? Also gibt es da
schon Ankündigungen von den großen
Rechenzentren Fiducia oder Sparkasse oder
wie wir alle heißen?
Henryk: Die haben sich größtenteils
zurückgehalten. Sie sagen da nur durch die
Blume, dass sie es zumindest nicht mehr
erweitern wollen. Sie haben ja jetzt das
andere. Ich glaube ING-Diba hatte da genau
dieses Problem. Sie haben ein bisschen
zurückgerudert. Wenn mich nicht alles
täuscht. Aber es gibt ja keinen
Grund mehr dafür.
Frage: Die haben zurückgerudert nach dam
sich 3000 Leute beschwert haben in einem
wütenden Mob Blogpost.
Henryk: Ja.
Herald: Bitte.
Frage: Gibts irgendwie so eine Art
Informationsblatt, was ich als Kunde der
Bank geben kann? Wenn ich der Meinung bin,
dass sie mir völligen Bullshit zu der PSD2
erzählt und irgendwelche neuen Änderungen
damit versucht zu begründen?
Henryk: Ja, das steht sogar in der
Richtlinie drin, das die europäische
Bankenaufsicht und die BaFin jeweils ein
Merkblatt für Kunden herausgeben, in denen
alle Änderungen und neuen Pflichten und
Rechte des Kunden dargelegt sind. Es
müsste auch der Webseite der BaFin zu
finden sein.
Frage: Ich meine eigentlich umgekehrt,
Richtung Bank.
Henryk: Ja, das ist das Merkblatt für dich
als Kunde, und du kannst der Bank
vorhalten und sagen: "Guck mal, was ihr
mir sagt, steht da nicht drauf."
Frage: Du meinst, es ist das nicht
sonderlich kompliziert, sich eine
juristische Person anzulegen. Könnte ich
dann mit einer juristischen Person mir ein
Geschäftskonto anlegen, damit ich dann
wieder APIs habe, die ich von einer App
aus verwenden kann? Ist das der neue Weg?
Henryk: Klar. Aber ja! Also du brauchst
halt eine
neue App. Es ist dann EBICS, aber ja...
Frage: Du hast aufgelistet, dass es ja
drei Authentifizierundsmerkmale gibt und
du hast sehr konsequent nur von TANs
gesprochen. Wenn ich die Richtlinie
korrekt interpretiere, ist Wissen und
Besitz. Also Pin und Chipkarte nach wie
vor eigentlich vollkommen valides
Authentifizierungsmittel.
Henryk: Korrekt. Also steht die
Formulierung, die Sie verwenden, ist, dass
diese aus den drei Faktoren muss ein
Authentifizierungscode abgeleitet werden.
Das kann auch eine Signatur oder was auch
immer sein. Ich habe aber keine
Implementierung davon gesehen, also
ausser halt innerhalb von Apps. Die DKB zum
Beispiel hat eine eigene App und wenn man
innerhalb der DKB App bleibt. Dann bleibt
also alles innerhalb der DKB App inklusive
mit iPhone, wie auch immer diese
Gesichtserkennung heißt, da braucht man
auch keine TAN mehr das stimmt. Aber wenn man
eine andere App benutzt, die nicht, die
ist, ist es irgendwie schwierig, der
Signatur abzutippen. Deswegen tippt man
meistens lieber TANs ab. Ich frag nur,
weil die Sparkasse mir erzählt hat, das
HBCI mit Chipkarte ja diese
Authentifizierungsbedingungen nicht
erfüllen würde.
Henryk: Das ist inkorrekt. HBCI mit
Chipkarte ist halt gerade Besitz, Besitz
und Wissen, sie können sich eventuell
darauf herausreden, dass irgendwie PIN mit
der Verifikation auf der Karte eventuell
nicht güle, aber eigentlich dann doch
schon.
Herald: Ok, und die Mitte mal wieder.
Zuhörer: Mal wieder nur eine kleine
Anmerkung. Du meint, dass das PayPal mit
2-Faktor nicht funktioniert. Aber in der
Tat habe ich PayPal mit 2-Faktor.
Henryk: Es gab vor fünf Jahren, glaub ich,
eine kurze Zeit, wo sie das angeboten
haben. Aber ich glaube, es wird nicht mehr
beworben.
Zuhörer: Ich konnte das in der App
anklicken, vor ungefähr einem halben Jahr.
Henryk: Oh, dann haben Sie was neues
eingebaut.Wollen Sie jetzt? Ist das schon?
Frage: Ich frag für einen Freund, der
entwickelt einen Webshop, und da müssen
Sie sich auch mit dem 3D Secure Kram
herumschlagen. Und der
Zahlungsdienstleister sagt: Es ist in
Ordnung, wenn man für das Hinterlegen der
Kreditkarte beim Zahlungsdienstleister
einmal dieses 3D Secure Verfahren macht.
Und danach kann man als Shop quasi
beliebig oft davon abbuchen, und der Kunde
muss dann nicht mehr nochmal irgendwelche
TANs eingeben. Ist das überhaupt korrekt
so, weil dann sehe ich den Sinn dahinter
nicht so ganz.
Henryk: Ja, für die erste Zahlung bei
wiederkehrenden Zahlungen ja. Aber es muss
trotzdem jede Zahlung autorisiert werden.
Bloß das für wiederkehrende Zahlungen
einfache Autorisierung reicht. Ich
bin mir da aber auch nicht ganz sicher.
Frage: Das muss dann aber nicht über
den Dienstleister gehen. Das reicht dann
einfach, wenn der Kunde im Onlineshop
einmal klickt: Ja, diese Kreditkarte,
oder?
Henryk: Genau, das kann mit Passwort, würde dann
reichen. Also nicht zwei Merkmale, sondern
nur eins.
Herald: Entweder habe ich unseren Signal-
Angel die ganze Zeit übersehen oder es
gibt gerade was Neues, bitte!
Signal-Engel: Kam gerade erst die Frage.
Wärest du mit PSD2 glücklicher, wenn sie
ein bisschen glücklicher, wenn es ein
bisschen Open Source wäre, die Zugang für
Open Source Programme offen wäre? Oder sagt
es allgemein eher mäh gelaufen?
Henryk: Na ja, es gibt relativ, es ist
relativ schwierig, diese Anforderungen
grundsätzlich umzusetzen bei Software, die
der Anwender selber runter kompiliert und
laufen lässt. Deswegen sehe ich nicht, wie
man das umsetzen könnte. Man müsste halt
auf die Anforderungen verzichten, das die
Endpunkte durch qualifiziertes Zertifikat
identifiziert werden. Und dann hat man nur
noch die Probleme. Die Benutzer haben mit
dem ganzen TAN-Scheiss. Zumindest Open-
Source Entwickler keine Probleme mehr und
der Userinterface Flow ist immer noch kaputt.
Frage: Ich wollte einfach nur
nochmal anmerken. Die meisten hier
Anwesenden werden wahrscheinlich zwei
Geräte besitzen. Aber gerade dieses ganze
2-Faktor wird ja ab ad absurdum geführt.
Wenn ich mein Online-Banking auf demselben
Gerät mache, wo auch der TAN Generator
ist, ist auch die App zu App trans-Integration die
manche Banken anbieten. Wird ja hier auf
dem Kongress vor paar Jahren auch schon
mal gezeigt, dass das sinnlos ist, weil es
irgendwo gehackt werden kann. Ist man da
irgendwie gesichert, wenn man das macht
als Kunde? Die meisten haben ja doch nur
ein Gerät zu Hause und halten sich nicht
dran, das man dann als Kunde eigentlich
der Gearschte diesbezüglich.
Henryk: Es steht drinnen, dass es zwei
getrennte Geräte sein sollten oder oft auf
dem Gerät. Das ist unter anderem einer der
Gründe für die Rootdetektion auf dem
Gerät, für eine Trennung der. Es gibt da
einen Absatz, der irgendwie. Man müsse die
Trennungssysteme des Betriebssystems
nutzen. Also ich vermute mal, das geht
eher in Richtung Samsung Knox und nicht
auf normales Android. Aber eigentlich
sollte normales Android ausreichen. Ich
bin mir nicht sicher. Ich glaube als dieser App-TAN
Hack war da. Oder waren es auch gerootete
Geräte oder erweiterte lokaler Zugriff.
Frage: Ich nutze so ein Open-Source-
Software, um so persönliche Finanzen zu
tracken und habe das auf meinem Server
installiert. Erste Frage, bin ich jetzt
schon Konntoinformationsdienstleister?
Der Entwickler hat gesagt, er möchte PSD2
einbauen. Und wenn ich das richtig
verstanden habe, dann geht das gar nicht.
Ich habe auch gelesen auf GitHub, er hat
sich irgendwo registriert, und ich habe
aber nicht ganz verstanden, ob das geht.
Kann er überhaupt das jetzt so einbauen,
dass ich das dann benutzen kann?
Henryk: Ja, die Registrierung war die
HBCI-Registrierung. Ob du dann schon für
dich selber? Ich bin mir nicht sicher, ich
glaube für dich selber. Ich bin mir nicht
sicher, ob da etwas von einem Dritten
drinsteht. Da müsste ich nachgucken. Kann
ich so nicht beantworten. Müsste man ...
Frage: Kann er denn PSD2 in seine
Software einbauen, dass es jemand benutzen
kann?
Henryk: Ne, keine PSD2 API. Es wird immer
über FinTs laufen, was du beschrieben
hast.
Frage: Ok. Und wenn die Bank FinTS
abschaltet, bin ich im Arsch.
Henryk: Ja, du kannst auf EBICS
wechseln. Herald lacht
Frage: Hast du eine Vermutung, wer
hinter dem Ganzen steht? Warum die das
gemacht haben? Weil ich meine
Sofortüberweisung alleine gegen die ganze
Bankenlobby. Banken mögen das
offensichtlich nicht. Irgendwer muss es
doch durchgedrückt haben.
Henryk: Ich weiß es tatsächlich nicht. Wir
haben kurz vorher uns unterhalten, dass es
da so ein Slogan gab: Digital first,
Bedenken second. Das könnte damit
zusammenhängen. Es klingt nach
Fortschritt. Es wird halt besser.
Frage: Ich wollte noch einmal
Fragen: Sind hier Organisationen oder
politische Akteure bekannt, die die
Benutzerinteressen in irgendeiner Form
bündeln und versuchen zu kanalisieren? Wir
versuchen da irgendwie ein bisschen Lobby
im Sinne der Nutzer und der User zu
machen an der Stelle. Verbraucherschutz welche?
Henryk: Es gibt ein Voice-Verband der IT
Anwendunger EV. Aber ich weiß nicht ob die
in dem Rahmen Aktivitäten haben. Mir wird
gerade gesagt, dass sie eine Selbst-Hilfe-
Gruppe sind. Aber es ist... Alle lachen
Du hast nur gefrat, das ist mir bekannt.
Antwort: ich kenne nur eine.
Herald: Bitte. Scheint auch letzte Frage zu sein.
Frage: Du erwähntest die
Registrierung für die Drittdienste. Ist es
nicht eigentlich auch eine Art Zulassung
bei der BaFin und da kam doch gerade vor
ein paar Wochen auch Standards raus, was
für Sicherheitsmaßnahmen da umzusetzten sind,
die auch möglicherweise geprüft werden .
Und auch diese Zulassung
entzogen werden kann.
Henryk: Genau. Deswegen seht auch da
"Registriert und Zugelassen", als
Formulierung. Weil es für
Kontoinformationsdienstleister ein
bisschen einfacher dann ist. Die Absätze 1
bis 6 außer Paragraphen 3 und dings gelten
nicht für Kontoinformationsdienstleister
oder so ähnlich. Aber für alle, die
weitergehend es machen, es ist mit
Zulassung und Bericht und vorige
Registrierung und so weiter drin,
inklusive Entzug.
Herald: Bist du glücklich? Du siehst nicht
glücklich aus.
Signal-Engel: Ich habe sogar noch 2 auf
Twitter. 1) Kann ich irgendwie verhindern,
dass mein Arbeitgeber meine Bankdaten an datev
weitergibt? Oder habe ich da keine Chance?
Henryk: Lustige Frage, ich glaube nicht.
Frage: 2) Kannst du einen Ausblick
geben? Siehst du Hoffnung, dass irgendwas
verbessert wird, oder müssen wir halt 20
Jahre warten, bis das nächste neue Gesetz
kommt?
Henryk: Da steht drin, dass die alle
X-Jahre evaluiert und aktualisiert werden
sollen. Ab 2021 ist das nächste Mal.
Vielleicht wird nachgebessert. Ich bin da
aber nicht so sehr hoffnungsvoll, weil
hier, wie gesagt, aus Sicht der zentralen
Behörden nicht so nicht Cloud Anwendungen,
eher Nischenprodukte. Etwas auf seinem
eigenen Rechner zu betreiben,
kommt aus der Mode.
Herald: Jetzt aber wirklich die letzte
Frage.
Fragender : Ich würde gerne an eine
vorherige Frage anknüpfen, nämlich ob es
Institutionen gibt, die sich dafür
einsetzen, dass das Ganze gebessert wird.
Ich arbeite jetzt für sofort, und wir sind
Sofortüberweisung. fröhliche Gelächter
Wir sind aktiv dabei, mit nahezu allen
Banken in Europa und auch den nationalen
Behörden zu diskutieren, dass es da
schnellstmöglich Änderungen gibt. Noch vor
einer neuen Direktive, also in möglichst
naher Zukunft. Es gibt Leute, die sich
dafür einsetzen.
Henryk: Sehr gut.
Herald: Es könnte also sein, dass du die
Frage beantworten kannst, die ich vorhin
gestellt habe. Ich komme gleich vor! Alle
Lachen
Herald: Henryk Plötz! Vielen Dank!
Applaus
36c3 Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!