Return to Video

36C3 - Was hat die PSD2 je für uns getan?

  • 0:00 - 0:19
    36c3 Vorspannmusik
  • 0:19 - 0:23
    Herald: Ich habe hier so ein Handy,
    vielleicht habt ihr auch ein Smartphone.
  • 0:23 - 0:30
    Und ich habe eine App drauf und die
    damit.. Ich habe so mehrere Konten bei
  • 0:30 - 0:34
    verschiedenen Banken, und ich habe so eine
    App. Da sind die ganzen Konten so drin.
  • 0:34 - 0:39
    Und wenn ich wissen will, wie viel Geld
    ich nicht hab, dann starte ich diese App
  • 0:39 - 0:44
    und gucke ich da so drauf, weil mein
    Telefon mich sonst nicht erkennt. Und dann
  • 0:44 - 0:46
    kann ich halt sehen, wie wieviel Geld ich
    auf den Konten habe und was ich für
  • 0:46 - 0:51
    Kontobewegungen hatte. Und dann,
    irgendwann dieses Jahr lacht , hab ich
  • 0:51 - 0:53
    da nicht mehr gesehen, wie viel Geld auf
    dem Konto hatte. Da kammen immer so Pop-
  • 0:53 - 1:01
    ups. Die haben gesagt: Ja, das
    funktioniert jetzt nicht, weil hab ich
  • 1:01 - 1:05
    nicht verstanden. Aber was da immer drin
    vorkam, das waren drei Buchstaben, eine
  • 1:05 - 1:10
    Zahl, und das hieß PSD2, und jedes Mal habe ich
    gedacht, jetzt muss ich wieder aus der App
  • 1:10 - 1:12
    raus und muss wieder irgendwas machen, was
    ich nicht verstehe. Und dann werden mir
  • 1:12 - 1:17
    SMSen geschickt, die ich irgendwo
    eintragen muss und dachte: Was zum Teufel
  • 1:17 - 1:25
    soll dieser Scheiß? Und das Schöne ist:
    Wir alle werden jetzt möglicherweise eine
  • 1:25 - 1:29
    Antwort auf die Frage bekommen, was dieser
    Scheiß soll. Und falls nicht, dann kann
  • 1:29 - 1:35
    man hinterher persönlich zur Rechenschaft
    ziehen. Sein Name ist Henryk Plötz. lacht
  • 1:35 - 1:44
    Applaus
  • 1:44 - 1:49
    Henryk Plötz: Ja, genau. Ich Ich versuche
    die Frage zu stellen, was hat die PSD2 je
  • 1:49 - 1:54
    für uns getan? Und Antworten darauf zu
    geben, in der Hoffnung, dass ich auch
  • 1:54 - 1:58
    herausfinden, was der Scheiss soll? Für
    diejenigen, die, es ist einer der ersten
  • 1:58 - 2:02
    Vorträge, die hineingestolpert sind, ohne
    zu wissen, worum es geht. Es geht um die
  • 2:02 - 2:08
    Richtlinie der EU 2015 2366 des
    Europäischen Parlaments und des Rates vom
  • 2:08 - 2:12
    25. November 2015 über Zahlungsdienste im
    Binnenmarkt zur Änderung der Richtlinie
  • 2:12 - 2:18
    und so weiter und so fort und fort. Das
    ist die Zahlungsdienst, der Richtlinie 2,
  • 2:18 - 2:23
    und da dranhängt noch eine Handvoll
    Delegierter Verordnungen, aber ganz massiv
  • 2:23 - 2:28
    die Delegierte Verordnung vom 27. November
    für die technischen Regulierung Standards
  • 2:28 - 2:32
    für eine starke Kunden Authentifizierung
    und für sichere offene Standards zur
  • 2:32 - 2:38
    Kommunikation. Das ist, was in der App die
    ganzen Pop-ups verursacht hat. Warum bin
  • 2:38 - 2:43
    ich hier? Und warum erzähle ich euch etwas
    zu diesem Thema? Ich bin Informatiker und
  • 2:43 - 2:47
    Sicherheitsforscher. Ich glaub, neudeutsch
    sagt man Hacker dazu. Hab einen meiner
  • 2:47 - 2:52
    ersten Vorträge auf dem Kongress vor zehn
    Jahren zu "Mifaire Classic" gehalten.
  • 2:52 - 2:57
    Seitdem einiges gemacht zu
    Zutrittskontrollsystemen, RFID, Die
  • 2:57 - 3:03
    Spezialgebiet sind halt solche Arten von
    Kommunikationsprotokollen. Ich bin auch
  • 3:03 - 3:06
    Open Source Entwickler. Also wenn irgendwo
    ein Kommunikationsprotokoll rumliegt, dann
  • 3:06 - 3:09
    implementiert ich das manchmal unter
    anderem HBCI. Dazu erzähle ich euch noch
  • 3:09 - 3:16
    ein bisschen was. Es gibt im Umfeld des
    CCC eine Vereinswaltung, die entstanden
  • 3:16 - 3:25
    ist, die heißt byro von Rixx. Da habe ich
    einige größere Dinge zu beigetragen, und
  • 3:25 - 3:29
    es gibt von Rami. Die beiden waren ja die
    Kasse und der Vorverkauf von Rami eine
  • 3:29 - 3:33
    Python Implementierung von FinTS, ich
    sage vielleicht noch, was das ist. Dazu
  • 3:33 - 3:36
    hab ich größere Dinge beigetragen. Und
    dann die Kombination dabei ist das im
  • 3:36 - 3:41
    PlugIn byro-fints. Also eine Perspektive,
    aus der ich das betrachtet, halt als Open
  • 3:41 - 3:46
    Source Entwickler. Ich bin auch Gründer
    und Geschäftsführer. Vor zwei Jahren habe
  • 3:46 - 3:50
    ich mit einem Freund zusammen eine eigene
    Firma gegründet "Digital Wolff und Plötz
  • 3:50 - 3:54
    GmbH und Co. Wir haben einen etwas
    schwammigen, schwammige Selbstverständnis,
  • 3:54 - 3:58
    eigentlich sehr präzise Selbstverständnis,
    das etwas schwieriger zu verstehen ist.
  • 3:58 - 4:04
    Dass die Digitalisierung in komplexen
    Umfeldern. Wir entwickeln. Wir machen halt
  • 4:04 - 4:07
    Beratung, aber entwickeln halt auch
    Software. Auf dieser Ebene gucke ich das
  • 4:07 - 4:11
    auch an bzw. andere Produkte. Für die
    evangelische Kirche bauen wir den
  • 4:11 - 4:15
    digitalen Klingelbeutel. Wir sind jetzt
    Zahlungsdienstleister. Zum Glück hat es
  • 4:15 - 4:19
    nichts damit zu tun. Ich bin. Ich freue
    mich sehr, dass alles, was wir tun, an der
  • 4:19 - 4:24
    PSD2 vorbeigeschrammt ist, außer halt als
    Privatkunde. Ich bin nämlich auch noch
  • 4:24 - 4:31
    neugieriger Nutzer. Wir haben gerade in
    der Einführung gehört, dass jemand
  • 4:31 - 4:33
    durchaus eine App von mehreren Konten
    haben könnte. Ich habe mal kurz
  • 4:33 - 4:37
    durchgezählt. Bei mir sind es neun
    verschiedene Konten, weil ich auch noch
  • 4:37 - 4:43
    mehrere Hüte auf habe, also sowohl
    Geschäftskunden, neun verschiedene Banken.
  • 4:43 - 4:48
    Konten sind es ein paar mehr. Als sowohl
    geschäftliche Konten als auch
  • 4:48 - 4:54
    Privatkonnten bzw. Familien Konto. Als
    auch ich bin in Vereinen, Vorstand,
  • 4:54 - 5:00
    Vereinskonten. Ich glaube sieben oder so.
    Davon benutze ich auch regelmäßig. Der
  • 5:00 - 5:04
    Rest war halt so kostenloses Girokonto. Mal
    ausprobieren, was die tun. Und dann sind
  • 5:04 - 5:08
    da halt 10 Euro drauf und man kann sehen,
    wie die auf diese Umstellung reagiert
  • 5:08 - 5:13
    haben. Das hilft dann auch wieder beim
    Entwickeln von Open-Source-Software. Wenn
  • 5:13 - 5:18
    man Testkonten hat und mal gucken kann,
    was die Banken so anstellen. Agenda also.
  • 5:18 - 5:23
    Wir haben gerade gehört, worum es gehen
    soll. Ich werde euch gleich den
  • 5:23 - 5:29
    wunderschönen vorher Zustand darstellen.
    Die Begründungen geben, die die
  • 5:29 - 5:33
    Europäische Kommission gegeben hat, warum
    diese Richtlinie veröffentlicht,
  • 5:33 - 5:39
    beschlossen werden sollte. Dann auf die
    Frage antworten, was uns PSD2 wirklich
  • 5:39 - 5:47
    gebracht hat. In der Form, die schön ist
    und dann in der Form. Was ist dann
  • 5:47 - 5:54
    tatsächlich herausgekommen? Ist mit einer
    kurzen, kurzen Eingehen auf die Zeitlinie
  • 5:54 - 6:02
    und dann zu den diversen Problemen,
    Ärgerungen, ja, Blutdruck kommen. Ich fand
  • 6:02 - 6:06
    das sehr schön. Als die zwei Minuten bevor
    der Vortrag losging, war hier im Info
  • 6:06 - 6:13
    Beamer, eine Werbefolie für BTX. Irgendwo
    hier stehen BTX Terminals, die man
  • 6:13 - 6:18
    ausprobieren kann. Es war ja nicht alles
    schlecht in 2018 oder auch in den 80ern.
  • 6:18 - 6:24
    Schon seit den 80ern gibt es Online-
    Banking für Privatkunden. In Deutschland
  • 6:24 - 6:29
    fing das halt so, in den frühen 80ern mit
    BTX. Ich glaube der CCC hat ein bisschen
  • 6:29 - 6:35
    Geschichte mit BTX, der Eine oder Andere
    wird sich erinnern. Es wurde 2007 leider
  • 6:35 - 6:40
    abgeschaltet, aber man hat bis dahin ganz
    gut funktioniert. Daraus entstanden mehr
  • 6:40 - 6:44
    oder weniger direkt ist das sogenannte
    HBCI-Buchstaben. Abkürzungen haben
  • 6:44 - 6:50
    vielleicht die meisten schon mal gehört:
    Homebanking Computer Interface. Das ist
  • 6:50 - 6:57
    ein Datenübertragungen,
    Kommunikationsprotokoll zum Austausch von
  • 6:57 - 7:07
    Bankdaten für Endanwender. Naja, komma
    separierte Werte auf Drogen. Das hat
  • 7:07 - 7:10
    Semikolons als Trennzeichen, aber manchmal
    sind dann auch noch Doppelpunkt
  • 7:10 - 7:15
    Trennzeichen und manchmal Pluszeichen
    Trennzeichen. Was das... Ich habe es
  • 7:15 - 7:18
    implementiert. Es ist tatsächlich parsbar,
    ich hätte es mir nicht gedacht. Es gibt durchaus
  • 7:18 - 7:22
    Protokolle, die nicht parsbar sind. Dies
    gehört nicht dazu. Aber es erscheint mir
  • 7:22 - 7:28
    wie ein Zufall. lachen Es ist sehr
    hierarchisch aufgebaut, die
  • 7:28 - 7:31
    Datenstrukturen sind hierarchisch, man
    kann Dinge in Dinge, in Dinge tun. Aber es
  • 7:31 - 7:36
    gibt nur drei Ebenen von Trennzeichen, und
    irgendwann sind dann die Trennzeichen
  • 7:36 - 7:42
    alle. Aber rein zufällig sind dann auch die
    Ebenen alle. Das ist übergegangen, es
  • 7:42 - 7:48
    wurde immer wieder erweitert und
    verbessert eingeführt 1998. Version 2.1
  • 7:48 - 7:52
    war, glaub ich, die erste brauchbare. Das
    hat sich immer, wurde immer weiter
  • 7:52 - 7:58
    verbessert, ist übergegangen. HBCI
    3.0 kennen die meisten, und dann wurde es
  • 7:58 - 8:02
    umbenannt in FinTS --- Financial
    Transaction Services. Es war ursprünglich
  • 8:02 - 8:08
    ein rein deutsches Ding. Es ist ein rein
    deutsches Ding. Mit FinTS haben Sie dann
  • 8:08 - 8:12
    versucht, das international einsetzbar zu
    machen, unter anderem, in dem Sie es in
  • 8:12 - 8:20
    XML gegossen haben. Und ja, das XML ist
    auch parsbar, aber doch eine der
  • 8:20 - 8:26
    unschönsten Implementierungen, wie man
    sich das vorstellen kann. Es gibt auch
  • 8:26 - 8:30
    niemand, der das einsetzt. Ne, ist nicht
    richtig. Es gibt tatsächlich eine zentrale
  • 8:30 - 8:34
    Liste, wo alle Banken drinstehen mit den
    FinTS bzw. HBCI-Versionen, die sie
  • 8:34 - 8:40
    unterstützen. Sind ja. In Deutschland
    erreicht man damit quasi jede Bank, manche
  • 8:40 - 8:45
    noch mit Version 2, ich glaub die Deutsche
    Bank. Die meisten unterstützen Version 3,
  • 8:45 - 8:50
    und ich glaube, es gibt exakt einen Eintrag,
    der FinTS Version 4 ankündigt. Wie gesagt,
  • 8:50 - 8:58
    benutzt niemand, 4. FinTS 3 total überall, weil
    es damit erst der breiteren Öffentlichkeit
  • 8:58 - 9:02
    zugänglich wurde. Früher HBCI war ein
    typisch deutsches Ding. Sehr schön, sehr
  • 9:02 - 9:06
    sicher. So, mit Smartcard in Computer
    stecken. Dazu muss man erst mal die
  • 9:06 - 9:13
    Smartcard besorgen, eine PIN dafür haben,
    einen separaten Berechtigungsvertrag bzw.
  • 9:13 - 9:19
    es gab auch ein Allternativverfahren, wo man
    Disketten durch die Gegend... Briefe durch die
  • 9:19 - 9:27
    Gegend geschickt hat, auf denen RSA-Keys
    abgedruckt waren. lachen Seit FinTS 3
  • 9:27 - 9:31
    gibt es auch als alternatives Verfahren
    PinTan. Das ist, was die meisten in
  • 9:31 - 9:35
    Deutschland als Online-Banking kennen. Man
    meldet sich mit seiner PIN an, hat dann
  • 9:35 - 9:39
    nur Lese Zugriff aufs Konto, und wenn man
    eine Transaktion durchführen möchte,
  • 9:39 - 9:43
    braucht man einen Transactions
    Autorisierung Nummer, eine TAN. Sehr
  • 9:43 - 9:50
    schön, sehr einfach. Leider demnächst tot.
    Die Franzosen haben so etwas ähnliches wie
  • 9:50 - 9:52
    BTX. Sie haben minitel. Das ist aber auch
    schon vor ein paar Jahren abgeschaltet worden.
  • 9:52 - 9:57
    Das ist so der Überblick für die anderen
    Länder. Ansonsten wars das im Wesentlichen
  • 9:57 - 10:02
    an schönen, strukturierten Verfahren. Seit
    den, seit der Mitte der 90 hier habe ich
  • 10:02 - 10:06
    einen Screenshot von Wells Fargo. Die
    waren eine der ersten, die man hingeguckt
  • 10:06 - 10:13
    rechts oben Online-Banking anbieten 1995.
    Man bemerke auch die Adresse. Das war vor
  • 10:13 - 10:23
    https, gab es einen Wildwuchs, das halt
    viele Banken irgendeine Form von Online-
  • 10:23 - 10:28
    Banking angeboten haben, aber halt immer
    durch das Web-Interface und immer mit
  • 10:28 - 10:34
    unterschiedlichen Formen von
    Berechtigungs-Methoden und -Mechanismen .
  • 10:34 - 10:39
    Für Firmenkunden, sieht das Ganze noch
    verwirrender bzw. besser aus. Das sind
  • 10:39 - 10:42
    halt alles nur die Privatkunden.
    Firmenkunden haben schon schon wesentlich
  • 10:42 - 10:45
    früher angefangen, weil ja auch mehr
    Transaktionen hatten, mit tatsächlich Disketten
  • 10:45 - 10:51
    durch die Gegend schicken, das
    Datenträgeraustauschverfahren. Später gab
  • 10:51 - 10:56
    es dann Nachfolger BCS und das aktuelle
    EBICS. Da werde ich dann gleich noch
  • 10:56 - 11:02
    drauf kommen, wenn ich die Situation bei
    meiner Firma beschreibe, weil das mit dem
  • 11:02 - 11:07
    FinTS ist jetzt leider schade war. Es
    ermöglichte damals interoperables
  • 11:07 - 11:12
    Multibanking. In FinTS selber sind
    sogenannte Geschäftsvorfälle definiert.
  • 11:12 - 11:16
    Man kann halt nicht alle Banken
    unterstützen alles. Aber man kann im
  • 11:16 - 11:23
    Wesentlichen abrufen, Kontoauszüge abrufen
    oder Transaktionsliste. Man kann
  • 11:23 - 11:26
    Überweisungen einkippen oder Lastschriften
    verursachen. Das ist das Wichtigste, was
  • 11:26 - 11:30
    man machen kann. Alle Banken haben noch
    irgendwas anderes. Aber das Schöne ist, das
  • 11:30 - 11:35
    funktioniert eigentlich überall. Und dann
    gibt es einfach auf meinem Handy eine App,
  • 11:35 - 11:39
    die das implementiert. Das Schöne daran
    war, dass das Protokoll einfach frei im
  • 11:39 - 11:45
    Internet verfügbar war. Ursprünglich kommt
    es von der ZKA der Zentrale Kreditausschuss.
  • 11:45 - 11:48
    Die haben sich irgendwann umbenannt und
    haben sich bei der Bahn ein Beispiel
  • 11:48 - 11:54
    genommen und heißen jetzt DEKA. Die
    Kreditwirtschaft einzelne Lachen oder
  • 11:54 - 11:59
    die deutsche Kreditwirtschaft je nachdem.
    Da kann man die Spezifikation runterladen.
  • 11:59 - 12:02
    Wie gesagt, das ist prinzipiell parsbar.
    Man kann es implementieren, ich habs
  • 12:02 - 12:09
    gemacht. Und dann braucht man nur noch
    Benutzername und Pin, wie man sie von der
  • 12:09 - 12:13
    Bank erhalten hat und die gleichen
    Zugangsdaten wie im Onlinebanking gelten.
  • 12:13 - 12:17
    Und man muss niemanden fragen, das finde
    ich das Wichtigste, sondern muss niemand
  • 12:17 - 12:19
    fragen, wofür man eine Implementierung
    schreibt. Man muss niemanden fragen, bevor
  • 12:19 - 12:24
    man die Implementierung benutzt. Ich habe
    das für Vereinsverwaltungsoftware
  • 12:24 - 12:30
    geschrieben, das die gesamten Finanzen des
    Vereins quasi vollautomatisiert
  • 12:30 - 12:35
    verarbeitet werden können, ohne dass
    irgendjemand im Webinterface die Dinge
  • 12:35 - 12:45
    herunterlädt und irgendwo eingibt oder gar
    abtippt. Das Schöne an diesem FinTS ist
  • 12:45 - 12:51
    eine der Eigenschaften von diesem FinTS
    ist, dass es zukunftskompatibel ist. Man
  • 12:51 - 12:54
    kann halt, es gibt diese einzelnen
    Datensätze, haben eine Versionsnummer, und
  • 12:54 - 12:59
    man kann dann jedes Mal eine neue Version
    einführen. Der alte Datensatz funktioniert
  • 12:59 - 13:03
    weiterhin für die Banken oder die Software
    nur das alte unterstützt. Man sieht daran
  • 13:03 - 13:06
    aber auch jedes Mal, wenn irgendwas in der
    Geschichte passiert ist, wenn es neue
  • 13:06 - 13:11
    Regulierungen gab, die darauf Auswirkungen
    hatten, dann kommt gibts halt eine neue
  • 13:11 - 13:15
    Version von z.Bsp. dem Datensatz zum
    Anmelden, das dann plötzlich ein neues
  • 13:15 - 13:19
    Feld drin ist für ein SMS Abbuchungskonto.
    Weil, ich weiß nicht genau wann das war,
  • 13:19 - 13:24
    2012 die EU beschlossen hat, dass der
    Kunde das Konto angeben muss, von dem die
  • 13:24 - 13:30
    SMS Gebühren berechnet werden, die für die
    AnmeldeTan benutzt werden. Später gab es
  • 13:30 - 13:35
    neue Veränderung, eine neue Versionen. Es
    ist an der Stelle schön, dass man so quasi
  • 13:35 - 13:39
    in Fossilienmäßig sehen kann, was in der
    Vergangenheit passiert ist, indem man sich
  • 13:39 - 13:46
    das Protokoll anguckt. Wie gesagt,
    Multibanking war die wichtigste
  • 13:46 - 13:50
    Funktionalität um seine Finanzsoftware auf
    deinem Computer oder deinem Telefon oder
  • 13:50 - 13:54
    auf deinem Server oder sonst wo zu haben
    und sie funktioniert mit allen Banken in
  • 13:54 - 14:03
    Deutschland. Was gab es noch für der
    andere wichtige Punkt für Endverbraucher
  • 14:03 - 14:07
    ist Onlineshopping. Ich möchte gerne
    bezahlen. Ich brauche irgendeine Zahlung.
  • 14:07 - 14:12
    Da gab es gibt es immer noch Dienste wie
    PayPal oder irgendwelche Wallit Dienste,
  • 14:12 - 14:19
    wo man auf eine beliebige Art vorher Geld
    auflädt, das Geld ausgeben kann, was aber
  • 14:19 - 14:23
    nichts mit dem eigentlichen Bankkonto zu
    tun hat. Was für den Verbraucher natürlich
  • 14:23 - 14:27
    wesentlich angenehmer ist, Konntobezogene
    Zahlungsdienste, irgendwas, was direkt mit
  • 14:27 - 14:30
    meinem Konto, das ich sowieso habe,
    verbunden ist. Am einfachsten für alle
  • 14:30 - 14:35
    Beteiligten ist die Vorkasse, kann man
    halt vorher überweisen und kriegt dann
  • 14:35 - 14:40
    seinen Gut oder auch nicht. Am einfachsten
    für den Verbraucher ist die Lastschrift,
  • 14:40 - 14:46
    verschickt halt der Versender das Gut und
    belastet nachher das Konto. Beides nicht
  • 14:46 - 14:52
    so ideal. Deswegen gab es immer wieder
    Versuche, andere Systeme einzuführen. Ich
  • 14:52 - 14:55
    glaube, die ersten waren die Niederländer
    mit einem System, das so einen
  • 14:55 - 15:01
    integrierten Prozess anbot. Der Händler
    kann das System ansprechen. Ihm sagen: Ich
  • 15:01 - 15:07
    hätte gerne von einem Benutzer so viel
    Euro. Oder 2005, ja? Ich hätte gerne so
  • 15:07 - 15:11
    und so viel Geld von diesen Benutzer. Der
    macht das dann auf der Webseite seiner
  • 15:11 - 15:17
    Bank mit den Zugangsdaten der Bank, gibt
    den Betrag frei. Der Händler kriegt sofort
  • 15:17 - 15:20
    die Bestätigung, dass der Betrag
    freigegeben wurde und kann sofort die Ware
  • 15:20 - 15:24
    losschicken. In Deutschland haben wir das
    auch. Das kennt natürlich wieder keiner,
  • 15:24 - 15:31
    weil die Sparkassen sitzen es ein. Und
    dann war's das fast. Das heißt Giropay,
  • 15:31 - 15:38
    und das ist, wie man Onlinezahlungen übers
    Konto eigentlich machen würde. Parallel um
  • 15:38 - 15:42
    2006 entstand ein Dienstleister, ich hatte
    vorhin einen anderen Namen, die
  • 15:42 - 15:46
    Sofortüberweisung. Das kennen Leute doch
    noch, und man wundert sich ein bisschen,
  • 15:46 - 15:52
    dass überhaupt entstehen konnte. Also, ich
    fand das Geschäftsmodell schon immer ein
  • 15:52 - 16:00
    bisschen komisch. Sofortüberweisung-in-
    the-Middle. Der Benutzer gibt seine
  • 16:00 - 16:04
    Zugangsdaten, die er von seiner Bank
    bekommen hat, auf der Webseite von
  • 16:04 - 16:10
    Sofortüberweisung ein. Sofortüberweisung
    loggt sich bei der Bank ein. Macht, was
  • 16:10 - 16:14
    auch immer, gibt dem Händler halt
    Bescheid, dass die Transaktion
  • 16:14 - 16:19
    durchgeführt worden ist und führt dem
    Benutzer dann zum Händler zurück. Sie
  • 16:19 - 16:24
    geben ihr Indianerehrenwort, dass sie
    nichts anderes tun, außer die Transaktion
  • 16:24 - 16:27
    freizuschalten und gegebenenfalls ein
    Konto nachzuschauen, ob du Gebounste,
  • 16:27 - 16:32
    Überweisung oder sonst was hast.
    Irgendeine Risikobewertung. Sie haben auch
  • 16:32 - 16:36
    TüV gibt TüV geprüften Datenschutz, der
    TüV Saarland steht dafür gerade. Und wenn
  • 16:36 - 16:39
    ich mich richtig erinnere, haben sie sogar
    dann doch noch etwas passiert, haben auch
  • 16:39 - 16:43
    noch eine Versicherung abgeschlossen.
    eizelne Gelächter Falls das
  • 16:43 - 16:54
    Indianerehrenwort nicht reicht. Damals,
    2012, verstieß das jetzt mal abgesehen vom
  • 16:54 - 16:58
    gesunden Menschenverstand auch gegen die
    Teilnahmebedingungen für das Pin/Tan-
  • 16:58 - 17:01
    Verfahren, die ihr bei eurer Bank
    unterschrieben habt. Ich habe hier das Mal
  • 17:01 - 17:04
    rausgesucht von der DKB. Der Teilnehmer
    ist verpflichtet, die technische
  • 17:04 - 17:10
    Verbindung zum Onlinebanking der Bank nur
    nur über die Internetseite der Bank oder
  • 17:10 - 17:17
    andere mitgeteilte Kommunikationswege
    herzustellen. Um kurz zu illustrieren,
  • 17:17 - 17:23
    habe ich eine Abbildung aus der Wikipedia
    herausgesucht. Eigentlich verstößt man
  • 17:23 - 17:27
    damit gegen die Bedingungen seiner Bank
    und im schlimmsten Fall die Bank übernimmt
  • 17:27 - 17:31
    erst einmal nicht, garantiert nicht, dass
    es funktioniert, übernimmt die Schäden
  • 17:31 - 17:35
    nicht. Es gab da dann so verschiedene
    Banken, die versucht haben, das auch
  • 17:35 - 17:39
    technisch zu unterbieten, zu verbieten.
    Ich habe da keine Bestätigung, aber ich
  • 17:39 - 17:44
    hörte die Geschichte, dass die Sparkasse
    wohl versucht hätte, die Zufgriffe, die
  • 17:44 - 17:47
    Sofortüberweisung auslöst, zu blockieren,
    indem sie die IP-Adresse sperren,
  • 17:47 - 17:52
    woraufhin dann drei Stunden später die
    Zugrffe von drei anderen IP-Adressen kamen.
  • 17:52 - 17:55
    Da gab es auch juristische
    Auseinandersetzungen, weil die Sparkasse
  • 17:55 - 17:59
    vorher, wie ich auf der vorherigen Folie
    gezeigt habe, ein eigenes System anbot,
  • 17:59 - 18:02
    das als Mitbewerber gesehen werden kann.
    Auch wenn es technisch halt richtig
  • 18:02 - 18:06
    rum ist, im Gegensatz zur
    Sofortüberweisung, die falsch rum ist.
  • 18:06 - 18:09
    Deswegen wurde Ihnen dann verboten zu
    versuchen, die Sofortüberweisung zu
  • 18:09 - 18:14
    torpedieren. Das zog auch so langsam ein.
    Ich habe deswegen die DKB von 2012
  • 18:14 - 18:19
    rausgesucht, weil ich mich erinnere. Mein
    Konto ist schon ein bisschen länger, dass
  • 18:19 - 18:23
    ich irgendwann AGB Änderungen mitgeteilt
    bekommen habe. Da haben Sie halt diesen
  • 18:23 - 18:27
    Absatz einfach gestrichen. Und statt
    dessen stand dort. "Sie dürfen die
  • 18:27 - 18:32
    Zugangsdaten nur auf der Webseite der DKB
    eingeben, oder einem anderen von uns
  • 18:32 - 18:36
    autorisierten Zahlungsdienstleister siehe
    Anhang." Der Anhang enthielt genau eine
  • 18:36 - 18:45
    Zeile "Sofortüberweisung.de", so nebenbei.
    Um herauszufinden, was die Bedingungen von
  • 18:45 - 18:53
    2012 waren, musste ich bei mir bei der DKB
    mal einloggen, um mein Postfach zu gucken,
  • 18:53 - 18:57
    wie wir gleich sehen werden, braucht man
    zum Einloggen neuerdings manchmal eine TAN.
  • 18:57 - 19:02
    Dazu gibts den TAN Generator, der ein
    Passwort will, das ich natürlich nicht
  • 19:02 - 19:07
    mehr wusste, aber gar kein Problem, es hat
    einen Rücksetzfluß. Man kann sich einfach
  • 19:07 - 19:09
    eine SMS schicken lassen und den TAN
    Generator zurücksetzen und dann
  • 19:09 - 19:20
    funktioniert es wieder. OK, glaube, das
    Passwort brauche ich mir nicht merken. So das
  • 19:20 - 19:34
    war der Zustand bis Anfang diesen Jahres,
    bis Mitte dieses Jahres. 2015 kam diese
  • 19:34 - 19:37
    Zahlungsrichtlinie heraus, und das ist die
    Begründung, warum die herausgebracht wird,
  • 19:37 - 19:44
    die dort stehen. Unter anderem seit der
    vorherigen Richtlinie 2007, die PSD, die
  • 19:44 - 19:49
    Zahlungsrichtlinie, nicht die
    Zahlungsrichtlinie 2, sind neue Arten von
  • 19:49 - 19:54
    Zahlungsdiensten entstanden. Vor allen
    Dingen Zahlungsauslösedienste. Ein anderes
  • 19:54 - 20:03
    Wort für Sofortüberweisung. Oder
    Kontoinformationsdienste. Diese Richtlinie
  • 20:03 - 20:07
    soll darauf abzielen, die Kontinuität im
    Markt sicherzustellen. Mit anderen Worten
  • 20:07 - 20:11
    Diese Richtlinie ist in keiner Form
    gedacht oder geeignet, irgendeinen der
  • 20:11 - 20:16
    bisherigen Player am Markt zu
    benachteiligen oder zu disruptieren.
  • 20:16 - 20:21
    Ich las irgendwann mal den schönen Satz
    Lex-Sofortüberweisung. Hier ist die
  • 20:21 - 20:26
    Gegenüberstellung von der
    Zahlungsdiensterichtlinie 2007 und
  • 20:26 - 20:32
    Zahlungsdiensterichtlinie 2 2015. Die
    haben relativ langes Zeugs und unglaublich
  • 20:32 - 20:35
    komplizierte Sätze an einigen Stellen. Man
    muss so 2 Minuten lang lesen, um
  • 20:35 - 20:39
    herauszufinden, dass das... A. Diese
    Richtlinie gilt nicht für Geldabheben im
  • 20:39 - 20:46
    Supermarkt. Der Satz, der das beschreibt
    ist vier Zeilen lang. Es gibt einen
  • 20:46 - 20:51
    Anhang, der steht, worauf sie sich
    bezieht. Die ersten Paar sind gleich
  • 20:51 - 20:54
    geblieben, und in
    Zahlungsdiensterichtlinie 2 sind
  • 20:54 - 21:00
    neuerdings Zahlungsauslösedienste und
    Kontoinformationsdienste hinzugekommen. Und
  • 21:00 - 21:09
    dann noch ein paar Regeln dazu. Was hat also
    diese PSD2 gebracht? Die neuen Kategorien des
  • 21:09 - 21:15
    Zahlungsauslösedienstleisters und des
    Konto-Informationsdienstleisters, neue
  • 21:15 - 21:20
    Sicherheitsmaßnahmen. Das ist der Teil,
    den die meisten mitgekriegt haben. Die
  • 21:20 - 21:26
    sogenannte starke Kundenauthentifizierung
    SCA, Strong Customer Authentification.
  • 21:26 - 21:30
    Damit zusammenhängend eine ganz
    merkwürdige 90-Tage-Regelung, die keiner
  • 21:30 - 21:35
    so richtig versteht und nur manchmal
    angewendet wird. Ich weiß nicht, ob das
  • 21:35 - 21:39
    haben die wenigsten mitgekriegt, ausser
    wenn Sie sich geärgert haben, dass Timeout
  • 21:39 - 21:43
    im Onlinebanking ist heruntergesetzt worden
    auf fünf Minuten. Wenn man nicht alle fünf
  • 21:43 - 21:46
    Minuten etwas anklickt, zum Beispiel, weil
    man gerade versucht TAN Generator heraus-
  • 21:46 - 21:53
    zusuchen, wird man ausgeloggt, und muss sich
    wieder einloggen und eine TAN eingeben. Es
  • 21:53 - 21:57
    gibt, das ist tatsächlich ganz positiv, neue
    Transparenzpflichten. Das ist so der Teil,
  • 21:57 - 22:02
    den die wenigsten mitkriegen, weil man das
    mal so abnickt. Da steht dann drin, dass
  • 22:02 - 22:06
    alle Dienstleister jetzt auch dieses Mal
    ordentlich und transparent darüber
  • 22:06 - 22:10
    Auskunft geben müssen, welche Kosten
    entstehen, welche Gebühren entstehen, die
  • 22:10 - 22:15
    Gebührenstruktur nachvollziehbar sein
    soll, dass man sie auf einem dauerhaften
  • 22:15 - 22:26
    Datenträger ausgehändigt bekommen muss. Es
    gibt in der PSD2 neue Meldepflichten, zum einen
  • 22:26 - 22:32
    an die Bundesbank bzw. die Bankenaufsicht.
    Zum anderen vor der Aufnahme des Betriebs
  • 22:32 - 22:37
    muss man sich registrieren lassen. Das
    finden glaube ich alle ganz gut. Wir hatten mal
  • 22:37 - 22:41
    ein Meeting bei der Bundesbank, die meinten,
    das fanden sie ganz toll, dass sie jetzt
  • 22:41 - 22:45
    diese Daten über den Finanzmarkt kriegen und
    die Finanzmarktstabilität besser
  • 22:45 - 22:50
    einschätzen können. Besser bewerten
    können, weil für einen Dienstleister nach
  • 22:50 - 22:54
    dieser Richtlinie jetzt sehr ausführlich
    vorgeschrieben ist, welche
  • 22:54 - 22:59
    Risikokategorien, welche Risikobewertung
    er machen muss und in welcher Form er
  • 22:59 - 23:02
    diese Daten dann nach oben melden muss
    auch was Betrugsversuche und erfolgreichen
  • 23:02 - 23:09
    Betrug angeht. Und es gibt neue
    Schnittstellen. Naja, mehr oder weniger.
  • 23:09 - 23:14
    In der Zahlungsdiensterichtlinie bzw. tech-
    nischen Durchführung ist von dedizierten
  • 23:14 - 23:20
    Schnittstellen für Zahlungsauslösedienste
    bzw. Kontoinformationsdienste die Rede, die
  • 23:20 - 23:25
    angeboten werden müssen. Neudeutsch sagt
    man dazu API. Das ist dann das, was unter
  • 23:25 - 23:32
    PSD2 API überall läuft. Es steht
    allerdings nicht drin, wie der aussehen
  • 23:32 - 23:41
    soll, nur was sie leisten können. Die
    neuen Kategorien. Wie gesagt,
  • 23:41 - 23:48
    Zahlungsauslösedienst ist jemand, der im
    Auftrag von jemandem eine Zahlung auslöst.
  • 23:48 - 23:53
    Also Sofortüberweisung.de oder theoretisch
    auch andere. Aber man muss bestimmte
  • 23:53 - 23:58
    Voraussetzungen erfüllen, um überhaupt in
    diese Kategorie fallen zu können. Das hält
  • 23:58 - 24:02
    unter anderem eine ganze Menge
    Eigenkapital und Zertifizierungen und so
  • 24:02 - 24:07
    weiter. Und Kontoinformationsdienste.
    Damit ist das, was wir früher unter
  • 24:07 - 24:13
    Multibanking gekannt haben. Ich bin mir
    nicht ganz sicher, welche wie die Leute
  • 24:13 - 24:16
    drauf waren, die das formuliert haben oder
    geschrieben haben. Aber sie hatten
  • 24:16 - 24:19
    offensichtlich kein Handy, auf dem sie
    eine App installiert haben, wo man alle
  • 24:19 - 24:22
    seine Konten hat, sondern sie haben es
    auf einer Webseite gemacht. Es ist also
  • 24:22 - 24:29
    neuerdings vorgesehen, dass ein online
    Anbieter, eine Webseite, ein Portal halt sich
  • 24:29 - 24:33
    auf alle meine Konten einloggt und mir
    dann auf der Webseite anzeigt, wie mein
  • 24:33 - 24:38
    Finanzstatus ist. Dazu muss sie natürlich
    sich überall einloggen können. Und dann
  • 24:38 - 24:43
    braucht man neue Richtlinien, Regulierung
    und den ganzen Kram. Ein kurzer Blick
  • 24:43 - 24:47
    zurück, wie man sich das dachte. Ich habe
    beim Recherchieren, ich fand es total
  • 24:47 - 24:53
    toll, ein Screenshot von Heise aus dem
    Newsticker vom Jahr 2000. Das stimmt
  • 24:53 - 24:59
    nicht. Das Datum ist falsch. Ich glaube,
    es war 2016. Ein Screenshot von 2016, wie
  • 24:59 - 25:05
    wir uns die schöne neue Zukunft mit PSD2
    vorstellen. Aktuell muss man durch ein
  • 25:05 - 25:12
    Bezahldienstleister gehen, der mit meiner
    Kreditkarte zur Bank geht. Neuerdings kann
  • 25:12 - 25:21
    der Online-Shop via PSD2-API direkt auf
    das Bankkonto zugreifen. Ja, ne. *einzelne
  • 25:21 - 25:28
    Kommentare* Ich nenne das die Lüge von der
    dritten Partei. Ein kurzer Blick, wie wir
  • 25:28 - 25:35
    das bei uns einer Firma hatten. Wir haben
    Abrechnungssoftware, Personalverwaltung,
  • 25:35 - 25:40
    Lohnbuchung, den ganzen Kram. Die hat dann
    einfach über FinTS mit meiner Bank
  • 25:40 - 25:42
    geredet. Ein Rechner, der bei mir in
    meiner Firma steht, der gehört mir, da ist
  • 25:42 - 25:46
    Software drauf installiert, die ich
    gekauft habe. Und da ist mal meine Bank,
  • 25:46 - 25:48
    und dazwischen ist halt ein
    Vertrauensverhältnis, weil das meine Bank
  • 25:48 - 25:52
    ist und ich gebe irgendwie meine
    Zugangsdaten meiner Bank. Und dann
  • 25:52 - 25:59
    funktioniert das hervorragend. Das ist zum
    14. September 2019 abgeschaltet worden.
  • 25:59 - 26:03
    Datev hat uns gesagt, Sie haben einen
    neuen Kooperationspartner, die FinApi
  • 26:03 - 26:08
    GmbH. Das heißt, neuerdings läuft das so,
    dass die Daten meiner Firma erstmal an das
  • 26:08 - 26:15
    Datav Rechenzentrum gehen, von dort an die
    FinAPI GmbH, die dann die API
  • 26:15 - 26:21
    implementiert, die meine Bank implementiert.
    Ich weiß nicht, ich kann es hier vorne ganz
  • 26:21 - 26:25
    gut sehen, aber das Logo der FinAPI GmbH, ist
    deswegen sehr schön weil da steht Schufa
  • 26:25 - 26:32
    Comany. FinApi hat sich aufkaufen lassen
    bzw. Mehrheitsbeteiligung der Schufa Holding
  • 26:32 - 26:38
    GmbH. einzelne Gelächter In der schönen
    neuen Welt gehen alle meine Daten jetzt
  • 26:38 - 26:43
    mal nicht abgesehen davon, dass sie durch
    Datev gehen, auch noch durch die Schufa,
  • 26:43 - 26:48
    die natürlich verpflichtet sind, damit
    nichts Böses zu tun. Allerdings habe ich
  • 26:48 - 26:51
    mit der Schufa irgendwie auch keinen
    Vertrag dazu abgeschlossen, sondern ich habe
  • 26:51 - 26:56
    meinen Vertrag mit jemandem anderen,
    deswegen nicht so schön. Überall wird
  • 26:56 - 27:00
    immer von Drittdienstleistern gesprochen,
    das heißt immer die dritte Partei
  • 27:00 - 27:05
    implementiert halt PSD2 API. Das ist ja
    falsch! Sind ja immer vier Parteien
  • 27:05 - 27:13
    beteiligt. Es ist ja immer ich, ich kann
    mal, ich darf nicht mich vorbeugen ich
  • 27:13 - 27:18
    nehme mal diesen Laserpointer hier, es ist
    ja immer ich daran beteiligt es ist ja
  • 27:18 - 27:21
    immer meine Bank daran beteiligt sind wir
    schon bei zweien. Dann gibt es irgendwas
  • 27:21 - 27:25
    was ich in Wirklichkeit machen möchte.
    Also meinetwegen Zahlungen, das wäre dann
  • 27:25 - 27:29
    meinetwegen Zahlungen. Das wäre hier so
    irgend eine Partei. Aber de facto muss es immer
  • 27:29 - 27:32
    immer eine vierte Partei geben, einen
    neuen Gatekeeper, der dann die API
  • 27:32 - 27:36
    tatsächlich implementiert. Ich sag gleich
    warum. Aber im Wesentlichen läuft es
  • 27:36 - 27:41
    darauf hinaus, dass die hier einen
    bevorzugten Zugang zu allen Banken
  • 27:41 - 27:45
    erhalten, der nicht so einfach auf einer
    der anderen drei Ebenen, zum anderen
  • 27:45 - 27:49
    beiden Ebenen zu implementieren ist. Es
    gibt aber eigentlich immer eine vierte
  • 27:49 - 27:53
    Partei. Es gibt quasi keinen Anwendungs-
    fall, der mir einfällt, wo es nur drei
  • 27:53 - 27:56
    Parteien sind, außer vielleicht
    der Kontoinformationendienstleister, der
  • 27:56 - 28:02
    selber ein Webportal betreibt, auf dem ich
    meinen Kontostand einsehen kann. Der
  • 28:02 - 28:08
    einzige Fall, der einem einfällt, wo es
    nur drei sind. Die PSD2 API schreibt, wie
  • 28:08 - 28:15
    gesagt, einen offenen Zugriff vor. Naja, offen
    ist halt so gemeint wie ein Bürokrat das
  • 28:15 - 28:21
    als offen versteht. Es ist kein
    Vertragsverhältnis erforderlich zwischen
  • 28:21 - 28:25
    den Banken und den Leuten, die darauf
    zugreifen, das ist schon mal ganz gut. Die
  • 28:25 - 28:29
    Banken sind verpflichtet, ein API
    anzubieten, aber es steht halt nur, dass
  • 28:29 - 28:32
    es verfügbar sein muss und was es leisten
    können muss und dass es genauso gut sein
  • 28:32 - 28:38
    muss wie der Zugriff, den die Bank dem
    Kunden direkt anbietet. Und die gleichen
  • 28:38 - 28:41
    Servicelevel Agreements erfüllen muss, die
    gleiche Verfügbarkeit haben muss. Es steht
  • 28:41 - 28:45
    nicht drin, wie es tatsächlich
    ausgestaltet ist. Es steht nicht drin,
  • 28:45 - 28:50
    welche Spezifikation dies erfüllen soll.
    Das führt dazu, dass nicht jede Bank
  • 28:50 - 28:55
    entwickelt ihr eigenes API. Die haben gar
    keine Lust darauf. Die kaufen schon noch
  • 28:55 - 29:02
    APIs von externen Dienstleistern diese
    Funktionalität ein. Aber dennoch gibt es
  • 29:02 - 29:06
    eine größere Handvoll an verschiedenen
    APIs, die von verschiedenen Banken
  • 29:06 - 29:12
    eingesetzt werden. Die, wenn ich also,
    wenn ich eine Funktionalität
  • 29:12 - 29:15
    implementieren möchte, die auf
    Zahlungskonten zugreift, muss ich sie
  • 29:15 - 29:19
    eigentlich alle implementieren. Oder ich
    nehme mir einen zusätzlichen Dienstleister
  • 29:19 - 29:25
    wie die FinApi dazu, der dann für mich
    alle implementiert. Es gibt ein quasi-
  • 29:25 - 29:30
    Standard. Die Berlin Group hat sich
    zusammengesetzt, um eine PSD2 API zu
  • 29:30 - 29:34
    spezifizieren, die jeder implementieren
    kann, wo dann alle Seiten nur einmal das
  • 29:34 - 29:37
    machen müssen. Die Webseite ist ein
    bisschen schlimm, ist relativ schwierig,
  • 29:37 - 29:43
    den Standard herunterzuladen. Aber das ist
    mittlerweile der quasi-Standard. Es gibt
  • 29:43 - 29:49
    noch keinen echten Standard. Voraussetzung
    dafür ist, um die PSD2 API nutzen zu
  • 29:49 - 29:56
    können, dass ich ein lizensierte bzw.
    registrierter Dienstleister bin. Gute
  • 29:56 - 30:00
    Nachricht, ich hab nicht notwendigerweise
    Eigenkapitalanforderungen. Also, ich als
  • 30:00 - 30:03
    Privatperson kann es leider nicht machen,
    aber zumindest meine juristische Person
  • 30:03 - 30:05
    kann ich schnell gründen ohne
    Eigenkapital. Wenn ich eine
  • 30:05 - 30:08
    Berufshaftpflichtversicherung abschließen.
    Das gilt auch nur für
  • 30:08 - 30:15
    Kontoinformationsdienstleister. Sobald ich
    Zahlungsauslösedienst sein möchte, muss
  • 30:15 - 30:26
    ich 50.000 Euro Eigenkapital Anfangskapital
    hinlegen. Die meisten Dienstleistungen
  • 30:26 - 30:28
    oder die meisten Funktionen, die ich mir
    vorstellen könnte, machen mit nur
  • 30:28 - 30:33
    Kontoinformation nicht so viel Sinn. Wenn
    ich an meinem Beispiel des Vereins denke,
  • 30:33 - 30:36
    wenn ich die Vereinsverwaltung mache,
    möchte ich halt sowohl Zahlungseingänge
  • 30:36 - 30:41
    verbuchen können als auch mindestens
    Lastschriften auslösen können. Und da bin
  • 30:41 - 30:46
    ich schon Zahlungsauslösedienst, und der
    Zug ist abgefahren in meinem Verein hat
  • 30:46 - 30:52
    keine 50.000 Euro. Plus Zugang ist offen.
    Solange ich ein qualifiziertes
  • 30:52 - 30:57
    elektronisches Zertifikat habe, das mich
    als registrierter Zahlungsauslösedienst
  • 30:57 - 31:04
    ausweist. In der gesamten Spec kommt das
    Konzept. Dies ist kein Cloud-Dienst. Dies
  • 31:04 - 31:08
    ist eine Software, die ich herunterladen
    und ausführen kann, einfach nicht vor.
  • 31:08 - 31:12
    PSD2 API ist komplett nutzlos für Leute,
    die Software auf ihrem eigenen Rechner
  • 31:12 - 31:19
    ausführen wollen. Was kann sie denn noch?
    Neu dazugekommen ist schon Customer
  • 31:19 - 31:26
    Authentification, das ist das mit dem
    Blutdruck. Neuerdings kann manchmal Ich
  • 31:26 - 31:31
    komme gleich drauf, Strong Customer
    Authentication gefordert werden, und
  • 31:31 - 31:37
    das bedeutet, dass mindestens zwei der
    Elemente Wissen, Besitz und Inhärenz
  • 31:37 - 31:45
    benutzt werden müssen. Inhärenz ist das
    fancy Wort für Biometrie. Müssen benutzt
  • 31:45 - 31:48
    werden und müssen voneinander unabhängig
    sein. Dann steht da also Kram drin. Unter
  • 31:48 - 31:51
    anderem steht da auch drin, dass nach fünf
    Fehlversuchen der Zugang gesperrt werden
  • 31:51 - 31:58
    muss. Die Abmeldungen nach fünf Minuten
    Inaktivität kommt auch darin vor.
  • 31:58 - 32:02
    Verpflichtend ist eine dynamische
    Verknüpfung der Customer Authentication
  • 32:02 - 32:07
    mit dem jeweiligen Vorgang. Das heißt,
    iTAN Listen sind halt absolut verboten. Es
  • 32:07 - 32:12
    muss in jedem Fall der Code auf irgend
    eine Art mit dem Betrag den ich überweisen
  • 32:12 - 32:18
    möchte verbunden sein. Hier steht auch die
    Formulierung, dass dafür gesorgt werden
  • 32:18 - 32:23
    muss, dass Mechanismen vorhanden sind, die
    sicherstellen, dass die Software oder das
  • 32:23 - 32:30
    Gerät nicht vom Zahler oder einem Dritten
    verändert wurden. Es war dann das wo ich
  • 32:30 - 32:33
    meinen Blutdruck gekriegt habe, weil ich
    mein Android-Telefon natürlich gerootet
  • 32:33 - 32:36
    habe, unter anderem um Backups machen zu
    können und mir die App dann
  • 32:36 - 32:41
    freundlicherweise sagt "Ja ne, ist nicht,
    ist ja gerootet". Und dann überlegt man
  • 32:41 - 32:45
    sich nochmal, was gerootet bedeutet, na ja
    bedeutet, dass das Telefon unter anderem
  • 32:45 - 32:48
    in der Lage wäre, über seinen Zustand zu
    lügen. Die App möchte nicht funktionieren
  • 32:48 - 32:51
    auf einem Telefon, das in der Lage wäre,
    über seinen Zustand zu lügen, es sei denn
  • 32:51 - 32:55
    natürlich, das Telefon lügt über seinen
    Zustand so gut, dass die App dann doch
  • 32:55 - 32:59
    wieder funktioniert. Das war dann für mich
    die Motivation doch mal magisk
  • 32:59 - 33:05
    auszuprobieren, dass ein hinreichend
    erfolgreiche Rootdetectionsverhinderung
  • 33:05 - 33:11
    hat, wobei es dann wieder zu so einer
    Waffen Spirale kommt, das mit zunehmenden
  • 33:11 - 33:15
    App Updates die Detection besser wird was
    dazu führt, dass die Leute die die
  • 33:15 - 33:21
    Detection verhindern, wieder besser werden
    und ich dann am Ende doch ein zweites
  • 33:21 - 33:26
    Gerät habe lächelt, auf dem ich die Tan
    Apps ausführe, die sich zurzeit nicht
  • 33:26 - 33:33
    austricksen lassen und am Ende halt für
    vollkommenen Unfug. Wird noch besser. Das
  • 33:33 - 33:38
    Feature nennt sich "Surprise SCA". Bisher
    war die Sache einfach. Ich habe mich mit
  • 33:38 - 33:41
    der PIN angemeldet, dann hab ich einen
    read-only Zugang gekriegt. Wenn ich
  • 33:41 - 33:45
    irgendwas read-write-mäßiges machen
    wollte, musste ich eine TAN eingeben, die
  • 33:45 - 33:50
    auf diesen Vorgang bezogen war. Jetzt
    brauche ich die TAN für wesentlich mehr.
  • 33:50 - 33:54
    Und zwar brauche ich die TAN teilweise zum
    Anmelden, also die genaue Formulierung
  • 33:54 - 33:58
    die genaue Formulierung ist zum Zugriff
    auf Kontodaten oder sensible Kontodaten,
  • 33:58 - 34:01
    damit ist halt in der Regel Anmelden in
    der App beziehungsweise im Web-Interface
  • 34:01 - 34:07
    gemeint, ausser manchmal. Es gibt vier
    oder fünf Seiten in der technischen
  • 34:07 - 34:13
    Richtlinie, die Ausnahmen beschreiben.
    Also zum einen darf ich die SCA weg lassen
  • 34:13 - 34:19
    wenn ich nur Zahlungskontoinformationen
    bis 90 Tage alt abrufe, außer beim ersten
  • 34:19 - 34:24
    Mal oder wenn das letzte Mal mehr als 90
    Tage her ist. Da kommen die 90 Tage her,
  • 34:24 - 34:27
    du musst die TAN alle 90 Tage eingeben,
    weil dann die Ausnahme garantiert nicht
  • 34:27 - 34:34
    mehr gilt. Bei kontaktlos Zahlungen sind
    es 50 Euro. Die ohne PIN bzw. Strong
  • 34:34 - 34:39
    Customer Authentification, weil den Besitz
    habe ich ja durch die Karte immer
  • 34:39 - 34:44
    gewährleistet, die ohne zusätzliche PIN
    möglich sind. Ausser es sind schon 150€
  • 34:44 - 34:48
    vergangen seit dem letzten Mal.
    Parkgebühren sind grundsätzlich ohne SCA,
  • 34:48 - 34:54
    das ist sehr angenehm. Vertrauenswürdige
    Empfänger sind ohne SCA, ausser natürlich
  • 34:54 - 34:59
    der Vorgang, vertrauenswürdige Empfänger
    zu definieren. Wiederkehrende
  • 34:59 - 35:04
    Zahlungsvorgänge ab dem zweiten Mal kann
    ich auch ohne machen. Überweisungen auf
  • 35:04 - 35:10
    ein anderes Konto derselben Person können,
    ohne sein. Kleinstbetragszahlung bis 30€
  • 35:10 - 35:15
    können ohne sein, außer manchmal.
    Unternehmen fallen eher ganz raus das war
  • 35:15 - 35:21
    dann unsere Lösung gegen das FinTS FinAPI
    Fiasko. Es gibt einfach EBICS, da ist dann
  • 35:21 - 35:24
    quasi nichts drin. Es ist dann so, man
    wirft die Zahlung dahin und wenn die halt
  • 35:24 - 35:28
    von der Firma kommen, dann werden die halt
    so stimmen. Da braucht niemand mehr
  • 35:28 - 35:33
    irgendwo eine TAN eingeben und
    Transaktions Risikoanalysen, die
  • 35:33 - 35:37
    modifizieren den ganzen Kram wieder. Also
    die können dann sowohl bei bisherigen
  • 35:37 - 35:42
    Ausnahmen die SCA wieder erfordern als
    auch, man kann halt sagen, na gut, die
  • 35:42 - 35:46
    Zahlung hat ein so geringes Risiko, dass
    ich dann doch wieder keiner SCA brauche.
  • 35:46 - 35:51
    Außer natürlich die laufende Berechnung
    der Betrugsraten, die ich verpflichtet bin
  • 35:51 - 35:54
    durchzuführen. Ergibt, das eine höhere
    Betrugsrate eingesetzt hat, da muss ich
  • 35:54 - 36:01
    wieder dauernd SCA machen.
    Schlussfolgerung: In Summe ist es von
  • 36:01 - 36:06
    außen nicht vorhersehbar, wann eine TAN
    verwendet werden muss. Das macht beim User
  • 36:06 - 36:10
    Interface Design. Ich weiß nicht, wie viele sich
    mal damit beschäftigt haben. Natürlich
  • 36:10 - 36:14
    besonders viel Spaß. Also, ich hab das in
    Byro, das ist eine Web-App. Ein bisschen
  • 36:14 - 36:17
    schwierig, wenn man irgendwie auf SUBMIT
    drückt und dann passiert halt nicht das,
  • 36:17 - 36:22
    sondern da kommt erst mal: Übrigens musst
    noch eine TAN eingeben. Das ist für den
  • 36:22 - 36:27
    User natürlich total verwirrend, weil der
    sich auf nichts mehr verlassen kann. Er
  • 36:27 - 36:31
    kann halt nicht mehr vorhersehen, was
    passiert, wenn er ein Knopf drückt. Das
  • 36:31 - 36:39
    ist für automatisierte Dienste, die FinTS
    benutzen wollen, total unmöglich, weil ich
  • 36:39 - 36:42
    selbst von den Vorgängen, von denen ich
    bisher ausgegangen bin, dass sie zum
  • 36:42 - 36:46
    Beispiel read-only sind und keine TAN
    brauchen. Wenn ich also zum Beispiel die
  • 36:46 - 36:50
    Kontoeingänge bei meinem Verein laufend
    verbuchen möchte und einen Cronjob starte,
  • 36:50 - 36:55
    der alle x-Tage mal abruft, kann es
    passieren, dass dann trotzdem wieder Mal
  • 36:55 - 36:59
    eine TAN nötig ist. Ich kann halt auch
    nicht den Zugriff unterdrücken. Ich weiß
  • 36:59 - 37:02
    es halt nicht vorher. Es kann halt
    irgendeinen ein Sonderfall eingetreten
  • 37:02 - 37:05
    sein. Und wenn man dann so einen
    Pushdienst verwendet, ist es
  • 37:05 - 37:08
    halt toll, weil derjenige, dem der Zugang
    gehört, dann plötzlich eine Push-
  • 37:08 - 37:11
    Nachrichten kriegt. Und es ist nicht ganz
    zu unterscheiden, ob das jetzt derselbe
  • 37:11 - 37:18
    aufgesetzte, automatisierte Vorgang war
    oder ob es irgendein anderer Bösewicht.
  • 37:18 - 37:22
    Die verschiedenen Banken handhaben das
    auch sehr unterschiedlich. Bei der DKB zum
  • 37:22 - 37:26
    Beispiel muss man jedes Mal eine TAN
    eingeben, wenn man sich irgendwo einloggt.
  • 37:26 - 37:31
    Bei der Sparkasse nicht. Die Sparkasse
    macht Gebrauch von den 90 Tagen Ausnahmen.
  • 37:31 - 37:34
    Dafür muss man bei der Sparkasse die TAN
    eingeben, wenn man einen Suchvorgang
  • 37:34 - 37:39
    startet, der mehr als 90 Tage
    beinhaltet. Die DKB hat gesagt, dass es
  • 37:39 - 37:43
    Ihnen zu umständlich. Deswegen fragen Sie
    immer nach der TAN. Außer man hat halt,
  • 37:43 - 37:47
    dann sind danach alle Transaktionen ohne
    TAN. Ausser natürlich es sind wieder fünf
  • 37:47 - 37:56
    Minuten vergangen. *Stimmen im Publikum"
    Euch fällt auf, das passiert eigentlich
  • 37:56 - 38:00
    nur bei solchen EU-Richtlinien oder
    solchen EU-Regulierung. Ich weiß nicht,
  • 38:00 - 38:04
    wer ein PayPal-Konto hat, PayPal hat seit
    immer kein 2-Faktor-System. Die machen
  • 38:04 - 38:09
    einfach irgendwas: Keine Ahnung die machen
    auch Transaktionsrisiko und Zeugs. Die
  • 38:09 - 38:12
    wissen halt, dass so eine TAN eigentlich
    nur dazu führt, dass der Nutzer den
  • 38:12 - 38:16
    Prozess im Zweifelsfall einfach abbricht,
    was halt bei Zahlungen doof ist, weil dann
  • 38:16 - 38:22
    die Einnahmen entgehen. Das ist einer der
    Gründe, warum PayPal das nicht hat und
  • 38:22 - 38:25
    Leute immer wieder sagen "Ihr seid doch so
    unsicher" und am Ende naja eigentlich
  • 38:25 - 38:31
    nicht offensichtlich, weil sie sind ja
    noch am Markt. Der Effekt Multi-Banking
  • 38:31 - 38:34
    haben wir gehört. Ich habe eine App, wo
    ich alle meine Dinge drin hat. Führte
  • 38:34 - 38:42
    dazu, dass ich Multifaktor habe. Hier den
    Dilo Delwitz Witz einfügen. Das sind die
  • 38:42 - 38:46
    TAN-Generierungsapps im Wesentlichen, die
    ich auf meinem Telefon habe. Ich habe
  • 38:46 - 38:51
    neulich mal in meiner, ich glaube kurz
    nach dem 14. September in meiner
  • 38:51 - 38:55
    Online-Banking-App versehentlich auf alle
    Konten aktualisieren gedrückt, was dazu
  • 38:55 - 39:02
    führte, dass ich acht, neun verschiedene
    TANs eingeben musste, eine davon zweimal
  • 39:02 - 39:07
    auf vier verschiedenen Modalitäten. Also
    ich habe ja auch noch TAN-Generatoren mit
  • 39:07 - 39:11
    ChipTAN, was ja eigentlich das bessere
    Verfahren ist. Da muss man halt
  • 39:11 - 39:14
    raussuchen. Aber ist ja nicht so schlimm,
    weil macht man ja nur, wenn man eine
  • 39:14 - 39:22
    Überweisung durchführt. Und die DKB hat
    Ihr Kreditkartenkonto von FInTS jetzt abgehängt,
  • 39:22 - 39:26
    das heißt, die Software, die ich verwende,
    macht dann Webcalling, was die alte
  • 39:26 - 39:31
    Methode war, um Finanzdaten abzurufen.
    Wozu dann nochmal ein separater TAN-
  • 39:31 - 39:36
    Eingabe nötig ist, um sich im Webinterface
    anzumelden. Ich habe seitdem nicht nochmal
  • 39:36 - 39:40
    auf alles Abrufen gedrückt. Ich sollte das
    mal irgendwann wieder tun. Ich muss mich
  • 39:40 - 39:46
    bloß vorbereiten. Stimmen im Publikum
    Genau. Zeitlinie, also die Richtlinie vom
  • 39:46 - 39:50
    25. November. Sie ist technisch gesehen im
    Januar 2016 in Kraft getreten. Das
  • 39:50 - 39:54
    bedeutet, da gibt es eine 2-Jahresfrist,
    die ist 2018 in nationales Recht umgesetzt
  • 39:54 - 40:00
    worden. Das Zahlungsdiensteumsetzungs -
    gesetz in Deutschland. Da steht bloß Copy
  • 40:00 - 40:05
    und Paste von der Richtlinie drin. In der
    Richtlinie ist eine Verordnung delegiert
  • 40:05 - 40:09
    worden, was die technische Umsetzung
    angeht von 2017. Und jetzt kommen wir
  • 40:09 - 40:14
    Warum ist es eigentlich alles am 14.
    November? 14. September explodiert? Weil
  • 40:14 - 40:27
    die Frist am 14. September wird diese
    delegierte Verordnung gültig. Sechs Monate
  • 40:27 - 40:31
    vorher hätten die Banken eine Testumgebung
    zur Verfügung stellen müssen, damit
  • 40:31 - 40:36
    Softwareentwickler, die nicht der Größte
    am Markt sind, das mal testen können. Es
  • 40:36 - 40:42
    gibt eine Fallbacklösung, falls man sich
    außerstande sieht, eine PSD2 API
  • 40:42 - 40:46
    anzubieten oder da irgendwas nicht ist,
    oder ein Notfall eintritt, wobei Notfall
  • 40:46 - 40:53
    glaube ich definiert ist als fünf Vorgänge
    haben mehr als 30 Sekunden Latenz, dürfen
  • 40:53 - 40:56
    Zahlungsdienstleister also die
    Kontoinformationsdienste oder die
  • 40:56 - 41:00
    Zahlungsauslösedienste ein Fallback
    benutzen, nämlich das Interface, was der
  • 41:00 - 41:07
    normale Kunde benutzt. Da sind wir wieder
    beim Webcalling. Wenn die Banken das
  • 41:07 - 41:13
    nicht möchten, müssen sie mindestens drei
    Monate am Stück die normale PSD2-API zur
  • 41:13 - 41:18
    Verfügung stellen. Das heißt, Sie hätten
    im Juni die PSD2-API produktiv laufen
  • 41:18 - 41:24
    müssen haben müssen, um von der
    Ausnahmeregelung ausgenommen zu werden.
  • 41:24 - 41:29
    Ich glaube, das hat keiner. Am 14.
    September ist dann alles explodiert. Dann
  • 41:29 - 41:37
    wurde die Durchführungsverordnung gültig.
    Die Delegierteverordnung gültig, was dazu
  • 41:37 - 41:39
    führte, dass noch nicht sofort alles
    explodiert ist. Erstmal sind nur
  • 41:39 - 41:42
    Transaktionen und Onlineanmeldung, weil
    manche Banken haben tatsächlich davon
  • 41:42 - 41:46
    Gebrauch gemacht, dass da irgendwo 90 Tage
    steht. Und wenn man sich halt am 13.
  • 41:46 - 41:51
    September angemeldet hat, dann war man ja
    angemeldet. Ja, das war dann am 13.
  • 41:51 - 41:53
    Dezember vorbei. Das heißt spätestens seit
    dem 13. Dezember hat jeder der
  • 41:53 - 41:59
    Online-Banking benutzt Spaß. Gibt kleinere
    Problemchen. Die Anmeldefluß für
  • 41:59 - 42:04
    2-Faktor-Apps sind oft kompliziert, der
    Support etwas überlastet. Bei der Postbank
  • 42:04 - 42:08
    habe ich das Problem, dass ich neu etwas
    unterschreiben musste, weil ich als
  • 42:08 - 42:12
    Vereinskonto, das war das doofe, es ist
    ein Gemeinschaftskonto, war ja früher
  • 42:12 - 42:15
    nicht so schlimm. Man teilt halt einfach
    die Pin, und nur einer kriegt die
  • 42:15 - 42:18
    Chipkarte für die TAN-Generierung.
    Neuerdings müssen halt alle
  • 42:18 - 42:22
    Gemeinschaftskonten extra Personenaccounts
    für jeden, der Lesezugriff haben soll
  • 42:22 - 42:27
    haben. Bei der Postbank lief es darauf
    hinaus, dass ich unterschreiben musste und
  • 42:27 - 42:30
    die meine E-Mail nicht angenommen haben.
    Der Mailserver hat gemeint "Aufgrund der
  • 42:30 - 42:39
    hohen Betrugsraten können Sie zurzeit keine
    Mail annehmen." Gelächter Moment,
  • 42:39 - 42:42
    nachdem ich den Support gefragt habe, ich
    habe tatsächlich telefonisch was erreicht,
  • 42:42 - 42:47
    meinte er, faxen sie es uns. Das habe ich
    vorgeschlagen Faxen. Das habe ich gemacht.
  • 42:47 - 42:50
    Das hat auch nur vier Wochen gedauert. Es
    hat funktioniert. Andere Leute haben
  • 42:50 - 42:53
    andere Probleme, irgendwie. Geräte,
    Wechsel, Verlust ist ein bisschen
  • 42:53 - 42:56
    schwierig. Ich habe mit jemandem geredet.
    Ich habe gesagt, ihr habt ja im vorigen
  • 42:56 - 43:00
    Screenshot gesehen, welches Handy verliere
    oder auch nur tauschen möchte, muss ich
  • 43:00 - 43:05
    halt acht verschiedene Apps neu
    einrichten, teilweise in acht Schritten.
  • 43:05 - 43:09
    Ich habe gerade jemandem geholfen, bei der
    Apobank seine TAN-App einzurichten, weil es
  • 43:09 - 43:14
    halt dreimal nicht geklappt hat. Der Knopf
    Brief generieren mit dem Bestätigungscode
  • 43:14 - 43:18
    der hat immer funktioniert. Da kam ein neuer
    Brief. Aber es war nicht zu sehen, wo man
  • 43:18 - 43:22
    den Bestätigungscode eingibt, bis man auf
    der Webseite war und das vierseitige PDF
  • 43:22 - 43:29
    mit den acht einfachen Schritten gefunden
    hat. Gelächter Der schärfste Trick: Für
  • 43:29 - 43:32
    Kreditkarten gilt das eigentlich auch
    mit der starken
  • 43:32 - 43:35
    Kundenauthentifizierung. Bloß das hat noch
    keiner umgesetzt. Das muss noch im Webshop
  • 43:35 - 43:40
    implementiert werden. Deswegen hat die EBA
    jetzt gesagt: Na gut, ihr habt noch mal
  • 43:40 - 43:48
    ein bisschen Zeit bis 2020. Und was ich
    vorhin sagte: Die APIs waren und oder sind
  • 43:48 - 43:51
    nicht funktional. Die Leute haben einfach
    zu wenig Zeit gehabt zum Testen. Kurzer
  • 43:51 - 43:58
    Seitenhieb. 3D Secure. Es gab da schon mal
    ein Vortrag über einen Vortrag halten.
  • 43:58 - 44:02
    Aber es gibt auf jeden Fall ein sehr
    schönes Paper dazu "Verified bei Visa and
  • 44:02 - 44:10
    Mastercard Secure-Code or how not to
    design authentication" von Murdoch und
  • 44:10 - 44:14
    Anderson. Three D secure steht für Three
    -Domain-, acquirere, Issuer and
  • 44:14 - 44:20
    Interoperability sind die Domains der Herausgeber
    Akzeptanz und die dazwischen Leute. Der
  • 44:20 - 44:26
    Kunde fehlt in der Liste, die hier
    geschützt werden. Es ist dafür da, dem
  • 44:26 - 44:29
    Kunden neue AGB aufzudrücken und die
    Schuld zu verschieben, weil offensichtlich
  • 44:29 - 44:36
    der Kunde schuld ist. Ist ja, jetzt sicher.
    Bei einer meiner Banken, ist eine am VR-Banken-Netz
  • 44:36 - 44:42
    angeschlossene bei der Fiducia muss man sich
    registrieren, da kriegt man so ein
  • 44:42 - 44:45
    Brief? Gehen Sie mal wieder auf diese
    Webseite und füllen Sie dort die
  • 44:45 - 44:50
    Registrierung aus. So online
    sichereinkaufen.de oder so ähnlich.
  • 44:50 - 44:54
    Sicheronlineeinkaufen.de? Sicher
    einkaufen. Ich bin mir sicher es war sicher
  • 44:54 - 45:02
    online einkaufen. Ich weiß es, weil diese
    Seite existiert, die anderen nicht. Diese
  • 45:02 - 45:12
    Seite existiert. applaus Und hat ein
    gültiges Sicherheitszertifikat von
  • 45:12 - 45:19
    LetsEncrypt. Gelächter Und dann war
    wieder da die Sache mit dem Blutdruck, die
  • 45:19 - 45:23
    hat dann wieder gemeint na ja, Sie können
    sich jetzt hier registrieren und die Push-TAN-
  • 45:23 - 45:28
    App aktivieren. Das geht auf Ihrem Telefon
    nicht, weil es gerootet ist. Das Telefon
  • 45:28 - 45:33
    ist unsicher. Gar kein Problem. Sie können
    auch den Alternativprozess verwenden. Wir
  • 45:33 - 45:43
    schicken ihn einfach eine SMS an dieses
    Telefon. fröhliches Lachen Ok. Muss ich
  • 45:43 - 45:49
    jetzt nicht verstehen. Dieses Formular,
    wie gesagt, das ist aktuell online hat
  • 45:49 - 45:52
    immer noch die gleichen Probleme, die
    Murdoch und Anderson von damals genannt
  • 45:52 - 46:01
    haben. Wenn man runter scrollt, findet man
    diesen Signup System. Das ist ein IFrame,
  • 46:01 - 46:04
    das von irgendeiner anderen Domain kommt.
    Die hat sogar ein Extended-Validation-
  • 46:04 - 46:10
    Zertifikat, nur dass es halt niemand
    sieht, weil ist halt ein iFrame. Was ist noch so
  • 46:10 - 46:14
    passiert? Wie gesagt, Gemeinschaftskonten
    benötigen jetzt einen Login pro Person.
  • 46:14 - 46:19
    Ich glaube hier. Die CCV-Veranstaltungs
    GmbH hat auch schon Spaß damit gehabt. Die
  • 46:19 - 46:22
    Banken gehen langsam dazu über
    FinTS abzuschalten oder loszuwerden, weil sie
  • 46:22 - 46:28
    haben ja jetzt die PSD2 API. Die regulierten
    Dienstleister dürfen nicht mehr über FinTS
  • 46:28 - 46:35
    zugreifen außer halt im Fallbackmodus,
    außer manchmal. Surprise SCA, wie gesagt,
  • 46:35 - 46:41
    ist Userinterface wird halt nur noch
    merkwürdiger. User sind frustriert und
  • 46:41 - 46:45
    kriegen Hals. Was gar nicht so schlecht
    ist. Es gibt jetzt ein
  • 46:45 - 46:48
    Registrierungspflicht für Anwendungen, die
    auch für FinTS gilt. Also auch meine
  • 46:48 - 46:56
    Anwendung byro, FinTs ist registriert. Und
    es ist im Sinne der Transparenz sieht man
  • 46:56 - 47:00
    im Online-Banking, welche App verwendet
    wurden. Das ist erst mal nicht schlecht.
  • 47:00 - 47:03
    Kann man nichts gegen haben, zumal die
    Registrierung auch als Open Source
  • 47:03 - 47:10
    Entwickler möglich ist. Ist ja nicht immer
    so. Aber fast jede Transaktion kann
  • 47:10 - 47:15
    manchmal eine TAN anfordern. Wie gesagt,
    ich hab das auch gerade gesehen. Wir
  • 47:15 - 47:19
    kommen zum Schluss. Transparenz und
    Aufsicht sind verbessert worden.
  • 47:19 - 47:23
    Verbraucher sind zunehmend genervt.
    Perfekte Grundlage für Wirsching? Ich weiß
  • 47:23 - 47:25
    nicht, wie viele von euch so eine Mail
    gekriegt haben. PSD2 tritt jetzt in Kraft.
  • 47:25 - 47:28
    Bitte geben Sie jetzt hier nochmal Ihre
    Kontonummer ein. Sie müssen sich jetzt neu
  • 47:28 - 47:34
    anmelden, weil neue sichere Umstellung des
    Sicherheitsverfahrens. Gewerbliche Nutzer,
  • 47:34 - 47:38
    wie gesagt, müssen komplett ausweichen,
    weil das macht gar keinen Sinn. Dafür gibt
  • 47:38 - 47:41
    es jetzt neue Geschäftsfelder für
    Startups, die entsprechende
  • 47:41 - 47:49
    Anfangsinvestitionen haben. Open Source
    kannste halt vergessen in Zukunft. Danke.
  • 47:49 - 48:01
    Applaus
  • 48:01 - 48:04
    Herald: Wir haben Zwölf Minuten Zeit für
    Fragen und Antworten. Drei Mikrofone im
  • 48:04 - 48:08
    Saal verteilt. Falls ihr Fragen habt,
    stellt euch hin. Ich versuche, euch
  • 48:08 - 48:15
    halbwegs fair aufzurufen. Eine Frage
    hätte ich. Was soll der Scheiß? Lachen
  • 48:15 - 48:19
    Henryk: Hast du nicht gehört?
    Sofortüberweisung ist jetzt legal. *Herald
  • 48:19 - 48:27
    lacht.*
    Frage: Okay, du hast gesagt, dass FinTS
  • 48:27 - 48:31
    jetzt langsam ausgeschlichen wird von den
    Banken. Ich weiß von einigen Banken, dass
  • 48:31 - 48:36
    sie bei PSD2 direkt das FinTS abgeklemmt haben,
    weil sie es nicht implementiert hatten PSD2
  • 48:36 - 48:40
    konform. Aber weißt du, wie das bei den
    anderen Banken aussieht? Also gibt es da
  • 48:40 - 48:45
    schon Ankündigungen von den großen
    Rechenzentren Fiducia oder Sparkasse oder
  • 48:45 - 48:48
    wie wir alle heißen?
    Henryk: Die haben sich größtenteils
  • 48:48 - 48:52
    zurückgehalten. Sie sagen da nur durch die
    Blume, dass sie es zumindest nicht mehr
  • 48:52 - 48:56
    erweitern wollen. Sie haben ja jetzt das
    andere. Ich glaube ING-Diba hatte da genau
  • 48:56 - 48:59
    dieses Problem. Sie haben ein bisschen
    zurückgerudert. Wenn mich nicht alles
  • 48:59 - 49:04
    täuscht. Aber es gibt ja keinen
    Grund mehr dafür.
  • 49:04 - 49:07
    Frage: Die haben zurückgerudert nach dam
    sich 3000 Leute beschwert haben in einem
  • 49:07 - 49:12
    wütenden Mob Blogpost.
    Henryk: Ja.
  • 49:12 - 49:16
    Herald: Bitte.
    Frage: Gibts irgendwie so eine Art
  • 49:16 - 49:21
    Informationsblatt, was ich als Kunde der
    Bank geben kann? Wenn ich der Meinung bin,
  • 49:21 - 49:26
    dass sie mir völligen Bullshit zu der PSD2
    erzählt und irgendwelche neuen Änderungen
  • 49:26 - 49:30
    damit versucht zu begründen?
    Henryk: Ja, das steht sogar in der
  • 49:30 - 49:34
    Richtlinie drin, das die europäische
    Bankenaufsicht und die BaFin jeweils ein
  • 49:34 - 49:38
    Merkblatt für Kunden herausgeben, in denen
    alle Änderungen und neuen Pflichten und
  • 49:38 - 49:41
    Rechte des Kunden dargelegt sind. Es
    müsste auch der Webseite der BaFin zu
  • 49:41 - 49:43
    finden sein.
    Frage: Ich meine eigentlich umgekehrt,
  • 49:43 - 49:46
    Richtung Bank.
    Henryk: Ja, das ist das Merkblatt für dich
  • 49:46 - 49:50
    als Kunde, und du kannst der Bank
    vorhalten und sagen: "Guck mal, was ihr
  • 49:50 - 49:57
    mir sagt, steht da nicht drauf."
    Frage: Du meinst, es ist das nicht
  • 49:57 - 50:01
    sonderlich kompliziert, sich eine
    juristische Person anzulegen. Könnte ich
  • 50:01 - 50:04
    dann mit einer juristischen Person mir ein
    Geschäftskonto anlegen, damit ich dann
  • 50:04 - 50:10
    wieder APIs habe, die ich von einer App
    aus verwenden kann? Ist das der neue Weg?
  • 50:10 - 50:13
    Henryk: Klar. Aber ja! Also du brauchst
    halt eine
  • 50:13 - 50:25
    neue App. Es ist dann EBICS, aber ja...
    Frage: Du hast aufgelistet, dass es ja
  • 50:25 - 50:31
    drei Authentifizierundsmerkmale gibt und
    du hast sehr konsequent nur von TANs
  • 50:31 - 50:39
    gesprochen. Wenn ich die Richtlinie
    korrekt interpretiere, ist Wissen und
  • 50:39 - 50:45
    Besitz. Also Pin und Chipkarte nach wie
    vor eigentlich vollkommen valides
  • 50:45 - 50:48
    Authentifizierungsmittel.
    Henryk: Korrekt. Also steht die
  • 50:48 - 50:52
    Formulierung, die Sie verwenden, ist, dass
    diese aus den drei Faktoren muss ein
  • 50:52 - 50:57
    Authentifizierungscode abgeleitet werden.
    Das kann auch eine Signatur oder was auch
  • 50:57 - 51:02
    immer sein. Ich habe aber keine
    Implementierung davon gesehen, also
  • 51:02 - 51:06
    ausser halt innerhalb von Apps. Die DKB zum
    Beispiel hat eine eigene App und wenn man
  • 51:06 - 51:10
    innerhalb der DKB App bleibt. Dann bleibt
    also alles innerhalb der DKB App inklusive
  • 51:10 - 51:15
    mit iPhone, wie auch immer diese
    Gesichtserkennung heißt, da braucht man
  • 51:15 - 51:20
    auch keine TAN mehr das stimmt. Aber wenn man
    eine andere App benutzt, die nicht, die
  • 51:20 - 51:24
    ist, ist es irgendwie schwierig, der
    Signatur abzutippen. Deswegen tippt man
  • 51:24 - 51:29
    meistens lieber TANs ab. Ich frag nur,
    weil die Sparkasse mir erzählt hat, das
  • 51:29 - 51:35
    HBCI mit Chipkarte ja diese
    Authentifizierungsbedingungen nicht
  • 51:35 - 51:37
    erfüllen würde.
    Henryk: Das ist inkorrekt. HBCI mit
  • 51:37 - 51:43
    Chipkarte ist halt gerade Besitz, Besitz
    und Wissen, sie können sich eventuell
  • 51:43 - 51:47
    darauf herausreden, dass irgendwie PIN mit
    der Verifikation auf der Karte eventuell
  • 51:47 - 51:51
    nicht güle, aber eigentlich dann doch
    schon.
  • 51:51 - 51:54
    Herald: Ok, und die Mitte mal wieder.
    Zuhörer: Mal wieder nur eine kleine
  • 51:54 - 51:59
    Anmerkung. Du meint, dass das PayPal mit
    2-Faktor nicht funktioniert. Aber in der
  • 51:59 - 52:03
    Tat habe ich PayPal mit 2-Faktor.
    Henryk: Es gab vor fünf Jahren, glaub ich,
  • 52:03 - 52:06
    eine kurze Zeit, wo sie das angeboten
    haben. Aber ich glaube, es wird nicht mehr
  • 52:06 - 52:08
    beworben.
    Zuhörer: Ich konnte das in der App
  • 52:08 - 52:12
    anklicken, vor ungefähr einem halben Jahr.
    Henryk: Oh, dann haben Sie was neues
  • 52:12 - 52:24
    eingebaut.Wollen Sie jetzt? Ist das schon?
    Frage: Ich frag für einen Freund, der
  • 52:24 - 52:28
    entwickelt einen Webshop, und da müssen
    Sie sich auch mit dem 3D Secure Kram
  • 52:28 - 52:33
    herumschlagen. Und der
    Zahlungsdienstleister sagt: Es ist in
  • 52:33 - 52:38
    Ordnung, wenn man für das Hinterlegen der
    Kreditkarte beim Zahlungsdienstleister
  • 52:38 - 52:43
    einmal dieses 3D Secure Verfahren macht.
    Und danach kann man als Shop quasi
  • 52:43 - 52:46
    beliebig oft davon abbuchen, und der Kunde
    muss dann nicht mehr nochmal irgendwelche
  • 52:46 - 52:49
    TANs eingeben. Ist das überhaupt korrekt
    so, weil dann sehe ich den Sinn dahinter
  • 52:49 - 52:54
    nicht so ganz.
    Henryk: Ja, für die erste Zahlung bei
  • 52:54 - 52:58
    wiederkehrenden Zahlungen ja. Aber es muss
    trotzdem jede Zahlung autorisiert werden.
  • 52:58 - 53:02
    Bloß das für wiederkehrende Zahlungen
    einfache Autorisierung reicht. Ich
  • 53:02 - 53:05
    bin mir da aber auch nicht ganz sicher.
    Frage: Das muss dann aber nicht über
  • 53:05 - 53:09
    den Dienstleister gehen. Das reicht dann
    einfach, wenn der Kunde im Onlineshop
  • 53:09 - 53:11
    einmal klickt: Ja, diese Kreditkarte,
    oder?
  • 53:11 - 53:15
    Henryk: Genau, das kann mit Passwort, würde dann
    reichen. Also nicht zwei Merkmale, sondern
  • 53:15 - 53:18
    nur eins.
    Herald: Entweder habe ich unseren Signal-
  • 53:18 - 53:24
    Angel die ganze Zeit übersehen oder es
    gibt gerade was Neues, bitte!
  • 53:24 - 53:28
    Signal-Engel: Kam gerade erst die Frage.
    Wärest du mit PSD2 glücklicher, wenn sie
  • 53:28 - 53:32
    ein bisschen glücklicher, wenn es ein
    bisschen Open Source wäre, die Zugang für
  • 53:32 - 53:37
    Open Source Programme offen wäre? Oder sagt
    es allgemein eher mäh gelaufen?
  • 53:37 - 53:41
    Henryk: Na ja, es gibt relativ, es ist
    relativ schwierig, diese Anforderungen
  • 53:41 - 53:44
    grundsätzlich umzusetzen bei Software, die
    der Anwender selber runter kompiliert und
  • 53:44 - 53:53
    laufen lässt. Deswegen sehe ich nicht, wie
    man das umsetzen könnte. Man müsste halt
  • 53:53 - 53:58
    auf die Anforderungen verzichten, das die
    Endpunkte durch qualifiziertes Zertifikat
  • 53:58 - 54:03
    identifiziert werden. Und dann hat man nur
    noch die Probleme. Die Benutzer haben mit
  • 54:03 - 54:08
    dem ganzen TAN-Scheiss. Zumindest Open-
    Source Entwickler keine Probleme mehr und
  • 54:08 - 54:14
    der Userinterface Flow ist immer noch kaputt.
    Frage: Ich wollte einfach nur
  • 54:14 - 54:18
    nochmal anmerken. Die meisten hier
    Anwesenden werden wahrscheinlich zwei
  • 54:18 - 54:25
    Geräte besitzen. Aber gerade dieses ganze
    2-Faktor wird ja ab ad absurdum geführt.
  • 54:25 - 54:29
    Wenn ich mein Online-Banking auf demselben
    Gerät mache, wo auch der TAN Generator
  • 54:29 - 54:37
    ist, ist auch die App zu App trans-Integration die
    manche Banken anbieten. Wird ja hier auf
  • 54:37 - 54:41
    dem Kongress vor paar Jahren auch schon
    mal gezeigt, dass das sinnlos ist, weil es
  • 54:41 - 54:46
    irgendwo gehackt werden kann. Ist man da
    irgendwie gesichert, wenn man das macht
  • 54:46 - 54:51
    als Kunde? Die meisten haben ja doch nur
    ein Gerät zu Hause und halten sich nicht
  • 54:51 - 54:54
    dran, das man dann als Kunde eigentlich
    der Gearschte diesbezüglich.
  • 54:54 - 54:59
    Henryk: Es steht drinnen, dass es zwei
    getrennte Geräte sein sollten oder oft auf
  • 54:59 - 55:02
    dem Gerät. Das ist unter anderem einer der
    Gründe für die Rootdetektion auf dem
  • 55:02 - 55:09
    Gerät, für eine Trennung der. Es gibt da
    einen Absatz, der irgendwie. Man müsse die
  • 55:09 - 55:13
    Trennungssysteme des Betriebssystems
    nutzen. Also ich vermute mal, das geht
  • 55:13 - 55:16
    eher in Richtung Samsung Knox und nicht
    auf normales Android. Aber eigentlich
  • 55:16 - 55:19
    sollte normales Android ausreichen. Ich
    bin mir nicht sicher. Ich glaube als dieser App-TAN
  • 55:19 - 55:26
    Hack war da. Oder waren es auch gerootete
    Geräte oder erweiterte lokaler Zugriff.
  • 55:26 - 55:30
    Frage: Ich nutze so ein Open-Source-
    Software, um so persönliche Finanzen zu
  • 55:30 - 55:33
    tracken und habe das auf meinem Server
    installiert. Erste Frage, bin ich jetzt
  • 55:33 - 55:40
    schon Konntoinformationsdienstleister?
    Der Entwickler hat gesagt, er möchte PSD2
  • 55:40 - 55:44
    einbauen. Und wenn ich das richtig
    verstanden habe, dann geht das gar nicht.
  • 55:44 - 55:49
    Ich habe auch gelesen auf GitHub, er hat
    sich irgendwo registriert, und ich habe
  • 55:49 - 55:55
    aber nicht ganz verstanden, ob das geht.
    Kann er überhaupt das jetzt so einbauen,
  • 55:55 - 55:59
    dass ich das dann benutzen kann?
    Henryk: Ja, die Registrierung war die
  • 55:59 - 56:04
    HBCI-Registrierung. Ob du dann schon für
    dich selber? Ich bin mir nicht sicher, ich
  • 56:04 - 56:08
    glaube für dich selber. Ich bin mir nicht
    sicher, ob da etwas von einem Dritten
  • 56:08 - 56:13
    drinsteht. Da müsste ich nachgucken. Kann
    ich so nicht beantworten. Müsste man ...
  • 56:13 - 56:17
    Frage: Kann er denn PSD2 in seine
    Software einbauen, dass es jemand benutzen
  • 56:17 - 56:19
    kann?
    Henryk: Ne, keine PSD2 API. Es wird immer
  • 56:19 - 56:21
    über FinTs laufen, was du beschrieben
    hast.
  • 56:21 - 56:24
    Frage: Ok. Und wenn die Bank FinTS
    abschaltet, bin ich im Arsch.
  • 56:24 - 56:30
    Henryk: Ja, du kannst auf EBICS
    wechseln. Herald lacht
  • 56:30 - 56:33
    Frage: Hast du eine Vermutung, wer
    hinter dem Ganzen steht? Warum die das
  • 56:33 - 56:38
    gemacht haben? Weil ich meine
    Sofortüberweisung alleine gegen die ganze
  • 56:38 - 56:41
    Bankenlobby. Banken mögen das
    offensichtlich nicht. Irgendwer muss es
  • 56:41 - 56:47
    doch durchgedrückt haben.
    Henryk: Ich weiß es tatsächlich nicht. Wir
  • 56:47 - 56:51
    haben kurz vorher uns unterhalten, dass es
    da so ein Slogan gab: Digital first,
  • 56:51 - 56:56
    Bedenken second. Das könnte damit
    zusammenhängen. Es klingt nach
  • 56:56 - 57:03
    Fortschritt. Es wird halt besser.
    Frage: Ich wollte noch einmal
  • 57:03 - 57:08
    Fragen: Sind hier Organisationen oder
    politische Akteure bekannt, die die
  • 57:08 - 57:14
    Benutzerinteressen in irgendeiner Form
    bündeln und versuchen zu kanalisieren? Wir
  • 57:14 - 57:17
    versuchen da irgendwie ein bisschen Lobby
    im Sinne der Nutzer und der User zu
  • 57:17 - 57:23
    machen an der Stelle. Verbraucherschutz welche?
    Henryk: Es gibt ein Voice-Verband der IT
  • 57:23 - 57:29
    Anwendunger EV. Aber ich weiß nicht ob die
    in dem Rahmen Aktivitäten haben. Mir wird
  • 57:29 - 57:32
    gerade gesagt, dass sie eine Selbst-Hilfe-
    Gruppe sind. Aber es ist... Alle lachen
  • 57:32 - 57:37
    Du hast nur gefrat, das ist mir bekannt.
    Antwort: ich kenne nur eine.
  • 57:37 - 57:42
    Herald: Bitte. Scheint auch letzte Frage zu sein.
    Frage: Du erwähntest die
  • 57:42 - 57:48
    Registrierung für die Drittdienste. Ist es
    nicht eigentlich auch eine Art Zulassung
  • 57:48 - 57:54
    bei der BaFin und da kam doch gerade vor
    ein paar Wochen auch Standards raus, was
  • 57:54 - 57:57
    für Sicherheitsmaßnahmen da umzusetzten sind,
    die auch möglicherweise geprüft werden .
  • 57:57 - 58:02
    Und auch diese Zulassung
    entzogen werden kann.
  • 58:02 - 58:05
    Henryk: Genau. Deswegen seht auch da
    "Registriert und Zugelassen", als
  • 58:05 - 58:08
    Formulierung. Weil es für
    Kontoinformationsdienstleister ein
  • 58:08 - 58:15
    bisschen einfacher dann ist. Die Absätze 1
    bis 6 außer Paragraphen 3 und dings gelten
  • 58:15 - 58:18
    nicht für Kontoinformationsdienstleister
    oder so ähnlich. Aber für alle, die
  • 58:18 - 58:22
    weitergehend es machen, es ist mit
    Zulassung und Bericht und vorige
  • 58:22 - 58:28
    Registrierung und so weiter drin,
    inklusive Entzug.
  • 58:28 - 58:34
    Herald: Bist du glücklich? Du siehst nicht
    glücklich aus.
  • 58:34 - 58:38
    Signal-Engel: Ich habe sogar noch 2 auf
    Twitter. 1) Kann ich irgendwie verhindern,
  • 58:38 - 58:46
    dass mein Arbeitgeber meine Bankdaten an datev
    weitergibt? Oder habe ich da keine Chance?
  • 58:46 - 58:51
    Henryk: Lustige Frage, ich glaube nicht.
    Frage: 2) Kannst du einen Ausblick
  • 58:51 - 58:55
    geben? Siehst du Hoffnung, dass irgendwas
    verbessert wird, oder müssen wir halt 20
  • 58:55 - 58:58
    Jahre warten, bis das nächste neue Gesetz
    kommt?
  • 58:58 - 59:03
    Henryk: Da steht drin, dass die alle
    X-Jahre evaluiert und aktualisiert werden
  • 59:03 - 59:08
    sollen. Ab 2021 ist das nächste Mal.
    Vielleicht wird nachgebessert. Ich bin da
  • 59:08 - 59:13
    aber nicht so sehr hoffnungsvoll, weil
    hier, wie gesagt, aus Sicht der zentralen
  • 59:13 - 59:20
    Behörden nicht so nicht Cloud Anwendungen,
    eher Nischenprodukte. Etwas auf seinem
  • 59:20 - 59:23
    eigenen Rechner zu betreiben,
    kommt aus der Mode.
  • 59:23 - 59:25
    Herald: Jetzt aber wirklich die letzte
    Frage.
  • 59:25 - 59:28
    Fragender : Ich würde gerne an eine
    vorherige Frage anknüpfen, nämlich ob es
  • 59:28 - 59:32
    Institutionen gibt, die sich dafür
    einsetzen, dass das Ganze gebessert wird.
  • 59:32 - 59:36
    Ich arbeite jetzt für sofort, und wir sind
    Sofortüberweisung. fröhliche Gelächter
  • 59:36 - 59:40
    Wir sind aktiv dabei, mit nahezu allen
    Banken in Europa und auch den nationalen
  • 59:40 - 59:44
    Behörden zu diskutieren, dass es da
    schnellstmöglich Änderungen gibt. Noch vor
  • 59:44 - 59:49
    einer neuen Direktive, also in möglichst
    naher Zukunft. Es gibt Leute, die sich
  • 59:49 - 59:53
    dafür einsetzen.
    Henryk: Sehr gut.
  • 59:53 - 59:55
    Herald: Es könnte also sein, dass du die
    Frage beantworten kannst, die ich vorhin
  • 59:55 - 60:01
    gestellt habe. Ich komme gleich vor! Alle
    Lachen
  • 60:01 - 60:02
    Herald: Henryk Plötz! Vielen Dank!
  • 60:02 - 60:05
    Applaus
  • 60:05 - 60:09
    36c3 Abspannmusik
  • 60:09 - 60:32
    Untertitel erstellt von c3subtitles.de
    im Jahr 2020. Mach mit und hilf uns!
Title:
36C3 - Was hat die PSD2 je für uns getan?
Description:

more » « less
Video Language:
German
Duration:
01:00:32

German subtitles

Revisions Compare revisions