WEBVTT
00:00:00.000 --> 00:00:18.780
36c3 Vorspannmusik
00:00:18.780 --> 00:00:23.330
Herald: Ich habe hier so ein Handy,
vielleicht habt ihr auch ein Smartphone.
00:00:23.330 --> 00:00:29.519
Und ich habe eine App drauf und die
damit.. Ich habe so mehrere Konten bei
00:00:29.519 --> 00:00:33.840
verschiedenen Banken, und ich habe so eine
App. Da sind die ganzen Konten so drin.
00:00:33.840 --> 00:00:39.260
Und wenn ich wissen will, wie viel Geld
ich nicht hab, dann starte ich diese App
00:00:39.260 --> 00:00:44.239
und gucke ich da so drauf, weil mein
Telefon mich sonst nicht erkennt. Und dann
00:00:44.239 --> 00:00:46.500
kann ich halt sehen, wie wieviel Geld ich
auf den Konten habe und was ich für
00:00:46.500 --> 00:00:50.721
Kontobewegungen hatte. Und dann,
irgendwann dieses Jahr lacht , hab ich
00:00:50.721 --> 00:00:53.449
da nicht mehr gesehen, wie viel Geld auf
dem Konto hatte. Da kammen immer so Pop-
00:00:53.449 --> 00:01:00.800
ups. Die haben gesagt: Ja, das
funktioniert jetzt nicht, weil hab ich
00:01:00.800 --> 00:01:04.600
nicht verstanden. Aber was da immer drin
vorkam, das waren drei Buchstaben, eine
00:01:04.600 --> 00:01:09.500
Zahl, und das hieß PSD2, und jedes Mal habe ich
gedacht, jetzt muss ich wieder aus der App
00:01:09.500 --> 00:01:11.820
raus und muss wieder irgendwas machen, was
ich nicht verstehe. Und dann werden mir
00:01:11.820 --> 00:01:17.350
SMSen geschickt, die ich irgendwo
eintragen muss und dachte: Was zum Teufel
00:01:17.350 --> 00:01:24.851
soll dieser Scheiß? Und das Schöne ist:
Wir alle werden jetzt möglicherweise eine
00:01:24.851 --> 00:01:29.200
Antwort auf die Frage bekommen, was dieser
Scheiß soll. Und falls nicht, dann kann
00:01:29.200 --> 00:01:34.829
man hinterher persönlich zur Rechenschaft
ziehen. Sein Name ist Henryk Plötz. lacht
00:01:34.829 --> 00:01:43.649
Applaus
00:01:43.649 --> 00:01:49.250
Henryk Plötz: Ja, genau. Ich Ich versuche
die Frage zu stellen, was hat die PSD2 je
00:01:49.250 --> 00:01:53.759
für uns getan? Und Antworten darauf zu
geben, in der Hoffnung, dass ich auch
00:01:53.759 --> 00:01:58.330
herausfinden, was der Scheiss soll? Für
diejenigen, die, es ist einer der ersten
00:01:58.330 --> 00:02:02.280
Vorträge, die hineingestolpert sind, ohne
zu wissen, worum es geht. Es geht um die
00:02:02.280 --> 00:02:08.269
Richtlinie der EU 2015 2366 des
Europäischen Parlaments und des Rates vom
00:02:08.269 --> 00:02:12.390
25. November 2015 über Zahlungsdienste im
Binnenmarkt zur Änderung der Richtlinie
00:02:12.390 --> 00:02:17.710
und so weiter und so fort und fort. Das
ist die Zahlungsdienst, der Richtlinie 2,
00:02:17.710 --> 00:02:23.419
und da dranhängt noch eine Handvoll
Delegierter Verordnungen, aber ganz massiv
00:02:23.419 --> 00:02:28.309
die Delegierte Verordnung vom 27. November
für die technischen Regulierung Standards
00:02:28.309 --> 00:02:31.650
für eine starke Kunden Authentifizierung
und für sichere offene Standards zur
00:02:31.650 --> 00:02:38.130
Kommunikation. Das ist, was in der App die
ganzen Pop-ups verursacht hat. Warum bin
00:02:38.130 --> 00:02:43.130
ich hier? Und warum erzähle ich euch etwas
zu diesem Thema? Ich bin Informatiker und
00:02:43.130 --> 00:02:47.080
Sicherheitsforscher. Ich glaub, neudeutsch
sagt man Hacker dazu. Hab einen meiner
00:02:47.080 --> 00:02:51.500
ersten Vorträge auf dem Kongress vor zehn
Jahren zu "Mifaire Classic" gehalten.
00:02:51.500 --> 00:02:57.140
Seitdem einiges gemacht zu
Zutrittskontrollsystemen, RFID, Die
00:02:57.140 --> 00:03:03.090
Spezialgebiet sind halt solche Arten von
Kommunikationsprotokollen. Ich bin auch
00:03:03.090 --> 00:03:06.150
Open Source Entwickler. Also wenn irgendwo
ein Kommunikationsprotokoll rumliegt, dann
00:03:06.150 --> 00:03:09.269
implementiert ich das manchmal unter
anderem HBCI. Dazu erzähle ich euch noch
00:03:09.269 --> 00:03:15.910
ein bisschen was. Es gibt im Umfeld des
CCC eine Vereinswaltung, die entstanden
00:03:15.910 --> 00:03:24.670
ist, die heißt byro von Rixx. Da habe ich
einige größere Dinge zu beigetragen, und
00:03:24.670 --> 00:03:28.850
es gibt von Rami. Die beiden waren ja die
Kasse und der Vorverkauf von Rami eine
00:03:28.850 --> 00:03:32.960
Python Implementierung von FinTS, ich
sage vielleicht noch, was das ist. Dazu
00:03:32.960 --> 00:03:35.980
hab ich größere Dinge beigetragen. Und
dann die Kombination dabei ist das im
00:03:35.980 --> 00:03:41.370
PlugIn byro-fints. Also eine Perspektive,
aus der ich das betrachtet, halt als Open
00:03:41.370 --> 00:03:46.260
Source Entwickler. Ich bin auch Gründer
und Geschäftsführer. Vor zwei Jahren habe
00:03:46.260 --> 00:03:50.290
ich mit einem Freund zusammen eine eigene
Firma gegründet "Digital Wolff und Plötz
00:03:50.290 --> 00:03:54.270
GmbH und Co. Wir haben einen etwas
schwammigen, schwammige Selbstverständnis,
00:03:54.270 --> 00:03:57.620
eigentlich sehr präzise Selbstverständnis,
das etwas schwieriger zu verstehen ist.
00:03:57.620 --> 00:04:03.870
Dass die Digitalisierung in komplexen
Umfeldern. Wir entwickeln. Wir machen halt
00:04:03.870 --> 00:04:07.200
Beratung, aber entwickeln halt auch
Software. Auf dieser Ebene gucke ich das
00:04:07.200 --> 00:04:11.400
auch an bzw. andere Produkte. Für die
evangelische Kirche bauen wir den
00:04:11.400 --> 00:04:15.030
digitalen Klingelbeutel. Wir sind jetzt
Zahlungsdienstleister. Zum Glück hat es
00:04:15.030 --> 00:04:18.680
nichts damit zu tun. Ich bin. Ich freue
mich sehr, dass alles, was wir tun, an der
00:04:18.680 --> 00:04:23.800
PSD2 vorbeigeschrammt ist, außer halt als
Privatkunde. Ich bin nämlich auch noch
00:04:23.800 --> 00:04:30.640
neugieriger Nutzer. Wir haben gerade in
der Einführung gehört, dass jemand
00:04:30.640 --> 00:04:33.230
durchaus eine App von mehreren Konten
haben könnte. Ich habe mal kurz
00:04:33.230 --> 00:04:36.800
durchgezählt. Bei mir sind es neun
verschiedene Konten, weil ich auch noch
00:04:36.800 --> 00:04:42.670
mehrere Hüte auf habe, also sowohl
Geschäftskunden, neun verschiedene Banken.
00:04:42.670 --> 00:04:48.201
Konten sind es ein paar mehr. Als sowohl
geschäftliche Konten als auch
00:04:48.201 --> 00:04:53.530
Privatkonnten bzw. Familien Konto. Als
auch ich bin in Vereinen, Vorstand,
00:04:53.530 --> 00:05:00.310
Vereinskonten. Ich glaube sieben oder so.
Davon benutze ich auch regelmäßig. Der
00:05:00.310 --> 00:05:04.280
Rest war halt so kostenloses Girokonto. Mal
ausprobieren, was die tun. Und dann sind
00:05:04.280 --> 00:05:08.400
da halt 10 Euro drauf und man kann sehen,
wie die auf diese Umstellung reagiert
00:05:08.400 --> 00:05:13.270
haben. Das hilft dann auch wieder beim
Entwickeln von Open-Source-Software. Wenn
00:05:13.270 --> 00:05:18.360
man Testkonten hat und mal gucken kann,
was die Banken so anstellen. Agenda also.
00:05:18.360 --> 00:05:22.910
Wir haben gerade gehört, worum es gehen
soll. Ich werde euch gleich den
00:05:22.910 --> 00:05:29.191
wunderschönen vorher Zustand darstellen.
Die Begründungen geben, die die
00:05:29.191 --> 00:05:32.880
Europäische Kommission gegeben hat, warum
diese Richtlinie veröffentlicht,
00:05:32.880 --> 00:05:38.550
beschlossen werden sollte. Dann auf die
Frage antworten, was uns PSD2 wirklich
00:05:38.550 --> 00:05:46.520
gebracht hat. In der Form, die schön ist
und dann in der Form. Was ist dann
00:05:46.520 --> 00:05:54.280
tatsächlich herausgekommen? Ist mit einer
kurzen, kurzen Eingehen auf die Zeitlinie
00:05:54.280 --> 00:06:02.020
und dann zu den diversen Problemen,
Ärgerungen, ja, Blutdruck kommen. Ich fand
00:06:02.020 --> 00:06:06.220
das sehr schön. Als die zwei Minuten bevor
der Vortrag losging, war hier im Info
00:06:06.220 --> 00:06:13.370
Beamer, eine Werbefolie für BTX. Irgendwo
hier stehen BTX Terminals, die man
00:06:13.370 --> 00:06:18.180
ausprobieren kann. Es war ja nicht alles
schlecht in 2018 oder auch in den 80ern.
00:06:18.180 --> 00:06:24.350
Schon seit den 80ern gibt es Online-
Banking für Privatkunden. In Deutschland
00:06:24.350 --> 00:06:28.701
fing das halt so, in den frühen 80ern mit
BTX. Ich glaube der CCC hat ein bisschen
00:06:28.701 --> 00:06:34.550
Geschichte mit BTX, der Eine oder Andere
wird sich erinnern. Es wurde 2007 leider
00:06:34.550 --> 00:06:39.520
abgeschaltet, aber man hat bis dahin ganz
gut funktioniert. Daraus entstanden mehr
00:06:39.520 --> 00:06:43.520
oder weniger direkt ist das sogenannte
HBCI-Buchstaben. Abkürzungen haben
00:06:43.520 --> 00:06:50.250
vielleicht die meisten schon mal gehört:
Homebanking Computer Interface. Das ist
00:06:50.250 --> 00:06:57.180
ein Datenübertragungen,
Kommunikationsprotokoll zum Austausch von
00:06:57.180 --> 00:07:06.690
Bankdaten für Endanwender. Naja, komma
separierte Werte auf Drogen. Das hat
00:07:06.690 --> 00:07:09.950
Semikolons als Trennzeichen, aber manchmal
sind dann auch noch Doppelpunkt
00:07:09.950 --> 00:07:14.590
Trennzeichen und manchmal Pluszeichen
Trennzeichen. Was das... Ich habe es
00:07:14.590 --> 00:07:18.450
implementiert. Es ist tatsächlich parsbar,
ich hätte es mir nicht gedacht. Es gibt durchaus
00:07:18.450 --> 00:07:21.840
Protokolle, die nicht parsbar sind. Dies
gehört nicht dazu. Aber es erscheint mir
00:07:21.840 --> 00:07:27.560
wie ein Zufall. lachen Es ist sehr
hierarchisch aufgebaut, die
00:07:27.560 --> 00:07:30.692
Datenstrukturen sind hierarchisch, man
kann Dinge in Dinge, in Dinge tun. Aber es
00:07:30.692 --> 00:07:35.523
gibt nur drei Ebenen von Trennzeichen, und
irgendwann sind dann die Trennzeichen
00:07:35.523 --> 00:07:41.550
alle. Aber rein zufällig sind dann auch die
Ebenen alle. Das ist übergegangen, es
00:07:41.550 --> 00:07:48.350
wurde immer wieder erweitert und
verbessert eingeführt 1998. Version 2.1
00:07:48.350 --> 00:07:52.370
war, glaub ich, die erste brauchbare. Das
hat sich immer, wurde immer weiter
00:07:52.370 --> 00:07:58.300
verbessert, ist übergegangen. HBCI
3.0 kennen die meisten, und dann wurde es
00:07:58.300 --> 00:08:02.220
umbenannt in FinTS --- Financial
Transaction Services. Es war ursprünglich
00:08:02.220 --> 00:08:08.320
ein rein deutsches Ding. Es ist ein rein
deutsches Ding. Mit FinTS haben Sie dann
00:08:08.320 --> 00:08:12.110
versucht, das international einsetzbar zu
machen, unter anderem, in dem Sie es in
00:08:12.110 --> 00:08:20.190
XML gegossen haben. Und ja, das XML ist
auch parsbar, aber doch eine der
00:08:20.190 --> 00:08:25.500
unschönsten Implementierungen, wie man
sich das vorstellen kann. Es gibt auch
00:08:25.500 --> 00:08:29.890
niemand, der das einsetzt. Ne, ist nicht
richtig. Es gibt tatsächlich eine zentrale
00:08:29.890 --> 00:08:34.180
Liste, wo alle Banken drinstehen mit den
FinTS bzw. HBCI-Versionen, die sie
00:08:34.180 --> 00:08:39.950
unterstützen. Sind ja. In Deutschland
erreicht man damit quasi jede Bank, manche
00:08:39.950 --> 00:08:44.589
noch mit Version 2, ich glaub die Deutsche
Bank. Die meisten unterstützen Version 3,
00:08:44.589 --> 00:08:49.760
und ich glaube, es gibt exakt einen Eintrag,
der FinTS Version 4 ankündigt. Wie gesagt,
00:08:49.760 --> 00:08:57.750
benutzt niemand, 4. FinTS 3 total überall, weil
es damit erst der breiteren Öffentlichkeit
00:08:57.750 --> 00:09:02.180
zugänglich wurde. Früher HBCI war ein
typisch deutsches Ding. Sehr schön, sehr
00:09:02.180 --> 00:09:06.390
sicher. So, mit Smartcard in Computer
stecken. Dazu muss man erst mal die
00:09:06.390 --> 00:09:13.260
Smartcard besorgen, eine PIN dafür haben,
einen separaten Berechtigungsvertrag bzw.
00:09:13.260 --> 00:09:18.560
es gab auch ein Allternativverfahren, wo man
Disketten durch die Gegend... Briefe durch die
00:09:18.560 --> 00:09:27.191
Gegend geschickt hat, auf denen RSA-Keys
abgedruckt waren. lachen Seit FinTS 3
00:09:27.191 --> 00:09:30.611
gibt es auch als alternatives Verfahren
PinTan. Das ist, was die meisten in
00:09:30.611 --> 00:09:34.640
Deutschland als Online-Banking kennen. Man
meldet sich mit seiner PIN an, hat dann
00:09:34.640 --> 00:09:38.980
nur Lese Zugriff aufs Konto, und wenn man
eine Transaktion durchführen möchte,
00:09:38.980 --> 00:09:42.729
braucht man einen Transactions
Autorisierung Nummer, eine TAN. Sehr
00:09:42.729 --> 00:09:49.500
schön, sehr einfach. Leider demnächst tot.
Die Franzosen haben so etwas ähnliches wie
00:09:49.500 --> 00:09:52.490
BTX. Sie haben minitel. Das ist aber auch
schon vor ein paar Jahren abgeschaltet worden.
00:09:52.490 --> 00:09:57.080
Das ist so der Überblick für die anderen
Länder. Ansonsten wars das im Wesentlichen
00:09:57.080 --> 00:10:02.370
an schönen, strukturierten Verfahren. Seit
den, seit der Mitte der 90 hier habe ich
00:10:02.370 --> 00:10:06.460
einen Screenshot von Wells Fargo. Die
waren eine der ersten, die man hingeguckt
00:10:06.460 --> 00:10:12.570
rechts oben Online-Banking anbieten 1995.
Man bemerke auch die Adresse. Das war vor
00:10:12.570 --> 00:10:22.560
https, gab es einen Wildwuchs, das halt
viele Banken irgendeine Form von Online-
00:10:22.560 --> 00:10:27.510
Banking angeboten haben, aber halt immer
durch das Web-Interface und immer mit
00:10:27.510 --> 00:10:34.060
unterschiedlichen Formen von
Berechtigungs-Methoden und -Mechanismen .
00:10:34.060 --> 00:10:38.680
Für Firmenkunden, sieht das Ganze noch
verwirrender bzw. besser aus. Das sind
00:10:38.680 --> 00:10:42.140
halt alles nur die Privatkunden.
Firmenkunden haben schon schon wesentlich
00:10:42.140 --> 00:10:45.350
früher angefangen, weil ja auch mehr
Transaktionen hatten, mit tatsächlich Disketten
00:10:45.350 --> 00:10:50.620
durch die Gegend schicken, das
Datenträgeraustauschverfahren. Später gab
00:10:50.620 --> 00:10:56.151
es dann Nachfolger BCS und das aktuelle
EBICS. Da werde ich dann gleich noch
00:10:56.151 --> 00:11:01.960
drauf kommen, wenn ich die Situation bei
meiner Firma beschreibe, weil das mit dem
00:11:01.960 --> 00:11:06.990
FinTS ist jetzt leider schade war. Es
ermöglichte damals interoperables
00:11:06.990 --> 00:11:12.029
Multibanking. In FinTS selber sind
sogenannte Geschäftsvorfälle definiert.
00:11:12.029 --> 00:11:15.720
Man kann halt nicht alle Banken
unterstützen alles. Aber man kann im
00:11:15.720 --> 00:11:23.020
Wesentlichen abrufen, Kontoauszüge abrufen
oder Transaktionsliste. Man kann
00:11:23.020 --> 00:11:26.361
Überweisungen einkippen oder Lastschriften
verursachen. Das ist das Wichtigste, was
00:11:26.361 --> 00:11:30.280
man machen kann. Alle Banken haben noch
irgendwas anderes. Aber das Schöne ist, das
00:11:30.280 --> 00:11:34.860
funktioniert eigentlich überall. Und dann
gibt es einfach auf meinem Handy eine App,
00:11:34.860 --> 00:11:38.510
die das implementiert. Das Schöne daran
war, dass das Protokoll einfach frei im
00:11:38.510 --> 00:11:44.570
Internet verfügbar war. Ursprünglich kommt
es von der ZKA der Zentrale Kreditausschuss.
00:11:44.570 --> 00:11:47.510
Die haben sich irgendwann umbenannt und
haben sich bei der Bahn ein Beispiel
00:11:47.510 --> 00:11:53.870
genommen und heißen jetzt DEKA. Die
Kreditwirtschaft einzelne Lachen oder
00:11:53.870 --> 00:11:59.060
die deutsche Kreditwirtschaft je nachdem.
Da kann man die Spezifikation runterladen.
00:11:59.060 --> 00:12:02.090
Wie gesagt, das ist prinzipiell parsbar.
Man kann es implementieren, ich habs
00:12:02.090 --> 00:12:09.290
gemacht. Und dann braucht man nur noch
Benutzername und Pin, wie man sie von der
00:12:09.290 --> 00:12:13.450
Bank erhalten hat und die gleichen
Zugangsdaten wie im Onlinebanking gelten.
00:12:13.450 --> 00:12:16.590
Und man muss niemanden fragen, das finde
ich das Wichtigste, sondern muss niemand
00:12:16.590 --> 00:12:19.410
fragen, wofür man eine Implementierung
schreibt. Man muss niemanden fragen, bevor
00:12:19.410 --> 00:12:23.520
man die Implementierung benutzt. Ich habe
das für Vereinsverwaltungsoftware
00:12:23.520 --> 00:12:30.089
geschrieben, das die gesamten Finanzen des
Vereins quasi vollautomatisiert
00:12:30.089 --> 00:12:35.070
verarbeitet werden können, ohne dass
irgendjemand im Webinterface die Dinge
00:12:35.070 --> 00:12:44.830
herunterlädt und irgendwo eingibt oder gar
abtippt. Das Schöne an diesem FinTS ist
00:12:44.830 --> 00:12:50.510
eine der Eigenschaften von diesem FinTS
ist, dass es zukunftskompatibel ist. Man
00:12:50.510 --> 00:12:54.351
kann halt, es gibt diese einzelnen
Datensätze, haben eine Versionsnummer, und
00:12:54.351 --> 00:12:58.780
man kann dann jedes Mal eine neue Version
einführen. Der alte Datensatz funktioniert
00:12:58.780 --> 00:13:02.610
weiterhin für die Banken oder die Software
nur das alte unterstützt. Man sieht daran
00:13:02.610 --> 00:13:06.380
aber auch jedes Mal, wenn irgendwas in der
Geschichte passiert ist, wenn es neue
00:13:06.380 --> 00:13:10.989
Regulierungen gab, die darauf Auswirkungen
hatten, dann kommt gibts halt eine neue
00:13:10.989 --> 00:13:14.660
Version von z.Bsp. dem Datensatz zum
Anmelden, das dann plötzlich ein neues
00:13:14.660 --> 00:13:18.630
Feld drin ist für ein SMS Abbuchungskonto.
Weil, ich weiß nicht genau wann das war,
00:13:18.630 --> 00:13:24.490
2012 die EU beschlossen hat, dass der
Kunde das Konto angeben muss, von dem die
00:13:24.490 --> 00:13:29.580
SMS Gebühren berechnet werden, die für die
AnmeldeTan benutzt werden. Später gab es
00:13:29.580 --> 00:13:34.600
neue Veränderung, eine neue Versionen. Es
ist an der Stelle schön, dass man so quasi
00:13:34.600 --> 00:13:38.890
in Fossilienmäßig sehen kann, was in der
Vergangenheit passiert ist, indem man sich
00:13:38.890 --> 00:13:46.240
das Protokoll anguckt. Wie gesagt,
Multibanking war die wichtigste
00:13:46.240 --> 00:13:49.570
Funktionalität um seine Finanzsoftware auf
deinem Computer oder deinem Telefon oder
00:13:49.570 --> 00:13:53.720
auf deinem Server oder sonst wo zu haben
und sie funktioniert mit allen Banken in
00:13:53.720 --> 00:14:03.110
Deutschland. Was gab es noch für der
andere wichtige Punkt für Endverbraucher
00:14:03.110 --> 00:14:07.310
ist Onlineshopping. Ich möchte gerne
bezahlen. Ich brauche irgendeine Zahlung.
00:14:07.310 --> 00:14:12.240
Da gab es gibt es immer noch Dienste wie
PayPal oder irgendwelche Wallit Dienste,
00:14:12.240 --> 00:14:18.660
wo man auf eine beliebige Art vorher Geld
auflädt, das Geld ausgeben kann, was aber
00:14:18.660 --> 00:14:22.980
nichts mit dem eigentlichen Bankkonto zu
tun hat. Was für den Verbraucher natürlich
00:14:22.980 --> 00:14:26.740
wesentlich angenehmer ist, Konntobezogene
Zahlungsdienste, irgendwas, was direkt mit
00:14:26.740 --> 00:14:30.450
meinem Konto, das ich sowieso habe,
verbunden ist. Am einfachsten für alle
00:14:30.450 --> 00:14:35.040
Beteiligten ist die Vorkasse, kann man
halt vorher überweisen und kriegt dann
00:14:35.040 --> 00:14:39.589
seinen Gut oder auch nicht. Am einfachsten
für den Verbraucher ist die Lastschrift,
00:14:39.589 --> 00:14:46.240
verschickt halt der Versender das Gut und
belastet nachher das Konto. Beides nicht
00:14:46.240 --> 00:14:52.340
so ideal. Deswegen gab es immer wieder
Versuche, andere Systeme einzuführen. Ich
00:14:52.340 --> 00:14:55.440
glaube, die ersten waren die Niederländer
mit einem System, das so einen
00:14:55.440 --> 00:15:01.340
integrierten Prozess anbot. Der Händler
kann das System ansprechen. Ihm sagen: Ich
00:15:01.340 --> 00:15:07.019
hätte gerne von einem Benutzer so viel
Euro. Oder 2005, ja? Ich hätte gerne so
00:15:07.019 --> 00:15:11.220
und so viel Geld von diesen Benutzer. Der
macht das dann auf der Webseite seiner
00:15:11.220 --> 00:15:16.650
Bank mit den Zugangsdaten der Bank, gibt
den Betrag frei. Der Händler kriegt sofort
00:15:16.650 --> 00:15:20.100
die Bestätigung, dass der Betrag
freigegeben wurde und kann sofort die Ware
00:15:20.100 --> 00:15:24.459
losschicken. In Deutschland haben wir das
auch. Das kennt natürlich wieder keiner,
00:15:24.459 --> 00:15:30.640
weil die Sparkassen sitzen es ein. Und
dann war's das fast. Das heißt Giropay,
00:15:30.640 --> 00:15:37.910
und das ist, wie man Onlinezahlungen übers
Konto eigentlich machen würde. Parallel um
00:15:37.910 --> 00:15:41.850
2006 entstand ein Dienstleister, ich hatte
vorhin einen anderen Namen, die
00:15:41.850 --> 00:15:46.150
Sofortüberweisung. Das kennen Leute doch
noch, und man wundert sich ein bisschen,
00:15:46.150 --> 00:15:51.990
dass überhaupt entstehen konnte. Also, ich
fand das Geschäftsmodell schon immer ein
00:15:51.990 --> 00:16:00.450
bisschen komisch. Sofortüberweisung-in-
the-Middle. Der Benutzer gibt seine
00:16:00.450 --> 00:16:03.579
Zugangsdaten, die er von seiner Bank
bekommen hat, auf der Webseite von
00:16:03.579 --> 00:16:09.780
Sofortüberweisung ein. Sofortüberweisung
loggt sich bei der Bank ein. Macht, was
00:16:09.780 --> 00:16:13.600
auch immer, gibt dem Händler halt
Bescheid, dass die Transaktion
00:16:13.600 --> 00:16:19.040
durchgeführt worden ist und führt dem
Benutzer dann zum Händler zurück. Sie
00:16:19.040 --> 00:16:23.540
geben ihr Indianerehrenwort, dass sie
nichts anderes tun, außer die Transaktion
00:16:23.540 --> 00:16:27.360
freizuschalten und gegebenenfalls ein
Konto nachzuschauen, ob du Gebounste,
00:16:27.360 --> 00:16:31.750
Überweisung oder sonst was hast.
Irgendeine Risikobewertung. Sie haben auch
00:16:31.750 --> 00:16:35.770
TüV gibt TüV geprüften Datenschutz, der
TüV Saarland steht dafür gerade. Und wenn
00:16:35.770 --> 00:16:39.199
ich mich richtig erinnere, haben sie sogar
dann doch noch etwas passiert, haben auch
00:16:39.199 --> 00:16:42.959
noch eine Versicherung abgeschlossen.
eizelne Gelächter Falls das
00:16:42.959 --> 00:16:53.709
Indianerehrenwort nicht reicht. Damals,
2012, verstieß das jetzt mal abgesehen vom
00:16:53.709 --> 00:16:57.580
gesunden Menschenverstand auch gegen die
Teilnahmebedingungen für das Pin/Tan-
00:16:57.580 --> 00:17:00.970
Verfahren, die ihr bei eurer Bank
unterschrieben habt. Ich habe hier das Mal
00:17:00.970 --> 00:17:04.360
rausgesucht von der DKB. Der Teilnehmer
ist verpflichtet, die technische
00:17:04.360 --> 00:17:10.029
Verbindung zum Onlinebanking der Bank nur
nur über die Internetseite der Bank oder
00:17:10.029 --> 00:17:16.509
andere mitgeteilte Kommunikationswege
herzustellen. Um kurz zu illustrieren,
00:17:16.509 --> 00:17:22.929
habe ich eine Abbildung aus der Wikipedia
herausgesucht. Eigentlich verstößt man
00:17:22.929 --> 00:17:26.989
damit gegen die Bedingungen seiner Bank
und im schlimmsten Fall die Bank übernimmt
00:17:26.989 --> 00:17:30.580
erst einmal nicht, garantiert nicht, dass
es funktioniert, übernimmt die Schäden
00:17:30.580 --> 00:17:35.271
nicht. Es gab da dann so verschiedene
Banken, die versucht haben, das auch
00:17:35.271 --> 00:17:39.029
technisch zu unterbieten, zu verbieten.
Ich habe da keine Bestätigung, aber ich
00:17:39.029 --> 00:17:43.639
hörte die Geschichte, dass die Sparkasse
wohl versucht hätte, die Zufgriffe, die
00:17:43.639 --> 00:17:47.030
Sofortüberweisung auslöst, zu blockieren,
indem sie die IP-Adresse sperren,
00:17:47.030 --> 00:17:52.299
woraufhin dann drei Stunden später die
Zugrffe von drei anderen IP-Adressen kamen.
00:17:52.299 --> 00:17:55.380
Da gab es auch juristische
Auseinandersetzungen, weil die Sparkasse
00:17:55.380 --> 00:17:59.239
vorher, wie ich auf der vorherigen Folie
gezeigt habe, ein eigenes System anbot,
00:17:59.239 --> 00:18:01.899
das als Mitbewerber gesehen werden kann.
Auch wenn es technisch halt richtig
00:18:01.899 --> 00:18:06.309
rum ist, im Gegensatz zur
Sofortüberweisung, die falsch rum ist.
00:18:06.309 --> 00:18:09.349
Deswegen wurde Ihnen dann verboten zu
versuchen, die Sofortüberweisung zu
00:18:09.349 --> 00:18:14.359
torpedieren. Das zog auch so langsam ein.
Ich habe deswegen die DKB von 2012
00:18:14.359 --> 00:18:18.799
rausgesucht, weil ich mich erinnere. Mein
Konto ist schon ein bisschen länger, dass
00:18:18.799 --> 00:18:22.850
ich irgendwann AGB Änderungen mitgeteilt
bekommen habe. Da haben Sie halt diesen
00:18:22.850 --> 00:18:26.549
Absatz einfach gestrichen. Und statt
dessen stand dort. "Sie dürfen die
00:18:26.549 --> 00:18:32.130
Zugangsdaten nur auf der Webseite der DKB
eingeben, oder einem anderen von uns
00:18:32.130 --> 00:18:36.200
autorisierten Zahlungsdienstleister siehe
Anhang." Der Anhang enthielt genau eine
00:18:36.200 --> 00:18:45.060
Zeile "Sofortüberweisung.de", so nebenbei.
Um herauszufinden, was die Bedingungen von
00:18:45.060 --> 00:18:53.090
2012 waren, musste ich bei mir bei der DKB
mal einloggen, um mein Postfach zu gucken,
00:18:53.090 --> 00:18:57.050
wie wir gleich sehen werden, braucht man
zum Einloggen neuerdings manchmal eine TAN.
00:18:57.050 --> 00:19:02.139
Dazu gibts den TAN Generator, der ein
Passwort will, das ich natürlich nicht
00:19:02.139 --> 00:19:06.919
mehr wusste, aber gar kein Problem, es hat
einen Rücksetzfluß. Man kann sich einfach
00:19:06.919 --> 00:19:09.480
eine SMS schicken lassen und den TAN
Generator zurücksetzen und dann
00:19:09.480 --> 00:19:20.460
funktioniert es wieder. OK, glaube, das
Passwort brauche ich mir nicht merken. So das
00:19:20.460 --> 00:19:33.800
war der Zustand bis Anfang diesen Jahres,
bis Mitte dieses Jahres. 2015 kam diese
00:19:33.800 --> 00:19:37.169
Zahlungsrichtlinie heraus, und das ist die
Begründung, warum die herausgebracht wird,
00:19:37.169 --> 00:19:44.089
die dort stehen. Unter anderem seit der
vorherigen Richtlinie 2007, die PSD, die
00:19:44.089 --> 00:19:49.100
Zahlungsrichtlinie, nicht die
Zahlungsrichtlinie 2, sind neue Arten von
00:19:49.100 --> 00:19:54.460
Zahlungsdiensten entstanden. Vor allen
Dingen Zahlungsauslösedienste. Ein anderes
00:19:54.460 --> 00:20:02.779
Wort für Sofortüberweisung. Oder
Kontoinformationsdienste. Diese Richtlinie
00:20:02.779 --> 00:20:07.020
soll darauf abzielen, die Kontinuität im
Markt sicherzustellen. Mit anderen Worten
00:20:07.020 --> 00:20:10.619
Diese Richtlinie ist in keiner Form
gedacht oder geeignet, irgendeinen der
00:20:10.619 --> 00:20:16.020
bisherigen Player am Markt zu
benachteiligen oder zu disruptieren.
00:20:16.020 --> 00:20:21.270
Ich las irgendwann mal den schönen Satz
Lex-Sofortüberweisung. Hier ist die
00:20:21.270 --> 00:20:25.509
Gegenüberstellung von der
Zahlungsdiensterichtlinie 2007 und
00:20:25.509 --> 00:20:31.619
Zahlungsdiensterichtlinie 2 2015. Die
haben relativ langes Zeugs und unglaublich
00:20:31.619 --> 00:20:34.569
komplizierte Sätze an einigen Stellen. Man
muss so 2 Minuten lang lesen, um
00:20:34.569 --> 00:20:39.450
herauszufinden, dass das... A. Diese
Richtlinie gilt nicht für Geldabheben im
00:20:39.450 --> 00:20:46.250
Supermarkt. Der Satz, der das beschreibt
ist vier Zeilen lang. Es gibt einen
00:20:46.250 --> 00:20:51.159
Anhang, der steht, worauf sie sich
bezieht. Die ersten Paar sind gleich
00:20:51.159 --> 00:20:54.240
geblieben, und in
Zahlungsdiensterichtlinie 2 sind
00:20:54.240 --> 00:21:00.260
neuerdings Zahlungsauslösedienste und
Kontoinformationsdienste hinzugekommen. Und
00:21:00.260 --> 00:21:09.169
dann noch ein paar Regeln dazu. Was hat also
diese PSD2 gebracht? Die neuen Kategorien des
00:21:09.169 --> 00:21:15.049
Zahlungsauslösedienstleisters und des
Konto-Informationsdienstleisters, neue
00:21:15.049 --> 00:21:20.179
Sicherheitsmaßnahmen. Das ist der Teil,
den die meisten mitgekriegt haben. Die
00:21:20.179 --> 00:21:25.860
sogenannte starke Kundenauthentifizierung
SCA, Strong Customer Authentification.
00:21:25.860 --> 00:21:29.820
Damit zusammenhängend eine ganz
merkwürdige 90-Tage-Regelung, die keiner
00:21:29.820 --> 00:21:35.279
so richtig versteht und nur manchmal
angewendet wird. Ich weiß nicht, ob das
00:21:35.279 --> 00:21:38.850
haben die wenigsten mitgekriegt, ausser
wenn Sie sich geärgert haben, dass Timeout
00:21:38.850 --> 00:21:42.959
im Onlinebanking ist heruntergesetzt worden
auf fünf Minuten. Wenn man nicht alle fünf
00:21:42.959 --> 00:21:45.709
Minuten etwas anklickt, zum Beispiel, weil
man gerade versucht TAN Generator heraus-
00:21:45.709 --> 00:21:53.099
zusuchen, wird man ausgeloggt, und muss sich
wieder einloggen und eine TAN eingeben. Es
00:21:53.099 --> 00:21:57.090
gibt, das ist tatsächlich ganz positiv, neue
Transparenzpflichten. Das ist so der Teil,
00:21:57.090 --> 00:22:01.940
den die wenigsten mitkriegen, weil man das
mal so abnickt. Da steht dann drin, dass
00:22:01.940 --> 00:22:05.809
alle Dienstleister jetzt auch dieses Mal
ordentlich und transparent darüber
00:22:05.809 --> 00:22:10.200
Auskunft geben müssen, welche Kosten
entstehen, welche Gebühren entstehen, die
00:22:10.200 --> 00:22:14.639
Gebührenstruktur nachvollziehbar sein
soll, dass man sie auf einem dauerhaften
00:22:14.639 --> 00:22:25.600
Datenträger ausgehändigt bekommen muss. Es
gibt in der PSD2 neue Meldepflichten, zum einen
00:22:25.600 --> 00:22:32.090
an die Bundesbank bzw. die Bankenaufsicht.
Zum anderen vor der Aufnahme des Betriebs
00:22:32.090 --> 00:22:37.499
muss man sich registrieren lassen. Das
finden glaube ich alle ganz gut. Wir hatten mal
00:22:37.499 --> 00:22:41.029
ein Meeting bei der Bundesbank, die meinten,
das fanden sie ganz toll, dass sie jetzt
00:22:41.029 --> 00:22:44.580
diese Daten über den Finanzmarkt kriegen und
die Finanzmarktstabilität besser
00:22:44.580 --> 00:22:50.289
einschätzen können. Besser bewerten
können, weil für einen Dienstleister nach
00:22:50.289 --> 00:22:54.290
dieser Richtlinie jetzt sehr ausführlich
vorgeschrieben ist, welche
00:22:54.290 --> 00:22:59.019
Risikokategorien, welche Risikobewertung
er machen muss und in welcher Form er
00:22:59.019 --> 00:23:02.239
diese Daten dann nach oben melden muss
auch was Betrugsversuche und erfolgreichen
00:23:02.239 --> 00:23:08.970
Betrug angeht. Und es gibt neue
Schnittstellen. Naja, mehr oder weniger.
00:23:08.970 --> 00:23:14.289
In der Zahlungsdiensterichtlinie bzw. tech-
nischen Durchführung ist von dedizierten
00:23:14.289 --> 00:23:19.509
Schnittstellen für Zahlungsauslösedienste
bzw. Kontoinformationsdienste die Rede, die
00:23:19.509 --> 00:23:25.410
angeboten werden müssen. Neudeutsch sagt
man dazu API. Das ist dann das, was unter
00:23:25.410 --> 00:23:32.270
PSD2 API überall läuft. Es steht
allerdings nicht drin, wie der aussehen
00:23:32.270 --> 00:23:40.579
soll, nur was sie leisten können. Die
neuen Kategorien. Wie gesagt,
00:23:40.579 --> 00:23:48.279
Zahlungsauslösedienst ist jemand, der im
Auftrag von jemandem eine Zahlung auslöst.
00:23:48.279 --> 00:23:53.090
Also Sofortüberweisung.de oder theoretisch
auch andere. Aber man muss bestimmte
00:23:53.090 --> 00:23:57.879
Voraussetzungen erfüllen, um überhaupt in
diese Kategorie fallen zu können. Das hält
00:23:57.879 --> 00:24:02.129
unter anderem eine ganze Menge
Eigenkapital und Zertifizierungen und so
00:24:02.129 --> 00:24:06.509
weiter. Und Kontoinformationsdienste.
Damit ist das, was wir früher unter
00:24:06.509 --> 00:24:12.749
Multibanking gekannt haben. Ich bin mir
nicht ganz sicher, welche wie die Leute
00:24:12.749 --> 00:24:15.960
drauf waren, die das formuliert haben oder
geschrieben haben. Aber sie hatten
00:24:15.960 --> 00:24:18.750
offensichtlich kein Handy, auf dem sie
eine App installiert haben, wo man alle
00:24:18.750 --> 00:24:22.339
seine Konten hat, sondern sie haben es
auf einer Webseite gemacht. Es ist also
00:24:22.339 --> 00:24:28.619
neuerdings vorgesehen, dass ein online
Anbieter, eine Webseite, ein Portal halt sich
00:24:28.619 --> 00:24:32.870
auf alle meine Konten einloggt und mir
dann auf der Webseite anzeigt, wie mein
00:24:32.870 --> 00:24:37.950
Finanzstatus ist. Dazu muss sie natürlich
sich überall einloggen können. Und dann
00:24:37.950 --> 00:24:42.749
braucht man neue Richtlinien, Regulierung
und den ganzen Kram. Ein kurzer Blick
00:24:42.749 --> 00:24:47.239
zurück, wie man sich das dachte. Ich habe
beim Recherchieren, ich fand es total
00:24:47.239 --> 00:24:53.280
toll, ein Screenshot von Heise aus dem
Newsticker vom Jahr 2000. Das stimmt
00:24:53.280 --> 00:24:58.890
nicht. Das Datum ist falsch. Ich glaube,
es war 2016. Ein Screenshot von 2016, wie
00:24:58.890 --> 00:25:04.729
wir uns die schöne neue Zukunft mit PSD2
vorstellen. Aktuell muss man durch ein
00:25:04.729 --> 00:25:11.519
Bezahldienstleister gehen, der mit meiner
Kreditkarte zur Bank geht. Neuerdings kann
00:25:11.519 --> 00:25:20.669
der Online-Shop via PSD2-API direkt auf
das Bankkonto zugreifen. Ja, ne. *einzelne
00:25:20.669 --> 00:25:27.680
Kommentare* Ich nenne das die Lüge von der
dritten Partei. Ein kurzer Blick, wie wir
00:25:27.680 --> 00:25:34.729
das bei uns einer Firma hatten. Wir haben
Abrechnungssoftware, Personalverwaltung,
00:25:34.729 --> 00:25:39.570
Lohnbuchung, den ganzen Kram. Die hat dann
einfach über FinTS mit meiner Bank
00:25:39.570 --> 00:25:42.120
geredet. Ein Rechner, der bei mir in
meiner Firma steht, der gehört mir, da ist
00:25:42.120 --> 00:25:45.730
Software drauf installiert, die ich
gekauft habe. Und da ist mal meine Bank,
00:25:45.730 --> 00:25:48.380
und dazwischen ist halt ein
Vertrauensverhältnis, weil das meine Bank
00:25:48.380 --> 00:25:51.950
ist und ich gebe irgendwie meine
Zugangsdaten meiner Bank. Und dann
00:25:51.950 --> 00:25:58.809
funktioniert das hervorragend. Das ist zum
14. September 2019 abgeschaltet worden.
00:25:58.809 --> 00:26:02.809
Datev hat uns gesagt, Sie haben einen
neuen Kooperationspartner, die FinApi
00:26:02.809 --> 00:26:07.629
GmbH. Das heißt, neuerdings läuft das so,
dass die Daten meiner Firma erstmal an das
00:26:07.629 --> 00:26:14.509
Datav Rechenzentrum gehen, von dort an die
FinAPI GmbH, die dann die API
00:26:14.509 --> 00:26:21.070
implementiert, die meine Bank implementiert.
Ich weiß nicht, ich kann es hier vorne ganz
00:26:21.070 --> 00:26:25.270
gut sehen, aber das Logo der FinAPI GmbH, ist
deswegen sehr schön weil da steht Schufa
00:26:25.270 --> 00:26:31.940
Comany. FinApi hat sich aufkaufen lassen
bzw. Mehrheitsbeteiligung der Schufa Holding
00:26:31.940 --> 00:26:38.000
GmbH. einzelne Gelächter In der schönen
neuen Welt gehen alle meine Daten jetzt
00:26:38.000 --> 00:26:43.099
mal nicht abgesehen davon, dass sie durch
Datev gehen, auch noch durch die Schufa,
00:26:43.099 --> 00:26:48.099
die natürlich verpflichtet sind, damit
nichts Böses zu tun. Allerdings habe ich
00:26:48.099 --> 00:26:51.019
mit der Schufa irgendwie auch keinen
Vertrag dazu abgeschlossen, sondern ich habe
00:26:51.019 --> 00:26:55.550
meinen Vertrag mit jemandem anderen,
deswegen nicht so schön. Überall wird
00:26:55.550 --> 00:27:00.399
immer von Drittdienstleistern gesprochen,
das heißt immer die dritte Partei
00:27:00.399 --> 00:27:04.545
implementiert halt PSD2 API. Das ist ja
falsch! Sind ja immer vier Parteien
00:27:04.545 --> 00:27:13.269
beteiligt. Es ist ja immer ich, ich kann
mal, ich darf nicht mich vorbeugen ich
00:27:13.269 --> 00:27:17.689
nehme mal diesen Laserpointer hier, es ist
ja immer ich daran beteiligt es ist ja
00:27:17.689 --> 00:27:21.479
immer meine Bank daran beteiligt sind wir
schon bei zweien. Dann gibt es irgendwas
00:27:21.479 --> 00:27:25.460
was ich in Wirklichkeit machen möchte.
Also meinetwegen Zahlungen, das wäre dann
00:27:25.460 --> 00:27:29.350
meinetwegen Zahlungen. Das wäre hier so
irgend eine Partei. Aber de facto muss es immer
00:27:29.350 --> 00:27:32.239
immer eine vierte Partei geben, einen
neuen Gatekeeper, der dann die API
00:27:32.239 --> 00:27:36.249
tatsächlich implementiert. Ich sag gleich
warum. Aber im Wesentlichen läuft es
00:27:36.249 --> 00:27:41.049
darauf hinaus, dass die hier einen
bevorzugten Zugang zu allen Banken
00:27:41.049 --> 00:27:45.390
erhalten, der nicht so einfach auf einer
der anderen drei Ebenen, zum anderen
00:27:45.390 --> 00:27:48.580
beiden Ebenen zu implementieren ist. Es
gibt aber eigentlich immer eine vierte
00:27:48.580 --> 00:27:53.029
Partei. Es gibt quasi keinen Anwendungs-
fall, der mir einfällt, wo es nur drei
00:27:53.029 --> 00:27:56.429
Parteien sind, außer vielleicht
der Kontoinformationendienstleister, der
00:27:56.429 --> 00:28:01.969
selber ein Webportal betreibt, auf dem ich
meinen Kontostand einsehen kann. Der
00:28:01.969 --> 00:28:08.320
einzige Fall, der einem einfällt, wo es
nur drei sind. Die PSD2 API schreibt, wie
00:28:08.320 --> 00:28:15.279
gesagt, einen offenen Zugriff vor. Naja, offen
ist halt so gemeint wie ein Bürokrat das
00:28:15.279 --> 00:28:20.779
als offen versteht. Es ist kein
Vertragsverhältnis erforderlich zwischen
00:28:20.779 --> 00:28:25.179
den Banken und den Leuten, die darauf
zugreifen, das ist schon mal ganz gut. Die
00:28:25.179 --> 00:28:29.070
Banken sind verpflichtet, ein API
anzubieten, aber es steht halt nur, dass
00:28:29.070 --> 00:28:32.200
es verfügbar sein muss und was es leisten
können muss und dass es genauso gut sein
00:28:32.200 --> 00:28:38.019
muss wie der Zugriff, den die Bank dem
Kunden direkt anbietet. Und die gleichen
00:28:38.019 --> 00:28:41.200
Servicelevel Agreements erfüllen muss, die
gleiche Verfügbarkeit haben muss. Es steht
00:28:41.200 --> 00:28:44.869
nicht drin, wie es tatsächlich
ausgestaltet ist. Es steht nicht drin,
00:28:44.869 --> 00:28:50.190
welche Spezifikation dies erfüllen soll.
Das führt dazu, dass nicht jede Bank
00:28:50.190 --> 00:28:54.789
entwickelt ihr eigenes API. Die haben gar
keine Lust darauf. Die kaufen schon noch
00:28:54.789 --> 00:29:02.129
APIs von externen Dienstleistern diese
Funktionalität ein. Aber dennoch gibt es
00:29:02.129 --> 00:29:05.881
eine größere Handvoll an verschiedenen
APIs, die von verschiedenen Banken
00:29:05.881 --> 00:29:12.269
eingesetzt werden. Die, wenn ich also,
wenn ich eine Funktionalität
00:29:12.269 --> 00:29:15.179
implementieren möchte, die auf
Zahlungskonten zugreift, muss ich sie
00:29:15.179 --> 00:29:19.249
eigentlich alle implementieren. Oder ich
nehme mir einen zusätzlichen Dienstleister
00:29:19.249 --> 00:29:24.820
wie die FinApi dazu, der dann für mich
alle implementiert. Es gibt ein quasi-
00:29:24.820 --> 00:29:30.459
Standard. Die Berlin Group hat sich
zusammengesetzt, um eine PSD2 API zu
00:29:30.459 --> 00:29:34.090
spezifizieren, die jeder implementieren
kann, wo dann alle Seiten nur einmal das
00:29:34.090 --> 00:29:37.000
machen müssen. Die Webseite ist ein
bisschen schlimm, ist relativ schwierig,
00:29:37.000 --> 00:29:42.871
den Standard herunterzuladen. Aber das ist
mittlerweile der quasi-Standard. Es gibt
00:29:42.871 --> 00:29:49.289
noch keinen echten Standard. Voraussetzung
dafür ist, um die PSD2 API nutzen zu
00:29:49.289 --> 00:29:55.650
können, dass ich ein lizensierte bzw.
registrierter Dienstleister bin. Gute
00:29:55.650 --> 00:30:00.070
Nachricht, ich hab nicht notwendigerweise
Eigenkapitalanforderungen. Also, ich als
00:30:00.070 --> 00:30:02.789
Privatperson kann es leider nicht machen,
aber zumindest meine juristische Person
00:30:02.789 --> 00:30:05.480
kann ich schnell gründen ohne
Eigenkapital. Wenn ich eine
00:30:05.480 --> 00:30:08.309
Berufshaftpflichtversicherung abschließen.
Das gilt auch nur für
00:30:08.309 --> 00:30:14.879
Kontoinformationsdienstleister. Sobald ich
Zahlungsauslösedienst sein möchte, muss
00:30:14.879 --> 00:30:25.880
ich 50.000 Euro Eigenkapital Anfangskapital
hinlegen. Die meisten Dienstleistungen
00:30:25.880 --> 00:30:28.489
oder die meisten Funktionen, die ich mir
vorstellen könnte, machen mit nur
00:30:28.489 --> 00:30:32.779
Kontoinformation nicht so viel Sinn. Wenn
ich an meinem Beispiel des Vereins denke,
00:30:32.779 --> 00:30:36.130
wenn ich die Vereinsverwaltung mache,
möchte ich halt sowohl Zahlungseingänge
00:30:36.130 --> 00:30:40.870
verbuchen können als auch mindestens
Lastschriften auslösen können. Und da bin
00:30:40.870 --> 00:30:45.629
ich schon Zahlungsauslösedienst, und der
Zug ist abgefahren in meinem Verein hat
00:30:45.629 --> 00:30:52.409
keine 50.000 Euro. Plus Zugang ist offen.
Solange ich ein qualifiziertes
00:30:52.409 --> 00:30:57.150
elektronisches Zertifikat habe, das mich
als registrierter Zahlungsauslösedienst
00:30:57.150 --> 00:31:03.900
ausweist. In der gesamten Spec kommt das
Konzept. Dies ist kein Cloud-Dienst. Dies
00:31:03.900 --> 00:31:07.800
ist eine Software, die ich herunterladen
und ausführen kann, einfach nicht vor.
00:31:07.800 --> 00:31:11.989
PSD2 API ist komplett nutzlos für Leute,
die Software auf ihrem eigenen Rechner
00:31:11.989 --> 00:31:18.569
ausführen wollen. Was kann sie denn noch?
Neu dazugekommen ist schon Customer
00:31:18.569 --> 00:31:26.090
Authentification, das ist das mit dem
Blutdruck. Neuerdings kann manchmal Ich
00:31:26.090 --> 00:31:30.570
komme gleich drauf, Strong Customer
Authentication gefordert werden, und
00:31:30.570 --> 00:31:36.890
das bedeutet, dass mindestens zwei der
Elemente Wissen, Besitz und Inhärenz
00:31:36.890 --> 00:31:44.559
benutzt werden müssen. Inhärenz ist das
fancy Wort für Biometrie. Müssen benutzt
00:31:44.559 --> 00:31:48.089
werden und müssen voneinander unabhängig
sein. Dann steht da also Kram drin. Unter
00:31:48.089 --> 00:31:51.269
anderem steht da auch drin, dass nach fünf
Fehlversuchen der Zugang gesperrt werden
00:31:51.269 --> 00:31:57.990
muss. Die Abmeldungen nach fünf Minuten
Inaktivität kommt auch darin vor.
00:31:57.990 --> 00:32:01.789
Verpflichtend ist eine dynamische
Verknüpfung der Customer Authentication
00:32:01.789 --> 00:32:07.129
mit dem jeweiligen Vorgang. Das heißt,
iTAN Listen sind halt absolut verboten. Es
00:32:07.129 --> 00:32:12.460
muss in jedem Fall der Code auf irgend
eine Art mit dem Betrag den ich überweisen
00:32:12.460 --> 00:32:17.879
möchte verbunden sein. Hier steht auch die
Formulierung, dass dafür gesorgt werden
00:32:17.879 --> 00:32:23.299
muss, dass Mechanismen vorhanden sind, die
sicherstellen, dass die Software oder das
00:32:23.299 --> 00:32:29.819
Gerät nicht vom Zahler oder einem Dritten
verändert wurden. Es war dann das wo ich
00:32:29.819 --> 00:32:32.860
meinen Blutdruck gekriegt habe, weil ich
mein Android-Telefon natürlich gerootet
00:32:32.860 --> 00:32:36.130
habe, unter anderem um Backups machen zu
können und mir die App dann
00:32:36.130 --> 00:32:41.359
freundlicherweise sagt "Ja ne, ist nicht,
ist ja gerootet". Und dann überlegt man
00:32:41.359 --> 00:32:45.119
sich nochmal, was gerootet bedeutet, na ja
bedeutet, dass das Telefon unter anderem
00:32:45.119 --> 00:32:48.289
in der Lage wäre, über seinen Zustand zu
lügen. Die App möchte nicht funktionieren
00:32:48.289 --> 00:32:51.150
auf einem Telefon, das in der Lage wäre,
über seinen Zustand zu lügen, es sei denn
00:32:51.150 --> 00:32:54.710
natürlich, das Telefon lügt über seinen
Zustand so gut, dass die App dann doch
00:32:54.710 --> 00:32:58.709
wieder funktioniert. Das war dann für mich
die Motivation doch mal magisk
00:32:58.709 --> 00:33:04.880
auszuprobieren, dass ein hinreichend
erfolgreiche Rootdetectionsverhinderung
00:33:04.880 --> 00:33:11.400
hat, wobei es dann wieder zu so einer
Waffen Spirale kommt, das mit zunehmenden
00:33:11.400 --> 00:33:15.019
App Updates die Detection besser wird was
dazu führt, dass die Leute die die
00:33:15.019 --> 00:33:20.940
Detection verhindern, wieder besser werden
und ich dann am Ende doch ein zweites
00:33:20.940 --> 00:33:25.809
Gerät habe lächelt, auf dem ich die Tan
Apps ausführe, die sich zurzeit nicht
00:33:25.809 --> 00:33:32.579
austricksen lassen und am Ende halt für
vollkommenen Unfug. Wird noch besser. Das
00:33:32.579 --> 00:33:37.679
Feature nennt sich "Surprise SCA". Bisher
war die Sache einfach. Ich habe mich mit
00:33:37.679 --> 00:33:40.829
der PIN angemeldet, dann hab ich einen
read-only Zugang gekriegt. Wenn ich
00:33:40.829 --> 00:33:44.849
irgendwas read-write-mäßiges machen
wollte, musste ich eine TAN eingeben, die
00:33:44.849 --> 00:33:50.419
auf diesen Vorgang bezogen war. Jetzt
brauche ich die TAN für wesentlich mehr.
00:33:50.419 --> 00:33:53.519
Und zwar brauche ich die TAN teilweise zum
Anmelden, also die genaue Formulierung
00:33:53.519 --> 00:33:57.639
die genaue Formulierung ist zum Zugriff
auf Kontodaten oder sensible Kontodaten,
00:33:57.639 --> 00:34:00.739
damit ist halt in der Regel Anmelden in
der App beziehungsweise im Web-Interface
00:34:00.739 --> 00:34:07.239
gemeint, ausser manchmal. Es gibt vier
oder fünf Seiten in der technischen
00:34:07.239 --> 00:34:13.160
Richtlinie, die Ausnahmen beschreiben.
Also zum einen darf ich die SCA weg lassen
00:34:13.160 --> 00:34:18.630
wenn ich nur Zahlungskontoinformationen
bis 90 Tage alt abrufe, außer beim ersten
00:34:18.630 --> 00:34:23.650
Mal oder wenn das letzte Mal mehr als 90
Tage her ist. Da kommen die 90 Tage her,
00:34:23.650 --> 00:34:26.700
du musst die TAN alle 90 Tage eingeben,
weil dann die Ausnahme garantiert nicht
00:34:26.700 --> 00:34:34.260
mehr gilt. Bei kontaktlos Zahlungen sind
es 50 Euro. Die ohne PIN bzw. Strong
00:34:34.260 --> 00:34:38.670
Customer Authentification, weil den Besitz
habe ich ja durch die Karte immer
00:34:38.670 --> 00:34:44.230
gewährleistet, die ohne zusätzliche PIN
möglich sind. Ausser es sind schon 150€
00:34:44.230 --> 00:34:48.370
vergangen seit dem letzten Mal.
Parkgebühren sind grundsätzlich ohne SCA,
00:34:48.370 --> 00:34:54.260
das ist sehr angenehm. Vertrauenswürdige
Empfänger sind ohne SCA, ausser natürlich
00:34:54.260 --> 00:34:58.980
der Vorgang, vertrauenswürdige Empfänger
zu definieren. Wiederkehrende
00:34:58.980 --> 00:35:03.600
Zahlungsvorgänge ab dem zweiten Mal kann
ich auch ohne machen. Überweisungen auf
00:35:03.600 --> 00:35:09.620
ein anderes Konto derselben Person können,
ohne sein. Kleinstbetragszahlung bis 30€
00:35:09.620 --> 00:35:15.460
können ohne sein, außer manchmal.
Unternehmen fallen eher ganz raus das war
00:35:15.460 --> 00:35:20.820
dann unsere Lösung gegen das FinTS FinAPI
Fiasko. Es gibt einfach EBICS, da ist dann
00:35:20.820 --> 00:35:24.300
quasi nichts drin. Es ist dann so, man
wirft die Zahlung dahin und wenn die halt
00:35:24.300 --> 00:35:28.000
von der Firma kommen, dann werden die halt
so stimmen. Da braucht niemand mehr
00:35:28.000 --> 00:35:33.470
irgendwo eine TAN eingeben und
Transaktions Risikoanalysen, die
00:35:33.470 --> 00:35:37.410
modifizieren den ganzen Kram wieder. Also
die können dann sowohl bei bisherigen
00:35:37.410 --> 00:35:41.560
Ausnahmen die SCA wieder erfordern als
auch, man kann halt sagen, na gut, die
00:35:41.560 --> 00:35:46.411
Zahlung hat ein so geringes Risiko, dass
ich dann doch wieder keiner SCA brauche.
00:35:46.411 --> 00:35:51.050
Außer natürlich die laufende Berechnung
der Betrugsraten, die ich verpflichtet bin
00:35:51.050 --> 00:35:53.660
durchzuführen. Ergibt, das eine höhere
Betrugsrate eingesetzt hat, da muss ich
00:35:53.660 --> 00:36:00.560
wieder dauernd SCA machen.
Schlussfolgerung: In Summe ist es von
00:36:00.560 --> 00:36:05.870
außen nicht vorhersehbar, wann eine TAN
verwendet werden muss. Das macht beim User
00:36:05.870 --> 00:36:09.820
Interface Design. Ich weiß nicht, wie viele sich
mal damit beschäftigt haben. Natürlich
00:36:09.820 --> 00:36:14.250
besonders viel Spaß. Also, ich hab das in
Byro, das ist eine Web-App. Ein bisschen
00:36:14.250 --> 00:36:17.220
schwierig, wenn man irgendwie auf SUBMIT
drückt und dann passiert halt nicht das,
00:36:17.220 --> 00:36:22.389
sondern da kommt erst mal: Übrigens musst
noch eine TAN eingeben. Das ist für den
00:36:22.389 --> 00:36:27.000
User natürlich total verwirrend, weil der
sich auf nichts mehr verlassen kann. Er
00:36:27.000 --> 00:36:31.340
kann halt nicht mehr vorhersehen, was
passiert, wenn er ein Knopf drückt. Das
00:36:31.340 --> 00:36:39.310
ist für automatisierte Dienste, die FinTS
benutzen wollen, total unmöglich, weil ich
00:36:39.310 --> 00:36:42.200
selbst von den Vorgängen, von denen ich
bisher ausgegangen bin, dass sie zum
00:36:42.200 --> 00:36:45.860
Beispiel read-only sind und keine TAN
brauchen. Wenn ich also zum Beispiel die
00:36:45.860 --> 00:36:50.410
Kontoeingänge bei meinem Verein laufend
verbuchen möchte und einen Cronjob starte,
00:36:50.410 --> 00:36:55.360
der alle x-Tage mal abruft, kann es
passieren, dass dann trotzdem wieder Mal
00:36:55.360 --> 00:36:59.300
eine TAN nötig ist. Ich kann halt auch
nicht den Zugriff unterdrücken. Ich weiß
00:36:59.300 --> 00:37:02.320
es halt nicht vorher. Es kann halt
irgendeinen ein Sonderfall eingetreten
00:37:02.320 --> 00:37:05.212
sein. Und wenn man dann so einen
Pushdienst verwendet, ist es
00:37:05.212 --> 00:37:08.010
halt toll, weil derjenige, dem der Zugang
gehört, dann plötzlich eine Push-
00:37:08.010 --> 00:37:10.600
Nachrichten kriegt. Und es ist nicht ganz
zu unterscheiden, ob das jetzt derselbe
00:37:10.600 --> 00:37:18.080
aufgesetzte, automatisierte Vorgang war
oder ob es irgendein anderer Bösewicht.
00:37:18.080 --> 00:37:21.930
Die verschiedenen Banken handhaben das
auch sehr unterschiedlich. Bei der DKB zum
00:37:21.930 --> 00:37:26.050
Beispiel muss man jedes Mal eine TAN
eingeben, wenn man sich irgendwo einloggt.
00:37:26.050 --> 00:37:30.760
Bei der Sparkasse nicht. Die Sparkasse
macht Gebrauch von den 90 Tagen Ausnahmen.
00:37:30.760 --> 00:37:33.640
Dafür muss man bei der Sparkasse die TAN
eingeben, wenn man einen Suchvorgang
00:37:33.640 --> 00:37:38.580
startet, der mehr als 90 Tage
beinhaltet. Die DKB hat gesagt, dass es
00:37:38.580 --> 00:37:43.330
Ihnen zu umständlich. Deswegen fragen Sie
immer nach der TAN. Außer man hat halt,
00:37:43.330 --> 00:37:47.060
dann sind danach alle Transaktionen ohne
TAN. Ausser natürlich es sind wieder fünf
00:37:47.060 --> 00:37:56.380
Minuten vergangen. *Stimmen im Publikum"
Euch fällt auf, das passiert eigentlich
00:37:56.380 --> 00:37:59.950
nur bei solchen EU-Richtlinien oder
solchen EU-Regulierung. Ich weiß nicht,
00:37:59.950 --> 00:38:04.481
wer ein PayPal-Konto hat, PayPal hat seit
immer kein 2-Faktor-System. Die machen
00:38:04.481 --> 00:38:08.730
einfach irgendwas: Keine Ahnung die machen
auch Transaktionsrisiko und Zeugs. Die
00:38:08.730 --> 00:38:12.090
wissen halt, dass so eine TAN eigentlich
nur dazu führt, dass der Nutzer den
00:38:12.090 --> 00:38:16.310
Prozess im Zweifelsfall einfach abbricht,
was halt bei Zahlungen doof ist, weil dann
00:38:16.310 --> 00:38:22.000
die Einnahmen entgehen. Das ist einer der
Gründe, warum PayPal das nicht hat und
00:38:22.000 --> 00:38:24.660
Leute immer wieder sagen "Ihr seid doch so
unsicher" und am Ende naja eigentlich
00:38:24.660 --> 00:38:31.050
nicht offensichtlich, weil sie sind ja
noch am Markt. Der Effekt Multi-Banking
00:38:31.050 --> 00:38:33.850
haben wir gehört. Ich habe eine App, wo
ich alle meine Dinge drin hat. Führte
00:38:33.850 --> 00:38:41.860
dazu, dass ich Multifaktor habe. Hier den
Dilo Delwitz Witz einfügen. Das sind die
00:38:41.860 --> 00:38:46.020
TAN-Generierungsapps im Wesentlichen, die
ich auf meinem Telefon habe. Ich habe
00:38:46.020 --> 00:38:50.840
neulich mal in meiner, ich glaube kurz
nach dem 14. September in meiner
00:38:50.840 --> 00:38:54.680
Online-Banking-App versehentlich auf alle
Konten aktualisieren gedrückt, was dazu
00:38:54.680 --> 00:39:02.090
führte, dass ich acht, neun verschiedene
TANs eingeben musste, eine davon zweimal
00:39:02.090 --> 00:39:07.410
auf vier verschiedenen Modalitäten. Also
ich habe ja auch noch TAN-Generatoren mit
00:39:07.410 --> 00:39:11.050
ChipTAN, was ja eigentlich das bessere
Verfahren ist. Da muss man halt
00:39:11.050 --> 00:39:13.560
raussuchen. Aber ist ja nicht so schlimm,
weil macht man ja nur, wenn man eine
00:39:13.560 --> 00:39:22.440
Überweisung durchführt. Und die DKB hat
Ihr Kreditkartenkonto von FInTS jetzt abgehängt,
00:39:22.440 --> 00:39:26.000
das heißt, die Software, die ich verwende,
macht dann Webcalling, was die alte
00:39:26.000 --> 00:39:31.250
Methode war, um Finanzdaten abzurufen.
Wozu dann nochmal ein separater TAN-
00:39:31.250 --> 00:39:35.550
Eingabe nötig ist, um sich im Webinterface
anzumelden. Ich habe seitdem nicht nochmal
00:39:35.550 --> 00:39:40.300
auf alles Abrufen gedrückt. Ich sollte das
mal irgendwann wieder tun. Ich muss mich
00:39:40.300 --> 00:39:46.370
bloß vorbereiten. Stimmen im Publikum
Genau. Zeitlinie, also die Richtlinie vom
00:39:46.370 --> 00:39:50.320
25. November. Sie ist technisch gesehen im
Januar 2016 in Kraft getreten. Das
00:39:50.320 --> 00:39:54.230
bedeutet, da gibt es eine 2-Jahresfrist,
die ist 2018 in nationales Recht umgesetzt
00:39:54.230 --> 00:40:00.480
worden. Das Zahlungsdiensteumsetzungs -
gesetz in Deutschland. Da steht bloß Copy
00:40:00.480 --> 00:40:05.440
und Paste von der Richtlinie drin. In der
Richtlinie ist eine Verordnung delegiert
00:40:05.440 --> 00:40:09.230
worden, was die technische Umsetzung
angeht von 2017. Und jetzt kommen wir
00:40:09.230 --> 00:40:13.760
Warum ist es eigentlich alles am 14.
November? 14. September explodiert? Weil
00:40:13.760 --> 00:40:26.770
die Frist am 14. September wird diese
delegierte Verordnung gültig. Sechs Monate
00:40:26.770 --> 00:40:31.490
vorher hätten die Banken eine Testumgebung
zur Verfügung stellen müssen, damit
00:40:31.490 --> 00:40:36.490
Softwareentwickler, die nicht der Größte
am Markt sind, das mal testen können. Es
00:40:36.490 --> 00:40:41.890
gibt eine Fallbacklösung, falls man sich
außerstande sieht, eine PSD2 API
00:40:41.890 --> 00:40:46.040
anzubieten oder da irgendwas nicht ist,
oder ein Notfall eintritt, wobei Notfall
00:40:46.040 --> 00:40:52.590
glaube ich definiert ist als fünf Vorgänge
haben mehr als 30 Sekunden Latenz, dürfen
00:40:52.590 --> 00:40:55.800
Zahlungsdienstleister also die
Kontoinformationsdienste oder die
00:40:55.800 --> 00:40:59.770
Zahlungsauslösedienste ein Fallback
benutzen, nämlich das Interface, was der
00:40:59.770 --> 00:41:07.230
normale Kunde benutzt. Da sind wir wieder
beim Webcalling. Wenn die Banken das
00:41:07.230 --> 00:41:12.820
nicht möchten, müssen sie mindestens drei
Monate am Stück die normale PSD2-API zur
00:41:12.820 --> 00:41:18.370
Verfügung stellen. Das heißt, Sie hätten
im Juni die PSD2-API produktiv laufen
00:41:18.370 --> 00:41:24.320
müssen haben müssen, um von der
Ausnahmeregelung ausgenommen zu werden.
00:41:24.320 --> 00:41:29.350
Ich glaube, das hat keiner. Am 14.
September ist dann alles explodiert. Dann
00:41:29.350 --> 00:41:36.720
wurde die Durchführungsverordnung gültig.
Die Delegierteverordnung gültig, was dazu
00:41:36.720 --> 00:41:38.930
führte, dass noch nicht sofort alles
explodiert ist. Erstmal sind nur
00:41:38.930 --> 00:41:42.240
Transaktionen und Onlineanmeldung, weil
manche Banken haben tatsächlich davon
00:41:42.240 --> 00:41:46.420
Gebrauch gemacht, dass da irgendwo 90 Tage
steht. Und wenn man sich halt am 13.
00:41:46.420 --> 00:41:50.680
September angemeldet hat, dann war man ja
angemeldet. Ja, das war dann am 13.
00:41:50.680 --> 00:41:53.370
Dezember vorbei. Das heißt spätestens seit
dem 13. Dezember hat jeder der
00:41:53.370 --> 00:41:59.010
Online-Banking benutzt Spaß. Gibt kleinere
Problemchen. Die Anmeldefluß für
00:41:59.010 --> 00:42:04.500
2-Faktor-Apps sind oft kompliziert, der
Support etwas überlastet. Bei der Postbank
00:42:04.500 --> 00:42:08.070
habe ich das Problem, dass ich neu etwas
unterschreiben musste, weil ich als
00:42:08.070 --> 00:42:11.550
Vereinskonto, das war das doofe, es ist
ein Gemeinschaftskonto, war ja früher
00:42:11.550 --> 00:42:14.750
nicht so schlimm. Man teilt halt einfach
die Pin, und nur einer kriegt die
00:42:14.750 --> 00:42:17.640
Chipkarte für die TAN-Generierung.
Neuerdings müssen halt alle
00:42:17.640 --> 00:42:21.610
Gemeinschaftskonten extra Personenaccounts
für jeden, der Lesezugriff haben soll
00:42:21.610 --> 00:42:27.030
haben. Bei der Postbank lief es darauf
hinaus, dass ich unterschreiben musste und
00:42:27.030 --> 00:42:30.350
die meine E-Mail nicht angenommen haben.
Der Mailserver hat gemeint "Aufgrund der
00:42:30.350 --> 00:42:38.510
hohen Betrugsraten können Sie zurzeit keine
Mail annehmen." Gelächter Moment,
00:42:38.510 --> 00:42:41.820
nachdem ich den Support gefragt habe, ich
habe tatsächlich telefonisch was erreicht,
00:42:41.820 --> 00:42:46.640
meinte er, faxen sie es uns. Das habe ich
vorgeschlagen Faxen. Das habe ich gemacht.
00:42:46.640 --> 00:42:50.030
Das hat auch nur vier Wochen gedauert. Es
hat funktioniert. Andere Leute haben
00:42:50.030 --> 00:42:52.750
andere Probleme, irgendwie. Geräte,
Wechsel, Verlust ist ein bisschen
00:42:52.750 --> 00:42:55.850
schwierig. Ich habe mit jemandem geredet.
Ich habe gesagt, ihr habt ja im vorigen
00:42:55.850 --> 00:43:00.330
Screenshot gesehen, welches Handy verliere
oder auch nur tauschen möchte, muss ich
00:43:00.330 --> 00:43:04.640
halt acht verschiedene Apps neu
einrichten, teilweise in acht Schritten.
00:43:04.640 --> 00:43:09.410
Ich habe gerade jemandem geholfen, bei der
Apobank seine TAN-App einzurichten, weil es
00:43:09.410 --> 00:43:14.420
halt dreimal nicht geklappt hat. Der Knopf
Brief generieren mit dem Bestätigungscode
00:43:14.420 --> 00:43:17.730
der hat immer funktioniert. Da kam ein neuer
Brief. Aber es war nicht zu sehen, wo man
00:43:17.730 --> 00:43:21.910
den Bestätigungscode eingibt, bis man auf
der Webseite war und das vierseitige PDF
00:43:21.910 --> 00:43:28.740
mit den acht einfachen Schritten gefunden
hat. Gelächter Der schärfste Trick: Für
00:43:28.740 --> 00:43:31.660
Kreditkarten gilt das eigentlich auch
mit der starken
00:43:31.660 --> 00:43:35.441
Kundenauthentifizierung. Bloß das hat noch
keiner umgesetzt. Das muss noch im Webshop
00:43:35.441 --> 00:43:40.290
implementiert werden. Deswegen hat die EBA
jetzt gesagt: Na gut, ihr habt noch mal
00:43:40.290 --> 00:43:47.950
ein bisschen Zeit bis 2020. Und was ich
vorhin sagte: Die APIs waren und oder sind
00:43:47.950 --> 00:43:51.330
nicht funktional. Die Leute haben einfach
zu wenig Zeit gehabt zum Testen. Kurzer
00:43:51.330 --> 00:43:57.510
Seitenhieb. 3D Secure. Es gab da schon mal
ein Vortrag über einen Vortrag halten.
00:43:57.510 --> 00:44:01.780
Aber es gibt auf jeden Fall ein sehr
schönes Paper dazu "Verified bei Visa and
00:44:01.780 --> 00:44:09.790
Mastercard Secure-Code or how not to
design authentication" von Murdoch und
00:44:09.790 --> 00:44:14.470
Anderson. Three D secure steht für Three
-Domain-, acquirere, Issuer and
00:44:14.470 --> 00:44:20.130
Interoperability sind die Domains der Herausgeber
Akzeptanz und die dazwischen Leute. Der
00:44:20.130 --> 00:44:25.590
Kunde fehlt in der Liste, die hier
geschützt werden. Es ist dafür da, dem
00:44:25.590 --> 00:44:29.390
Kunden neue AGB aufzudrücken und die
Schuld zu verschieben, weil offensichtlich
00:44:29.390 --> 00:44:36.321
der Kunde schuld ist. Ist ja, jetzt sicher.
Bei einer meiner Banken, ist eine am VR-Banken-Netz
00:44:36.321 --> 00:44:41.720
angeschlossene bei der Fiducia muss man sich
registrieren, da kriegt man so ein
00:44:41.720 --> 00:44:44.521
Brief? Gehen Sie mal wieder auf diese
Webseite und füllen Sie dort die
00:44:44.521 --> 00:44:49.720
Registrierung aus. So online
sichereinkaufen.de oder so ähnlich.
00:44:49.720 --> 00:44:53.600
Sicheronlineeinkaufen.de? Sicher
einkaufen. Ich bin mir sicher es war sicher
00:44:53.600 --> 00:45:02.260
online einkaufen. Ich weiß es, weil diese
Seite existiert, die anderen nicht. Diese
00:45:02.260 --> 00:45:11.560
Seite existiert. applaus Und hat ein
gültiges Sicherheitszertifikat von
00:45:11.560 --> 00:45:19.310
LetsEncrypt. Gelächter Und dann war
wieder da die Sache mit dem Blutdruck, die
00:45:19.310 --> 00:45:22.870
hat dann wieder gemeint na ja, Sie können
sich jetzt hier registrieren und die Push-TAN-
00:45:22.870 --> 00:45:28.280
App aktivieren. Das geht auf Ihrem Telefon
nicht, weil es gerootet ist. Das Telefon
00:45:28.280 --> 00:45:32.620
ist unsicher. Gar kein Problem. Sie können
auch den Alternativprozess verwenden. Wir
00:45:32.620 --> 00:45:43.080
schicken ihn einfach eine SMS an dieses
Telefon. fröhliches Lachen Ok. Muss ich
00:45:43.080 --> 00:45:49.420
jetzt nicht verstehen. Dieses Formular,
wie gesagt, das ist aktuell online hat
00:45:49.420 --> 00:45:52.140
immer noch die gleichen Probleme, die
Murdoch und Anderson von damals genannt
00:45:52.140 --> 00:46:00.630
haben. Wenn man runter scrollt, findet man
diesen Signup System. Das ist ein IFrame,
00:46:00.630 --> 00:46:03.580
das von irgendeiner anderen Domain kommt.
Die hat sogar ein Extended-Validation-
00:46:03.580 --> 00:46:09.900
Zertifikat, nur dass es halt niemand
sieht, weil ist halt ein iFrame. Was ist noch so
00:46:09.900 --> 00:46:14.060
passiert? Wie gesagt, Gemeinschaftskonten
benötigen jetzt einen Login pro Person.
00:46:14.060 --> 00:46:19.140
Ich glaube hier. Die CCV-Veranstaltungs
GmbH hat auch schon Spaß damit gehabt. Die
00:46:19.140 --> 00:46:22.380
Banken gehen langsam dazu über
FinTS abzuschalten oder loszuwerden, weil sie
00:46:22.380 --> 00:46:28.460
haben ja jetzt die PSD2 API. Die regulierten
Dienstleister dürfen nicht mehr über FinTS
00:46:28.460 --> 00:46:35.270
zugreifen außer halt im Fallbackmodus,
außer manchmal. Surprise SCA, wie gesagt,
00:46:35.270 --> 00:46:41.080
ist Userinterface wird halt nur noch
merkwürdiger. User sind frustriert und
00:46:41.080 --> 00:46:45.400
kriegen Hals. Was gar nicht so schlecht
ist. Es gibt jetzt ein
00:46:45.400 --> 00:46:48.130
Registrierungspflicht für Anwendungen, die
auch für FinTS gilt. Also auch meine
00:46:48.130 --> 00:46:55.540
Anwendung byro, FinTs ist registriert. Und
es ist im Sinne der Transparenz sieht man
00:46:55.540 --> 00:47:00.420
im Online-Banking, welche App verwendet
wurden. Das ist erst mal nicht schlecht.
00:47:00.420 --> 00:47:02.700
Kann man nichts gegen haben, zumal die
Registrierung auch als Open Source
00:47:02.700 --> 00:47:09.510
Entwickler möglich ist. Ist ja nicht immer
so. Aber fast jede Transaktion kann
00:47:09.510 --> 00:47:14.540
manchmal eine TAN anfordern. Wie gesagt,
ich hab das auch gerade gesehen. Wir
00:47:14.540 --> 00:47:18.640
kommen zum Schluss. Transparenz und
Aufsicht sind verbessert worden.
00:47:18.640 --> 00:47:22.530
Verbraucher sind zunehmend genervt.
Perfekte Grundlage für Wirsching? Ich weiß
00:47:22.530 --> 00:47:25.450
nicht, wie viele von euch so eine Mail
gekriegt haben. PSD2 tritt jetzt in Kraft.
00:47:25.450 --> 00:47:28.370
Bitte geben Sie jetzt hier nochmal Ihre
Kontonummer ein. Sie müssen sich jetzt neu
00:47:28.370 --> 00:47:34.270
anmelden, weil neue sichere Umstellung des
Sicherheitsverfahrens. Gewerbliche Nutzer,
00:47:34.270 --> 00:47:37.830
wie gesagt, müssen komplett ausweichen,
weil das macht gar keinen Sinn. Dafür gibt
00:47:37.830 --> 00:47:40.720
es jetzt neue Geschäftsfelder für
Startups, die entsprechende
00:47:40.720 --> 00:47:48.620
Anfangsinvestitionen haben. Open Source
kannste halt vergessen in Zukunft. Danke.
00:47:48.620 --> 00:48:00.600
Applaus
00:48:00.600 --> 00:48:03.950
Herald: Wir haben Zwölf Minuten Zeit für
Fragen und Antworten. Drei Mikrofone im
00:48:03.950 --> 00:48:07.930
Saal verteilt. Falls ihr Fragen habt,
stellt euch hin. Ich versuche, euch
00:48:07.930 --> 00:48:14.960
halbwegs fair aufzurufen. Eine Frage
hätte ich. Was soll der Scheiß? Lachen
00:48:14.960 --> 00:48:18.700
Henryk: Hast du nicht gehört?
Sofortüberweisung ist jetzt legal. *Herald
00:48:18.700 --> 00:48:27.260
lacht.*
Frage: Okay, du hast gesagt, dass FinTS
00:48:27.260 --> 00:48:30.650
jetzt langsam ausgeschlichen wird von den
Banken. Ich weiß von einigen Banken, dass
00:48:30.650 --> 00:48:36.300
sie bei PSD2 direkt das FinTS abgeklemmt haben,
weil sie es nicht implementiert hatten PSD2
00:48:36.300 --> 00:48:40.230
konform. Aber weißt du, wie das bei den
anderen Banken aussieht? Also gibt es da
00:48:40.230 --> 00:48:45.060
schon Ankündigungen von den großen
Rechenzentren Fiducia oder Sparkasse oder
00:48:45.060 --> 00:48:47.740
wie wir alle heißen?
Henryk: Die haben sich größtenteils
00:48:47.740 --> 00:48:52.170
zurückgehalten. Sie sagen da nur durch die
Blume, dass sie es zumindest nicht mehr
00:48:52.170 --> 00:48:56.420
erweitern wollen. Sie haben ja jetzt das
andere. Ich glaube ING-Diba hatte da genau
00:48:56.420 --> 00:48:58.690
dieses Problem. Sie haben ein bisschen
zurückgerudert. Wenn mich nicht alles
00:48:58.690 --> 00:49:03.600
täuscht. Aber es gibt ja keinen
Grund mehr dafür.
00:49:03.600 --> 00:49:07.040
Frage: Die haben zurückgerudert nach dam
sich 3000 Leute beschwert haben in einem
00:49:07.040 --> 00:49:12.230
wütenden Mob Blogpost.
Henryk: Ja.
00:49:12.230 --> 00:49:15.820
Herald: Bitte.
Frage: Gibts irgendwie so eine Art
00:49:15.820 --> 00:49:20.880
Informationsblatt, was ich als Kunde der
Bank geben kann? Wenn ich der Meinung bin,
00:49:20.880 --> 00:49:26.500
dass sie mir völligen Bullshit zu der PSD2
erzählt und irgendwelche neuen Änderungen
00:49:26.500 --> 00:49:29.970
damit versucht zu begründen?
Henryk: Ja, das steht sogar in der
00:49:29.970 --> 00:49:33.730
Richtlinie drin, das die europäische
Bankenaufsicht und die BaFin jeweils ein
00:49:33.730 --> 00:49:38.330
Merkblatt für Kunden herausgeben, in denen
alle Änderungen und neuen Pflichten und
00:49:38.330 --> 00:49:41.290
Rechte des Kunden dargelegt sind. Es
müsste auch der Webseite der BaFin zu
00:49:41.290 --> 00:49:43.480
finden sein.
Frage: Ich meine eigentlich umgekehrt,
00:49:43.480 --> 00:49:46.050
Richtung Bank.
Henryk: Ja, das ist das Merkblatt für dich
00:49:46.050 --> 00:49:50.380
als Kunde, und du kannst der Bank
vorhalten und sagen: "Guck mal, was ihr
00:49:50.380 --> 00:49:57.290
mir sagt, steht da nicht drauf."
Frage: Du meinst, es ist das nicht
00:49:57.290 --> 00:50:00.530
sonderlich kompliziert, sich eine
juristische Person anzulegen. Könnte ich
00:50:00.530 --> 00:50:04.050
dann mit einer juristischen Person mir ein
Geschäftskonto anlegen, damit ich dann
00:50:04.050 --> 00:50:09.800
wieder APIs habe, die ich von einer App
aus verwenden kann? Ist das der neue Weg?
00:50:09.800 --> 00:50:12.710
Henryk: Klar. Aber ja! Also du brauchst
halt eine
00:50:12.710 --> 00:50:25.450
neue App. Es ist dann EBICS, aber ja...
Frage: Du hast aufgelistet, dass es ja
00:50:25.450 --> 00:50:31.220
drei Authentifizierundsmerkmale gibt und
du hast sehr konsequent nur von TANs
00:50:31.220 --> 00:50:38.700
gesprochen. Wenn ich die Richtlinie
korrekt interpretiere, ist Wissen und
00:50:38.700 --> 00:50:45.140
Besitz. Also Pin und Chipkarte nach wie
vor eigentlich vollkommen valides
00:50:45.140 --> 00:50:48.290
Authentifizierungsmittel.
Henryk: Korrekt. Also steht die
00:50:48.290 --> 00:50:52.010
Formulierung, die Sie verwenden, ist, dass
diese aus den drei Faktoren muss ein
00:50:52.010 --> 00:50:56.750
Authentifizierungscode abgeleitet werden.
Das kann auch eine Signatur oder was auch
00:50:56.750 --> 00:51:01.560
immer sein. Ich habe aber keine
Implementierung davon gesehen, also
00:51:01.560 --> 00:51:05.690
ausser halt innerhalb von Apps. Die DKB zum
Beispiel hat eine eigene App und wenn man
00:51:05.690 --> 00:51:10.480
innerhalb der DKB App bleibt. Dann bleibt
also alles innerhalb der DKB App inklusive
00:51:10.480 --> 00:51:15.150
mit iPhone, wie auch immer diese
Gesichtserkennung heißt, da braucht man
00:51:15.150 --> 00:51:20.460
auch keine TAN mehr das stimmt. Aber wenn man
eine andere App benutzt, die nicht, die
00:51:20.460 --> 00:51:23.540
ist, ist es irgendwie schwierig, der
Signatur abzutippen. Deswegen tippt man
00:51:23.540 --> 00:51:29.070
meistens lieber TANs ab. Ich frag nur,
weil die Sparkasse mir erzählt hat, das
00:51:29.070 --> 00:51:34.600
HBCI mit Chipkarte ja diese
Authentifizierungsbedingungen nicht
00:51:34.600 --> 00:51:37.280
erfüllen würde.
Henryk: Das ist inkorrekt. HBCI mit
00:51:37.280 --> 00:51:43.090
Chipkarte ist halt gerade Besitz, Besitz
und Wissen, sie können sich eventuell
00:51:43.090 --> 00:51:47.210
darauf herausreden, dass irgendwie PIN mit
der Verifikation auf der Karte eventuell
00:51:47.210 --> 00:51:50.960
nicht güle, aber eigentlich dann doch
schon.
00:51:50.960 --> 00:51:53.960
Herald: Ok, und die Mitte mal wieder.
Zuhörer: Mal wieder nur eine kleine
00:51:53.960 --> 00:51:58.970
Anmerkung. Du meint, dass das PayPal mit
2-Faktor nicht funktioniert. Aber in der
00:51:58.970 --> 00:52:03.440
Tat habe ich PayPal mit 2-Faktor.
Henryk: Es gab vor fünf Jahren, glaub ich,
00:52:03.440 --> 00:52:06.070
eine kurze Zeit, wo sie das angeboten
haben. Aber ich glaube, es wird nicht mehr
00:52:06.070 --> 00:52:08.490
beworben.
Zuhörer: Ich konnte das in der App
00:52:08.490 --> 00:52:11.520
anklicken, vor ungefähr einem halben Jahr.
Henryk: Oh, dann haben Sie was neues
00:52:11.520 --> 00:52:23.530
eingebaut.Wollen Sie jetzt? Ist das schon?
Frage: Ich frag für einen Freund, der
00:52:23.530 --> 00:52:28.370
entwickelt einen Webshop, und da müssen
Sie sich auch mit dem 3D Secure Kram
00:52:28.370 --> 00:52:32.610
herumschlagen. Und der
Zahlungsdienstleister sagt: Es ist in
00:52:32.610 --> 00:52:38.060
Ordnung, wenn man für das Hinterlegen der
Kreditkarte beim Zahlungsdienstleister
00:52:38.060 --> 00:52:42.560
einmal dieses 3D Secure Verfahren macht.
Und danach kann man als Shop quasi
00:52:42.560 --> 00:52:45.810
beliebig oft davon abbuchen, und der Kunde
muss dann nicht mehr nochmal irgendwelche
00:52:45.810 --> 00:52:48.690
TANs eingeben. Ist das überhaupt korrekt
so, weil dann sehe ich den Sinn dahinter
00:52:48.690 --> 00:52:53.920
nicht so ganz.
Henryk: Ja, für die erste Zahlung bei
00:52:53.920 --> 00:52:58.010
wiederkehrenden Zahlungen ja. Aber es muss
trotzdem jede Zahlung autorisiert werden.
00:52:58.010 --> 00:53:02.220
Bloß das für wiederkehrende Zahlungen
einfache Autorisierung reicht. Ich
00:53:02.220 --> 00:53:05.230
bin mir da aber auch nicht ganz sicher.
Frage: Das muss dann aber nicht über
00:53:05.230 --> 00:53:08.680
den Dienstleister gehen. Das reicht dann
einfach, wenn der Kunde im Onlineshop
00:53:08.680 --> 00:53:11.280
einmal klickt: Ja, diese Kreditkarte,
oder?
00:53:11.280 --> 00:53:15.270
Henryk: Genau, das kann mit Passwort, würde dann
reichen. Also nicht zwei Merkmale, sondern
00:53:15.270 --> 00:53:18.450
nur eins.
Herald: Entweder habe ich unseren Signal-
00:53:18.450 --> 00:53:24.060
Angel die ganze Zeit übersehen oder es
gibt gerade was Neues, bitte!
00:53:24.060 --> 00:53:28.190
Signal-Engel: Kam gerade erst die Frage.
Wärest du mit PSD2 glücklicher, wenn sie
00:53:28.190 --> 00:53:31.920
ein bisschen glücklicher, wenn es ein
bisschen Open Source wäre, die Zugang für
00:53:31.920 --> 00:53:37.300
Open Source Programme offen wäre? Oder sagt
es allgemein eher mäh gelaufen?
00:53:37.300 --> 00:53:40.820
Henryk: Na ja, es gibt relativ, es ist
relativ schwierig, diese Anforderungen
00:53:40.820 --> 00:53:44.150
grundsätzlich umzusetzen bei Software, die
der Anwender selber runter kompiliert und
00:53:44.150 --> 00:53:53.080
laufen lässt. Deswegen sehe ich nicht, wie
man das umsetzen könnte. Man müsste halt
00:53:53.080 --> 00:53:58.030
auf die Anforderungen verzichten, das die
Endpunkte durch qualifiziertes Zertifikat
00:53:58.030 --> 00:54:02.710
identifiziert werden. Und dann hat man nur
noch die Probleme. Die Benutzer haben mit
00:54:02.710 --> 00:54:07.600
dem ganzen TAN-Scheiss. Zumindest Open-
Source Entwickler keine Probleme mehr und
00:54:07.600 --> 00:54:13.980
der Userinterface Flow ist immer noch kaputt.
Frage: Ich wollte einfach nur
00:54:13.980 --> 00:54:18.190
nochmal anmerken. Die meisten hier
Anwesenden werden wahrscheinlich zwei
00:54:18.190 --> 00:54:25.280
Geräte besitzen. Aber gerade dieses ganze
2-Faktor wird ja ab ad absurdum geführt.
00:54:25.280 --> 00:54:29.010
Wenn ich mein Online-Banking auf demselben
Gerät mache, wo auch der TAN Generator
00:54:29.010 --> 00:54:36.770
ist, ist auch die App zu App trans-Integration die
manche Banken anbieten. Wird ja hier auf
00:54:36.770 --> 00:54:41.370
dem Kongress vor paar Jahren auch schon
mal gezeigt, dass das sinnlos ist, weil es
00:54:41.370 --> 00:54:45.950
irgendwo gehackt werden kann. Ist man da
irgendwie gesichert, wenn man das macht
00:54:45.950 --> 00:54:50.700
als Kunde? Die meisten haben ja doch nur
ein Gerät zu Hause und halten sich nicht
00:54:50.700 --> 00:54:53.910
dran, das man dann als Kunde eigentlich
der Gearschte diesbezüglich.
00:54:53.910 --> 00:54:58.890
Henryk: Es steht drinnen, dass es zwei
getrennte Geräte sein sollten oder oft auf
00:54:58.890 --> 00:55:02.500
dem Gerät. Das ist unter anderem einer der
Gründe für die Rootdetektion auf dem
00:55:02.500 --> 00:55:08.960
Gerät, für eine Trennung der. Es gibt da
einen Absatz, der irgendwie. Man müsse die
00:55:08.960 --> 00:55:12.640
Trennungssysteme des Betriebssystems
nutzen. Also ich vermute mal, das geht
00:55:12.640 --> 00:55:16.240
eher in Richtung Samsung Knox und nicht
auf normales Android. Aber eigentlich
00:55:16.240 --> 00:55:19.390
sollte normales Android ausreichen. Ich
bin mir nicht sicher. Ich glaube als dieser App-TAN
00:55:19.390 --> 00:55:25.940
Hack war da. Oder waren es auch gerootete
Geräte oder erweiterte lokaler Zugriff.
00:55:25.940 --> 00:55:29.950
Frage: Ich nutze so ein Open-Source-
Software, um so persönliche Finanzen zu
00:55:29.950 --> 00:55:33.480
tracken und habe das auf meinem Server
installiert. Erste Frage, bin ich jetzt
00:55:33.480 --> 00:55:40.010
schon Konntoinformationsdienstleister?
Der Entwickler hat gesagt, er möchte PSD2
00:55:40.010 --> 00:55:44.260
einbauen. Und wenn ich das richtig
verstanden habe, dann geht das gar nicht.
00:55:44.260 --> 00:55:49.200
Ich habe auch gelesen auf GitHub, er hat
sich irgendwo registriert, und ich habe
00:55:49.200 --> 00:55:55.270
aber nicht ganz verstanden, ob das geht.
Kann er überhaupt das jetzt so einbauen,
00:55:55.270 --> 00:55:59.040
dass ich das dann benutzen kann?
Henryk: Ja, die Registrierung war die
00:55:59.040 --> 00:56:04.420
HBCI-Registrierung. Ob du dann schon für
dich selber? Ich bin mir nicht sicher, ich
00:56:04.420 --> 00:56:07.910
glaube für dich selber. Ich bin mir nicht
sicher, ob da etwas von einem Dritten
00:56:07.910 --> 00:56:13.260
drinsteht. Da müsste ich nachgucken. Kann
ich so nicht beantworten. Müsste man ...
00:56:13.260 --> 00:56:16.980
Frage: Kann er denn PSD2 in seine
Software einbauen, dass es jemand benutzen
00:56:16.980 --> 00:56:19.020
kann?
Henryk: Ne, keine PSD2 API. Es wird immer
00:56:19.020 --> 00:56:21.010
über FinTs laufen, was du beschrieben
hast.
00:56:21.010 --> 00:56:23.540
Frage: Ok. Und wenn die Bank FinTS
abschaltet, bin ich im Arsch.
00:56:23.540 --> 00:56:29.760
Henryk: Ja, du kannst auf EBICS
wechseln. Herald lacht
00:56:29.760 --> 00:56:33.390
Frage: Hast du eine Vermutung, wer
hinter dem Ganzen steht? Warum die das
00:56:33.390 --> 00:56:38.050
gemacht haben? Weil ich meine
Sofortüberweisung alleine gegen die ganze
00:56:38.050 --> 00:56:41.150
Bankenlobby. Banken mögen das
offensichtlich nicht. Irgendwer muss es
00:56:41.150 --> 00:56:46.990
doch durchgedrückt haben.
Henryk: Ich weiß es tatsächlich nicht. Wir
00:56:46.990 --> 00:56:51.410
haben kurz vorher uns unterhalten, dass es
da so ein Slogan gab: Digital first,
00:56:51.410 --> 00:56:56.270
Bedenken second. Das könnte damit
zusammenhängen. Es klingt nach
00:56:56.270 --> 00:57:03.210
Fortschritt. Es wird halt besser.
Frage: Ich wollte noch einmal
00:57:03.210 --> 00:57:08.310
Fragen: Sind hier Organisationen oder
politische Akteure bekannt, die die
00:57:08.310 --> 00:57:14.010
Benutzerinteressen in irgendeiner Form
bündeln und versuchen zu kanalisieren? Wir
00:57:14.010 --> 00:57:17.220
versuchen da irgendwie ein bisschen Lobby
im Sinne der Nutzer und der User zu
00:57:17.220 --> 00:57:22.920
machen an der Stelle. Verbraucherschutz welche?
Henryk: Es gibt ein Voice-Verband der IT
00:57:22.920 --> 00:57:29.060
Anwendunger EV. Aber ich weiß nicht ob die
in dem Rahmen Aktivitäten haben. Mir wird
00:57:29.060 --> 00:57:32.080
gerade gesagt, dass sie eine Selbst-Hilfe-
Gruppe sind. Aber es ist... Alle lachen
00:57:32.080 --> 00:57:37.480
Du hast nur gefrat, das ist mir bekannt.
Antwort: ich kenne nur eine.
00:57:37.480 --> 00:57:42.270
Herald: Bitte. Scheint auch letzte Frage zu sein.
Frage: Du erwähntest die
00:57:42.270 --> 00:57:47.740
Registrierung für die Drittdienste. Ist es
nicht eigentlich auch eine Art Zulassung
00:57:47.740 --> 00:57:53.570
bei der BaFin und da kam doch gerade vor
ein paar Wochen auch Standards raus, was
00:57:53.570 --> 00:57:57.080
für Sicherheitsmaßnahmen da umzusetzten sind,
die auch möglicherweise geprüft werden .
00:57:57.080 --> 00:58:01.630
Und auch diese Zulassung
entzogen werden kann.
00:58:01.630 --> 00:58:04.970
Henryk: Genau. Deswegen seht auch da
"Registriert und Zugelassen", als
00:58:04.970 --> 00:58:08.480
Formulierung. Weil es für
Kontoinformationsdienstleister ein
00:58:08.480 --> 00:58:14.741
bisschen einfacher dann ist. Die Absätze 1
bis 6 außer Paragraphen 3 und dings gelten
00:58:14.741 --> 00:58:17.520
nicht für Kontoinformationsdienstleister
oder so ähnlich. Aber für alle, die
00:58:17.520 --> 00:58:21.770
weitergehend es machen, es ist mit
Zulassung und Bericht und vorige
00:58:21.770 --> 00:58:27.820
Registrierung und so weiter drin,
inklusive Entzug.
00:58:27.820 --> 00:58:34.220
Herald: Bist du glücklich? Du siehst nicht
glücklich aus.
00:58:34.220 --> 00:58:38.010
Signal-Engel: Ich habe sogar noch 2 auf
Twitter. 1) Kann ich irgendwie verhindern,
00:58:38.010 --> 00:58:45.500
dass mein Arbeitgeber meine Bankdaten an datev
weitergibt? Oder habe ich da keine Chance?
00:58:45.500 --> 00:58:51.060
Henryk: Lustige Frage, ich glaube nicht.
Frage: 2) Kannst du einen Ausblick
00:58:51.060 --> 00:58:55.160
geben? Siehst du Hoffnung, dass irgendwas
verbessert wird, oder müssen wir halt 20
00:58:55.160 --> 00:58:57.900
Jahre warten, bis das nächste neue Gesetz
kommt?
00:58:57.900 --> 00:59:02.820
Henryk: Da steht drin, dass die alle
X-Jahre evaluiert und aktualisiert werden
00:59:02.820 --> 00:59:07.720
sollen. Ab 2021 ist das nächste Mal.
Vielleicht wird nachgebessert. Ich bin da
00:59:07.720 --> 00:59:12.700
aber nicht so sehr hoffnungsvoll, weil
hier, wie gesagt, aus Sicht der zentralen
00:59:12.700 --> 00:59:19.630
Behörden nicht so nicht Cloud Anwendungen,
eher Nischenprodukte. Etwas auf seinem
00:59:19.630 --> 00:59:22.510
eigenen Rechner zu betreiben,
kommt aus der Mode.
00:59:22.510 --> 00:59:24.870
Herald: Jetzt aber wirklich die letzte
Frage.
00:59:24.870 --> 00:59:27.840
Fragender : Ich würde gerne an eine
vorherige Frage anknüpfen, nämlich ob es
00:59:27.840 --> 00:59:31.770
Institutionen gibt, die sich dafür
einsetzen, dass das Ganze gebessert wird.
00:59:31.770 --> 00:59:35.780
Ich arbeite jetzt für sofort, und wir sind
Sofortüberweisung. fröhliche Gelächter
00:59:35.780 --> 00:59:40.220
Wir sind aktiv dabei, mit nahezu allen
Banken in Europa und auch den nationalen
00:59:40.220 --> 00:59:44.140
Behörden zu diskutieren, dass es da
schnellstmöglich Änderungen gibt. Noch vor
00:59:44.140 --> 00:59:48.620
einer neuen Direktive, also in möglichst
naher Zukunft. Es gibt Leute, die sich
00:59:48.620 --> 00:59:52.600
dafür einsetzen.
Henryk: Sehr gut.
00:59:52.600 --> 00:59:54.810
Herald: Es könnte also sein, dass du die
Frage beantworten kannst, die ich vorhin
00:59:54.810 --> 01:00:00.830
gestellt habe. Ich komme gleich vor! Alle
Lachen
01:00:00.830 --> 01:00:02.390
Herald: Henryk Plötz! Vielen Dank!
01:00:02.390 --> 01:00:04.950
Applaus
01:00:04.950 --> 01:00:08.730
36c3 Abspannmusik
01:00:08.730 --> 01:00:32.000
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!