-
36c3 Vorspannmusik
-
Herald: Ich habe hier so ein Handy,
vielleicht habt ihr auch ein Smartphone.
-
Und ich habe eine App drauf und die
damit.. Ich habe so mehrere Konten bei
-
verschiedenen Banken, und ich habe so eine
App. Da sind die ganzen Konten so drin.
-
Und wenn ich wissen will, wie viel Geld
ich nicht hab, dann starte ich diese App
-
und gucke ich da so drauf, weil mein
Telefon mich sonst nicht erkennt. Und dann
-
kann ich halt sehen, wie wieviel Geld ich
auf den Konten habe und was ich für
-
Kontobewegungen hatte. Und dann,
irgendwann dieses Jahr lacht , hab ich
-
da nicht mehr gesehen, wie viel Geld auf
dem Konto hatte. Da kammen immer so Pop-
-
ups. Die haben gesagt: Ja, das
funktioniert jetzt nicht, weil hab ich
-
nicht verstanden. Aber was da immer drin
vorkam, das waren drei Buchstaben, eine
-
Zahl, und das hieß PSD2, und jedes Mal habe ich
gedacht, jetzt muss ich wieder aus der App
-
raus und muss wieder irgendwas machen, was
ich nicht verstehe. Und dann werden mir
-
SMSen geschickt, die ich irgendwo
eintragen muss und dachte: Was zum Teufel
-
soll dieser Scheiß? Und das Schöne ist:
Wir alle werden jetzt möglicherweise eine
-
Antwort auf die Frage bekommen, was dieser
Scheiß soll. Und falls nicht, dann kann
-
man hinterher persönlich zur Rechenschaft
ziehen. Sein Name ist Henryk Plötz. lacht
-
Applaus
-
Henryk Plötz: Ja, genau. Ich Ich versuche
die Frage zu stellen, was hat die PSD2 je
-
für uns getan? Und Antworten darauf zu
geben, in der Hoffnung, dass ich auch
-
herausfinden, was der Scheiss soll? Für
diejenigen, die, es ist einer der ersten
-
Vorträge, die hineingestolpert sind, ohne
zu wissen, worum es geht. Es geht um die
-
Richtlinie der EU 2015 2366 des
Europäischen Parlaments und des Rates vom
-
25. November 2015 über Zahlungsdienste im
Binnenmarkt zur Änderung der Richtlinie
-
und so weiter und so fort und fort. Das
ist die Zahlungsdienst, der Richtlinie 2,
-
und da dranhängt noch eine Handvoll
Delegierter Verordnungen, aber ganz massiv
-
die Delegierte Verordnung vom 27. November
für die technischen Regulierung Standards
-
für eine starke Kunden Authentifizierung
und für sichere offene Standards zur
-
Kommunikation. Das ist, was in der App die
ganzen Pop-ups verursacht hat. Warum bin
-
ich hier? Und warum erzähle ich euch etwas
zu diesem Thema? Ich bin Informatiker und
-
Sicherheitsforscher. Ich glaub, neudeutsch
sagt man Hacker dazu. Hab einen meiner
-
ersten Vorträge auf dem Kongress vor zehn
Jahren zu "Mifaire Classic" gehalten.
-
Seitdem einiges gemacht zu
Zutrittskontrollsystemen, RFID, Die
-
Spezialgebiet sind halt solche Arten von
Kommunikationsprotokollen. Ich bin auch
-
Open Source Entwickler. Also wenn irgendwo
ein Kommunikationsprotokoll rumliegt, dann
-
implementiert ich das manchmal unter
anderem HBCI. Dazu erzähle ich euch noch
-
ein bisschen was. Es gibt im Umfeld des
CCC eine Vereinswaltung, die entstanden
-
ist, die heißt byro von Rixx. Da habe ich
einige größere Dinge zu beigetragen, und
-
es gibt von Rami. Die beiden waren ja die
Kasse und der Vorverkauf von Rami eine
-
Python Implementierung von FinTS, ich
sage vielleicht noch, was das ist. Dazu
-
hab ich größere Dinge beigetragen. Und
dann die Kombination dabei ist das im
-
PlugIn byro-fints. Also eine Perspektive,
aus der ich das betrachtet, halt als Open
-
Source Entwickler. Ich bin auch Gründer
und Geschäftsführer. Vor zwei Jahren habe
-
ich mit einem Freund zusammen eine eigene
Firma gegründet "Digital Wolff und Plötz
-
GmbH und Co. Wir haben einen etwas
schwammigen, schwammige Selbstverständnis,
-
eigentlich sehr präzise Selbstverständnis,
das etwas schwieriger zu verstehen ist.
-
Dass die Digitalisierung in komplexen
Umfeldern. Wir entwickeln. Wir machen halt
-
Beratung, aber entwickeln halt auch
Software. Auf dieser Ebene gucke ich das
-
auch an bzw. andere Produkte. Für die
evangelische Kirche bauen wir den
-
digitalen Klingelbeutel. Wir sind jetzt
Zahlungsdienstleister. Zum Glück hat es
-
nichts damit zu tun. Ich bin. Ich freue
mich sehr, dass alles, was wir tun, an der
-
PSD2 vorbeigeschrammt ist, außer halt als
Privatkunde. Ich bin nämlich auch noch
-
neugieriger Nutzer. Wir haben gerade in
der Einführung gehört, dass jemand
-
durchaus eine App von mehreren Konten
haben könnte. Ich habe mal kurz
-
durchgezählt. Bei mir sind es neun
verschiedene Konten, weil ich auch noch
-
mehrere Hüte auf habe, also sowohl
Geschäftskunden, neun verschiedene Banken.
-
Konten sind es ein paar mehr. Als sowohl
geschäftliche Konten als auch
-
Privatkonnten bzw. Familien Konto. Als
auch ich bin in Vereinen, Vorstand,
-
Vereinskonten. Ich glaube sieben oder so.
Davon benutze ich auch regelmäßig. Der
-
Rest war halt so kostenloses Girokonto. Mal
ausprobieren, was die tun. Und dann sind
-
da halt 10 Euro drauf und man kann sehen,
wie die auf diese Umstellung reagiert
-
haben. Das hilft dann auch wieder beim
Entwickeln von Open-Source-Software. Wenn
-
man Testkonten hat und mal gucken kann,
was die Banken so anstellen. Agenda also.
-
Wir haben gerade gehört, worum es gehen
soll. Ich werde euch gleich den
-
wunderschönen vorher Zustand darstellen.
Die Begründungen geben, die die
-
Europäische Kommission gegeben hat, warum
diese Richtlinie veröffentlicht,
-
beschlossen werden sollte. Dann auf die
Frage antworten, was uns PSD2 wirklich
-
gebracht hat. In der Form, die schön ist
und dann in der Form. Was ist dann
-
tatsächlich herausgekommen? Ist mit einer
kurzen, kurzen Eingehen auf die Zeitlinie
-
und dann zu den diversen Problemen,
Ärgerungen, ja, Blutdruck kommen. Ich fand
-
das sehr schön. Als die zwei Minuten bevor
der Vortrag losging, war hier im Info
-
Beamer, eine Werbefolie für BTX. Irgendwo
hier stehen BTX Terminals, die man
-
ausprobieren kann. Es war ja nicht alles
schlecht in 2018 oder auch in den 80ern.
-
Schon seit den 80ern gibt es Online-
Banking für Privatkunden. In Deutschland
-
fing das halt so, in den frühen 80ern mit
BTX. Ich glaube der CCC hat ein bisschen
-
Geschichte mit BTX, der Eine oder Andere
wird sich erinnern. Es wurde 2007 leider
-
abgeschaltet, aber man hat bis dahin ganz
gut funktioniert. Daraus entstanden mehr
-
oder weniger direkt ist das sogenannte
HBCI-Buchstaben. Abkürzungen haben
-
vielleicht die meisten schon mal gehört:
Homebanking Computer Interface. Das ist
-
ein Datenübertragungen,
Kommunikationsprotokoll zum Austausch von
-
Bankdaten für Endanwender. Naja, komma
separierte Werte auf Drogen. Das hat
-
Semikolons als Trennzeichen, aber manchmal
sind dann auch noch Doppelpunkt
-
Trennzeichen und manchmal Pluszeichen
Trennzeichen. Was das... Ich habe es
-
implementiert. Es ist tatsächlich parsbar,
ich hätte es mir nicht gedacht. Es gibt durchaus
-
Protokolle, die nicht parsbar sind. Dies
gehört nicht dazu. Aber es erscheint mir
-
wie ein Zufall. lachen Es ist sehr
hierarchisch aufgebaut, die
-
Datenstrukturen sind hierarchisch, man
kann Dinge in Dinge, in Dinge tun. Aber es
-
gibt nur drei Ebenen von Trennzeichen, und
irgendwann sind dann die Trennzeichen
-
alle. Aber rein zufällig sind dann auch die
Ebenen alle. Das ist übergegangen, es
-
wurde immer wieder erweitert und
verbessert eingeführt 1998. Version 2.1
-
war, glaub ich, die erste brauchbare. Das
hat sich immer, wurde immer weiter
-
verbessert, ist übergegangen. HBCI
3.0 kennen die meisten, und dann wurde es
-
umbenannt in FinTS --- Financial
Transaction Services. Es war ursprünglich
-
ein rein deutsches Ding. Es ist ein rein
deutsches Ding. Mit FinTS haben Sie dann
-
versucht, das international einsetzbar zu
machen, unter anderem, in dem Sie es in
-
XML gegossen haben. Und ja, das XML ist
auch parsbar, aber doch eine der
-
unschönsten Implementierungen, wie man
sich das vorstellen kann. Es gibt auch
-
niemand, der das einsetzt. Ne, ist nicht
richtig. Es gibt tatsächlich eine zentrale
-
Liste, wo alle Banken drinstehen mit den
FinTS bzw. HBCI-Versionen, die sie
-
unterstützen. Sind ja. In Deutschland
erreicht man damit quasi jede Bank, manche
-
noch mit Version 2, ich glaub die Deutsche
Bank. Die meisten unterstützen Version 3,
-
und ich glaube, es gibt exakt einen Eintrag,
der FinTS Version 4 ankündigt. Wie gesagt,
-
benutzt niemand, 4. FinTS 3 total überall, weil
es damit erst der breiteren Öffentlichkeit
-
zugänglich wurde. Früher HBCI war ein
typisch deutsches Ding. Sehr schön, sehr
-
sicher. So, mit Smartcard in Computer
stecken. Dazu muss man erst mal die
-
Smartcard besorgen, eine PIN dafür haben,
einen separaten Berechtigungsvertrag bzw.
-
es gab auch ein Allternativverfahren, wo man
Disketten durch die Gegend... Briefe durch die
-
Gegend geschickt hat, auf denen RSA-Keys
abgedruckt waren. lachen Seit FinTS 3
-
gibt es auch als alternatives Verfahren
PinTan. Das ist, was die meisten in
-
Deutschland als Online-Banking kennen. Man
meldet sich mit seiner PIN an, hat dann
-
nur Lese Zugriff aufs Konto, und wenn man
eine Transaktion durchführen möchte,
-
braucht man einen Transactions
Autorisierung Nummer, eine TAN. Sehr
-
schön, sehr einfach. Leider demnächst tot.
Die Franzosen haben so etwas ähnliches wie
-
BTX. Sie haben minitel. Das ist aber auch
schon vor ein paar Jahren abgeschaltet worden.
-
Das ist so der Überblick für die anderen
Länder. Ansonsten wars das im Wesentlichen
-
an schönen, strukturierten Verfahren. Seit
den, seit der Mitte der 90 hier habe ich
-
einen Screenshot von Wells Fargo. Die
waren eine der ersten, die man hingeguckt
-
rechts oben Online-Banking anbieten 1995.
Man bemerke auch die Adresse. Das war vor
-
https, gab es einen Wildwuchs, das halt
viele Banken irgendeine Form von Online-
-
Banking angeboten haben, aber halt immer
durch das Web-Interface und immer mit
-
unterschiedlichen Formen von
Berechtigungs-Methoden und -Mechanismen .
-
Für Firmenkunden, sieht das Ganze noch
verwirrender bzw. besser aus. Das sind
-
halt alles nur die Privatkunden.
Firmenkunden haben schon schon wesentlich
-
früher angefangen, weil ja auch mehr
Transaktionen hatten, mit tatsächlich Disketten
-
durch die Gegend schicken, das
Datenträgeraustauschverfahren. Später gab
-
es dann Nachfolger BCS und das aktuelle
EBICS. Da werde ich dann gleich noch
-
drauf kommen, wenn ich die Situation bei
meiner Firma beschreibe, weil das mit dem
-
FinTS ist jetzt leider schade war. Es
ermöglichte damals interoperables
-
Multibanking. In FinTS selber sind
sogenannte Geschäftsvorfälle definiert.
-
Man kann halt nicht alle Banken
unterstützen alles. Aber man kann im
-
Wesentlichen abrufen, Kontoauszüge abrufen
oder Transaktionsliste. Man kann
-
Überweisungen einkippen oder Lastschriften
verursachen. Das ist das Wichtigste, was
-
man machen kann. Alle Banken haben noch
irgendwas anderes. Aber das Schöne ist, das
-
funktioniert eigentlich überall. Und dann
gibt es einfach auf meinem Handy eine App,
-
die das implementiert. Das Schöne daran
war, dass das Protokoll einfach frei im
-
Internet verfügbar war. Ursprünglich kommt
es von der ZKA der Zentrale Kreditausschuss.
-
Die haben sich irgendwann umbenannt und
haben sich bei der Bahn ein Beispiel
-
genommen und heißen jetzt DEKA. Die
Kreditwirtschaft einzelne Lachen oder
-
die deutsche Kreditwirtschaft je nachdem.
Da kann man die Spezifikation runterladen.
-
Wie gesagt, das ist prinzipiell parsbar.
Man kann es implementieren, ich habs
-
gemacht. Und dann braucht man nur noch
Benutzername und Pin, wie man sie von der
-
Bank erhalten hat und die gleichen
Zugangsdaten wie im Onlinebanking gelten.
-
Und man muss niemanden fragen, das finde
ich das Wichtigste, sondern muss niemand
-
fragen, wofür man eine Implementierung
schreibt. Man muss niemanden fragen, bevor
-
man die Implementierung benutzt. Ich habe
das für Vereinsverwaltungsoftware
-
geschrieben, das die gesamten Finanzen des
Vereins quasi vollautomatisiert
-
verarbeitet werden können, ohne dass
irgendjemand im Webinterface die Dinge
-
herunterlädt und irgendwo eingibt oder gar
abtippt. Das Schöne an diesem FinTS ist
-
eine der Eigenschaften von diesem FinTS
ist, dass es zukunftskompatibel ist. Man
-
kann halt, es gibt diese einzelnen
Datensätze, haben eine Versionsnummer, und
-
man kann dann jedes Mal eine neue Version
einführen. Der alte Datensatz funktioniert
-
weiterhin für die Banken oder die Software
nur das alte unterstützt. Man sieht daran
-
aber auch jedes Mal, wenn irgendwas in der
Geschichte passiert ist, wenn es neue
-
Regulierungen gab, die darauf Auswirkungen
hatten, dann kommt gibts halt eine neue
-
Version von z.Bsp. dem Datensatz zum
Anmelden, das dann plötzlich ein neues
-
Feld drin ist für ein SMS Abbuchungskonto.
Weil, ich weiß nicht genau wann das war,
-
2012 die EU beschlossen hat, dass der
Kunde das Konto angeben muss, von dem die
-
SMS Gebühren berechnet werden, die für die
AnmeldeTan benutzt werden. Später gab es
-
neue Veränderung, eine neue Versionen. Es
ist an der Stelle schön, dass man so quasi
-
in Fossilienmäßig sehen kann, was in der
Vergangenheit passiert ist, indem man sich
-
das Protokoll anguckt. Wie gesagt,
Multibanking war die wichtigste
-
Funktionalität um seine Finanzsoftware auf
deinem Computer oder deinem Telefon oder
-
auf deinem Server oder sonst wo zu haben
und sie funktioniert mit allen Banken in
-
Deutschland. Was gab es noch für der
andere wichtige Punkt für Endverbraucher
-
ist Onlineshopping. Ich möchte gerne
bezahlen. Ich brauche irgendeine Zahlung.
-
Da gab es gibt es immer noch Dienste wie
PayPal oder irgendwelche Wallit Dienste,
-
wo man auf eine beliebige Art vorher Geld
auflädt, das Geld ausgeben kann, was aber
-
nichts mit dem eigentlichen Bankkonto zu
tun hat. Was für den Verbraucher natürlich
-
wesentlich angenehmer ist, Konntobezogene
Zahlungsdienste, irgendwas, was direkt mit
-
meinem Konto, das ich sowieso habe,
verbunden ist. Am einfachsten für alle
-
Beteiligten ist die Vorkasse, kann man
halt vorher überweisen und kriegt dann
-
seinen Gut oder auch nicht. Am einfachsten
für den Verbraucher ist die Lastschrift,
-
verschickt halt der Versender das Gut und
belastet nachher das Konto. Beides nicht
-
so ideal. Deswegen gab es immer wieder
Versuche, andere Systeme einzuführen. Ich
-
glaube, die ersten waren die Niederländer
mit einem System, das so einen
-
integrierten Prozess anbot. Der Händler
kann das System ansprechen. Ihm sagen: Ich
-
hätte gerne von einem Benutzer so viel
Euro. Oder 2005, ja? Ich hätte gerne so
-
und so viel Geld von diesen Benutzer. Der
macht das dann auf der Webseite seiner
-
Bank mit den Zugangsdaten der Bank, gibt
den Betrag frei. Der Händler kriegt sofort
-
die Bestätigung, dass der Betrag
freigegeben wurde und kann sofort die Ware
-
losschicken. In Deutschland haben wir das
auch. Das kennt natürlich wieder keiner,
-
weil die Sparkassen sitzen es ein. Und
dann war's das fast. Das heißt Giropay,
-
und das ist, wie man Onlinezahlungen übers
Konto eigentlich machen würde. Parallel um
-
2006 entstand ein Dienstleister, ich hatte
vorhin einen anderen Namen, die
-
Sofortüberweisung. Das kennen Leute doch
noch, und man wundert sich ein bisschen,
-
dass überhaupt entstehen konnte. Also, ich
fand das Geschäftsmodell schon immer ein
-
bisschen komisch. Sofortüberweisung-in-
the-Middle. Der Benutzer gibt seine
-
Zugangsdaten, die er von seiner Bank
bekommen hat, auf der Webseite von
-
Sofortüberweisung ein. Sofortüberweisung
loggt sich bei der Bank ein. Macht, was
-
auch immer, gibt dem Händler halt
Bescheid, dass die Transaktion
-
durchgeführt worden ist und führt dem
Benutzer dann zum Händler zurück. Sie
-
geben ihr Indianerehrenwort, dass sie
nichts anderes tun, außer die Transaktion
-
freizuschalten und gegebenenfalls ein
Konto nachzuschauen, ob du Gebounste,
-
Überweisung oder sonst was hast.
Irgendeine Risikobewertung. Sie haben auch
-
TüV gibt TüV geprüften Datenschutz, der
TüV Saarland steht dafür gerade. Und wenn
-
ich mich richtig erinnere, haben sie sogar
dann doch noch etwas passiert, haben auch
-
noch eine Versicherung abgeschlossen.
eizelne Gelächter Falls das
-
Indianerehrenwort nicht reicht. Damals,
2012, verstieß das jetzt mal abgesehen vom
-
gesunden Menschenverstand auch gegen die
Teilnahmebedingungen für das Pin/Tan-
-
Verfahren, die ihr bei eurer Bank
unterschrieben habt. Ich habe hier das Mal
-
rausgesucht von der DKB. Der Teilnehmer
ist verpflichtet, die technische
-
Verbindung zum Onlinebanking der Bank nur
nur über die Internetseite der Bank oder
-
andere mitgeteilte Kommunikationswege
herzustellen. Um kurz zu illustrieren,
-
habe ich eine Abbildung aus der Wikipedia
herausgesucht. Eigentlich verstößt man
-
damit gegen die Bedingungen seiner Bank
und im schlimmsten Fall die Bank übernimmt
-
erst einmal nicht, garantiert nicht, dass
es funktioniert, übernimmt die Schäden
-
nicht. Es gab da dann so verschiedene
Banken, die versucht haben, das auch
-
technisch zu unterbieten, zu verbieten.
Ich habe da keine Bestätigung, aber ich
-
hörte die Geschichte, dass die Sparkasse
wohl versucht hätte, die Zufgriffe, die
-
Sofortüberweisung auslöst, zu blockieren,
indem sie die IP-Adresse sperren,
-
woraufhin dann drei Stunden später die
Zugrffe von drei anderen IP-Adressen kamen.
-
Da gab es auch juristische
Auseinandersetzungen, weil die Sparkasse
-
vorher, wie ich auf der vorherigen Folie
gezeigt habe, ein eigenes System anbot,
-
das als Mitbewerber gesehen werden kann.
Auch wenn es technisch halt richtig
-
rum ist, im Gegensatz zur
Sofortüberweisung, die falsch rum ist.
-
Deswegen wurde Ihnen dann verboten zu
versuchen, die Sofortüberweisung zu
-
torpedieren. Das zog auch so langsam ein.
Ich habe deswegen die DKB von 2012
-
rausgesucht, weil ich mich erinnere. Mein
Konto ist schon ein bisschen länger, dass
-
ich irgendwann AGB Änderungen mitgeteilt
bekommen habe. Da haben Sie halt diesen
-
Absatz einfach gestrichen. Und statt
dessen stand dort. "Sie dürfen die
-
Zugangsdaten nur auf der Webseite der DKB
eingeben, oder einem anderen von uns
-
autorisierten Zahlungsdienstleister siehe
Anhang." Der Anhang enthielt genau eine
-
Zeile "Sofortüberweisung.de", so nebenbei.
Um herauszufinden, was die Bedingungen von
-
2012 waren, musste ich bei mir bei der DKB
mal einloggen, um mein Postfach zu gucken,
-
wie wir gleich sehen werden, braucht man
zum Einloggen neuerdings manchmal eine TAN.
-
Dazu gibts den TAN Generator, der ein
Passwort will, das ich natürlich nicht
-
mehr wusste, aber gar kein Problem, es hat
einen Rücksetzfluß. Man kann sich einfach
-
eine SMS schicken lassen und den TAN
Generator zurücksetzen und dann
-
funktioniert es wieder. OK, glaube, das
Passwort brauche ich mir nicht merken. So das
-
war der Zustand bis Anfang diesen Jahres,
bis Mitte dieses Jahres. 2015 kam diese
-
Zahlungsrichtlinie heraus, und das ist die
Begründung, warum die herausgebracht wird,
-
die dort stehen. Unter anderem seit der
vorherigen Richtlinie 2007, die PSD, die
-
Zahlungsrichtlinie, nicht die
Zahlungsrichtlinie 2, sind neue Arten von
-
Zahlungsdiensten entstanden. Vor allen
Dingen Zahlungsauslösedienste. Ein anderes
-
Wort für Sofortüberweisung. Oder
Kontoinformationsdienste. Diese Richtlinie
-
soll darauf abzielen, die Kontinuität im
Markt sicherzustellen. Mit anderen Worten
-
Diese Richtlinie ist in keiner Form
gedacht oder geeignet, irgendeinen der
-
bisherigen Player am Markt zu
benachteiligen oder zu disruptieren.
-
Ich las irgendwann mal den schönen Satz
Lex-Sofortüberweisung. Hier ist die
-
Gegenüberstellung von der
Zahlungsdiensterichtlinie 2007 und
-
Zahlungsdiensterichtlinie 2 2015. Die
haben relativ langes Zeugs und unglaublich
-
komplizierte Sätze an einigen Stellen. Man
muss so 2 Minuten lang lesen, um
-
herauszufinden, dass das... A. Diese
Richtlinie gilt nicht für Geldabheben im
-
Supermarkt. Der Satz, der das beschreibt
ist vier Zeilen lang. Es gibt einen
-
Anhang, der steht, worauf sie sich
bezieht. Die ersten Paar sind gleich
-
geblieben, und in
Zahlungsdiensterichtlinie 2 sind
-
neuerdings Zahlungsauslösedienste und
Kontoinformationsdienste hinzugekommen. Und
-
dann noch ein paar Regeln dazu. Was hat also
diese PSD2 gebracht? Die neuen Kategorien des
-
Zahlungsauslösedienstleisters und des
Konto-Informationsdienstleisters, neue
-
Sicherheitsmaßnahmen. Das ist der Teil,
den die meisten mitgekriegt haben. Die
-
sogenannte starke Kundenauthentifizierung
SCA, Strong Customer Authentification.
-
Damit zusammenhängend eine ganz
merkwürdige 90-Tage-Regelung, die keiner
-
so richtig versteht und nur manchmal
angewendet wird. Ich weiß nicht, ob das
-
haben die wenigsten mitgekriegt, ausser
wenn Sie sich geärgert haben, dass Timeout
-
im Onlinebanking ist heruntergesetzt worden
auf fünf Minuten. Wenn man nicht alle fünf
-
Minuten etwas anklickt, zum Beispiel, weil
man gerade versucht TAN Generator heraus-
-
zusuchen, wird man ausgeloggt, und muss sich
wieder einloggen und eine TAN eingeben. Es
-
gibt, das ist tatsächlich ganz positiv, neue
Transparenzpflichten. Das ist so der Teil,
-
den die wenigsten mitkriegen, weil man das
mal so abnickt. Da steht dann drin, dass
-
alle Dienstleister jetzt auch dieses Mal
ordentlich und transparent darüber
-
Auskunft geben müssen, welche Kosten
entstehen, welche Gebühren entstehen, die
-
Gebührenstruktur nachvollziehbar sein
soll, dass man sie auf einem dauerhaften
-
Datenträger ausgehändigt bekommen muss. Es
gibt in der PSD2 neue Meldepflichten, zum einen
-
an die Bundesbank bzw. die Bankenaufsicht.
Zum anderen vor der Aufnahme des Betriebs
-
muss man sich registrieren lassen. Das
finden glaube ich alle ganz gut. Wir hatten mal
-
ein Meeting bei der Bundesbank, die meinten,
das fanden sie ganz toll, dass sie jetzt
-
diese Daten über den Finanzmarkt kriegen und
die Finanzmarktstabilität besser
-
einschätzen können. Besser bewerten
können, weil für einen Dienstleister nach
-
dieser Richtlinie jetzt sehr ausführlich
vorgeschrieben ist, welche
-
Risikokategorien, welche Risikobewertung
er machen muss und in welcher Form er
-
diese Daten dann nach oben melden muss
auch was Betrugsversuche und erfolgreichen
-
Betrug angeht. Und es gibt neue
Schnittstellen. Naja, mehr oder weniger.
-
In der Zahlungsdiensterichtlinie bzw. tech-
nischen Durchführung ist von dedizierten
-
Schnittstellen für Zahlungsauslösedienste
bzw. Kontoinformationsdienste die Rede, die
-
angeboten werden müssen. Neudeutsch sagt
man dazu API. Das ist dann das, was unter
-
PSD2 API überall läuft. Es steht
allerdings nicht drin, wie der aussehen
-
soll, nur was sie leisten können. Die
neuen Kategorien. Wie gesagt,
-
Zahlungsauslösedienst ist jemand, der im
Auftrag von jemandem eine Zahlung auslöst.
-
Also Sofortüberweisung.de oder theoretisch
auch andere. Aber man muss bestimmte
-
Voraussetzungen erfüllen, um überhaupt in
diese Kategorie fallen zu können. Das hält
-
unter anderem eine ganze Menge
Eigenkapital und Zertifizierungen und so
-
weiter. Und Kontoinformationsdienste.
Damit ist das, was wir früher unter
-
Multibanking gekannt haben. Ich bin mir
nicht ganz sicher, welche wie die Leute
-
drauf waren, die das formuliert haben oder
geschrieben haben. Aber sie hatten
-
offensichtlich kein Handy, auf dem sie
eine App installiert haben, wo man alle
-
seine Konten hat, sondern sie haben es
auf einer Webseite gemacht. Es ist also
-
neuerdings vorgesehen, dass ein online
Anbieter, eine Webseite, ein Portal halt sich
-
auf alle meine Konten einloggt und mir
dann auf der Webseite anzeigt, wie mein
-
Finanzstatus ist. Dazu muss sie natürlich
sich überall einloggen können. Und dann
-
braucht man neue Richtlinien, Regulierung
und den ganzen Kram. Ein kurzer Blick
-
zurück, wie man sich das dachte. Ich habe
beim Recherchieren, ich fand es total
-
toll, ein Screenshot von Heise aus dem
Newsticker vom Jahr 2000. Das stimmt
-
nicht. Das Datum ist falsch. Ich glaube,
es war 2016. Ein Screenshot von 2016, wie
-
wir uns die schöne neue Zukunft mit PSD2
vorstellen. Aktuell muss man durch ein
-
Bezahldienstleister gehen, der mit meiner
Kreditkarte zur Bank geht. Neuerdings kann
-
der Online-Shop via PSD2-API direkt auf
das Bankkonto zugreifen. Ja, ne. *einzelne
-
Kommentare* Ich nenne das die Lüge von der
dritten Partei. Ein kurzer Blick, wie wir
-
das bei uns einer Firma hatten. Wir haben
Abrechnungssoftware, Personalverwaltung,
-
Lohnbuchung, den ganzen Kram. Die hat dann
einfach über FinTS mit meiner Bank
-
geredet. Ein Rechner, der bei mir in
meiner Firma steht, der gehört mir, da ist
-
Software drauf installiert, die ich
gekauft habe. Und da ist mal meine Bank,
-
und dazwischen ist halt ein
Vertrauensverhältnis, weil das meine Bank
-
ist und ich gebe irgendwie meine
Zugangsdaten meiner Bank. Und dann
-
funktioniert das hervorragend. Das ist zum
14. September 2019 abgeschaltet worden.
-
Datev hat uns gesagt, Sie haben einen
neuen Kooperationspartner, die FinApi
-
GmbH. Das heißt, neuerdings läuft das so,
dass die Daten meiner Firma erstmal an das
-
Datav Rechenzentrum gehen, von dort an die
FinAPI GmbH, die dann die API
-
implementiert, die meine Bank implementiert.
Ich weiß nicht, ich kann es hier vorne ganz
-
gut sehen, aber das Logo der FinAPI GmbH, ist
deswegen sehr schön weil da steht Schufa
-
Comany. FinApi hat sich aufkaufen lassen
bzw. Mehrheitsbeteiligung der Schufa Holding
-
GmbH. einzelne Gelächter In der schönen
neuen Welt gehen alle meine Daten jetzt
-
mal nicht abgesehen davon, dass sie durch
Datev gehen, auch noch durch die Schufa,
-
die natürlich verpflichtet sind, damit
nichts Böses zu tun. Allerdings habe ich
-
mit der Schufa irgendwie auch keinen
Vertrag dazu abgeschlossen, sondern ich habe
-
meinen Vertrag mit jemandem anderen,
deswegen nicht so schön. Überall wird
-
immer von Drittdienstleistern gesprochen,
das heißt immer die dritte Partei
-
implementiert halt PSD2 API. Das ist ja
falsch! Sind ja immer vier Parteien
-
beteiligt. Es ist ja immer ich, ich kann
mal, ich darf nicht mich vorbeugen ich
-
nehme mal diesen Laserpointer hier, es ist
ja immer ich daran beteiligt es ist ja
-
immer meine Bank daran beteiligt sind wir
schon bei zweien. Dann gibt es irgendwas
-
was ich in Wirklichkeit machen möchte.
Also meinetwegen Zahlungen, das wäre dann
-
meinetwegen Zahlungen. Das wäre hier so
irgend eine Partei. Aber de facto muss es immer
-
immer eine vierte Partei geben, einen
neuen Gatekeeper, der dann die API
-
tatsächlich implementiert. Ich sag gleich
warum. Aber im Wesentlichen läuft es
-
darauf hinaus, dass die hier einen
bevorzugten Zugang zu allen Banken
-
erhalten, der nicht so einfach auf einer
der anderen drei Ebenen, zum anderen
-
beiden Ebenen zu implementieren ist. Es
gibt aber eigentlich immer eine vierte
-
Partei. Es gibt quasi keinen Anwendungs-
fall, der mir einfällt, wo es nur drei
-
Parteien sind, außer vielleicht
der Kontoinformationendienstleister, der
-
selber ein Webportal betreibt, auf dem ich
meinen Kontostand einsehen kann. Der
-
einzige Fall, der einem einfällt, wo es
nur drei sind. Die PSD2 API schreibt, wie
-
gesagt, einen offenen Zugriff vor. Naja, offen
ist halt so gemeint wie ein Bürokrat das
-
als offen versteht. Es ist kein
Vertragsverhältnis erforderlich zwischen
-
den Banken und den Leuten, die darauf
zugreifen, das ist schon mal ganz gut. Die
-
Banken sind verpflichtet, ein API
anzubieten, aber es steht halt nur, dass
-
es verfügbar sein muss und was es leisten
können muss und dass es genauso gut sein
-
muss wie der Zugriff, den die Bank dem
Kunden direkt anbietet. Und die gleichen
-
Servicelevel Agreements erfüllen muss, die
gleiche Verfügbarkeit haben muss. Es steht
-
nicht drin, wie es tatsächlich
ausgestaltet ist. Es steht nicht drin,
-
welche Spezifikation dies erfüllen soll.
Das führt dazu, dass nicht jede Bank
-
entwickelt ihr eigenes API. Die haben gar
keine Lust darauf. Die kaufen schon noch
-
APIs von externen Dienstleistern diese
Funktionalität ein. Aber dennoch gibt es
-
eine größere Handvoll an verschiedenen
APIs, die von verschiedenen Banken
-
eingesetzt werden. Die, wenn ich also,
wenn ich eine Funktionalität
-
implementieren möchte, die auf
Zahlungskonten zugreift, muss ich sie
-
eigentlich alle implementieren. Oder ich
nehme mir einen zusätzlichen Dienstleister
-
wie die FinApi dazu, der dann für mich
alle implementiert. Es gibt ein quasi-
-
Standard. Die Berlin Group hat sich
zusammengesetzt, um eine PSD2 API zu
-
spezifizieren, die jeder implementieren
kann, wo dann alle Seiten nur einmal das
-
machen müssen. Die Webseite ist ein
bisschen schlimm, ist relativ schwierig,
-
den Standard herunterzuladen. Aber das ist
mittlerweile der quasi-Standard. Es gibt
-
noch keinen echten Standard. Voraussetzung
dafür ist, um die PSD2 API nutzen zu
-
können, dass ich ein lizensierte bzw.
registrierter Dienstleister bin. Gute
-
Nachricht, ich hab nicht notwendigerweise
Eigenkapitalanforderungen. Also, ich als
-
Privatperson kann es leider nicht machen,
aber zumindest meine juristische Person
-
kann ich schnell gründen ohne
Eigenkapital. Wenn ich eine
-
Berufshaftpflichtversicherung abschließen.
Das gilt auch nur für
-
Kontoinformationsdienstleister. Sobald ich
Zahlungsauslösedienst sein möchte, muss
-
ich 50.000 Euro Eigenkapital Anfangskapital
hinlegen. Die meisten Dienstleistungen
-
oder die meisten Funktionen, die ich mir
vorstellen könnte, machen mit nur
-
Kontoinformation nicht so viel Sinn. Wenn
ich an meinem Beispiel des Vereins denke,
-
wenn ich die Vereinsverwaltung mache,
möchte ich halt sowohl Zahlungseingänge
-
verbuchen können als auch mindestens
Lastschriften auslösen können. Und da bin
-
ich schon Zahlungsauslösedienst, und der
Zug ist abgefahren in meinem Verein hat
-
keine 50.000 Euro. Plus Zugang ist offen.
Solange ich ein qualifiziertes
-
elektronisches Zertifikat habe, das mich
als registrierter Zahlungsauslösedienst
-
ausweist. In der gesamten Spec kommt das
Konzept. Dies ist kein Cloud-Dienst. Dies
-
ist eine Software, die ich herunterladen
und ausführen kann, einfach nicht vor.
-
PSD2 API ist komplett nutzlos für Leute,
die Software auf ihrem eigenen Rechner
-
ausführen wollen. Was kann sie denn noch?
Neu dazugekommen ist schon Customer
-
Authentification, das ist das mit dem
Blutdruck. Neuerdings kann manchmal Ich
-
komme gleich drauf, Strong Customer
Authentication gefordert werden, und
-
das bedeutet, dass mindestens zwei der
Elemente Wissen, Besitz und Inhärenz
-
benutzt werden müssen. Inhärenz ist das
fancy Wort für Biometrie. Müssen benutzt
-
werden und müssen voneinander unabhängig
sein. Dann steht da also Kram drin. Unter
-
anderem steht da auch drin, dass nach fünf
Fehlversuchen der Zugang gesperrt werden
-
muss. Die Abmeldungen nach fünf Minuten
Inaktivität kommt auch darin vor.
-
Verpflichtend ist eine dynamische
Verknüpfung der Customer Authentication
-
mit dem jeweiligen Vorgang. Das heißt,
iTAN Listen sind halt absolut verboten. Es
-
muss in jedem Fall der Code auf irgend
eine Art mit dem Betrag den ich überweisen
-
möchte verbunden sein. Hier steht auch die
Formulierung, dass dafür gesorgt werden
-
muss, dass Mechanismen vorhanden sind, die
sicherstellen, dass die Software oder das
-
Gerät nicht vom Zahler oder einem Dritten
verändert wurden. Es war dann das wo ich
-
meinen Blutdruck gekriegt habe, weil ich
mein Android-Telefon natürlich gerootet
-
habe, unter anderem um Backups machen zu
können und mir die App dann
-
freundlicherweise sagt "Ja ne, ist nicht,
ist ja gerootet". Und dann überlegt man
-
sich nochmal, was gerootet bedeutet, na ja
bedeutet, dass das Telefon unter anderem
-
in der Lage wäre, über seinen Zustand zu
lügen. Die App möchte nicht funktionieren
-
auf einem Telefon, das in der Lage wäre,
über seinen Zustand zu lügen, es sei denn
-
natürlich, das Telefon lügt über seinen
Zustand so gut, dass die App dann doch
-
wieder funktioniert. Das war dann für mich
die Motivation doch mal magisk
-
auszuprobieren, dass ein hinreichend
erfolgreiche Rootdetectionsverhinderung
-
hat, wobei es dann wieder zu so einer
Waffen Spirale kommt, das mit zunehmenden
-
App Updates die Detection besser wird was
dazu führt, dass die Leute die die
-
Detection verhindern, wieder besser werden
und ich dann am Ende doch ein zweites
-
Gerät habe lächelt, auf dem ich die Tan
Apps ausführe, die sich zurzeit nicht
-
austricksen lassen und am Ende halt für
vollkommenen Unfug. Wird noch besser. Das
-
Feature nennt sich "Surprise SCA". Bisher
war die Sache einfach. Ich habe mich mit
-
der PIN angemeldet, dann hab ich einen
read-only Zugang gekriegt. Wenn ich
-
irgendwas read-write-mäßiges machen
wollte, musste ich eine TAN eingeben, die
-
auf diesen Vorgang bezogen war. Jetzt
brauche ich die TAN für wesentlich mehr.
-
Und zwar brauche ich die TAN teilweise zum
Anmelden, also die genaue Formulierung
-
die genaue Formulierung ist zum Zugriff
auf Kontodaten oder sensible Kontodaten,
-
damit ist halt in der Regel Anmelden in
der App beziehungsweise im Web-Interface
-
gemeint, ausser manchmal. Es gibt vier
oder fünf Seiten in der technischen
-
Richtlinie, die Ausnahmen beschreiben.
Also zum einen darf ich die SCA weg lassen
-
wenn ich nur Zahlungskontoinformationen
bis 90 Tage alt abrufe, außer beim ersten
-
Mal oder wenn das letzte Mal mehr als 90
Tage her ist. Da kommen die 90 Tage her,
-
du musst die TAN alle 90 Tage eingeben,
weil dann die Ausnahme garantiert nicht
-
mehr gilt. Bei kontaktlos Zahlungen sind
es 50 Euro. Die ohne PIN bzw. Strong
-
Customer Authentification, weil den Besitz
habe ich ja durch die Karte immer
-
gewährleistet, die ohne zusätzliche PIN
möglich sind. Ausser es sind schon 150€
-
vergangen seit dem letzten Mal.
Parkgebühren sind grundsätzlich ohne SCA,
-
das ist sehr angenehm. Vertrauenswürdige
Empfänger sind ohne SCA, ausser natürlich
-
der Vorgang, vertrauenswürdige Empfänger
zu definieren. Wiederkehrende
-
Zahlungsvorgänge ab dem zweiten Mal kann
ich auch ohne machen. Überweisungen auf
-
ein anderes Konto derselben Person können,
ohne sein. Kleinstbetragszahlung bis 30€
-
können ohne sein, außer manchmal.
Unternehmen fallen eher ganz raus das war
-
dann unsere Lösung gegen das FinTS FinAPI
Fiasko. Es gibt einfach EBICS, da ist dann
-
quasi nichts drin. Es ist dann so, man
wirft die Zahlung dahin und wenn die halt
-
von der Firma kommen, dann werden die halt
so stimmen. Da braucht niemand mehr
-
irgendwo eine TAN eingeben und
Transaktions Risikoanalysen, die
-
modifizieren den ganzen Kram wieder. Also
die können dann sowohl bei bisherigen
-
Ausnahmen die SCA wieder erfordern als
auch, man kann halt sagen, na gut, die
-
Zahlung hat ein so geringes Risiko, dass
ich dann doch wieder keiner SCA brauche.
-
Außer natürlich die laufende Berechnung
der Betrugsraten, die ich verpflichtet bin
-
durchzuführen. Ergibt, das eine höhere
Betrugsrate eingesetzt hat, da muss ich
-
wieder dauernd SCA machen.
Schlussfolgerung: In Summe ist es von
-
außen nicht vorhersehbar, wann eine TAN
verwendet werden muss. Das macht beim User
-
Interface Design. Ich weiß nicht, wie viele sich
mal damit beschäftigt haben. Natürlich
-
besonders viel Spaß. Also, ich hab das in
Byro, das ist eine Web-App. Ein bisschen
-
schwierig, wenn man irgendwie auf SUBMIT
drückt und dann passiert halt nicht das,
-
sondern da kommt erst mal: Übrigens musst
noch eine TAN eingeben. Das ist für den
-
User natürlich total verwirrend, weil der
sich auf nichts mehr verlassen kann. Er
-
kann halt nicht mehr vorhersehen, was
passiert, wenn er ein Knopf drückt. Das
-
ist für automatisierte Dienste, die FinTS
benutzen wollen, total unmöglich, weil ich
-
selbst von den Vorgängen, von denen ich
bisher ausgegangen bin, dass sie zum
-
Beispiel read-only sind und keine TAN
brauchen. Wenn ich also zum Beispiel die
-
Kontoeingänge bei meinem Verein laufend
verbuchen möchte und einen Cronjob starte,
-
der alle x-Tage mal abruft, kann es
passieren, dass dann trotzdem wieder Mal
-
eine TAN nötig ist. Ich kann halt auch
nicht den Zugriff unterdrücken. Ich weiß
-
es halt nicht vorher. Es kann halt
irgendeinen ein Sonderfall eingetreten
-
sein. Und wenn man dann so einen
Pushdienst verwendet, ist es
-
halt toll, weil derjenige, dem der Zugang
gehört, dann plötzlich eine Push-
-
Nachrichten kriegt. Und es ist nicht ganz
zu unterscheiden, ob das jetzt derselbe
-
aufgesetzte, automatisierte Vorgang war
oder ob es irgendein anderer Bösewicht.
-
Die verschiedenen Banken handhaben das
auch sehr unterschiedlich. Bei der DKB zum
-
Beispiel muss man jedes Mal eine TAN
eingeben, wenn man sich irgendwo einloggt.
-
Bei der Sparkasse nicht. Die Sparkasse
macht Gebrauch von den 90 Tagen Ausnahmen.
-
Dafür muss man bei der Sparkasse die TAN
eingeben, wenn man einen Suchvorgang
-
startet, der mehr als 90 Tage
beinhaltet. Die DKB hat gesagt, dass es
-
Ihnen zu umständlich. Deswegen fragen Sie
immer nach der TAN. Außer man hat halt,
-
dann sind danach alle Transaktionen ohne
TAN. Ausser natürlich es sind wieder fünf
-
Minuten vergangen. *Stimmen im Publikum"
Euch fällt auf, das passiert eigentlich
-
nur bei solchen EU-Richtlinien oder
solchen EU-Regulierung. Ich weiß nicht,
-
wer ein PayPal-Konto hat, PayPal hat seit
immer kein 2-Faktor-System. Die machen
-
einfach irgendwas: Keine Ahnung die machen
auch Transaktionsrisiko und Zeugs. Die
-
wissen halt, dass so eine TAN eigentlich
nur dazu führt, dass der Nutzer den
-
Prozess im Zweifelsfall einfach abbricht,
was halt bei Zahlungen doof ist, weil dann
-
die Einnahmen entgehen. Das ist einer der
Gründe, warum PayPal das nicht hat und
-
Leute immer wieder sagen "Ihr seid doch so
unsicher" und am Ende naja eigentlich
-
nicht offensichtlich, weil sie sind ja
noch am Markt. Der Effekt Multi-Banking
-
haben wir gehört. Ich habe eine App, wo
ich alle meine Dinge drin hat. Führte
-
dazu, dass ich Multifaktor habe. Hier den
Dilo Delwitz Witz einfügen. Das sind die
-
TAN-Generierungsapps im Wesentlichen, die
ich auf meinem Telefon habe. Ich habe
-
neulich mal in meiner, ich glaube kurz
nach dem 14. September in meiner
-
Online-Banking-App versehentlich auf alle
Konten aktualisieren gedrückt, was dazu
-
führte, dass ich acht, neun verschiedene
TANs eingeben musste, eine davon zweimal
-
auf vier verschiedenen Modalitäten. Also
ich habe ja auch noch TAN-Generatoren mit
-
ChipTAN, was ja eigentlich das bessere
Verfahren ist. Da muss man halt
-
raussuchen. Aber ist ja nicht so schlimm,
weil macht man ja nur, wenn man eine
-
Überweisung durchführt. Und die DKB hat
Ihr Kreditkartenkonto von FInTS jetzt abgehängt,
-
das heißt, die Software, die ich verwende,
macht dann Webcalling, was die alte
-
Methode war, um Finanzdaten abzurufen.
Wozu dann nochmal ein separater TAN-
-
Eingabe nötig ist, um sich im Webinterface
anzumelden. Ich habe seitdem nicht nochmal
-
auf alles Abrufen gedrückt. Ich sollte das
mal irgendwann wieder tun. Ich muss mich
-
bloß vorbereiten. Stimmen im Publikum
Genau. Zeitlinie, also die Richtlinie vom
-
25. November. Sie ist technisch gesehen im
Januar 2016 in Kraft getreten. Das
-
bedeutet, da gibt es eine 2-Jahresfrist,
die ist 2018 in nationales Recht umgesetzt
-
worden. Das Zahlungsdiensteumsetzungs -
gesetz in Deutschland. Da steht bloß Copy
-
und Paste von der Richtlinie drin. In der
Richtlinie ist eine Verordnung delegiert
-
worden, was die technische Umsetzung
angeht von 2017. Und jetzt kommen wir
-
Warum ist es eigentlich alles am 14.
November? 14. September explodiert? Weil
-
die Frist am 14. September wird diese
delegierte Verordnung gültig. Sechs Monate
-
vorher hätten die Banken eine Testumgebung
zur Verfügung stellen müssen, damit
-
Softwareentwickler, die nicht der Größte
am Markt sind, das mal testen können. Es
-
gibt eine Fallbacklösung, falls man sich
außerstande sieht, eine PSD2 API
-
anzubieten oder da irgendwas nicht ist,
oder ein Notfall eintritt, wobei Notfall
-
glaube ich definiert ist als fünf Vorgänge
haben mehr als 30 Sekunden Latenz, dürfen
-
Zahlungsdienstleister also die
Kontoinformationsdienste oder die
-
Zahlungsauslösedienste ein Fallback
benutzen, nämlich das Interface, was der
-
normale Kunde benutzt. Da sind wir wieder
beim Webcalling. Wenn die Banken das
-
nicht möchten, müssen sie mindestens drei
Monate am Stück die normale PSD2-API zur
-
Verfügung stellen. Das heißt, Sie hätten
im Juni die PSD2-API produktiv laufen
-
müssen haben müssen, um von der
Ausnahmeregelung ausgenommen zu werden.
-
Ich glaube, das hat keiner. Am 14.
September ist dann alles explodiert. Dann
-
wurde die Durchführungsverordnung gültig.
Die Delegierteverordnung gültig, was dazu
-
führte, dass noch nicht sofort alles
explodiert ist. Erstmal sind nur
-
Transaktionen und Onlineanmeldung, weil
manche Banken haben tatsächlich davon
-
Gebrauch gemacht, dass da irgendwo 90 Tage
steht. Und wenn man sich halt am 13.
-
September angemeldet hat, dann war man ja
angemeldet. Ja, das war dann am 13.
-
Dezember vorbei. Das heißt spätestens seit
dem 13. Dezember hat jeder der
-
Online-Banking benutzt Spaß. Gibt kleinere
Problemchen. Die Anmeldefluß für
-
2-Faktor-Apps sind oft kompliziert, der
Support etwas überlastet. Bei der Postbank
-
habe ich das Problem, dass ich neu etwas
unterschreiben musste, weil ich als
-
Vereinskonto, das war das doofe, es ist
ein Gemeinschaftskonto, war ja früher
-
nicht so schlimm. Man teilt halt einfach
die Pin, und nur einer kriegt die
-
Chipkarte für die TAN-Generierung.
Neuerdings müssen halt alle
-
Gemeinschaftskonten extra Personenaccounts
für jeden, der Lesezugriff haben soll
-
haben. Bei der Postbank lief es darauf
hinaus, dass ich unterschreiben musste und
-
die meine E-Mail nicht angenommen haben.
Der Mailserver hat gemeint "Aufgrund der
-
hohen Betrugsraten können Sie zurzeit keine
Mail annehmen." Gelächter Moment,
-
nachdem ich den Support gefragt habe, ich
habe tatsächlich telefonisch was erreicht,
-
meinte er, faxen sie es uns. Das habe ich
vorgeschlagen Faxen. Das habe ich gemacht.
-
Das hat auch nur vier Wochen gedauert. Es
hat funktioniert. Andere Leute haben
-
andere Probleme, irgendwie. Geräte,
Wechsel, Verlust ist ein bisschen
-
schwierig. Ich habe mit jemandem geredet.
Ich habe gesagt, ihr habt ja im vorigen
-
Screenshot gesehen, welches Handy verliere
oder auch nur tauschen möchte, muss ich
-
halt acht verschiedene Apps neu
einrichten, teilweise in acht Schritten.
-
Ich habe gerade jemandem geholfen, bei der
Apobank seine TAN-App einzurichten, weil es
-
halt dreimal nicht geklappt hat. Der Knopf
Brief generieren mit dem Bestätigungscode
-
der hat immer funktioniert. Da kam ein neuer
Brief. Aber es war nicht zu sehen, wo man
-
den Bestätigungscode eingibt, bis man auf
der Webseite war und das vierseitige PDF
-
mit den acht einfachen Schritten gefunden
hat. Gelächter Der schärfste Trick: Für
-
Kreditkarten gilt das eigentlich auch
mit der starken
-
Kundenauthentifizierung. Bloß das hat noch
keiner umgesetzt. Das muss noch im Webshop
-
implementiert werden. Deswegen hat die EBA
jetzt gesagt: Na gut, ihr habt noch mal
-
ein bisschen Zeit bis 2020. Und was ich
vorhin sagte: Die APIs waren und oder sind
-
nicht funktional. Die Leute haben einfach
zu wenig Zeit gehabt zum Testen. Kurzer
-
Seitenhieb. 3D Secure. Es gab da schon mal
ein Vortrag über einen Vortrag halten.
-
Aber es gibt auf jeden Fall ein sehr
schönes Paper dazu "Verified bei Visa and
-
Mastercard Secure-Code or how not to
design authentication" von Murdoch und
-
Anderson. Three D secure steht für Three
-Domain-, acquirere, Issuer and
-
Interoperability sind die Domains der Herausgeber
Akzeptanz und die dazwischen Leute. Der
-
Kunde fehlt in der Liste, die hier
geschützt werden. Es ist dafür da, dem
-
Kunden neue AGB aufzudrücken und die
Schuld zu verschieben, weil offensichtlich
-
der Kunde schuld ist. Ist ja, jetzt sicher.
Bei einer meiner Banken, ist eine am VR-Banken-Netz
-
angeschlossene bei der Fiducia muss man sich
registrieren, da kriegt man so ein
-
Brief? Gehen Sie mal wieder auf diese
Webseite und füllen Sie dort die
-
Registrierung aus. So online
sichereinkaufen.de oder so ähnlich.
-
Sicheronlineeinkaufen.de? Sicher
einkaufen. Ich bin mir sicher es war sicher
-
online einkaufen. Ich weiß es, weil diese
Seite existiert, die anderen nicht. Diese
-
Seite existiert. applaus Und hat ein
gültiges Sicherheitszertifikat von
-
LetsEncrypt. Gelächter Und dann war
wieder da die Sache mit dem Blutdruck, die
-
hat dann wieder gemeint na ja, Sie können
sich jetzt hier registrieren und die Push-TAN-
-
App aktivieren. Das geht auf Ihrem Telefon
nicht, weil es gerootet ist. Das Telefon
-
ist unsicher. Gar kein Problem. Sie können
auch den Alternativprozess verwenden. Wir
-
schicken ihn einfach eine SMS an dieses
Telefon. fröhliches Lachen Ok. Muss ich
-
jetzt nicht verstehen. Dieses Formular,
wie gesagt, das ist aktuell online hat
-
immer noch die gleichen Probleme, die
Murdoch und Anderson von damals genannt
-
haben. Wenn man runter scrollt, findet man
diesen Signup System. Das ist ein IFrame,
-
das von irgendeiner anderen Domain kommt.
Die hat sogar ein Extended-Validation-
-
Zertifikat, nur dass es halt niemand
sieht, weil ist halt ein iFrame. Was ist noch so
-
passiert? Wie gesagt, Gemeinschaftskonten
benötigen jetzt einen Login pro Person.
-
Ich glaube hier. Die CCV-Veranstaltungs
GmbH hat auch schon Spaß damit gehabt. Die
-
Banken gehen langsam dazu über
FinTS abzuschalten oder loszuwerden, weil sie
-
haben ja jetzt die PSD2 API. Die regulierten
Dienstleister dürfen nicht mehr über FinTS
-
zugreifen außer halt im Fallbackmodus,
außer manchmal. Surprise SCA, wie gesagt,
-
ist Userinterface wird halt nur noch
merkwürdiger. User sind frustriert und
-
kriegen Hals. Was gar nicht so schlecht
ist. Es gibt jetzt ein
-
Registrierungspflicht für Anwendungen, die
auch für FinTS gilt. Also auch meine
-
Anwendung byro, FinTs ist registriert. Und
es ist im Sinne der Transparenz sieht man
-
im Online-Banking, welche App verwendet
wurden. Das ist erst mal nicht schlecht.
-
Kann man nichts gegen haben, zumal die
Registrierung auch als Open Source
-
Entwickler möglich ist. Ist ja nicht immer
so. Aber fast jede Transaktion kann
-
manchmal eine TAN anfordern. Wie gesagt,
ich hab das auch gerade gesehen. Wir
-
kommen zum Schluss. Transparenz und
Aufsicht sind verbessert worden.
-
Verbraucher sind zunehmend genervt.
Perfekte Grundlage für Wirsching? Ich weiß
-
nicht, wie viele von euch so eine Mail
gekriegt haben. PSD2 tritt jetzt in Kraft.
-
Bitte geben Sie jetzt hier nochmal Ihre
Kontonummer ein. Sie müssen sich jetzt neu
-
anmelden, weil neue sichere Umstellung des
Sicherheitsverfahrens. Gewerbliche Nutzer,
-
wie gesagt, müssen komplett ausweichen,
weil das macht gar keinen Sinn. Dafür gibt
-
es jetzt neue Geschäftsfelder für
Startups, die entsprechende
-
Anfangsinvestitionen haben. Open Source
kannste halt vergessen in Zukunft. Danke.
-
Applaus
-
Herald: Wir haben Zwölf Minuten Zeit für
Fragen und Antworten. Drei Mikrofone im
-
Saal verteilt. Falls ihr Fragen habt,
stellt euch hin. Ich versuche, euch
-
halbwegs fair aufzurufen. Eine Frage
hätte ich. Was soll der Scheiß? Lachen
-
Henryk: Hast du nicht gehört?
Sofortüberweisung ist jetzt legal. *Herald
-
lacht.*
Frage: Okay, du hast gesagt, dass FinTS
-
jetzt langsam ausgeschlichen wird von den
Banken. Ich weiß von einigen Banken, dass
-
sie bei PSD2 direkt das FinTS abgeklemmt haben,
weil sie es nicht implementiert hatten PSD2
-
konform. Aber weißt du, wie das bei den
anderen Banken aussieht? Also gibt es da
-
schon Ankündigungen von den großen
Rechenzentren Fiducia oder Sparkasse oder
-
wie wir alle heißen?
Henryk: Die haben sich größtenteils
-
zurückgehalten. Sie sagen da nur durch die
Blume, dass sie es zumindest nicht mehr
-
erweitern wollen. Sie haben ja jetzt das
andere. Ich glaube ING-Diba hatte da genau
-
dieses Problem. Sie haben ein bisschen
zurückgerudert. Wenn mich nicht alles
-
täuscht. Aber es gibt ja keinen
Grund mehr dafür.
-
Frage: Die haben zurückgerudert nach dam
sich 3000 Leute beschwert haben in einem
-
wütenden Mob Blogpost.
Henryk: Ja.
-
Herald: Bitte.
Frage: Gibts irgendwie so eine Art
-
Informationsblatt, was ich als Kunde der
Bank geben kann? Wenn ich der Meinung bin,
-
dass sie mir völligen Bullshit zu der PSD2
erzählt und irgendwelche neuen Änderungen
-
damit versucht zu begründen?
Henryk: Ja, das steht sogar in der
-
Richtlinie drin, das die europäische
Bankenaufsicht und die BaFin jeweils ein
-
Merkblatt für Kunden herausgeben, in denen
alle Änderungen und neuen Pflichten und
-
Rechte des Kunden dargelegt sind. Es
müsste auch der Webseite der BaFin zu
-
finden sein.
Frage: Ich meine eigentlich umgekehrt,
-
Richtung Bank.
Henryk: Ja, das ist das Merkblatt für dich
-
als Kunde, und du kannst der Bank
vorhalten und sagen: "Guck mal, was ihr
-
mir sagt, steht da nicht drauf."
Frage: Du meinst, es ist das nicht
-
sonderlich kompliziert, sich eine
juristische Person anzulegen. Könnte ich
-
dann mit einer juristischen Person mir ein
Geschäftskonto anlegen, damit ich dann
-
wieder APIs habe, die ich von einer App
aus verwenden kann? Ist das der neue Weg?
-
Henryk: Klar. Aber ja! Also du brauchst
halt eine
-
neue App. Es ist dann EBICS, aber ja...
Frage: Du hast aufgelistet, dass es ja
-
drei Authentifizierundsmerkmale gibt und
du hast sehr konsequent nur von TANs
-
gesprochen. Wenn ich die Richtlinie
korrekt interpretiere, ist Wissen und
-
Besitz. Also Pin und Chipkarte nach wie
vor eigentlich vollkommen valides
-
Authentifizierungsmittel.
Henryk: Korrekt. Also steht die
-
Formulierung, die Sie verwenden, ist, dass
diese aus den drei Faktoren muss ein
-
Authentifizierungscode abgeleitet werden.
Das kann auch eine Signatur oder was auch
-
immer sein. Ich habe aber keine
Implementierung davon gesehen, also
-
ausser halt innerhalb von Apps. Die DKB zum
Beispiel hat eine eigene App und wenn man
-
innerhalb der DKB App bleibt. Dann bleibt
also alles innerhalb der DKB App inklusive
-
mit iPhone, wie auch immer diese
Gesichtserkennung heißt, da braucht man
-
auch keine TAN mehr das stimmt. Aber wenn man
eine andere App benutzt, die nicht, die
-
ist, ist es irgendwie schwierig, der
Signatur abzutippen. Deswegen tippt man
-
meistens lieber TANs ab. Ich frag nur,
weil die Sparkasse mir erzählt hat, das
-
HBCI mit Chipkarte ja diese
Authentifizierungsbedingungen nicht
-
erfüllen würde.
Henryk: Das ist inkorrekt. HBCI mit
-
Chipkarte ist halt gerade Besitz, Besitz
und Wissen, sie können sich eventuell
-
darauf herausreden, dass irgendwie PIN mit
der Verifikation auf der Karte eventuell
-
nicht güle, aber eigentlich dann doch
schon.
-
Herald: Ok, und die Mitte mal wieder.
Zuhörer: Mal wieder nur eine kleine
-
Anmerkung. Du meint, dass das PayPal mit
2-Faktor nicht funktioniert. Aber in der
-
Tat habe ich PayPal mit 2-Faktor.
Henryk: Es gab vor fünf Jahren, glaub ich,
-
eine kurze Zeit, wo sie das angeboten
haben. Aber ich glaube, es wird nicht mehr
-
beworben.
Zuhörer: Ich konnte das in der App
-
anklicken, vor ungefähr einem halben Jahr.
Henryk: Oh, dann haben Sie was neues
-
eingebaut.Wollen Sie jetzt? Ist das schon?
Frage: Ich frag für einen Freund, der
-
entwickelt einen Webshop, und da müssen
Sie sich auch mit dem 3D Secure Kram
-
herumschlagen. Und der
Zahlungsdienstleister sagt: Es ist in
-
Ordnung, wenn man für das Hinterlegen der
Kreditkarte beim Zahlungsdienstleister
-
einmal dieses 3D Secure Verfahren macht.
Und danach kann man als Shop quasi
-
beliebig oft davon abbuchen, und der Kunde
muss dann nicht mehr nochmal irgendwelche
-
TANs eingeben. Ist das überhaupt korrekt
so, weil dann sehe ich den Sinn dahinter
-
nicht so ganz.
Henryk: Ja, für die erste Zahlung bei
-
wiederkehrenden Zahlungen ja. Aber es muss
trotzdem jede Zahlung autorisiert werden.
-
Bloß das für wiederkehrende Zahlungen
einfache Autorisierung reicht. Ich
-
bin mir da aber auch nicht ganz sicher.
Frage: Das muss dann aber nicht über
-
den Dienstleister gehen. Das reicht dann
einfach, wenn der Kunde im Onlineshop
-
einmal klickt: Ja, diese Kreditkarte,
oder?
-
Henryk: Genau, das kann mit Passwort, würde dann
reichen. Also nicht zwei Merkmale, sondern
-
nur eins.
Herald: Entweder habe ich unseren Signal-
-
Angel die ganze Zeit übersehen oder es
gibt gerade was Neues, bitte!
-
Signal-Engel: Kam gerade erst die Frage.
Wärest du mit PSD2 glücklicher, wenn sie
-
ein bisschen glücklicher, wenn es ein
bisschen Open Source wäre, die Zugang für
-
Open Source Programme offen wäre? Oder sagt
es allgemein eher mäh gelaufen?
-
Henryk: Na ja, es gibt relativ, es ist
relativ schwierig, diese Anforderungen
-
grundsätzlich umzusetzen bei Software, die
der Anwender selber runter kompiliert und
-
laufen lässt. Deswegen sehe ich nicht, wie
man das umsetzen könnte. Man müsste halt
-
auf die Anforderungen verzichten, das die
Endpunkte durch qualifiziertes Zertifikat
-
identifiziert werden. Und dann hat man nur
noch die Probleme. Die Benutzer haben mit
-
dem ganzen TAN-Scheiss. Zumindest Open-
Source Entwickler keine Probleme mehr und
-
der Userinterface Flow ist immer noch kaputt.
Frage: Ich wollte einfach nur
-
nochmal anmerken. Die meisten hier
Anwesenden werden wahrscheinlich zwei
-
Geräte besitzen. Aber gerade dieses ganze
2-Faktor wird ja ab ad absurdum geführt.
-
Wenn ich mein Online-Banking auf demselben
Gerät mache, wo auch der TAN Generator
-
ist, ist auch die App zu App trans-Integration die
manche Banken anbieten. Wird ja hier auf
-
dem Kongress vor paar Jahren auch schon
mal gezeigt, dass das sinnlos ist, weil es
-
irgendwo gehackt werden kann. Ist man da
irgendwie gesichert, wenn man das macht
-
als Kunde? Die meisten haben ja doch nur
ein Gerät zu Hause und halten sich nicht
-
dran, das man dann als Kunde eigentlich
der Gearschte diesbezüglich.
-
Henryk: Es steht drinnen, dass es zwei
getrennte Geräte sein sollten oder oft auf
-
dem Gerät. Das ist unter anderem einer der
Gründe für die Rootdetektion auf dem
-
Gerät, für eine Trennung der. Es gibt da
einen Absatz, der irgendwie. Man müsse die
-
Trennungssysteme des Betriebssystems
nutzen. Also ich vermute mal, das geht
-
eher in Richtung Samsung Knox und nicht
auf normales Android. Aber eigentlich
-
sollte normales Android ausreichen. Ich
bin mir nicht sicher. Ich glaube als dieser App-TAN
-
Hack war da. Oder waren es auch gerootete
Geräte oder erweiterte lokaler Zugriff.
-
Frage: Ich nutze so ein Open-Source-
Software, um so persönliche Finanzen zu
-
tracken und habe das auf meinem Server
installiert. Erste Frage, bin ich jetzt
-
schon Konntoinformationsdienstleister?
Der Entwickler hat gesagt, er möchte PSD2
-
einbauen. Und wenn ich das richtig
verstanden habe, dann geht das gar nicht.
-
Ich habe auch gelesen auf GitHub, er hat
sich irgendwo registriert, und ich habe
-
aber nicht ganz verstanden, ob das geht.
Kann er überhaupt das jetzt so einbauen,
-
dass ich das dann benutzen kann?
Henryk: Ja, die Registrierung war die
-
HBCI-Registrierung. Ob du dann schon für
dich selber? Ich bin mir nicht sicher, ich
-
glaube für dich selber. Ich bin mir nicht
sicher, ob da etwas von einem Dritten
-
drinsteht. Da müsste ich nachgucken. Kann
ich so nicht beantworten. Müsste man ...
-
Frage: Kann er denn PSD2 in seine
Software einbauen, dass es jemand benutzen
-
kann?
Henryk: Ne, keine PSD2 API. Es wird immer
-
über FinTs laufen, was du beschrieben
hast.
-
Frage: Ok. Und wenn die Bank FinTS
abschaltet, bin ich im Arsch.
-
Henryk: Ja, du kannst auf EBICS
wechseln. Herald lacht
-
Frage: Hast du eine Vermutung, wer
hinter dem Ganzen steht? Warum die das
-
gemacht haben? Weil ich meine
Sofortüberweisung alleine gegen die ganze
-
Bankenlobby. Banken mögen das
offensichtlich nicht. Irgendwer muss es
-
doch durchgedrückt haben.
Henryk: Ich weiß es tatsächlich nicht. Wir
-
haben kurz vorher uns unterhalten, dass es
da so ein Slogan gab: Digital first,
-
Bedenken second. Das könnte damit
zusammenhängen. Es klingt nach
-
Fortschritt. Es wird halt besser.
Frage: Ich wollte noch einmal
-
Fragen: Sind hier Organisationen oder
politische Akteure bekannt, die die
-
Benutzerinteressen in irgendeiner Form
bündeln und versuchen zu kanalisieren? Wir
-
versuchen da irgendwie ein bisschen Lobby
im Sinne der Nutzer und der User zu
-
machen an der Stelle. Verbraucherschutz welche?
Henryk: Es gibt ein Voice-Verband der IT
-
Anwendunger EV. Aber ich weiß nicht ob die
in dem Rahmen Aktivitäten haben. Mir wird
-
gerade gesagt, dass sie eine Selbst-Hilfe-
Gruppe sind. Aber es ist... Alle lachen
-
Du hast nur gefrat, das ist mir bekannt.
Antwort: ich kenne nur eine.
-
Herald: Bitte. Scheint auch letzte Frage zu sein.
Frage: Du erwähntest die
-
Registrierung für die Drittdienste. Ist es
nicht eigentlich auch eine Art Zulassung
-
bei der BaFin und da kam doch gerade vor
ein paar Wochen auch Standards raus, was
-
für Sicherheitsmaßnahmen da umzusetzten sind,
die auch möglicherweise geprüft werden .
-
Und auch diese Zulassung
entzogen werden kann.
-
Henryk: Genau. Deswegen seht auch da
"Registriert und Zugelassen", als
-
Formulierung. Weil es für
Kontoinformationsdienstleister ein
-
bisschen einfacher dann ist. Die Absätze 1
bis 6 außer Paragraphen 3 und dings gelten
-
nicht für Kontoinformationsdienstleister
oder so ähnlich. Aber für alle, die
-
weitergehend es machen, es ist mit
Zulassung und Bericht und vorige
-
Registrierung und so weiter drin,
inklusive Entzug.
-
Herald: Bist du glücklich? Du siehst nicht
glücklich aus.
-
Signal-Engel: Ich habe sogar noch 2 auf
Twitter. 1) Kann ich irgendwie verhindern,
-
dass mein Arbeitgeber meine Bankdaten an datev
weitergibt? Oder habe ich da keine Chance?
-
Henryk: Lustige Frage, ich glaube nicht.
Frage: 2) Kannst du einen Ausblick
-
geben? Siehst du Hoffnung, dass irgendwas
verbessert wird, oder müssen wir halt 20
-
Jahre warten, bis das nächste neue Gesetz
kommt?
-
Henryk: Da steht drin, dass die alle
X-Jahre evaluiert und aktualisiert werden
-
sollen. Ab 2021 ist das nächste Mal.
Vielleicht wird nachgebessert. Ich bin da
-
aber nicht so sehr hoffnungsvoll, weil
hier, wie gesagt, aus Sicht der zentralen
-
Behörden nicht so nicht Cloud Anwendungen,
eher Nischenprodukte. Etwas auf seinem
-
eigenen Rechner zu betreiben,
kommt aus der Mode.
-
Herald: Jetzt aber wirklich die letzte
Frage.
-
Fragender : Ich würde gerne an eine
vorherige Frage anknüpfen, nämlich ob es
-
Institutionen gibt, die sich dafür
einsetzen, dass das Ganze gebessert wird.
-
Ich arbeite jetzt für sofort, und wir sind
Sofortüberweisung. fröhliche Gelächter
-
Wir sind aktiv dabei, mit nahezu allen
Banken in Europa und auch den nationalen
-
Behörden zu diskutieren, dass es da
schnellstmöglich Änderungen gibt. Noch vor
-
einer neuen Direktive, also in möglichst
naher Zukunft. Es gibt Leute, die sich
-
dafür einsetzen.
Henryk: Sehr gut.
-
Herald: Es könnte also sein, dass du die
Frage beantworten kannst, die ich vorhin
-
gestellt habe. Ich komme gleich vor! Alle
Lachen
-
Herald: Henryk Plötz! Vielen Dank!
-
Applaus
-
36c3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!
