 Habt ihr vielleicht auch so ein Smartphone, ne? Und ich hab da so eine App drauf. Und die, damit, ich hab so mehrere Konten bei verschiedenen Banken. Und ich hab so eine App, da sind die ganzen Konten so drin. Und wenn ich wissen, wie viel Geld ich nicht hab, dann starte ich diese App, dann guck ich da so drauf, weil mein Telefon mich sonst nicht erkennt. Und dann kann ich halt sehen, wie viel Geld ich auf dem Konten habe und was ich so für Kontobewegungen hatte. Und irgendwann dieses Jahr hab ich da nicht mehr gesehen, wie viel Geld ich auf dem Konto hatte, sondern da kamen immer so Popups. Die haben gesagt, ja, das funktioniert jetzt nicht, weil, hab ich nicht verstanden. Aber was da immer drin vorkam, das waren drei Buchstaben und eine Zahl. Und das ist PSD2. Und jedes Mal hab ich gedacht, ja, jetzt muss ich wieder aus der App raus und muss wieder irgendwas machen, was ich nicht verstehe. Und dann werden mir SMSen geschickt, die ich irgendwo eintragen muss. Und ich dachte die ganze Zeit, was zum Teufel soll dieser Scheiß? So, und das Schöne ist, wir alle werden jetzt möglicherweise eine Antwort auf die Frage bekommen, was dieser Scheiß soll. Und falls nicht, dann können wir ein hinterher persönlich zur Rechenschaft ziehen. Sein Name ist Henrik Platz. Ja, genau. Ich versuche, die Frage zu stellen, was die PSD2 je für uns getan ist und Antworten darauf zu geben, in der Hoffnung, dass ich dann auch ausfinde, was der Scheiß soll. Für diejenigen, die, es ist hier einer der ersten Vorträge, für diejenigen, die hereingesteuert sind, ohne zu wissen, worum es geht. Es geht um die Richtlinie der EU 2015, 2066 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt zur Änderung der Richtlinie und so weiter und so fort und so fort. Das ist die Zahlungsdienste Richtlinie 2. Und daran hängt noch eine handvoll delegierte Verordnung, aber ganz massiv die delegierte Verordnung vom 27. November für die technischen Regulierungsstandards, für eine starke Kundenauthentifizierung und für sichere offene Standards zur Kommunikation. Das ist was in der App die ganzen Pop-ups verursacht hat. Warum bin ich hier und warum erzähle ich euch was zu diesem Thema? Ich bin Informatiker und Sicherheitsforscher. Ich glaube, neudeutsch sagt man Hacker dazu. Ich habe meinen einen meiner ersten Vorträge auf dem Kongress vor zehn Jahren zu Meiver Classic gehalten. Seitdem einiges gemacht zu Zutrittskontrollsystemen, RFI, die Spezialgebiet sind solche Arten von Kommunikationsprotokollen. Ich bin auch Open Source Entwickler, also wenn irgendein Kommunikationsprotokoll rumliegt, dann implementiere ich das manchmal. Unter anderem HBCI, dazu erzähle ich euch noch ein bisschen was. Es gibt im Umfeld des CCC eine Vereinsverwaltung, die entstanden ist, die heißt Biro. Von Rix, da habe ich einige größere Dinge zu beigetragen. Und es gibt von Rami, die beiden waren ja hier die Kasse und dem Vorverkauf von Rami, eine Python-Implementierung von Fintes. Ich sage euch gleich noch was das ist. Dazu habe ich größere Dinge beigetragen und dann die Kombination dabei ist das Plugin Biro Fintes. Eine Perspektive aus der ich das betrachte, das als Open Source Entwickler. Ich bin auch Gründer und Geschäftsführer. Vor zwei Jahren habe ich mit Freunden zusammen eine eigene Firma gegründet, Digital Wolf Plötz und Co. GmbH. Wir haben ein etwas schwammiges Selbstverständnis oder eigentlich sehr präzise Selbstverständnis, das etwas schwieriger zu verstehen ist. Das ist die Digitalisierung in komplexen Umfeldern. Wir machen halt Beratung, aber entwickeln halt auch Software. Aus dieser Ebene gucke ich das auch an. Beziehungsweise andere Produkte für die evangelische Kirche bauen wir den digitalen Klingelbeutel. Wir sind jetzt Zahlungsdienstleister. Zum Glück hat es nichts damit zu tun. Ich freue mich sehr, dass alles was wir tun an der PSD2 vorbeigeschrammt ist. Außer halt als Privatkund. Ich bin nämlich auch noch neugieriger Nutzer. Wir haben gerade in der Einführung gehört, dass jemand durchaus eine App in mehreren Konten haben könnte. Ich habe mal kurz durchgezählt. Das sind neun verschiedene Kunden, weil ich auch noch mehrere Hüter auf habe. Also sowohl Geschäftskunden, nein, neun verschiedene Banken, Kunden sind es ein paar mehr. Als sowohl geschäftliche Kunden als auch Privatkunden beziehungsweise Familienkonto, als auch, ich bin in einem Verein in Vorstand, Vereinskonten. Ich glaube, sieben oder so davon benutze ich auch regelmäßig. Der Rest war halt so kostenlose Girokonto, wir probieren was die tun. Und dann sind da halt zehn Euro drauf und man kann sehen, wie die auf diese Umstellung reagiert haben. Das hilft dann auch wieder beim Entwicklung von Open Source Software, wenn man Testkunden hat. Und mal gucken kann, was die Banken so anstellen. Agenda. Also, wir haben gerade gehört, worum es gehen soll. Ich werde euch gleich den wunderschönen Vorhaltszustand darstellen. Die Begründungen geben, die die Europäische Kommission gegeben hat, wenn diese Richtlinie für öffentlich beschlossen werden sollte. Dann auf die Frage antworten, was uns die PSD2 nun wirklich gebracht hat. In der Form, die schön ist. Und dann in der Form, was es dann tatsächlich bei rausgekommen ist, mit einer kurzen Eingehen auf die Zeitlinie. Und dann zu den diversen Problemen, Ärgerungen, ja, Blutdruck kommen. Ich fand das sehr schön. Als zwei Minuten bevor der Vortrag losging, war hier im Infobiemer eine Werbefolie für BTX. Irgendwo hier stehen BTX-Terminals, die man ausprobieren kann. Es war ja nicht alles schlecht in 2018 oder auch in den 80ern. Schon seit den 80ern gibt es Onlinebanking für Privatkunden. In Deutschland fing das halt so in den frühen 80ern mit BTX an. Ich glaube, der CCC hat ein bisschen Geschichte mit BTX. Aber der eine oder andere wird sich erinnern. Es wurde halt 2007 leider abgeschaltet, aber hat bis dahin ganz gut funktioniert. Daraus entstanden, mehr oder weniger direkt, ist das sogenannte HBCI. Die Buchstaben abkürzten, haben vielleicht die meisten schon mal gehört, Homebanking-Computer-Interface. Das ist ein Datenkommunikationsprotokoll zum Austausch von Bankdaten für Enternwender. Kommerseparierte Werte auf Drogen. Es hat Semi-Colons als Trennzeichen, aber manchmal sind dann auch noch Doppelpunkte-Trennzeichen und manchmal Pluszeichen-Trennzeichen. Ich habe es implementiert. Es ist tatsächlich passbar. Ich hätte es mir nicht gedacht. Es gibt durchaus Protokolle, die nicht passbar sind. Dies gehört nicht dazu. Aber es erscheint mir wie ein Zufall. Die Datenstrukturen sind hierarchisch. Man kann Dinge in Dinge tun, aber es gibt nur drei Ebenen von Trennzeichen. Irgendwann sind halt die Trennzeichen alle, aber rein zufällig sind dann auch die Ebenen alle. Das ist übergegangen. Es wurde immer wieder erweitert und verbessert eingeführt. 1998, Version 2.1 war, glaube ich, die erste Verbrauchbare. Das wurde immer weiter verbessert, hat sich es übergegangen. HBCI 3.0 kennen die meisten und dann wurde es umbenannt in Fintes, Financial Transaction Services. Es war ursprünglich ein rein deutsches Ding. Es ist ein rein deutsches Ding. Mit Fintes haben sie dann versucht, das international einsetzbar zu machen, unter anderem, indem sie es in XML gegossen haben. Und ja, das XML ist auch passbar, aber doch eine der unschwünsten Implementierungen, wie man sich das vorstellen kann. Es gibt auch niemanden, der das einsetzt. Nee, es ist nicht richtig. Es gibt tatsächlich eine zentrale Liste, wo alle Banken drin stehen, mit den Fintes bzw. HBCI-Versionen, die sie unterstützen. In Deutschland erreicht man damit quasi jede Bank. Manche noch mit Version 2. Ich glaube, die Deutsche Bank, die meisten unterstützen Version 3. Und ich glaube, es gibt exakt einen Eintrag, der Fintes Version 4 ankündigt. Wie gesagt, benutzt niemand. Der Fintes 3.0, total überall. Weil es damit erst der breiteren Öffentlichkeit zugänglich wurde. Der erste HBCI war ein typisch deutsches Ding. Sehr schön, sehr sicher. So mit Smartcard in den Computer stecken. Dazu musste man erstmal die Smartcard besorgen, eine Pin dafür haben, einen separaten Berechtigungsvertrag. Beziehungsweise es gab auch ein Alternativverfahren, wo man Briefe durch die Gegend geschickt hat, auf denen RSA-Kies abgedruckt waren. Seit Fintes 3.0 gibt es auch als alternative Verfahren Pintern. Was die meisten in Deutschland als vor Online-Banking kennen. Man meldet sich mit seiner Pin an, hat dann nur Lesezugriffe aufs Konto. Und wenn man eine Transaktion durchführen möchte, braucht man eine Transaktionsautorisierungsnummer, eine Tannen. Sehr schön, sehr einfach. Leider demnächst tot. Die Franzosen haben sowas ähnliche Sie, BTX, die haben Minitel. Das ist aber auch schon vor ein paar Jahren abgeschaltet worden. Das ist so der Überblick für die anderen Länder. Ansonsten war es, dass es einen wesentlichen an schönen strukturierten Verfahren. Seit der Mitte der 90er, hier habe ich ein Screenshot von Wells Fargo. Die waren eine der ersten, die, wenn man hinguckt, rechts oben Online-Banking anbieten, 1995. Man bemerke auch die Adresse, das war vor HTTPS. Gab es einen Wildwuchs, das halt viele Banken irgendeine Form von Online-Banking angeboten haben. Aber halt immer durch das Web-Interface und immer mit unterschiedlichen Formen von Berechtigungsmethoden und Mechanismen. Für Firmenkunden sieht das Ganze noch verwirrender bzw. besser aus. Das sind halt alles nur die Privatkunden. Firmenkunden haben schon wesentlich früher angefangen, weil sie auch mehr Transaktionen hatten, mit tatsächlich Disketten durch die Gegenschicken, das Datenträger-Austausch-Verfahren. Später gab es dann Nachfolger BCS und das aktuelle SE-Bix. Da werde ich dann gleich noch drauf kommen, wenn ich die Situation bei meiner Firma beschreibe. Weil das mit dem Fintes jetzt leider schade war. Es ermöglichte damals interoperables Multibanking. In Fintes selber sind sogenannte Geschäftsurfälle definiert. Man kann halt Transaktionen, nicht alle Banken unterstützen alles, aber man kann im Wesentlichen Abrufen, Kontrauszüge abrufen oder eine Transaktionsliste. Man kann Überweisungen einkippen oder Lastschriften verursachen. Das ist das Wichtigste, was man machen kann. Alle Banken haben noch irgendwas anderes. Aber das Schöne ist, das funktioniert eigentlich überall. Und dann gibt es einfach, habe ich auf meinem Handy eine App, die das implementiert. Das Schöne daran war, dass das Protokoll einfach frei im Internet verfügbar war. Ursprünglich kommt es von der ZKA, der Zentrale Kreditausschuss. Die haben sich irgendwann umbenannt und haben sich bei der Bahn ein Beispiel genonnen als DK, die kreditwirtschaft, oder die deutsche Kreditwirtschaft, je nachdem. Da kann man die Spezifikation runterladen. Wie gesagt, das ist prinzipiell passbar. Man kann es implementieren, ich habe es gemacht. Und dann braucht man nur noch Benutzernahme und Pinnen, wie man sie von der Bank erhalten hat und die gleichen Zugangsdaten wie im Onlinebanking gelten. Und man muss niemanden fragen. Das ist, finde ich, das Wichtigste. Man muss niemanden fragen, bevor man eine Implementierung schreibt. Man muss niemanden fragen, bevor man die Implementierung benutzt. Ich habe das für Vereinserwaltungssoftware geschrieben, dass die gesamten Finanzen des Vereins quasi vollautomatisiert verarbeitet werden können, ohne dass irgendjemand im Webinterface Dinge runterlädt und irgendwo eingibt oder gar abtippt. Das Schöne an diesem Fintes, oder eine der Eigenschaften von diesem Fintes ist, dass es zukunftskompatibel ist. Man kann halt, es gibt da diese einzelnen Datensätze, haben eine Versionsnummer, und man kann dann jedes Mal eine neue Version einführen, der alte Datensatz funktioniert weiterhin für die Banken oder die Software, die nur das Alter unterstützt. Man sieht daran aber auch jedes Mal, wenn irgendwas in der Geschichte passiert ist, wenn es neue Regulierungen gab, die darauf Auswirkungen hatten, dann kommt halt, gibt es halt eine neue Version von, zum Beispiel, dem Datensatz zum Anmelden, dass dann plötzlich ein neues Feld drin ist für ein SMS-Abbruchskonto, weil, ich weiß nicht genau wann das war, 2012, die EU beschlossen hat, dass der Kunde das Konto angeben muss, von dem die SMS-Gebühren berechnet werden, die für die Anwältetan benutzt werden. Ein bisschen später gab es eine neue Veränderung, gibt es eine neue Version, und es ist an der Stelle schön, dass man quasi wie so in so fossilienmäßig sehen kann, was in der Vergangenheit passiert ist, indem man sich das Protokoll anguckt. Wie gesagt, Multibanking war die wichtigste Funktionalität. Du kannst eine Finanzsoftware auf deinem Computer oder deinem Telefon oder auf deinem Server oder sonst wo haben und sie funktioniert mit allen Banken in Deutschland. Was gab es noch für, der andere wichtige Punkt für Endverbraucher, ist Online-Shopping. Ich möchte gerne bezahlen, ich brauche irgendeine Zahlung. Da gab es, gibt es immer noch Dienste wie PayPal oder irgendwelche Walletdienste, wo man auf eine beliebige Art vorher Geld aufleht, das Geld dann ausgeben kann, was aber nichts mit dem eigentlichen Bankkonto zu tun hat. Und was für den Verbraucher natürlich wesentlich angenehmer ist, kontobezogenen Zahlungsdienst. Irgendwas, was direkt mit meinem Konto, das ich sowieso habe, verbunden ist. Am einfachsten für alle Beteiligten ist die Vorkasse. Kann man halt vorher überweisen und kriegt dann sein Gut, oder auch nicht. Am einfachsten für den Verbraucher ist die Lastsschrift. Verschickt halt der Versender das Gut und belastet nachher das Konto. Beides nicht so ideal. Deswegen gab es immer wieder Versuche, andere Systeme einzuführen. Ich glaube, die ersten waren die Niederländer mit einem System, das so ein integrierten Prozess anbot. Der Händler kann das System ansprechen, ihm sagen, ich hätte gerne von einem Benutzer so und so viel Euro, oder 2005, ja. Ich hätte gerne so und so viel Geld von diesen Benutzer. Der macht das dann auf der Webseite seiner Bank, mit den Zugangsdaten der Bank, gibt den Betrag frei. Der Händler kriegt sofort die Bestätigung, dass der Betrag freigegeben wurde und kann sofort die Ware los schicken. In Deutschland haben wir das auch. Das kennt natürlich dann wieder keiner, weil ich glaube, die Sparkassen setzen es ein und dann war es das fast. Das heißt GOP. Lässt es halt, wie man Online-Zahnung über das Konto eigentlich machen würde, wollen würde. Parallel, um 2006 entstand ein Dienstleister, vorher einen anderen Namen, das kennen dann Leute doch noch, und man wundert sich so ein bisschen, dass es sich überhaupt entstehen konnte. Also ich fand das Geschäftsmodell schon immer so ein bisschen komisch. Sofortüberweisung in der Mittel. Der Benutzer gibt seine Zugangsdaten, die er von seiner Bank bekommen hat, auf der Webseite von Sofortüberweisungen ein. Sofortüberweisung lockt sich bei der Bank ein, macht was auch immer, gibt dem Händler halt Bescheid, dass die Transaktion durchgeführt worden ist für den Benutzer dann zum Händler zurück. Sie geben ihr Indianer Ehrenwort, dass sie nichts anderes tun, außer die Transaktion freizuschalten und gegebenenfalls im Konto nachzugucken, ob du Gebaunsüberweisung oder sonst was hast, irgendeiner Risiko-Bewertung. Sie haben auch TÜV geprüften Datenschutz, der TÜV Saarland steht dafür gerade. Und wenn ich mich richtig erinnere, haben sie sogar dann noch gesagt, falls doch noch was passiert, haben wir auch noch eine Versicherung abgeschlossen. Also falls das Indianer Ehrenwort nicht reicht. In dem Jahr 2012 versteht das, jetzt mal abgesehen vom gesunden Menschenüberstand, auch gegen die Teilnahmebedingungen für das Pintanverfahren, die ihr bei eurer Bank unterschrieben habt. Ich habe hier das mal rausgesucht von der DKB. Der Teilnehmer ist verpflichtet, die technische Verbindung zum Onlinebanking der Bank nur über die Internetseite der Bank oder andere gesonderte, mitgeteilte Kommunikationswege herzustellen. Um das mal kurz zu illustrieren, habe ich eine Abbildung aus der FIGB herausgesucht. Also eigentlich verstößt man damit gegen die Bedingungen seiner Bank und im schlimmsten Fall so nein. Die Bank übernimmt erst mal nicht, garantiert nicht, dass es funktioniert. Übernimmt die Schäden nicht. Es gab da dann so verschiedene Banken, die versucht haben das auch technisch zu verbieten. Ich habe da keine Bestätigung, aber ich hörte die Geschichte, dass die Sparkasse wohl versucht hätte, die Zugriffe, die sofort Überweisung auslöst, zu blockieren, indem sie die IP-Adresse sperren, woraufhin dann drei Stunden später die Zugriffe von der anderen IP-Adresse kamen. Da gab es auch juristische Auseinandersetzungen, weil die Sparkasse wie ich auf der vorherigen Folie gezeigt habe, ein eigenes System anbot, das als Mitbewerber gesehen werden kann, auch wenn es technisch richtig rum ist, im Gegensatz zur Sofortbeweisung, die falsch rum ist. Deswegen wurde ihnen dann verboten, zu versuchen, die Sofortbeweisung zu torbedieren. Das zog auch so langsam ein. Ich habe deswegen die DKB von 2012 rausgesucht, weil ich mich erinnere, mein Konto da ist schon ein bisschen länger, dass ich irgendwann AGB-Änderungen mitgeteilt bekommen habe. Da haben sie halt diesen Absatz einfach gestrichen. Und stattdessen stand dort, sie dürfen die Zugangsdaten nur auf der Webseite der DKB eingeben, Komma oder einem anderen von uns autorisierten Zahlungsdienst, Leister-Siehe-Anhang. Und der Anhang enthielt halt genau eine Zeile sofort Überweisung DE. So nebenbei, um herauszufinden, was die Bedingungen von 2012 waren, musste ich bei mir, mich bei der DKB mal einloggen, um in mein Postfach zu gucken. Wie wir gleich sehen werden, braucht man zum Einloggen neuerdings manchmal eine TAN. Dazu gibt es den TAN-Generator, der ein Passwort will, das ich natürlich nicht mehr wusste. Aber gar kein Problem. Es hat einen Rücksetzfluss. Man kann sich einfach eine SMS schicken lassen, um den TAN-Generator zu rücksetzen und sagen, okay, ich glaube, das Passwort brauche ich mir nicht merken. Also, das war der Zustand bis Anfang dieses Jahres, bis Mitte dieses Jahres. 2017 kam halt diese Zahlungsdiensterichtlinie heraus und das sind die Begründungen, warum die herausgebracht wurden, die dort stehen. Unter anderem, seit der vorherigen Richtlinie 2007, das ist die PSD, nicht die Zahlungsdiensterichtlinie 2, sind neue Arten von Zahlungsdiensten entstanden. Vor allen Dingen Zahlungsauslösedienste. Ein anderes Wort für sofortüberweisung. Oder Kontuinformationsdienste. Diese Richtlinie soll darauf abzielen, die Konturität im Markt sicherzustellen. Mit anderen Worten, diese Richtlinie ist in keiner Form gedacht oder geeignet, irgendein der bisherigen Player zu überlegen oder zu disruptieren. Ich las irgendwo mal den schönen Satz Lex sofortüberweisung. Hier ist die Gegenüberstellung von der Zahlungsdiensterichtlinie 2007 und der Zahlungsdiensterichtlinie 2015. Die haben relativ langes Zeug und unglaublich komplizierte Sätze an einigen Stellen, muss man so 2 Minuten lang lesen, um herauszufinden, dass das diese Richtlinie gilt nicht für Geldabheben im Supermarkt. Es gibt einen Anhang, der steht, worauf sie sich bezieht. Die ersten Paar sind gleich geblieben und in Zahlungsdiensterichtlinie 2 sind neuerdings Zahlungsauslösedienste und Kontuinformationsdienste hinzugekommen. Und dann noch ein paar Richtlinien dazu. Was hat uns die PSD2 also gebracht? Die neuen Kategorien des Zahlungsauslösedienstleisters und Kontuinformationsdienstleisters. Neue Sicherheitsmaßnahmen, das ist der Teil, den die meisten mitgekriegt haben. Die sogenannte starke Kundenauthentifizierung, SCR, Strong Customer Authentication. Damit zusammenhängend eine ganze merkwürdige 90-Tage-Regelung, die keiner so richtig versteht und nur manchmal angewendet wird. Und ich weiß nicht, das haben die wenigsten mitgekriegt, außer wenn sie sich geärgert haben, sondern es ist untergesetzt worden auf 5 Minuten. Wenn man nicht alle 5 Minuten was anklickt, zum Beispiel, weil man gerade versucht ein Tangenerator Haus zu suchen, wird man ausgeloggt und muss sich wieder einloggen und wieder eingeben. Es gibt, das ist tatsächlich ganz positiv, neue Transparenzpflichten, das ist so der Teil, den die wenigsten mitkriegen, weil man das immer so abnickt. Da steht an drin, dass alle Dienstleister jetzt auch dieses Mal ordentlich und transparent welche Kosten entstehen, welche Gebühren, dass die Gebührenstruktur nachvollziehbar sein soll, dass man sie auf einem dauerhaften Datenträger ausgehändig bekommen muss. Es gibt in der PSD2 neue Meldepflichten. Zum einen an die Bundesbank beziehungsweise die Bankenaufsicht. Zum anderen vor der Aufnahme des Betriebs muss man sich registrieren lassen. Das finden, glaube ich, alle ganz gut. Wir hatten mal ein Meeting bei der Bundesbank, die meinten, das fanden sie ganz toll, dass jetzt diese Daten über den Finanzmarkt kriegen und die Finanzmarktstabilität besser bewerten können. Weil für einen Dienstleister nach dieser Richtlinie sehr ausführlich vorgeschrieben ist, welche Risikokategorien, welche Risikobewertungen er machen muss und in welcher Form er diese Daten nach oben melden muss, was Betrugsversuche und erfolgreichen Betrug angeht. Und es gibt neue Schnittstellen. Naja, mehr oder weniger. In der Zahlungsdiensterichtlinie beziehungsweise der technischen Durchführung ist von dedizierten Schnittstellen für Zahlungsauslösendienste beziehungsweise Kontinuationsdienste die Rede, die angeboten werden müssen. Neudeutsch sagt man dazu API. Das ist dann das, was unter PSD2 API überall läuft. Es steht allerdings nicht drin, wie die aussehen sollen, nur was sie leisten können. Okay, die neuen Kategorien. Wie gesagt, Zahlungsauslösendienst ist jemand, der im Auftrag von jemandem eine Zahlung auslöst. Also, sofort Überweisung P oder also theoretisch auch anderer, aber man muss bestimmte Voraussetzungen erfüllen um überhaupt in diese Kategorie fallen zu können. Das enthält unter anderem eine ganze Menge Eigenkapital und Zertifizierung, so weiter. Und Kontinuationsdienste. Damit ist das gemeint, was wir früher unter Multibank gekannt haben. Ich bin mir nicht ganz sicher, wie die Leute drauf waren, die das formuliert haben oder geschrieben haben. Aber sie hatten offensichtlich kein Handy auf dem sie eine App installiert haben, wo man alle seine Kunden hat, sondern sie haben uns auf einer Webseite gemacht. Es ist neuerdings vorgesehen, dass ein Online-Anbieter, eine Webseite, ein Portal halt sich auf alle meine Kunden einloggt und mir dann auf der Webseite anzeigt, wie mein Finanzstatus ist. Dazu muss sie natürlich sich überall einloggen können und dann braucht man neue Richtlinien, Regulierung und den ganzen Kram. Ein kurzer Blick zurück, wie man sich das dachte. Ich habe beim Recherchieren, ich fand das total toll, ein Screenshot von Heise aus dem Justicker von 2000... Oh, das stimmt nicht, das Datum ist falsch. Ich glaube, es war 2016. Ein Screenshot von 2016, wie wir uns die schöne neue Zukunft mit PSD2 vorstellen. Aktuell muss man durch ein Bezahldienstleister gehen, der über eine Kreditkarte zur Bank geht. Neuerdings kann der Online-Shop via der PSD2-Api direkt auf das Bankkonto zugreifen. Ja, nee. Ich nenne das die Lüge von der dritten Partei. Hier ein kurzer Blick, wie wir das bei uns in der Firma hatten. Wir haben Abrechnungssoftware, Personalverwaltung, Lohnbuchungen, die hat dann einfach über Fintes mit meiner Bank geredet. Ein Rechner, der bei mir in der Firma steht, der gehört mir, dass Software darauf installiert, die ich gekauft habe. Das ist meine Bank, und dazwischen ist ein Vertrauensverhältnis, weil das meine Bank ist. Ich gebe da irgendwie meine Zugangsdaten meiner Bank ein, und dann funktioniert das hervorragend. Das ist zum 14. September 2019 abgeschaltet worden. Daher hat uns gesagt, Sie haben einen neuen Komponent, der heißt neuerdings läuft das so, dass die Daten meiner Firma erst mal an das Datafrechenzentrum gehen, von dort an die Finn-APGMBH, die dann die AP implementiert, die meine Bank implementiert. Ich weiß nicht, ich kann es hier vorne ganz gut sehen, aber das Logo der Finn-APGMBH ist deswegen sehr schön, weil da steht ein Schufa-Companie. Finn-APG hat sich aufkaufen lassen, beziehungsweise Mehrheitsbeteiligung der Schufa-Holding-GMBH. In der schönen neuen Welt gehen alle meine Daten jetzt mal nicht abgesehen davon, dass sie durch Dataf gehen, auch noch durch die Schufa, die natürlich verpflichtet sind, damit nichts Böses zu tun. Allerdings habe ich mit der Schufa irgendwie auch keinen Vertrag dazu abgeschlossen, sondern ich habe meinen Vertrag mit ihm am anderen, deswegen ist es nicht so schön. Überall wird immer von Drittdienstleistern gesprochen, also das heißt halt immer irgendwie die dritte Partei hat halt implementiert halt die PSD2-AP. Nein, das ist ja falsch. Es sind ja immer vier Parteien beteiligt. Es ist ja immer ich, es ist, ich kann mal ich darf nicht nichts vorbringen. Ich nehme mal diesen Leser vor, der hier. Es ist ja immer ich dran beteiligt. Es ist ja immer meine Bank dran beteiligt, sind wir schon bei zwei. Dann gibt es irgendwas, was ich in Wirklichkeit machen möchte. Also meine wegen Zahlung, das wäre also hier so eine irgendeine Partei. Es gibt eigentlich immer eine vierte Partei. Es gibt quasi keinen Anwendungsfall, der mir einfällt, wo es nur drei Parteien sind. Außer vielleicht der Konto-Informationsdienstleister, der selber ein Web-Portal betreibt, auf dem ich meinen Kontostand einsehen kann. Das ist ja immer der Fall. Es ist ja immer der Fall. Es ist immer der Fall. Es ist immer der Fall. Es ist immer der Fall. Es ist immer der Fall. Es ist immer der Fall. Es ist immer der Fall. Es ist immer der Fall, in dem ich mein Kontostand einsehen kann. Das ist so der einzige Fall, der einem einfällt, wo es nur drei sind. Die PSD II-API schreibt, wie gesagt, einen offenen Zugriff vor. Offen ist halt so gemeint, wie ein Bürokrat das als offen versteht. Es ist kein Vertragsverhältnis erforderlich zwischen den Banken und den Leuten, die darauf zugreifen. Das ist ja schon mal ganz gut. aber es steht halt nur, dass es verfügbar sein muss und was es leisten können muss und dass es genauso gut sein muss, wie der Zugriff, den die Bank dem Kunden direkt anbietet. Und die gleichen Service-Level agreements erfüllen muss, die gleiche Verfügbarkeit haben muss. Es steht nicht drin, wie es tatsächlich ausgestaltet ist. Es steht nicht drin, welche Spezifikationen es erfüllen soll. Das führt dazu, dass nicht jede Bank entwickelt ihr eigenes Arpid. Die haben gar keine Lust darauf. Die kaufen schon noch Arpis oder von externen Dienstleistern diese Funktionalität ein. Aber dennoch gibt es nur größere Handvoll an verschiedenen Arpis, die von verschiedenen Banken eingesetzt werden. Die, wenn ich also auf eine Zahlungskonto, wenn ich eine Funktionalität implementieren möchte, die auf Zahlungskonten zugreift, muss ich die eigentlich alle implementieren oder ich nehme mir einen zusätzlichen Dienstleister wie die FinAbi dazu, der dann für mich alle implementiert. Es gibt ein Quasi-Standard, die Berlin-Gryb, die hat sich zusammengesetzt, um eine PSD2-Abi zu spezifizieren, die jeder implementieren kann, wo dann alle Seiten nur einmal das machen müssen. Die Website ist ein bisschen schlimm, es ist relativ schwierig den Standard herunter zu laden. Aber das ist mittlerweile der Quasi-Standard. Es gibt noch keinen echten Standard. Voraussetzung dafür ist, um die PSD2-Abi nutzen zu können, dass ich ein lizenzierter bzw. registrierter Dienstleister bin. Gute Nachricht, ich habe nicht notwendigerweise Eigenkapitalanforderungen. Also das Privatperson kann ich es leider nicht machen, aber zumindest mal die juristische Person kann ich schnell gründen ohne Eigenkapital, wenn ich eine berufschaftliche Versicherung abschließe. Und das gilt auch nur für Kontinformationsdienstleister. Sobald ich Zahlungsauslösedienst sein möchte, muss ich 50.000 Euro Eigenkapital, Anfangskapital hinlegen. Und die meisten Dienstleistungen oder die meisten Funktionen, die ich mir vorstellen könnte, machen halt mit nur Kontinformation nicht so viel Sinn. Wenn ich an meinem Beispiel des Vereins denke, wenn ich die Vereinsverwaltung mache, möchte ich halt sowohl Zahlungseingänge verbuchen können, als auch mindestens Lastschriften auslösen können. Und da bin ich schon Zahlungsauslösedienst und der Zoo ist abgefahren mit meinem Verein. Er hat keine 50.000 Euro. Plus Zugang ist offen, solange ich ein qualifiziertes elektronisches Zertifikat habe, das mich als registrierter Zahlungsauslösedienst ausweist. In der gesamten Spektrum kommt das Konzept, dies ist kein Clouddienst, dies ist eine Software, die ich runterladen und ausführen kann, einfach nicht vor. Die PSD2-RP ist komplett nutzlos für Leute, die Software auf ihrem eigenen Rechner ausführen wollen. Okay, was kann sie denn noch nicht? Also es ist neu dazugekommen, die Strong Custom Authentication, das ist das mit dem Blutdruck. Neuer Dings kann manchmal, ich komme gleich drauf, Strong Custom Authentication gefordert werden und das bedeutet, dass mindestens zwei der Elemente Wissen, Besitz und Inherenz benutzt werden müssen. Inherenz ist das Offensive-Wort für Biometrie, müssen benutzt werden und müssen unabhängig sein, dann steht da also ein Kram drin und da steht da auch drin, dass nach fünf Fehlversuchen der Zugang gesperrt werden muss. Die Abmeldung nach fünf Minuten Inaktivität kommt auch drin vor. Verpflichtend ist eine dynamische Verknüpfung der Custom Authentication mit dem jeweiligen Vorgang, das heißt Eitan-Listen sind halt absolut sofort verboten. Es muss in jedem Fall der Code auf irgendeine Art mit dem Betrag, den ich überweisen möchte, verbunden sein. Es steht auch, die Formulierung ist, dass dafür gesorgt werden muss, dass Mechanismen vorhanden sind, die sicherstellen, dass die Software oder das Gerät nicht vom Zahler oder einem Dritten verändert wurde. Es war dann das, wo ich mein Blutdruck gekriegt habe, weil ich mein andere Telefon natürlich geroutet habe unter anderem Backups machen zu können und mir die App dann freundlicherweise sagt, ja nee ist nicht, ist ja geroutet. Und dann überlegt man sich noch mal, was geroutet bedeutet. Naja es bedeutet, dass das Telefon unter anderem in der Lage wäre, über seinen Zustand zu lügen. Die App möchte nicht funktionieren auf einem Telefon, dass eine Lage wäre, über seinen Zustand zu lügen. Es hat dann natürlich das Telefon lügt über seinen Zustand so gut, dass die App dann doch wieder funktioniert. Das war dann für mich die Motivation doch mal Magisk auszuprobieren, dass ein hinreichend erfolgreicher Route-Edektionsverhinderung hat, wobei es dann wieder zu so einer Waffenspirale kommt, dass mit zunehmenden App-Updates die Direktion besser wird, was dazu führt, dass die Leute die Direktion verhindern wieder besser werden. Und ich dann am Ende doch ein zweites Gerät habe, auf dem ich die Turn-Apps ausführe, die sich zur Zeit nicht ausdricksen lassen. Und am Ende halt für vollkommen Unfug wird noch besser. Das Featuren der nicht-surprise-SCR. Bisher war die Sache einfach. Ich habe mich mit der Pin angemeldet, dann habe ich ein Read-Only-Zugang gekriegt. Wenn ich irgendwas Read-Reitmäßiges machen wollte, musste ich eine Tan eingeben, die auf diesen Vorgang bezogen war. Jetzt brauche ich die Tan für wesentlich mehr, und zwar brauche ich die Tan teilweise zum Anmelden, also die genaue Formulierung ist zum Zugriff auf Kontodaten oder sensible Kontodaten, damit es halt in der Regel anmelden in der App bzw. im Web-Interface gemeint. Außer manchmal. Es gibt vier oder fünf Seiten in der technischen Richtlinie, die Ausnahmen beschreiben. Also zum einen darf ich die SCA weglassen, wenn ich nur Zahlungskontoinformationen bis 90 Tage alt abrufe, außer beim ersten Mal oder wenn das letzte Mal mehr als 90 Tage her ist. Da kommen die 90 Tage her, die muss die Tan alle 90 Tage eingeben, weil dann die Ausnahme garantiert nicht mehr gilt. Bei Kontaktloszahlungen sind es 50 Euro, die ohne PIN bzw. Strong Custom Authentication, weil den Besitz habe ich ja durch die Karte immer gewährleistet. Die ohne zusätzliche PIN möglich sind außer. Es sind 150 Euro vergangen seit dem letzten Mal. Parkebühren sind grundsätzlich ohne SCA. Das ist angenehm. Vertrauenswürdige Empfänge sind ohne SCA, außer natürlich der Vorgang vertrauenswürdige Empfänger zu definieren. Wiederkehrende Zahlungsvorgänge ab dem zweiten Mal kann ich auch ohne machen. Überweisungen auf ein anderes Konto derselben Person können ohne sein. Kleinsbetragszahlung bis 30 Euro können ohne sein außer manchmal. Unternehmen fallen eh ganz raus. Das war dann unsere Lösung gegen das Fintes, Finnapy, Fiasco. Es gibt einfach eBix. Da ist dann quasi nichts drin. Es ist dann so, man wirft die Zahlung dahin und wenn die halt von der Firma kommen, dann werden sie halt zum Stimmen. Da braucht niemand mehr irgendwo ne Tan eingeben. Und Transaktionsrisikoanalysen, die modifizieren den ganzen Kramen wieder. Also die können dann sowohl bei bisherigen Ausnahmen die SCA wieder erfordern als auch man kann halt sagen, na gut, die Zahlung hat ein so geringes Risiko, dass ich dann doch wieder keine SCA brauche. Außer natürlich die laufende Berechnung der Betrugsraten, die ich verpflichtet bin, durchzuführen, ergibt, dass eine höhere Betrugsrake eingesetzt hat, da muss ich wieder dauernd SCA machen. Schlussverhöhung. In Summe ist es von außen nicht vorhersehbar, wann eine Tan verwendet werden muss. Das macht beim Userinterface Design. Ich weiß wie viele sich mal damit beschäftigt haben. Natürlich besonders viel Spaß. Also ich hab das in Biro, das ist halt eine Web App. Es ist ein bisschen schwierig, wenn man irgendwie auf Submit drückt und dann passiert halt nicht das, sondern kommt erst mal, übrigens muss noch ne Tan eingeben. Das ist User, für den User natürlich total verwirrend, weil der sich auf nichts mehr verlassen kann. Er kann halt nicht mehr vorhersehen, was passiert, wenn er einen Knopf drückt. Das ist für automatisierte Dienste, die Fintes benutzen wollen, total unmöglich, weil ich selbst von den Vorgängen, von denen ich bisher ausgegangen bin, dass sie zum Beispiel Ritoli sind und keine Tan brauchen, wenn ich also zum Beispiel die Konto-Eingänge bei meinem Verein laufen, verbuchen möchte und einen Kronjob startet, der alle X Tage mal abruft. Kann das halt passieren, dass dann trotzdem wieder mal ne Tan nötig ist? Ich kann halt auch nicht den Zugriff unterdrücken. Ich weiß es halt nicht vorher. Es kann halt irgendeinen Sonderfall eingetreten sein. Und wenn man dann so ein Push-Dienst verwendet, ist es halt toll, weil derjenige, den der Zugang gehört, dann plötzlich ne Push-Nachricht kriegt und es nicht ganz zu unterscheiden ist, ob das jetzt der selber aufgesetzte automatisierte Vorgang war oder ob es irgendein anderer böse Gewicht. Die verschiedene Banken handhaben das auch sehr unterschiedlich. Bei der DKB zum Beispiel muss man jedes Mal eine Tan eingeben, wenn man sich irgendwo einloggt. Bei der Sparkasse nicht. Die Sparkasse macht Gebrauch von den 90 Tagen Ausnahmen. Dafür muss man bei der Sparkasse die Tan eingeben, wenn man einen Suchvorgang startet, der mehr als 90 Tage beinhaltet. Die DKB hat gesagt, das ist Ihnen so umständlich, deswegen fragen Sie immer nach der Tan. Außer man hat dann sind halt danach alle Transaktionen ohne Tan. Außer natürlich, es sind wieder fünf Minuten vergangen. Euch fällt auf, das passiert eigentlich nur bei solchen EU-Richtlinien oder solchen EU-Regulierungen. Ich weiß, wer ein PayPal-Konto hat. PayPal hat seit immer kein Zwei-Faktor-System. Die machen einfach irgendwas, keine Ahnung, wie man auch Transaktionsrisiko und Zeugs, die wissen halt, dass so eine Tan eigentlich nur dazu führt, dass sie nur zu dem Prozess im Zweifel einfach abricht. Was halt bei Zahlungen doof ist, weil dann die Einnahmen entgehen. Das ist eine der Gründe, warum PayPal das nicht hat und Leute immer wieder, aber ihr seid doch so unsicher und am Ende da ja eigentlich nicht offensichtlich, weil sie sind ja noch im Markt. Das ist der Effekt. Multibanking haben wir gehört. Ich habe eine App, wo ich alle meine Dinge drin hat, führt dann dazu, dass ich Multifaktor habe. Hier den Lilo Dallas Bits einfügen. Das sind die Tan-Generierungs-Apps wesentlich nicht auf meinem Telefon habe. Ich habe überneulich mal in meiner, ich glaube kurz nach dem 14. September, in meiner Online-Banking App versehentlich auf alle Kontenaktualisieren gedrückt, was dann dazu führte, dass ich acht verschiedene, Moment, neun verschiedene Tanz eingeben musste, eine davon zweimal, auf vier verschiedene Modalitäten. Also ich habe ja auch noch Tan-Generatoren mit Schiptern, was ja eigentlich das bessere Verfahren ist. Die muss man halt raussuchen, aber ist ja nicht so schlimm, weil macht man ja nur, wenn man eine Überweisung durchführt. Und die DKB hat ihr Kreditkartenkonto von Finty es jetzt abgehängt. Das heißt, die Software, die ich verwende, macht dann Webcrawling, was die alte Methode war, um Finanzdaten abzurufen, wozu dann nochmal ein separater Tan-Eingaben nötig ist, um sich um Web-Pedophäes einzulernen. Ich habe seitdem nicht noch mal auf alles abrufen gedrückt. Sollte das mal irgendwann wieder schon, ich muss mich bloß vorbereiten. Genau, Zeitlinie. Also die Richtlinie ist vom 25. November. Sie ist technisch gesehen im Januar 2016 in Kraft getreten. Das Bede-Reute, da gibt es in zwei Jahresfrist, sie ist 2018 im Nationales Recht umgesetzt worden. Das Zahlungsdienst umsetzungsgesetz in Deutschland. Da steht im Wesentlichen nur das Copy and Paste von der Richtlinie drin. In der Richtlinie ist eine Verordnung delegiert worden, was die technische Umsetzung angeht von 2017 und jetzt kommen wir, warum ist das eigentlich alles am 14. September explodiert, weil die, leider der Ruf-Rist, am 14. September wird diese delegierte Verordnung gültig. Sechs Monate vorher hätten die Banken eine Testumgebung zur Verfügung stellen müssen, damit Software-Entwickler, die nicht der größter Markt sind, das mal testen können. Es gibt eine, es gibt eine Vollwett-Lösung. Falls man sich außer Lage, außer Stande sieht, eine PSD2-AP anzubieten oder da irgendwas nicht ist oder ein Notfall eintritt, wobei Notfall definiert ist als fünf Vorgänge, haben mehr als 30 Sekunden Latenz. Dürfen Zahlungsdienstleister, also die Kontinformations- oder Zahlungsauslösedienste, einen Vollwett benutzen, nämlich das Interface, was der normale Kunde benutzt. Da sind wir wieder beim Web-Calling. Wenn die Banken von das nicht möchten, müssen sie mindestens drei Monate am Stück die normale PSD2-AP zur Verfügung stellen. Das heißt, sie hätten im Juni die PSD2-AP produktiv laufen müssen, haben müssen, um von der Ausnahmeregelung ausgenommen zu werden. Ich glaube, das hat keiner. Und am 14. September ist dann alles explodiert, dann wurde die Durchführungsverordnung gültig, die delegierte Verordnung gültig, was dazu führte, dass noch nicht sofort alles explodiert ist. Erst mal sind nur Transaktion und Online-Anmeldung, weil manche Banken haben tatsächlich davon Gebrauch gemacht, dass da irgendwo 90 Tage steht. Und wenn man sich halt am 13. September angemeldet hat, dann war man ja angemeldet, dann, das war dann am 13. Dezember vorbei. Das heißt, spätestens seit dem 13. Dezember hat jeder der Online-Banking benutzt. Spaß. Gibt kleinere Problemchen. Die Anmeldepflos für zwei Faktor-Apps sind oft kompliziert, der Support etwas überlastet. Also bei der Postbank hatte ich das Problem, dass ich neu was unterschreiben musste, weil ich als Vereinskonto, das ist mal das gemeinschaftskonto, war ja früher nicht so schlimm. Man teilt halt einfach die Pin und nur einer kriegt die Chipkarte für die Tangenerierung. Neuerdings müssen halt alle Gemeinschaftskonten extra Personen-Accounts für jeden, der Lesenzugruf haben soll haben. Bei der Postbank lief es dann darauf hin, was ich unterschreiben musste und die meine E-Mail nicht angenommen haben. Der Mail-Servat gemeint aufgrund der hohen Betrugsraten können sie zurzeit keine Mail annehmen. Moment. Nachdem ich den Support gefragt habe, ich habe tatsächlich die Telefonische was erreicht, meinte er, faxen sie uns das. Also habe ich vorgeschlagen, faxen. Das habe ich gemacht, das hat auch nur vier Wochen gedauert, das hat funktioniert. Andere Leute haben andere Probleme, also irgendwie Gerätewechsel, Verlust, das ist ein bisschen schwierig, habe ich mit jemandem geredet. Ich habe, wie gesagt, ich habe ja bevor ich ins Kindschot gesehen, wenn ich jetzt das Handy verliere oder auch nur tauschen möchte, wo sie halt acht verschiedene Apps neu einrichten. Teilweise in acht Schritten, also ich habe gerade jemandem geholfen seine, bei der Abwubank, die TAN-App einzurichten, weil es halt dreimalig geklappt hat, der der Knopf Brief generieren mit dem Bestätigungskot, der hat immer funktioniert, dann kam ein neuer Brief. Aber es war nicht zu sehen, wo man den Bestätigungskot eingibt, also bis man natürlich auf der Webseite war und das vierseitige PDF mit den acht einfachen Schritten gefunden hat. Der schärfste Trick für Kreditkarten gilt das ja eigentlich auch mit der starken Kunden-Authentifizierung. Bloß das hat noch keiner umgesetzt, das muss nämlich ein Webshop implementiert werden. Deswegen hat die EBA jetzt gesagt, na gut, ihr habt noch mal ein bisschen Zeit bis 2020 und was sie vorhin sagte, die Appies waren und oder sind nicht funktional, die Leute haben einfach zu wenig Zeit gehabt zum Testen. Kurzer Seiten hieb, 3D Secure, es gab da schon mal einen Vortrag, ne, ich weiß nicht, ob wir diesen Vortrag hatten, aber es gibt auf jeden Fall ein sehr schönes Feder, Paper dazu, Verified by Visa and Mastercard Secure Code or How Not to Design Authentication von Murdoch und Anderson. 3D Secure, das steht für 3Domain, Acquire, Issue and Interoperability sind die Domains, also der Ausgeber der Akzeptanz und die dazwischen Leute, der Kunde fehlt in der Liste, die hier geschützt werden. Also es ist dafür da, dem Kunden neue AGB aufzudrücken und die Schuld zu verschieben, weil offensichtlich der Kundeschuld ist ja jetzt sicher. Bei einer meiner Banken, das ist eine am VR Bankennetz angeschlossene, meiner Fidutscher, muss man sich registrieren auf kriegt man so ein Brief, gehen Sie jetzt mal bitte auf diese Webseite und füllen Sie dort die Registrierung aus, so online-sicher-einkaufen.de oder so ähnlich, dass sicher online einkaufen.de, sicher einkaufen, einkaufen, sicher, nicht bin mir sicher, es war sicher online einkaufen. Ich weiß es, weil diese Seite existiert, die anderen nicht zur Zeit, diese Seite existiert und hat ein gültiges Sicherheitszertifikat von Netz Encrypt und dann war wieder die Sache mit dem Blutdruck, die hat dann wieder gemeint, naja, Sie können sich jetzt hier registrieren und dann die Push-Ten-App aktivieren. Es geht auf Ihrem Telefon nicht, weil es geroutet ist, das Telefon ist unsicher. Egal kein Problem, Sie können auch den Alternativ-Prozess verwenden, wir schicken Ihnen einfach eine SMS an dieses Telefon. Okay, muss ich jetzt nicht verstehen. Dieses Formular, wie gesagt, das ist aktuell online, hat immer noch die gleichen Probleme, die Murdoch und Anderson damals genannt haben. Wenn man runter scrollt, findet man halt diesen Sign-Up-System, das ist ein Iframe, das von irgendeinem anderen Domain kommt, die hat sogar ein Extended Validation-Zertifikat, nur dass es halt niemand sieht, weil es ist halt ein Iframe. Was ist noch so passiert? Wie gesagt, Gemeinschaftskonten benötigen jetzt ein Login pro Person, ich glaube hier die CCTV-Veranstaltungs-GmbH hat auch schon Spaß damit gehabt. Die Banken gehen langsam mal zu über Fintech, als abzuschalten oder loszuwerden, weil sie haben mal jetzt eine PSD2-RP. Die regulierten Dienstleister dürfen nicht mehr bei Fintechs zugreifen, außer halt im Fallback-Modus, der außer manchmal. Surprise-SCR, wie gesagt, User-Interface wird nur noch merkwürdiger. User sind frustriert und kriegen Hals. Was gar nicht so schlecht ist, es gibt jetzt eine Registrierungspflicht für Anwendungen, die auch für Fintechs gilt. Also auch meine Anwendung bei Fintechs ist registriert und es ist im Sinne der Transparenz. Sieht man halt im Online-Banking, welche App verwendet wurden. Das ist erst mal nicht schlecht, kann man nichts gegen haben, zumal die Registrierung auch als Open Source-Entwickler möglich ist. Ist ja nicht immer so. Aber fast jede Transaktion kann manchmal eine Tanan fordern. So, wie gesagt, ich habe das auch gerade gesehen, wir kommen zum Schluss. Transparenzenaufsicht sind verbessert worden, Verbraucher sind zunehmend genervt. Perfekte Grundlage für Verschiebing. Ich weiß nicht, wie viele von euch so eine Mail gekriegt haben, PSD2 tritt jetzt in Kraft, bitte geben sie jetzt hier nochmal ihre Konto Nummer ein. Sie müssen sich jetzt neu anwählen, weil neue Umstellungen des Sicherheitsverfahrens gewerbliche Nutzer, wie gesagt, müssen komplett ausweichen, weil das macht gar keinen Sinn. Dafür gibt es jetzt neue Geschäftsfälle für Start-ups, die entsprechende Anfangsinvestitionen haben. Und Open Source kannst du halt vergessen in Zukunft. Danke. Wir haben noch zwölf Minuten Zeit für Fragen und Antworten. Drei Mikrofonen haben wir im Saal verteilt. Falls ihr Fragen habt, stellt euch hin. Ich versuche euch halbwegs fair aufzurufen. Eine Frage hätte ich. Was soll der Scheiß? Hast du nicht gehört? Sofort überweisung ist jetzt legal. Niemand. Niemand. Fangen wir mit dir an. Okay. Du hast gesagt, dass Fintes jetzt langsam ausgeschlichen will von den Banken. Ich weiß von einigen Banken, dass sie bei PSD2 direkt das Fintes abgeklemmt haben, weil sie es nicht implementiert hatten, PSD2 konform. Weißt du, wie das bei den anderen Banken aussieht? Also gibt es da schon Ankündigungen von den großen Rechenzentren, also Fiduccia oder Sparkasso oder wie sie alle heißen? Ja, die haben sich größtendals zurückgehalten. Sie haben halt, sie sagen halt nur durch die Blume, dass sie es zumindest nicht mehr erweitern wollen. Sie haben ja jetzt das andere. Ich glaube, irgendjemand hatte da genau dieses Problem, die haben ein bisschen zurückgerudert, wenn mich nicht alles täuscht. Aber ja, also es gibt ja keinen Grund mehr dafür. Ja, die haben zurückgerudert, nachdem sich 3.000 Leute beschwert haben, in einem witten Mobblock-Post. Ja. Bitte. Gibt es irgendwie so eine Art Informationsblatt, was ich als Kunde der Bank geben kann, wenn ich der Meinung bin, dass sie mir völligen Bullshit zu der PSD2 erzählt und irgendwelche neuen Änderungen damit versucht zu begründen? Ah ja, gar kein... Ja, ja, da steht sogar eine Richtlinie drin, dass die europäische Bankenaufsicht und ich glaube, die BAFIN jeweils ein Merkblatt für Kunden herausgeben, in denen alle Änderungen und neuen Pflichten und Rechte des Kunden dargelegt sind. Das müsste auch der Webseite der BAFIN zu finden sein. Ich meine eigentlich umgekehrt Richtung Bank, dass man... Ja, ja, das ist das Merkblatt für dich als Kunde. Und du kannst es halt der Bank vorhalten und sagen, guck mal, was ihr mir sagt, steht da nicht drauf. Du meinst, dass nicht so sonderlich kompliziert sich eine juristische Person anzulegen. Könnte ich dann mit einer juristischen Person mir einen Geschäftskonto anlegen, damit ich dann wieder APIs habe, die ich von der App aus verwenden kann? Klar. Ist das der neue Weg? Ja. Also, brauchst halt eine neue App. Es ist dann ebix, aber ja. Du hast aufgelistet, dass es ja drei Authentifizierungs Merkmale gibt. Du hast sehr konsequent nur von Tanz gesprochen. Wenn ich die Richtlinie korrekt interpretiere, ist Wissen und Besitz, also Pin und Chipkarte nach wie vor eigentlich ein vollkommen valides Authentifizierungsmittel. Korrekt. Also steht die Formulierung, die Sie verwenden, ist, dass diese aus den drei Faktoren muss ein Authentifizierungscode abgeleitet werden. Das kann auch in den Signature unter dem, was auch immer sein. Ich habe aber keine Implementierung davon gesehen. Also außerhalb der Innerhalb von Apps. Also die DKB zum Beispiel hat eine eigene App und wenn man innerhalb der DKB App bleibt, dann bleibt halt alles innerhalb der DKB App. Inklusive mit iPhone, wie auch immer diese Gesichtserkennung heißt, da braucht man auch keine Tanme, der stimmt. Aber es ist halt, wenn man eine andere App benutzt, die nicht die ist, ist halt irgendwie schwierig, eine Signatur abzutippen. Deswegen tippe man meistens lieber Tanz ab. Ich frage nur, weil die Sparkasse mir erzählt hat, dass HBCI mit Chipkarte ja diese Authentifizierungsbedingungen nicht erfüllen würde. Das ist inkorrekt. Also HBCI mit Chipkarte ist halt gerade Besitz und Wissen. Sie können sich eventuell drauf rausreden, dass irgendwie Pin-Verifikation auf der Karte eventuell nicht gehöltet, aber eigentlich dann doch schon. Okay, und die Mitte mal wieder. Du war in der Kleine Anmerkung, du meintest, dass Paypal mit 2-Factor nicht funktioniert. Aber in der Tat habe ich Paypal mit 2-Factor. Es gab vor fünf Jahren, glaube ich, eine kurze Zeit, wo Sie das angeboten haben. Aber ich glaube, es wird nicht mehr beworben. Ich konnte das in der App so anklicken vor ungefähr einem halben Jahr. Oh, dann haben Sie das Neues eingebaut. Okay. Vielleicht wollen Sie jetzt auch PSC2-Kontrolle. Ja, schon. Okay, bitte. Ich frage für ein Freund. Der entwickelt einen Webshop und dann müssen Sie sich natürlich auch mit diesem 3D-Secure Krams herumschlagen. Und der Zahlungsdienstleister sagt, es ist in Ordnung, wenn man für das hinterlegende Kreditkarte beim Zahlungsdienstleister einmal dieses 3D-Secure Verfahren macht. Und danach kann man als Shop quasi blübig oft davon abbuchen und der Kunde muss da nicht mehr nochmal irgendwelche Tanz eingeben. Ist das überhaupt korrekt so? Weil dann sehe ich den Sinn dahinter nicht so ganz. Ich bin gerade nicht sicher. Also für die erste Zahlung, bei Wiederkehrendenzahlungen, ja, aber es muss trotzdem jede Zahlung autorisiert werden. Bloß das für Wiederkehrendezahlung, glaube ich, einfache Autorisierung reicht. Ich bin mir da aber auch nicht ganz sicher. Das muss dann aber nicht über den Dienstleister geben. Das reicht dann einfach, wenn der Kunde im Online-Shop einmal klickt. Ja, ich nehme jetzt diese Kreditkarte oder? Genau. Das kann halt mit Passwort würde dann reichen. Also nicht zwei Merkmaler, sondern nur eins. Entweder habe ich unseren Signal Angel die ganze Zeit übersehen oder es gibt gerade was Neues, bitte. Haben gerade erst die Frage. Wärst du mit PSD 2 glücklicher, wenn es ein bisschen open source freundlicher wäre, als sozusagen die Zugang für auch Open Source Programme offen wäre oder sagst du, ist allgemein eher mehr gelaufen? Naja, es ist relativ schwierig, diese Anforderung grundsätzlich umzusetzen, weil Software, die der Anwender selber runterredet, kompelliert und laufen lässt. Deswegen sehe ich nicht, wie man das umsetzen könnte. Also man müsste halt auf die Anforderung verzichten, dass die Endpunkte durch ein qualifiziertes Zertifikat identifiziert werden und dann hat man nur noch die Probleme, die wir Nutzer haben mit dem ganzen Tanscheiß. Dann haben zumindest Open Source Entwickler keine Probleme mehr und der User interface bloß halt auch immer noch kaputt. Bitte. Ich würde einfach nur noch mal anmerken. Die meisten Anwesenden werden wahrscheinlich zwei Geräte besitzen, aber gerade dieses ganze zwei Faktor-Teil wird ja absurdum geführt, wenn ich meinen Online-Banging auf demselben Gerät mache, wo auch der Tangegerater ist. Dass auch die Abtrans- Integration, die manche Banken anbieten, wird ja hier auf ein Kongress vor ein paar Jahren auch schon mal gezeigt, dass das sinnlos ist, weil es irgendwo gehackt werden kann, ist man da irgendwie gesichert, wenn man das macht als Kunde. Also die meisten haben ja doch nur ein Gerät zu Hause und halten sich dann nicht dran, oder ist man dann als Kunde eigentlich der Garst, diesbezüglich. Es steht drin, dass es zwei getrennte Geräte sein sollten oder auf dem Gerät, das ist halt unter anderem einer der Gründe für die Routedaktion, auf dem Gerät für eine Trennung der, es gibt da einen Absatz, der irgendwie man müsse, die Trennungssysteme des Betriebssystems zu benutzen oder so. Ich vermute mal, das geht eher in Richtung Samsung Knox und nicht auf normales Android, aber eigentlich sollte normales Android ausreichen. Ich bin auch nicht sicher, ich glaube, als dieses Abtanenhack war, da waren es auch geroutete Geräte oder erweiterte lokale Zugriff. Ich nutze so ein Open Source Software, um so persönliche Finanzen zu trekken und habe das auf meinem Server installiert. Erste Frage bin ich jetzt schon, Kontoinformationsdienstleister und also der Entwickler hat gesagt, er möchte PSD2 einbauen und wenn ich jetzt aber richtig verstanden habe, dann geht das gar nicht. Also ich habe auch gelesen auf GitHub, er hat sich jetzt irgendwo registriert und ich habe aber jetzt nicht ganz verstanden, ob das jetzt damit dann geht. Also kann er überhaupt das jetzt so einbauen, dass ich das dann benutzen kann? Ja, also die Registrierung war die HBC Registrierung. Ob du dann schon für dich selber, ich bin mir nicht sicher, ich glaube, für dich selber ist es, ich bin mir nicht sicher, ob da irgendwas von einem Dritten drin steht, da müsste ich tatsächlich nachgucken. Kann ich dir so nicht beantworten? Müssen wir nochmal die Text lesen. Kann er denn PSD2 in seine Software einbauen, dass es das immer benutzen kann? Nein, kein PSD2, aber es wird immer über Fintech erst laufen, was du beschrieben hast. Okay, und wenn die Bank Fintech ist abschaltet, bin ich geauscht. Ja, also kannst du auf eBix wechseln. Hast du irgendeine Vermutung, wer hinter dem Ganzen steht, warum die das gemacht haben? Weil ich meine, sofort Überweisung alleine gegen die ganze Banken-Lobby, die Banken mögen das ja offensichtlich nicht. Irgendwer muss das auch durchgedrückt haben. Ich weiß es tatsächlich nicht. Wir haben kurz vorher uns unterhalten, dass es da so einen Slogan gab. Digital First, Bedenkungs Second, das könnte glaube ich damit zusammenhängen. Es klingt halt nach Fortschritt, es wird halt besser. Ja, ich wollte noch einmal fragen, sind die Organisationen oder politische Akteure bekannt, die Benutzerinteressen da in irgendeiner Form bündeln und versuchen zu kanalisieren? Die was? Also versuchen, da ist irgendwie ein bisschen Lobby im Sinne der Nutzer und der User zu machen an der Stelle. Also Verbraucherschutz, irgendwie Parteien oder so. Es gibt einen Voice, verbannte IT-Anwender e.V., aber ich weiß nicht, ob die in dem Rahmen irgendwelche Aktivitäten haben. Wie wird gerade gesagt, ist eher eine Selbsthilfegruppe, aber es ist... Du hast nur gefragt, sind mir bekannt. Antwort, ich kenne nur eine. Ja, dann bitte, das scheint da noch die letzte Frage zu sein, falls niemand mehr hat. Ja, du erwähntest die Registrierung für die Drittdienste. Ist das nicht eigentlich sogar eine Art Zulassung auch bei der BAFEN? Und da kann doch jetzt auch vor ein paar Wochen grad auch Standards raus, was für Sicherheitsmaßnahmen da umzusetzen sind, die auch möglicherweise geprüft werden und dann auch diese Zulassung jedenfalls entzogen werden kann für diese Drittdienste? Genau, deswegen steht einmal irgendwie registriert und oder zugelassen, glaube ich, als Formulierung, weil es, wie gesagt, für Quant-Informationsdienstleister ein bisschen einfacher ist. Da ist dann ein... die Absätze 1 bis 6, außer Paragrafen 3 und Dings gelten nicht für Quant-Informationsdienstleister oder so ähnlich. Aber für alle, die Weitergehende zu machen, ist tatsächlich mit Zulassung und Bericht und Vorregistrierung und so weiter darin, inklusive Entzug. Bist du glücklich? Du siehst nicht glücklich aus. Ja, passt ja. Das war auch eine letzte Frage. Und das Signalanger hat noch eine. Ich habe sogar noch zwei auf Twitter. Also erst mal kann ich irgendwie verhindern, dass mein Arbeitgeber da meine Bankdaten an Datafreiter gibt oder habe ich da keine Chance? Lustige Frage. Ich glaube nicht. Und die zweite Frage ist, kannst du einen Ausblick geben? Also siehst du dann irgendwie Hoffnung, dass noch was nachgebessert wird oder müssen wir einfach 20 Jahre warten, dass das nächste Neuegesetz kommt? Da steht drin, dass die alle, ich weiß nicht, alle X-Jahre evaluiert und aktualisiert werden soll. Ich glaube, 2021 ist das nächste Mal. Vielleicht wird nachgebessert. Ich bin da aber nicht so sehr hoffnungsvoll. Weil wie gesagt, aus Sicht der zentralen Behörden sind so nicht Cloud-Anwendungen eher so Nischenprodukte. Etwas aus seinem eigenen Rechner zu betreiben, kommt aus der Mode. Jetzt aber wirklich die letzte Frage. Ich würde gerne an eine vorherige Frage anknüpfen, nämlich ob es Institutionen gibt, die sich dafür einsetzen, dass das Ganze gebessert wird. Ich arbeite jetzt für sofort und wir sind also sofort Überweisung. Wir sind aktiv dabei, mit nahezu allen Banken in Europa und auch den nationalen Behörden zu diskutieren, dass es da schnellstmöglich Änderungen gibt, noch vor einer neuen Direktive. Also in möglichst naher Zukunft. Also es gibt Leute, die sich dafür einsetzen. Sehr gut. Es könnte also sein, dass du die Frage beantworten kannst, die ich vorhin gestellt habe. Ich komme gleich vor. Henrik Blöds, vielen Dank.