Was hat die PSD2 je für uns getan?
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
Formal Metadata
| Title |
| |
| Subtitle |
| |
| Title of Series | ||
| Number of Parts | 254 | |
| Author | ||
| License | CC Attribution 4.0 International: You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor. | |
| Identifiers | 10.5446/53172 (DOI) | |
| Publisher | ||
| Release Date | ||
| Language |
Content Metadata
| Subject Area | ||
| Genre | ||
| Abstract |
| |
| Keywords |
36C3: Resource Exhaustion75 / 254
1
7
8
9
10
11
24
26
27
28
35
39
40
41
43
44
47
49
50
55
56
60
62
63
64
68
71
72
74
75
77
78
79
82
88
93
99
100
102
106
109
111
112
113
118
119
122
124
125
127
132
133
135
136
137
138
140
141
142
143
144
145
146
150
151
156
157
158
161
162
164
165
166
167
170
173
175
177
179
180
182
183
187
201
202
208
213
219
224
226
233
234
235
237
239
240
241
244
246
247
249
251
253
00:00
Mobile appNumberSmartphoneZahlComputer animationLecture/Conference
01:27
Video projectorKommunikationUser interfaceMIDISummationCellular automatonBildschirmtextInternetdienstDatabase transactionKommunikationSpeciesDigitizingOpen sourceAuthenticationImplementationHacker (term)Product (category theory)Computer sciencePlane (geometry)Communications protocolSoftware engineeringMobile appStandard deviationPlug-in (computing)Perspective (visual)Service (economics)Family of setsSoftwareHöheLecture/Conference
06:36
BildschirmtextInternetdienstDatabase transactionVersion <Informatik>Doppelpunkt <Mathematik>Web serviceCommunications protocolData structureData transmissionPlane (geometry)Computer animation
08:15
XMLImplementationRSA (algorithm)BildschirmtextFloppy diskVersion <Informatik>Smart cardDatabase transactionLecture/Conference
10:03
BildschirmtextInternetdienstDatabase transactionComputer multitaskingData storage deviceIP addressKippenForm (programming)Mobile appImplementationComputer animation
12:23
Computer multitaskingSeries (mathematics)InternetdienstFluidTINA <Telekommunikation>World Wide WebAuthenticationHome shoppingInternetdienstSubsetWordWeb pageFINANZ <Programm>SpeciesForm (programming)CountingPayPalAbbildung <Physik>Server (computing)Systems <München>PasswordDatabase transactionAbsolute valueRollback (data management)Service (economics)Café <Programm>Row (database)ZugriffCategory of beingMultiplicationKAM <Programm>LoginWEBSoftwareVersion <Informatik>MittelungsverfahrenFunktionalitätControl engineeringComputer animation
21:17
APIAuthenticationZugriffService (economics)High availabilitySide channel attackAPIZugriffHigh availabilityInterface (computing)Mobile appSet (mathematics)Service (economics)HOLInternetdienstFunktionalitätFINANZ <Programm>Data storage deviceInsertion lossSoftwareLohnbuchhaltung <Programm>Plane (geometry)CountingGeometric primitiveCategory of beingInformation systemsWeb pageControl engineeringComputer animation
30:11
ZugriffAPIService (economics)High availabilityAuthenticationCellular automatonSide channel attackCodeService (economics)BerechnungAuthenticationMobile appSide channel attackLösung <Mathematik>ScreensaverAPISearch algorithmNumberAbsolute valueInternetdienstSage <Programm>ZugriffMultiplicationSound effectCountingFactorizationSoftwareWEBMoment (mathematics)TangentEigenvalues and eigenvectorsBiometricsSummationListe <Informatik>QuoteSpiralMusical ensembleFraction (mathematics)CalculationComputer animation
39:05
APIImplementationCellular automatonLoginSide channel attackAktion <Informatik>Open sourcePDF <Dateiformat>Mobile appData conversionAPISide channel attackDatabase transactionWEBService (economics)Sound effectValidity (statistics)FactorizationSmart cardEmailSoftwareDomain nameSoftware developerNoten <Programm>Greatest elementWeb pageAbstract syntax treeForceMoment (mathematics)HöheComputer animation
48:00
Lecture/Conference
48:51
Mobile appImplementationDataflowAuthorizationCountingElectronic signatureImage processingFIS Informationssysteme und Consulting GmbHEstimationSmart cardFactorizationiPhoneSoftwareDirection (geometry)Table (information)Data conversionContent (media)PasswordCompass (drafting)Service (economics)Lecture/Conference
54:26
Lattice (order)Hacker (term)Standard deviationZugriffSystems <München>FINANZ <Programm>Service (economics)InformationMusical ensembleOperating systemAndroid (robot)SoftwareHausdorff spaceRouter (computing)CalculationTwitterDirection (geometry)Lecture/Conference
01:00:02
AuthenticationopenSUSELecture/ConferenceComputer animation
Transcript: German(auto-generated)
00:20
Habt ihr vielleicht auch so ein Smartphone und ich hab da so eine App drauf und die damit ich hab so mehrere Konten bei verschiedenen Banken und ich hab so eine App da sind die ganzen Konten so drin und wenn ich wissen wie viel Geld ich nicht hab dann starte ich diese App dann guck ich da so drauf weil mein Telefon mich sonst nicht erkennt und dann kann ich halt sehen wie
00:45
viel Geld ich auf dem Konten habe und was ich so für Kontobewegung hatte und dann irgendwann dieses Jahr habe ich da nicht mehr gesehen wie viel Geld ich auf dem Konto hatte sondern da kamen immer so Pop-ups die haben gesagt ja das funktioniert jetzt nicht weil hab ich nicht
01:01
verstanden aber was da immer drin vorkam das waren drei Buchstaben und eine Zahl und das war das hieß PSD 2 und jedes mal habe ich gedacht jetzt muss ich wieder aus der App raus und muss wieder irgendwas machen was ich nicht verstehe und dann werden mir SMS geschickt die ich irgendwo eintragen muss und dachte die ganze Zeit was zum Teufel soll dieser Scheiß so und das schöne ist wir alle werden jetzt möglicherweise eine Antwort auf die Frage
01:26
bekommen was dieser Scheiß soll und falls nicht dann kann man hinterher persönlich zur Rechenschaft ziehen sein Name ist Henrik Platz. Ja genau also ich habe ich versuche die Frage
01:48
zu stellen was hat die PSD 2 je für uns getan und Antworten darauf zu geben in der hier einer der ersten Vorträge für diejenigen die hereingestolpert sind ohne zu wissen worum
02:00
es geht es geht um die Richtlinie der EU 2015 2366 des Europäischen Parlaments und des Rates vom 25 November 2015 über Zahlungsdienste im Binnenmarkt zur Änderung der Richtlinie und so weiter und so fort und so fort das ist die das ist die Zahlungsdienste Richtlinie 2 und da dran hängt noch eine handvoll delegierte Verordnungen aber ganz
02:22
massiv die delegierte Verordnung vom 27 November für die technischen Regulierungsstandards für eine starke Kunden Authentifizierung und für sichere offene Standards zur Kommunikation das ist was in der App die ganzen Pop-ups verursacht hat. Warum bin ich hier und warum erzähle ich euch was zu diesem Thema ich bin Informatiker und Sicherheitsforscher
02:44
ich glaube neudeutsch sagt man Hacker dazu hat meinen einen meiner ersten Vorträge auf dem Kongress vor zehn Jahren zum Eifer Classic erhalten seitdem einiges gemacht zu Zutrittskontrollsystemen, RFID, im Spezialgebiet sind halt solche Arten von Kommunikationsprotokollen
03:02
ich bin auch Open Source Entwickler also wenn irgend so ein Kommunikationsprotokoll rumliegt dann implementiere ich das manchmal unter anderem HBCI dazu erzähle ich euch noch ein bisschen was. Es gibt im Umfeld des CCC eine Vereinsverwaltung die entstanden ist die heißt Biro von RICS da habe ich einige größere Dinge zu beigetragen und es gibt von
03:25
Rami die beiden machen ja hier die Kasse und den Vorverkauf von Rami eine Python Implementierung von Fintes ich sage euch gleich noch was das ist dazu habe ich größere Dinge beigetragen und dann die Kombination dabei ist das Plugin Biro Fintes also eine Perspektive aus der ich das betrachte halt als Open Source Entwickler
03:43
ich bin auch Gründer und Geschäftsführer vor zwei Jahren habe ich mit Freunden zusammen eine eigene Firma gegründet Digital Wolfplatz und Co. GmbH wir haben ein etwas schwammiges selbstverständnis oder eigentlich sehr präzises selbstverständnis das etwas schwieriger zu verstehen ist das ist die Digitalisierung in komplexen Umfeldern wir entwickeln wir
04:04
machen halt Beratung aber entwickeln halt auch software aus dieser Ebene gucke ich das auch an beziehungsweise andere Produkte für die evangelische Kirche bauen wir den Klingelbeutel wir sind jetzt Zahlungsdienstleister zum Glück hat es nichts damit zu tun ich bin ich freue mich sehr dass alles was wir tun einer PSD 2 vorbei geschrammt ist außer halt als
04:23
Privatkunde ich bin nämlich auch noch neugieriger Nutzer wir haben gerade eine Einführung gehört dass es jemand durchaus eine App in mehreren Konten haben könnte ich habe mal kurz durchgezählt bei mir sind es neun verschiedene Konten weil ich auch noch Hüte auf habe also sowohl Geschäftskonten neun verschiedene Banken Konten sind es ein
04:43
paar mehr als sowohl geschäftliche Konten als auch Privatkonten beziehungsweise Familienkonto als auch ich bin in einen Vorstand Vereinskonten ich glaube sieben oder so davon benutze ich auch regelmäßig der Rest war also kostenloses Giro konnte man ausprobieren
05:03
was die tun und dann sind da halt 10 euro drauf und man kann sehen wie die auf diese Umstellung reagiert haben das hilft dann auch wieder beim entwickeln von open source software wenn man testkunden hat und mal gucken kann was die banken so anstellen agenda also wir haben gerade gehört worum es gehen soll ich werde euch gleich den wunderschönen
05:23
vorherzustand darstellen die begründungen geben die die europäische kommission gegeben hat warum diese richtlinie für öffentlich beschlossen werden sollte dann auf die frage antworten was uns die psd 2 nun wirklich gebracht hat in der form die schön ist
05:45
und dann in der form was es dann tatsächlich bei rausgekommen ist mit einer kurzen kurzen eingehen auf die zeitlinie und dann zu den diversen problemen ärgerungen ja blutdruck
06:01
ich fand das sehr schön als die zwei minuten bevor der vortrag losging war hier im info beamer eine werbefolie für btx irgendwo hier stehen btx thermals die man ausprobieren kann es war ja nicht alles schlecht in 2018 oder auch in den 80ern schon seit den 80ern gibt es online banking für privatkunden in deutschland fing das heil so in den frühen 80ern mit
06:27
der ccc hat ein bisschen geschichte mit btx der eine oder andere wird sich erinnern wurde 2007 leider abgeschaltet aber hat bis dahin ganz gut funktioniert daraus entstanden mehr oder weniger direkt ist das sogenannte hbci die buchstaben abkürzung haben vielleicht
06:44
die meisten schon mal gehört home banking computer interface das ist ein naja ein kommunikations protokoll zum austausch von bankdaten für endanwender es ist ein naja
07:04
kommer separierte werte auf drogen also es hat semi kolons als trennzeichen aber manchmal sind dann auch noch doppelpunkte trennzeichen und manchmal pluszeichen trennzeichen was das ich habe implementiert es ist tatsächlich passbar ich hätte es mir nicht gedacht es gibt durchaus protokolle die nicht passbar sind dieses gehört nicht dazu aber es erscheint
07:22
wie ein zufall es ist sehr hierarchisch aufgebaut also die datenstrukturen sind hierarchisch man kann halt dinge in dinge in dinge tun aber es gibt nur drei ebenen von trennzeichen und irgendwann sind die trennzeichen alle aber rein zufällig sind dann auch die ebenen alle das ist übergegangen es wurde immer wieder weiter erweitert und verbessert
07:44
eingeführt 1998 version 2.1 war glaube ich die erste verbrauchbare das hat sich immer weiter verbessert hat sich übergegangen habe ci 3.0 kennen die meisten und dann wurde es unbenannt in finns financial transaction services es war ursprünglich ein rein
08:03
deutsches ding es ist ein rein deutsches ding mit finns haben sie dann versucht das international einsetzbar zu machen unter anderem indem sie sind xml gegossen haben und ja das xml ist auch passbar aber doch eine der unschönsten implementierungen wie man
08:23
sich das vorstellen kann es gibt auch niemand der das einsetzt ist nicht richtig also es gibt tatsächlich eine zentrale liste wo alle banken drin stehen mit den finns beziehungsweise habe ci version diese unterstützen das sind ja also in deutschland erreicht man damit quasi jede bank manche noch mit version 2 ich glaube die deutsche bank die meisten
08:44
unterstützen version 3 ich glaube es gibt exakt ein eintrag der finns version 4 ankündigt wie gesagt benutzt niemand hier der finns 3 total überall weil es damit erst der breiteren öffentlichkeit zugänglich wurde früher habe ci war ein typisch deutsches ding sehr schön
09:02
sehr sicher so mit smart card in computer stecken dazu muss man erst mal die smart card besorgen eine pin dafür haben einen separaten berechtigungsvertrag beziehungsweise es gab auch ein alternativverfahren wo man das ketten durch die gegen briefe durch die gegen geschickt hat auf den rsa keys abgedruckt waren seit finns 3 gibt es auch als alternatives
09:28
verfahren pin tan das ist dann was die meisten in deutschland als online banking kennen man meldet sich mit seiner pin an hat dann nur lesezugriffe aufs konto und wenn man eine transaktion durchführen möchte braucht man eine transaktions autorisierungsnummer
09:42
sehr schön sehr einfach leider demnächst tot die franzosen haben so was ähnliche btx sie haben mini tail das ist aber auch schon von ein paar jahren abgeschaltet worden das ist so der überblick für die anderen länder ansonsten war es das im wesentlichen an schönen strukturierten verfahren seit den seit der mitte der 90er hier habe ich einen
10:03
screenshot von welsfago die waren eine der ersten die man hinguckt rechts oben online banking anbieten 1995 man bemerke auch die adresse das war vor htps gab es einen wildwuchs das halt viele banken irgendeine form von online banking angeboten haben aber halt
10:24
immer durch das webinterface und immer mit unterschiedlichen formen von berechtigungsmethoden und mechanismen für firmenkunden sieht das ganze noch verwirrende beziehungsweise besser aus das sind halt alles nur die privatkunden firmenkunden haben schon schon
10:42
wesentlich früher angefangen weil die auch mehr transaktionen hatten mit tatsächlich disketten durch die gegend schicken das datenträger austauschverfahren später gab es dann nachfolger bcs und das aktuelle ist ebix da werde ich dann gleich noch drauf kommen wenn ich die situation bei meiner firma beschreibe weil das mit dem fintech jetzt
11:02
leider schade war es ermöglichte damals interoperables multibanking in fintech selber sind sogenannte geschäftsvorfälle definiert man kann halt nicht alle banken unterstützen alles aber man kann im wesentlichen abrufen kontrauszüge abrufen oder transaktionsliste
11:22
man kann überweisungen einkippen oder lasst schriften verursachen das wichtigste was man machen kann haben alle banken haben noch irgendwas anderes aber das schöne ist das funktioniert eigentlich überall und dann gibt es einfach habe ich auf meinem handy in der app die das implementiert das schöne daran war dass das protokoll einfach frei im internet verfügbar war ursprünglich kommt es von der zka der zentrale kreditausschuss die haben
11:44
sich irgendwann umbenannt und haben sich bei der bahn ein beispiel genommen und heißen jetzt dk die kreditwirtschaft nicht die oder die deutsche kreditwirtschaft je nachdem da kann man die spezifikation runterladen wie gesagt das ist prinzipiell passbar man
12:01
kann es implementieren ich habe es gemacht und dann braucht man nur noch benutzernahme und pinnen wie man sie von der bank erhalten hat und die gleichen zugangsdaten wie im online banking gelten und man muss niemanden fragen das ist nicht das wichtigste man muss niemanden fragen bevor man eine implementierung schreibt man muss niemanden fragen bevor man die implementierung benutzt ich habe das für vereinsverwaltungs software geschrieben dass
12:25
die gesamten finanzen des vereins quasi voll automatisiert verarbeitet werden können ohne dass irgendjemand im webinterface dinge runter lädt und irgendwo eingibt oder gar abtippt
12:42
das schöne an diesem fintes oder eine der eigenschaften von diesem fintes ist dass es zukunftskompatibel ist man kann halt es gibt diese einzelnen datensätze haben eine man kann dann jedes mal eine neue version einführen der alte datensatz funktioniert weiterhin für die banken oder die software nur das alte unterstützt man sieht daran aber
13:03
auch jedes mal wenn irgendwas in der geschichte passiert ist wenn es neue regulierungen gab die darauf auswirkung hatten dann kommt halt zu gibt es halt eine neue version von zum Beispiel dem datensatz zum anmelden dass dann plötzlich ein neues feld drin ist für ein sms abbruchungskonto weil ich weiß nicht genau wann das war 2012 ist die eu beschlossen
13:22
hat dass der kunde das konto angeben muss von dem die sms gebühren berechnet werden die für die anwälteten benutzt werden ein bisschen später gab es eine neue veränderung gibt eine neue version und es ist an der stelle schön dass man so quasi wie so in so fossilien mäßig sehen kann was in der vergangenheit passiert ist indem man sich das protokoll anguckt so wie gesagt multibanking war die wichtigste funktionalität und seine
13:47
finanzsoftware auf deinem computer oder deinem telefon oder auf deinem server oder wo haben sie funktioniert mit allen banken in deutschland was gab es noch für der andere
14:01
wichtige punkt für endverbraucher ist online shopping ich möchte gerne bezahlen ich brauche irgendeine zahlung da gab es gibt es immer noch dienste wie paypal oder irgendwelche wallet dienste wo man auf eine beliebige art vorher geld auflädt das geld dann ausgeben kann was aber nichts mit dem eigentlichen bankkonto zu tun hat und was
14:22
für den verbraucher natürlich wesentlich angenehmer ist kontobezogenen zahlungsdienst irgendwas was direkt mit meinem konto dass ich sowieso habe verbunden ist am einfachsten für alle beteiligten ist die vorkasse kann man halt vorher überweisen und kriegt dann sein gut oder auch nicht am einfachsten für den verbraucher ist die last schrift verschickt halt der versender das gut und belastet nachher das konto beides nicht so
14:46
real deswegen gab es immer wieder versuche andere systeme einzuführen ich glaube die ersten waren die niederländer mit einem system das so einen integrierten prozess anbot der händler kann das system ansprechen ihm sagen ich hätte gerne von einem benutzer so und
15:03
so viel euro oder 2005 ja ich hätte gerne so und so viel geld von diesem benutzer der macht das dann auf der webseite seiner bank mit den zugangsdaten der bank gibt den betrag der händler kriegt sofort die bestätigung dass der betrag freigegeben wurde ist und kann sofort die wahre los schicken in deutschland haben wir das auch das kennt natürlich dann
15:24
wieder keiner weil ich glaube die sparkassen setzen es ein und dann war es das fast das heißt geop das ist halt wie man online zahlung übers konto eigentlich machen würde wollen würde parallel um 2006 entstand ein dienstleister hatte vorher einen anderen namen die
15:43
sofortüberweisung das kennen dann an leute doch noch und man wundert sich so ein bisschen dass sie überhaupt entstehen konnte also ich fand das geschäftsmodell schon immer so ein bisschen komisch sofortüberweisung in dem mittel der benutzer gibt seine zugangsdaten
16:01
die er von seiner bank bekommen hat auf der webseite von sofortüberweisung ein sofortüberweisung lockt sich bei der bank ein für macht was auch immer gibt dem händler halt bescheid dass die transaktion durchgeführt worden ist und für den benutzer dann zum sie geben ihr indianer ehrenwort dass sie nichts anderes tun außer die transaktion
16:24
freizuschalten gegebenenfalls im konto nachzugucken ob du gebauchte überweisung oder sonst was hast irgendeiner risikobewertung sie haben auch tief geprüften datenschutz der türk salern steht dafür gerade und wenn ich mich richtig erinnere haben sie sogar dann noch gesagt falls doch noch was passiert haben wir noch eine versicherung abgeschlossen also falls
16:43
indianer ehrenwort nicht reicht damals mit damals meine ich 2012 verstieß das jetzt mal abgesehen vom gesunden menschenverstand auch gegen die teilnahmebedingungen für das penitent verfahren die bei eurer bank unterschrieben habt ich habe hier das
17:01
mal rausgesucht von der dkb der teilnehmer ist verpflichtet die technische verbindung zum online banking der bank nur nur über die internetseite der bank oder andere gesondern mitgeteilte kommunikationswege herzustellen um das mal kurz zu illustrieren habe ich eine abbildung aus der wikipedia rausgesucht also eigentlich verstößt man
17:23
damit gegen die bedingungen seiner bank und im schlimmsten fall die bank übernimmt erstmal nicht garantiert nicht dass es funktioniert übernimmt die schäden nicht es gab da dann so verschiedene banken die versucht haben das auch technisch zu unterbieten zu verbieten ich habe da keine bestätigung aber ich hörte die
17:41
sparkasse wohl versucht hätte bei die zugriffe die sofortüberweisung auslöst zu blockieren indem sie die IP adresse sperren woraufhin dann drei stunden später die zugriffe von einer anderen IP adresse kam da gab es auch juristische auseinandersetzungen weil die sparkasse wie auf der folge wie ich auf der vorherigen folie gezeigt habe ein eigenes system anbot das als mitbewerber gesehen werden kann auch wenn
18:01
es technisch halt richtig rum ist im gegensatz zur sofortüberweisung wie falsch rum ist deswegen wurde ihnen dann verboten zu versuchen die sofortüberweisung zu torpedieren das zog auch so langsam ein ich habe deswegen die dkb von 2012 rausgesucht weil ich mich erinnere mein konto da ist schon ein bisschen länger dass ich irgendwann agb-änderungen mitgeteilt bekommen habe da haben sie halt diesen
18:23
absatz einfach gestrichen und stattdessen stand dort sie dürfen die zugangsdaten nur auf der webseite der dkb eingeben, oder einem anderen von uns autorisierten zahlungsdienst leistet sie ihr anhang und der anhang enthält genau eine zeile sofortüberweisung d so nebenbei um herauszufinden was die
18:44
bedingungen von 2012 waren musste ich bei mir mich bei der dkb mal einloggen um in meinen postfach zu gucken wie wir gleich sehen werden brauchen zum einloggen neuerdings manchmal eine tann dazu gibt es den tann generator der ein password will dass ich natürlich nicht mehr wusste aber gar
19:04
ein problem das hat einen rücksetzfluss man kann sich einfach eine sms schicken lassen und den tann generator zurücksetzen und dann funktioniert es wieder ok ich glaube das password brauche ich mir nicht merken so also das war der zustand bis anfangen diesen jahres bis mitte
19:23
diesen jahres 2017 2015 kam halt diese zahlungsdienstrichtlinie heraus und das sind die begründungen warum die herausgebracht wird die dort stehen unter anderem seit der vorherigen richtlinie 2007 das ist die
19:43
psd die zahlungsdienstrichtlinie nicht die zahlungsrichtlinie 2 sind neue arten von zahlungsdiensten entstanden vor allen dingen zahlungsauslöse dienste ein anderes wort für sofortüberweisung oder konto informationsdienste diese richtlinie solle darauf abzielen die
20:04
im markt sicherzustellen mit anderen worten diese richtlinie ist in keiner form gedacht oder geeignet irgendeinen der bisherigen player am markt zu benachteiligen oder zu disruptieren ich las irgendwo mal den schönen satzlex sofortüberweisung hier ist die gegenüberstellung von der
20:24
zahlungsdienstrichtlinie 2007 und der zahlungsdienstrichtlinie 2 2015 die haben relativ langes zeugs und unglaublich komplizierte setzt an stellen also zwei minuten lang lesen um herauszufinden dass das diese dienst diese richtlinie gilt nicht für geld abheben im supermarkt also der
20:41
satz das beschreibt ist halt vier zeilen dann es gibt einen anhang der steht worauf sie sich bezieht und die ersten paar sind gleich geblieben und in zahlungsdienstrichtlinie 2 sind neuerdings zahlungsauslöse dienste und konto informationsdienst hinzugekommen und dann noch ein paar
21:01
regelungen dazu was hat uns die pfz 2 also gebracht die neuen kategorien des zahlungsauslöse dienstleisters und des konto informationsdienstleisters neue sicherheitsmaßnahmen das ist der teil den die meisten mitgekriegt haben die sogenannte starke kundenautentifizierung
21:22
sca strong custom authentication damit zusammenhängend eine ganz merkwürdige 90 tage regelung die keiner so richtig versteht und nur manchmal angewendet wird und ich weiß nicht ob das haben die wenigsten mit gekriegt außer wenn sie sich geärgert haben das timeout im online banking ist runtergesetzt worden auf fünf minuten wenn man nicht alle fünf
21:43
minuten was anklickt zum beispiel weil man gerade versucht den tangenerator auszusuchen wird man ausgelockt muss ich wieder einloggen und wieder dann eingeben es gibt dass es tatsächlich ganz positiv neue transparenzpflichten das ist so der teil den wenigsten mitkriegen weil man das immer so abnickt da steht dann drin dass alle dienstleister jetzt auch
22:04
dieses mal ordentlich und transparent darüber auskunft geben müssen welche kosten entstehen welche gebühren dass die gebühren struktur nachvollziehbar sein soll man sie auf einem dauerhaften datenträger ausgehändigt bekommen muss es gibt in der pfz 2 neue melde
22:24
zum einen an die bundesbank beziehungsweise die bankenaufsicht zum anderen vor der aufnahme des betriebs muss man sich registrieren lassen das finden glaube ich alle ganz gut also die wir hatten mal ein meeting bei der bundesbank die meinten das fanden sie ganz toll dass jetzt halt
22:41
diese daten über den finanzmarkt kriegen die finanzmarkt stabilität besser einschätzen können besser bewerten können weil für einen dienstleister nach dieser richtlinie jetzt sehr ausführlich vorgeschrieben ist welche risikokategorien welche risikobewertungen er machen muss und in welcher form er diese daten dann nach oben melden muss auch was
23:01
betrugsversuche und erfolgreichen betrug angeht und es gibt neue schnittstellen naja mehr oder weniger in der zahlungsdienstrichtlinie beziehungsweise technischen durchführung ist von dedizierten schnittstellen für zahlungsauslöse dienste beziehungsweise dienste die rede die angeboten werden müssen
23:21
neudeutsch sagt man dazu api das ist dann das was unter pst 2 api überall läuft es steht allerdings nicht drin wieder aussehen sollen nur was sie leisten können ok die neuen kategorien wie gesagt zahlungsauslöse dienst ist jemand
23:43
der im auftrag von jemandem eine zahlung auslöst also sofort über weise oder also theoretisch auch andere aber man muss bestimmte voraussetzungen erfüllen um überhaupt diese kategorie fallen zu können das enthält unter anderem eine ganze menge eigenkapital und
24:02
zertifizierung so weiter und kundinformationsdienste damit ist das gemeint was wir neu oder was wir früher unter multibank gekannt haben ich bin mir nicht ganz sicher welche also wie die leute drauf waren die das formuliert haben oder geschrieben haben aber sie hatten offensichtlich kein handy auf dem der app installiert haben wo man alle seine kunden hat sondern sie haben es auf einer webseite gemacht es ist also
24:22
neuerdings vorgesehen dass ein online anbieter eine webseite ein portal halt sich auf alle meine kunden einloggt und mir dann auf der webseite anzeigt wie mein finanzstatus ist dazu muss sie natürlich sich überall einloggen können und dann braucht man neue richtlinien regulierung und den ganzen kram ein kurzer blick zurück wie das man
24:45
sich das dachte ich habe beim recherchieren ich war das total toll ein screenshot von haise aus dem justika von 2000 das stimmt nicht das datum ist falsch ich glaube es war 2016 ein screenshot von 2016 wie wir uns die schöne neue zukunft mit psd 2 vorstellen aktuell muss man durch ein
25:05
bezahltienstleister gehen über eine kreditkarte zur bank geht neuerdings kann der online shop wie er der psd 2 api direkt auf das kunde zugreifen ich nenne das die lüge von der dritten
25:26
partei hier ein kurzer blick wie wir das bei uns in der firma hatten wir haben abrechnungssoftware wie personalverwaltung lohnbuchung ganzen kram die hat dann einfach über fintes mit meiner bank geredet ist ein rechner der bei mir in der firma steht der gehört mir das
25:42
software drauf und so die ich gekauft habe ist meine bank und dazwischen ist halt ein vertrauensverhältnis weil das meine bank ist und ich gebe da irgendwie meine zugangsdaten meiner bank ein und dann funktioniert das hervorragend das ist zum 40 september 2019 abgeschaltet worden dataf hat uns gesagt sie haben einen neuen
26:01
kooperationspartner die finn api gmbh das heißt neuerdings läuft das so dass die daten meiner firma erst mal an das dataf rechenzentrum gehen von dort an die finn api gmbh die dann die api implementiert die meine bank implementiert ich weiß ich also ich kann sie vorne ganz gut sehen aber
26:22
das logo der finn api gmbh ist deswegen sehr schön weil das steht als schufa company finn api hat sich aufkaufen lassen bzw mehrheitsbeteiligung der schufa hol den gmbh in der schönen neuen welt gehen alle meine daten jetzt mal nicht abgesehen davon dass sie durch dataf gehen auch noch
26:41
durch die schufa die natürlich verpflichtet sind damit nichts böses zu tun allerdings habe ich mit der schufa irgendwie auch kein vertrag dazu abgeschlossen sondern ich habe meinen vertrag mit jemandem anderen deswegen es ist nicht so schön überall wird immer von drittdienstleistern gesprochen also das heißt halt immer irgendwie die dritte partei hat halt implementiert
27:01
hat die psd 2 api es ist ja falsch es sind ja immer vier parteien beteiligt es ist ja immer ich es ist ich kann mal ich darf nicht nichts mal diesen leser freunde hier es ist ja immer ich dran beteiligt sie immer meine bank dran beteiligt sind wir schon bei zweien dann gibt es irgendwas was ich
27:22
in wirklichkeit machen möchte also meinetwegen zahlungen das wären also hier so eine irgendeine partei aber de facto muss es immer eine vierte partei geben einen einen neuen geht keeper der dann die api tatsächlich implementiert ich sage gleich warum aber im wesentlichen läuft es darauf hinaus dass die hier einen bevorzugten zugang zu zu
27:41
den banken erhalten der nicht so einfach auf einer der anderen drei ebenen zum anderen beiden ebenen zu implementieren ist es gibt immer eigentlich immer eine vierte partei es gibt es gibt quasi keinen anwendungsfall der mir einfällt wo es nur drei parteien sind außer vielleicht der konto informationsdienstleister selber ein webportal betreibt auf dem ich meinen kontostand einsehen kann so der
28:02
einzige fall der einem einfällt wo es nur drei sind die psd 2 api schreibt wie gesagt einen offenen zugriff vor naja offen ist halt so gemeint wie ein bürokrat das als offen versteht es ist kein vertragsverhältnis erforderlich zwischen den banken und den leuten die darauf zugreifen das
28:23
ist schon mal ganz gut die banken sind verpflichtet ein api anzubieten aber es steht halt nur dass es verfügbar sein muss und was es leisten können muss und dass es genauso gut sein muss wieder wie der zugriff den die bank dem kunden direkt anbietet und die gleichen service level agreements erfüllen muss die gleiche verfügbarkeit haben muss es
28:41
steht nicht drin wie es tatsächlich ausgestaltet ist es steht nicht drin welche spezifikationen es erfüllen soll das führt dazu dass nicht jede bank entwickelt ihr eigenes api die haben alle gar keine lust darauf die kaufen schon noch apis von oder von externen dienstleistern diese funktionalität ein aber dennoch gibt es eine größere handvoll an
29:04
verschiedenen apis die von verschiedenen banken eingesetzt werden die wenn ich also auf ein zahlungskonto wenn ich eine funktionalität implementieren möchte die auf zahlungskonten zugreift muss ich sie eigentlich alle implementieren oder ich nehme mir einen zusätzlichen dienstleister wie die finn ab dazu der dann für mich alle implementiert es gibt ein quasi
29:25
standard die berlin group die hat sich zusammengesetzt um eine pc 2 api zu spezifizieren jeder implementieren kann wo dann alle seiten nur einmal das machen müssen die webseite ist ein bisschen schlimm ist relativ schwierig den standard herunterzuladen aber das ist mittlerweile der quasi standard
29:42
es gibt noch keinen echten standard voraussetzung dafür ist um die pc 2 api nutzen zu können dass ich ein lizenzierter beziehungsweise registrierte dienstleister bin gute nachricht ich habe nicht notwendigerweise eigenkapitalanforderungen als ich das privat
30:00
personen kann ich es leider nicht machen aber zumindest mal juristische personen kann ich schnell gründen ohne eigenkapital wenn ich eine berufshaftlichversicherung abschließe und das gilt auch nur für kontoinformations dienstleister sobald ich zahlungsauslöse dienst sein möchte muss ich 50.000 euro eigenkapital anfangs kapital hinlegen und die meisten dienstleistungen oder die meisten
30:26
funktionen die ich mir vorstellen könnte machen halt mit nur konto information nicht so viel sinn wenn ich an mein beispiel des vereins denke wenn ich die vereinsverwaltung mache möchte ich halt sowohl zahlungseingänge verbuchen können als auch mindestens lastschriften auslösen können und da bin ich schon
30:42
zahlungsauslöse dienst und der zur ist abgefahren mit meinem ein keine 50.000 euro plus zugang ist offen solange ich ein qualifiziertes elektronisches zertifikat habe dass mich als registrierter zahlungsauslöse dienst ausweist in der gesamten
31:01
spec kommt das konzept dies ist kein cloud dienst dies ist eine software die ich runterladen und ausführen kann einfach nicht vor pst 2 api ist komplett nutzlos für leute die software auf ihrem eigenen rechner ausführen wollen ok was kann sie denn noch nie also es ist neu dazugekommen die strong custom authentication das ist das mit
31:20
dem blutdruck neuerdings kann manchmal ich komme gleich drauf strong custom authentication gefordert werden und das bedeutet dass mindestens zwei der elemente wissen besitz und inhärenz benutzt werden müssen inhärenz ist das fancy wort für biometrie müssen benutzt werden und müssen
31:45
unabhängig sein dann steht also ein kram drin unter anderem steht da dann auch drin dass nach fünf fehlversuchen der zugang gesperrt werden muss die abmeldung nach fünf minuten in aktivität kommt auch drin vor verpflichtend ist eine dynamische verknüpfung der custom authentication mit dem
32:02
jeweiligen vorgang das heißt i-tan-listen sind halt absolut verboten es muss in jedem fall der code auf irgendeine art mit dem betrag den ich beweisen möchte verbunden sein es steht auch die formulierung ist dass dafür gesorgt werden muss dass mechanismen vorhanden sind die
32:21
sicherstellen dass die software oder das gerät nicht vom zahler oder einem dritten verändert wurde es war dann das wo ich mein blutdruck gekriegt habe weil ich mein andere telefon natürlich geroutet habe unter anderem backups machen zu können und mir die app dann freundlicher weise sagt ja nie ist nicht ist ja geroutet und dann
32:41
überlegt man sich nochmal was geroutet bedeutet naja es bedeutet dass das telefon unter anderem in der lage wäre über seinen zustand zu lügen die app möchte nicht funktionieren auf einem telefon das in lage wäre über seinen zustand zu lügen es sei dann natürlich das telefon liegt über seinen zustand so gut dass die app dann doch wieder funktioniert das war dann für mich die motivation doch mal magisk auszuprobieren dass ein
33:03
hinreichend erfolgreiche rote lektionsverhinderung hat wobei es dann wieder zu so einer waffenspirale kommt dass mit zunehmendem update die lektion besser wird was dazu führt dass die leute lektion verhindern wieder besser werden und ich dann am ende doch ein zweites gerät habe auf dem ich die
33:23
tanen apps ausführe die sich zurzeit nicht austricksen lassen und am ende halt für vollkommen unruh wird noch besser das feature nenne ich so price sca bisher war die sache einfach ich habe mich mit der pin angemeldet dann habe ich ohne zugang gekriegt mich irgendwas reitmäßiges
33:42
machen wollte musste ich eine tann eingeben die auf diesen vorgang bezogen war jetzt brauche ich die tanen für wesentlich mehr und zwar brauche ich die tanen teilweise zum anmelden also die genaue formulierung ist zum zugriff auf kontodaten oder sensible kontodaten damit es halt in der regel anmelden in der app beziehungsweise im
34:00
webinterface gemeint außer manchmal es gibt vier oder fünf seiten in der technischen richtlinie ausnahmen beschreiben also zum einen darf ich die sca weglassen wenn ich nur zahlungskonto information bis 90 tage alt abrufe außer beim ersten mal oder wenn das letzte mal mehr als
34:20
90 tage her ist da kommen die 90 tage her muss die tanen alle 90 tage eingeben weil dann die ausnahme garantiert nicht mehr gilt bei kontaktlos zahlungen sind es 50 euro die ohne pin beziehungsweise strong custom authentication weil den besitz habe ich ja durch die karte immer gewährleistet die ohne
34:40
zusätzliche pinn möglich sind außer es sind 150 euro vergangen seit dem letzten mal paar gebühren sind grundsätzlich ohne scr das ist so angenehm vertrauenswürdige empfänger sind ohne scr außer natürlich der vorgang vertrauenswürdige empfänger zu definieren wiederkehrende zahlungsvorgänge ab dem
35:00
zweiten mal kann ich auch ohne machen überweisung auf ein anderes konto derselben können ohne sein kleines betragszahlungen bis 30 euro können ohne sein außer manchmal unternehmen fallen eh ganz raus das war dann unsere lösungen gegen das finn t.s. finn ap fiasco es gibt einfach ebix da ist
35:21
dann quasi nichts drin es ist dann so man wirft die zahlung dahin und wenn die halt von der firma kommen sie halt zum stimmen da braucht niemand mehr irgendwo eine tan eingeben und transaktions risiko analysen die modifizieren den ganzen kram wieder also die können dann sowohl bei bisherigen ausnahmen die scr wieder erfordern als auch man kann halt sagen
35:41
na gut die zahlung hat ein so geringes risiko dass ich dann doch wieder keine scr brauche außer natürlich die laufende berechnung der betrugsraten die ich verpflichtet bin durchzuführen ergibt dass eine höhere betrugsrake eingesetzt hat da muss ich wieder dauernd scr machen schlussfolgerung in summe ist es
36:00
von außen nicht vorhersehbar wann eine tannen verwendet werden muss das macht beim user interface design ich weiß wie viele sich mal damit beschäftigt haben natürlich besonders viel spaß also ich habe das in büro das ist halt eine webapp ist ein bisschen schwierig wenn man irgendwie auf submit drückt und dann passiert halt nicht das sondern kommt erst mal übrigens muss noch eine tan eingeben
36:22
das ist user für den user natürlich total verwirrend weil der sich auf nichts mehr verlassen kann kann er nicht mehr vorhersehen was passiert wenn ein knopf drückt das ist für automatisierte dienste die finde es benutzen wollen total unmöglich weil ich selbst von den vorgängen von
36:41
denen ich bisher ausgegangen bin dass sie zum beispiel ohne sind und keine tan brauchen wenn ich also zum beispiel die kontoreingänge bei meinem vereinen laufend verbuchen möchte und ein kornjob startet ja alle x tage mal abruft kann das halt passieren dass dann trotzdem wieder mal eine tan nötig ist das nicht vor ich kann halt auch nicht den zugriff unterdrücken ich weiß es halt nicht vorher es kann halt irgendeinen
37:01
sonderfall eingetreten sein und wenn man dann so ein pushtienst verwendet ist es halt toll weil derjenige dem der zugang gehört dann plötzlich eine puschnachricht kriegt und es nicht ganz zu unterscheiden ist ob das jetzt der selber aufgesetzte automatisierte vorgang war oder ob es irgendein anderer böse wicht die verschiedene banken handhaben das auch sehr unterschiedlich bei der
37:22
dkb zum beispiel muss man jedes mal eine tan eingeben wenn man sich irgendwo einloggt bei der sparkasse nicht die sparkasse macht gebrauch von den 90 tagen ausnahmen dafür muss man bei der sparkasse die tan eingeben wenn man einen suchvorgang startet der mehr als 90 tage beurteil beinhaltet die dkb hat gesagt das ist ihnen zu umständlich deswegen fragen sie immer nach der
37:41
tan außer man hat halt also dann sind halt danach alle transaktionen ohne tan außer natürlich sind wieder fünf minuten vergangen die ja euch fällt auf das passiert eigentlich nur bei solchen eurichtlinien oder solche EU-regelierungen ich weiß nicht wer ein paypal konto
38:01
hat paypal hat seit immer kein zweifaktorsystem die machen einfach irgendwas keine ahnung wie man auch transaktionsrisiko und zeugs die wissen halt dass so eine tan eigentlich nur dazu führt dass der benutzer den prozess im zweifach einfach abricht was halt bei zahlungen doof ist weil dann die einnahmen entgehen ist eine der gründe warum
38:21
paypal das nicht hat und leute immer wieder aber ihr seid doch so unsicher und am ende ja eigentlich nicht offensichtlich weil sie sind ja noch im markt dass der effekt multibanking haben wir gehört ich habe eine app wo ich alle meine dinge drin hat führt er dazu dass ich multifaktor habe hier den lilo delis wirds einfügen das sind die
38:42
tan generierungs apps im wesentlich nicht auf meinem telefon habe ich habe über neulich mal in meiner ich glaube kurz nach dem 14 september in meiner online banking app versehentlich auf alle konten aktualisieren gedrückt was dann dazu führte dass ich acht moment neun verschiedene tanz eingeben musste einer davon zwei
39:01
mal auf vier verschiedene modalitäten also ich hab ja auch noch tan generatoren mit schippt an was ja eigentlich das bessere verfahren ist muss man halt raussuchen aber ist ja nicht so schlimm weil macht man ja nur wenn man die überweisung durchführt und die dkb hat ihr
39:20
kreditkarten konto von finde es jetzt abgehängt das heißt die software die verwende macht an web calling was die alte methode war um finanz daten abzurufen wozu dann noch mal ein separater tan eingabe nötig ist um sich im wettbewerb zu melden ich habe seitdem nicht noch mal auf alles abrufen gedrückt ich sollte das mal irgendwann wieder tun ich muss mich bloß vorbereiten genau
39:44
zeitlinie also die richtlinie ist vom 25 november sie ist technisch gesehen im januar 2016 in kraft getreten das bedeutet da gibt es in zwei jahresfrist sie ist 2018 in nationales recht umgesetzt worden das zahlungsdienst umsetzungsgesetz in deutschland da steht im wesentlichen
40:00
bloß copy und paste von der richtlinie drin in der richtlinie ist eine verordnung delegiert worden was die technische umsetzung angeht von 2017 und jetzt kommen wir warum ist es eigentlich alles am 14 november 14 september explodiert weil die an der frist am 14 september wird
40:20
diese delegierte verordnung gültig sechs monate vorher hätten die banken eine testumgebung zur verfügung stellen müssen damit softwareentwickler die nicht der größter markt sind das mal testen können es gibt einer es gibt eine vollwert lösung falls man sich außerlage außerstande sieht eine
40:41
psd 2 api anzubieten oder da irgendwas nicht ist oder ein notfall eintritt wobei notfall definiert ist als fünf vorgänge haben mehr als 30 sekunden latenz dürfen zahlungs dienstleister also die kontenformationsdienste zahlungs auslösendienste ein fallback benutzen nämlich das interface was der normale kunde benutzt das sind
41:02
wir wieder beim webcalling wenn die banken von dieser das nicht möchten müssen sie mindestens drei monate am stück die normale psd 2 api zur verfügung stellen das heißt sie hätten im juni die psd 2 api produktiv laufen müssen haben müssen
41:20
um von der ausnahmenregelung ausgenommen zu werden ich glaube das hat keiner und am 14 september ist dann alles explodiert dann wurde die durchführungsverordnung gültig die delegierte verordnung gültig was dazu führte dass noch nicht sofort alles explodiert erst mal sind nur transaktion und online anmeldungen
41:41
weil manche banken haben tatsächlich davon gebrauch gemacht dass da irgendwo 90 tage steht und wenn man sich halt am 13 september angemeldet hat dann war man ja angemeldet dann das war dann am 13 december vorbei das heißt spätestens seit dem 13 december hat jeder der online banking benutzt spaß gibt kleinere problemchen die anmelde flows für zwei factor apps sind oft kompliziert
42:01
der support etwas überlastet also bei der postbank bei der postbank hatte ich das problem dass ich neu was unterschreiben musste weil ich als vereinskonto ist mal das gemeinschaftskonto war ja früher nicht so schlimm man hat halt einfach die pin und nur einer kriegt die chipkarte für die tan generierung neuerdings müssen halt alle gemeinschaftskonten extra personen accounts für jeden der
42:21
lesezugriff haben soll haben bei der postbank lief es dann darauf hinaus dass ich unterschreiben musste und die meine email nicht angenommen haben der mail servat gemeint aufgrund der hohen betriebsbetrugsraten können sie zurzeit keine mail annehmen moment nachdem ich den support gefragt habe ich habe tatsächlich
42:41
telefonisch was erreicht meint er fassen sie uns das also habe ich vorgeschlagen faxen das habe ich gemacht das hat auch nur vier wochen gedauert hat funktioniert andere leute haben andere probleme gerätewechsel verlust ist ein bisschen schwierig mit jemandem geredet ich habe wie gesagt ich habe vorhin den screenshot gesehen wenn ich jetzt das handy verliere oder auch nur tauschen möchte wo sie halt acht verschiedene
43:01
apps neu einrichten teilweise in acht schritten also ich habe gerade jemandem geholfen seine bei der apobank titan app einzurichten weil es halt dreimalig geklappt hat der der knopf brief generieren mit dem beschädigungscode der hat immer funktioniert kam neuer brief aber es war nicht zu sehen wo man den beschädigungscode eingibt also bis man natürlich auf der
43:20
webseite war und das vierseitige pdf mit den acht einfachen schritten gefunden hat der schärfste trick für kreditkarten gilt das ja eigentlich auch mit der starken quasi starken kundenauthentifizierung bloß das hat noch keiner umgesetzt das muss nämlich im webshop implementiert werden deswegen hat die eber jetzt gesagt na gut ihr habt noch mal ein
43:40
bisschen zeit bis 2020 und was sie vorhin sagte die arties waren und oder sind nicht funktional die leute haben einfach zu wenig zeit gehabt zum testen kurzer seiten hieb 3d secure es gab da schon mal ich weiß nicht ob wir einen vortrag hatten aber es gibt auf jeden fall ein sehr schönes feder paper dazu
44:00
verified by visa and mastercard secure code or how not to design authentication von mördach und anderson 3d secure das steht für three domain acquire issue and interoperability sind die domains also der ausgeber der akzeptanz und die dazwischenleute der kunde
44:20
fehlt in der liste die hier geschützt werden es ist dafür da dem kunden neue agb aufzudrücken und die schuld zu verschieben weil offensichtlich der kundeschuld ist ja jetzt sicher bei einer meiner banken ist eine am vr banken netz angeschlossene meiner fiducia muss man sich registrieren auf kriegt
44:41
man so ein brief gehen sie jetzt mal mit auf diese webseite und füllen sie dort die registrierung aus so online sicher einkaufen de oder so ähnlich das sicher online einkaufen die sicher einkaufen einkaufen sicher nicht bin mir sicher es war sicher online einkaufen ich weiß es weil diese diese seite diese seite existiert die anderen nicht zur zeit diese seite
45:02
existiert und hat ein gültiges sicherheitszertifikat von netz in kript und dann war wieder da die sache mit dem blutdruck die hat dann wieder gemein naja
45:20
sie können sich jetzt hier registrieren und an die pushten app aktivieren es geht auf ihrem telefon nicht weil es geroutet ist das telefon ist unsicher gar kein problem sie können auch den alternativprozess verwenden wir schicken ihn einfach in der ms an dieses telefon okay muss ich
45:43
jetzt nicht verstehen die dieses formular wie gesagt das ist aktuell online hat immer noch die gleichen probleme die mördach und anderson damals genannt haben wenn man runter scrollt findet man halt diesen diesen sein dieses sign up system das ist ein eye frame das
46:01
von irgendeinem anderen domain kommt die hat sogar ein extended validation zertifikat nur dass es halt niemand sieht weil es ist ein eye frame was ist noch so passiert wie gesagt gemeinschaftskonten benötigen jetzt ein login pro person ich glaube hier die ccv veranstaltungsgmbh hat auch schon spaß damit gehabt die banken gehen langsamer zu über finnts
46:21
abzuschalten oder loszuwerden weil sie haben jetzt eine psd 2 api die regulierten dienstleister dürfen nicht mehr über finnts zugreifen außer halt im fallback modus der außer manchmal am surprise sca wie gesagt ist user interface wird halt nur noch nur noch merkwürdiger user sind frustriert und kriegen
46:41
halt was gar nicht so schlecht ist es gibt jetzt registrierungspflicht für anwendungen die auch für finnts gilt also auch meine anwendung bio finnts ist registriert und es ist im sinne der transparenz sieht man halt im online banking welche apps verwendet wurden das ist erstmal nicht schlecht kann man
47:01
nichts gegen haben zumal die registrierung auch als open source entwickler möglich ist ist ja nicht immer so aber fast jede transaktion kann manchmal netan anfordern so wie gesagt ich habe das auch gerade gesehen wir kommen zum schluss transparenz in aufsicht sind verbessert worden verbraucher sind zunehmend
47:21
genervt perfekte grundlage für verschiedene wie viele von euch so eine mail gekriegt haben psd 2 tritt jetzt in kraft bitte geben sie jetzt hier noch mal ihre kontonummer ein sie müssen sich jetzt neu anmelden weil neue sicher umstellung des sicherheitsverfahrens gewerbliche nutzer wie gesagt müssen komplett ausweichen weil das macht gar keinen sinn dafür gibt es jetzt neue geschäftsfelder für start ups die
47:40
entsprechende anfängungsinvestitionen haben und open source kannst du halt vergessen in zukunft danke wir haben
48:01
noch zwölf minuten zeit für fragen und antworten drei mikrofone haben wir im saal verteilt falls ihr fragen habt stellt euch hin ich versuche euch halbwegs fair aufzurufen eine frage hätte ich was soll der schweiß hast du nicht gehört sofort überweisung ist jetzt legal niemand
48:23
niemand fangen wir mit dir an okay du hast gesagt dass fintechs jetzt langsam ausgeschlichen wird von den banken ich weiß von einigen banken dass sie bei psd 2 direkt dass fintechs abgeklemmt haben weil sie es nicht implementiert hatten psd 2 konform aber weißt du wie das bei den anderen banken aussieht also gibt es
48:40
da schon ankündigung von den großen rechten zentren also fiducia oder oder sparkasse oder wie sie alle heißen ja die haben sich größtenteils zurückgehalten sie haben halt sie sagen halt nur durch die blume dass sie es zumindest nicht mehr erweitern weil sie haben ja jetzt das andere ich glaube irgendwie hatte da genau dieses problem die haben ein bisschen zurückgerudert wenn mich nicht alles
49:00
täuscht aber ja also es gibt ja keinen grund dafür ja die haben sind zurückgerudert nachdem sich 3000 leute beschwert haben in einem post ja bitte gibt es irgendwie so eine art informationsblatt was ich als kunde der bank geben kann wenn ich der
49:20
meinung bin dass sie mir völligen bullshit zu der psd 2 erzählt und irgendwelche neuen änderungen damit versucht zu begründen ja ja das steht sogar eine richtlinie drin dass die europäische bankenaufsicht und ich glaube die barfin jeweils ein merkblatt für kunden herausgeben in denen alle änderungen und neuen pflichten und rechte des kunden dargelegt sind es müsste auch der
49:41
website der barfin zu finden sein ich meine eigentlich umgekehrt richtung bank dass man ja das ist das merkblatt für dich als kunde und du kannst es halt der bank vorhalten und sagen guck mal das was ihr mir sagt steht da nicht drauf du meintest dass nicht so sonderlich kompliziert sich eine juristische person anzulegen
50:00
könnte ich dann mit einer juristischen personen ein geschäftskonto anlegen damit ich dann wieder apis habe die ich von einer app aus verwenden kann ist das der neue weg ja also brauchst halt eine neue app es ist dann ebigs aber ja du hast aufgelistet dass es
50:25
ja drei autentifizierungsmerkmale gibt du hast sehr konsequent nur von tanz gesprochen wenn ich die richtlinie korrekt interpretiere ist wissen und besitzt also pin und
50:41
chipkarte nach wie vor eigentlich vollkommen valides autentifizierungsmittel korrekt also steht die die formulierung die sie verwenden ist dass diese aus den drei faktoren muss ein autentifizierungsquot abgeleitet werden der das kann auch eine signatur unter dem was auch immer sein ich habe aber keine implementierung davon gesehen also
51:02
außerhalb innerhalb von apps also die dkb zum beispiel hat eine eigene app und man innerhalb der dkb abbleibt dann bleibt alles innerhalb der dkb app inklusive mit iphone wie auch immer diese gesichtserkennung heißt da braucht man auch keine tanz mehr das stimmt aber es ist halt wenn man eine andere app benutzt die nicht die ist es
51:21
halt irgendwie schwierig eine signatur abzutippen deswegen tippt man meistens lieber tanz ab ich frage nur weil die sparkasse mehr zeit hat das hbci mit chipkarte ja diese autentifizierungsbedingungen nicht erfüllen würde das ist inkorrekt also hbci mit chipkarte ist halt gerade besitzen besitz und
51:41
wissen sie können sich eventuell drauf rausreden dass irgendwie pin verifikation auf der karte eventuell nicht gildet aber eigentlich dann doch schon die mitte mal wieder nur eine kleine anmerkung du meintest dass paypal mit two factor nicht funktioniert aber in der tarte habe ich paypal mit two factor es gab vor
52:03
fünf jahren glaube ich eine kurze zeit wo sie das angeboten haben aber ich glaube es wird nicht mehr beworben ich konnte das in der app anklicken vor ungefähr einem halben jahr dann haben sie das neues eingebaut okay vielleicht wollen sie jetzt auch hier ist die zwei kontrollen okay bitte ich frage für einen freund der entwickelt einen
52:24
webshop und da müssen sie natürlich auch mit diesem 3d secure kram herumschlagen und der zahlungsdienstleister sagt es ist in ordnung wenn man für das hinterlegen der kreditkarte beim zahlungsdienstleister einmal dieses 3d secure verfahren macht und
52:41
danach kann man als shop quasi beliebig oft davon abbuchen und der kunde muss da nicht mehr noch mal irgendwelche tanz eingeben ist das überhaupt korrekt so weil dann sich den sinn dahinter nicht so ganz bin gerade nicht sicher also für ja für die erste zahlung bei wiederkehrenden zahlungen ja aber es muss trotzdem jede zahlung autorisiert werden bloß dass für wiederkehrende zahlung glaube ich
53:00
einfache autorisierung reicht ich bin mir da aber auch nicht ganz sicher das heißt das muss dann aber nicht über den dienstleister gehen das reicht dann einfach wenn der kunde im online shop einmal klickt ja ich nehme jetzt diese kreditkarte oder genau das kann halt mit das wort würde dann reichen also nicht zwei merkmale sondern nur eins entweder habe ich unseren signal angel die ganze zeit übersehen oder
53:20
es gibt gerade was neues bitte haben wir das die frage wärst du mit psd 2 glücklicher wenn sie ein bisschen open source freundlicher wäre als sozusagen die zugang für auch open source programme offen wäre oder sagt es allgemein eher mehr gelaufen naja es gibt relativ ist relativ schwierig diese anforderungen
53:41
grundsätzlich umzusetzen bei software die der anwender selber runterliegt kompiliert und laufen ist deswegen sehe ich nicht wie man das umsetzen könnte also man müsste halt auf die anforderung verzichten dass die endpunkte durch ins qualifizierte zertifikat identifiziert werden und dann hat
54:01
man nur noch die probleme die benutzer haben mit dem ganzen tannenscheiß haben zumindest open source entwickler keine probleme mehr und gut der user interface flow ist halt auch immer noch kaputt bitte ich würde einfach noch mal anmerken die meisten ja anwesenden werden wahrscheinlich zwei geräte besitzen aber gerade dieses ganze zwei faktor teile wird
54:23
ja ab so drum geführt wenn ich meine online banking auf demselben gerät mache wo auch der tangenerator ist dass auch die abtrans integration die manche banken anbieten wurde ja auf dem kongress vor paar jahren auch schon mal gezeigt dass das sinnlos ist
54:41
weil es irgendwo gehackt werden kann ist man da irgendwie gesichert wenn man das macht als kunde also die meisten haben ja doch nur ein gerät zu hause und halten sich da nicht dran oder ist man dann als kunde eigentlich der gearschte dies bezüglich es steht drin dass es zwei getrennte geräte sein sollten oder oft auf dem gerät das ist halt unter anderem einer der
55:01
gründe für die routektion auf dem gerät für eine trennung der es gibt da einen absatz der irgendwie man müsse die trennungssysteme des betriebssystems nutzen oder so ich demute mal das geht eher in richtung samsung nox und nicht auf normales android aber eigentlich sollte normales android ausreichen ich bin auch nicht sicher ich glaube als diese abtarnen hack war da waren es auch geroutete
55:20
geräte oder erweiterte lokaler zugriff ich nutze so einen open source software um so persönliche finanzen zu tracken und habe das auf meinem server installiert erste frage bin ich jetzt schon konnte informationsdienstleister und also der entwickler hat gesagt er möchte psd 2 einbauen und wenn
55:41
ich dich jetzt aber richtig verstanden habe dann geht das gar nicht also ich habe auch gelesen auf github er hat sich jetzt irgendwo registriert und ich habe aber jetzt nicht ganz verstanden ob das jetzt damit dann geht also kann er überhaupt das jetzt so einbauen dass ich das dann benutzen kann ja also die registrierung war die hbc registrierung ob du dann schon
56:03
für dich selber ich bin mir nicht sicher ich glaube für dich selber ist es ich bin mir nicht sicher ob da irgendwas von einem dritten drin steht da müsste ich tatsächlich nachgucken kann ich dir so nicht beantworten müsste man noch mal kann er den psd 2 in seine software einbauen dass ich das nicht mal benutzen kann keine psd 2 habe ich es wird immer über finder laufen was du beschrieben hast
56:20
ok und wenn die bank finder ist abschaltet bin ich gar nicht ja also kannst du auf ebis wechseln hast du irgendeine vermutung wer hinter dem ganzen steht warum die das gemacht haben weil ich meine sofort überweisung alleine gegen die ganze bankenlobby die banken mögen das ja offensichtlich nicht
56:41
irgendwer muss das doch durch gedrückt haben ich weiß es tatsächlich nicht sich wir haben kurz vorher uns unterhalten dass es da so ein slogan gab digital first bedenken second das könnte glaube ich damit zusammenhängen es klingt halt nach fortschritt es wird halt besser ja ich wollte noch einmal
57:03
fragen sind ihr organisation oder politische akteure bekannt die die benutzer interessen da in irgendeiner form bündeln und versuchen zu kanalisieren die was die das also versuchen da ist irgendwie ein lobby im sinne der nutzer und der user zu machen an der stelle also verbraucherschutz es gibt ein voice
57:21
verband der it anwender ev aber ich weiß nicht ob die in dem rahmen irgendwelche aktivitäten haben wie wird gerade gesagt ist eher eine selbsthilfegruppe weiß es du hast nur gefragt sind wir bekannt antwort ich kenne nur eine ja dann bitte das scheint dann auch die letzte frage zu sein falls niemand meine hat ja du erwähntest
57:42
die registrierung für die dienste ist das nicht eigentlich sogar nahe zulassung auch bei der bafen und da kann doch jetzt auch von paar wochen grad auch standards raus was für sicherheitsmaßnahmen da umzusetzen sind die auch möglicherweise geprüft werden und dann auch diese zulassung jedenfalls entzogen werden kann für diese dienste genau deswegen
58:02
steht einmal irgendwie registriert und oder zugelassen glaube ich als formulierung weil es wie gesagt für kontinformationsdienstleister ein bisschen einfacher ist da ist dann ein die absetze 1 bis 6 außer paragrafen 3 und dings gelten nicht für kontormationsdienstleister oder so ähnlich aber für alle die weiter gehen das machen ist tatsächlich mit zulassung und bericht und vor
58:22
registrierung und so weiter drin inklusive entzug bist du glücklich du siehst nicht glücklich aus unsere single engine hat noch eine ich habe sogar noch zwei auf twitter also erstmal kann ich irgendwie verhindern dass mein arbeitgeber da meine bankdaten an data weitergibt
58:41
oder habe ich da keine chance lustige frage ich glaube nicht und die zweite frage ist kannst du einen ausblick geben also siehst dann irgendwie hoffnung dass noch was nachgebessert wird oder müssen wir einfach 20 jahre warten dass das nächste neue gesetz kommt da steht drin dass die alle ich weiß ich alle x jahre
59:02
evaluiert und aktualisiert werden so ich glaube 2021 ist das nächste mal vielleicht wird nachgebessert ich bin da aber nicht so sehr hoffnungsvoll weil wie gesagt aus sicht der zentralen behörden sind so nicht cloud anwendung eher so nischenprodukte etwas aus seinem eigenen rechner zu betreiben kommt
59:21
aus der mode jetzt aber wirklich die letzte frage ich würde gerne an eine vorherige frage anknüpfen nämlich ob es institutionen gibt die sich dafür einsetzen dass das ganze gebessert wird ich arbeite jetzt für sofort und wir sind also sofort überweisung wir sind aktiv dabei mit nahezu allen banken in europa und auch den nationalen
59:40
behörden zu diskutieren dass es da schnellstmögliche änderung gibt noch vor einer neuen direktive also in möglichst nahe zukunft also es gibt leute die sich dafür einsetzen sehr gut es könnte also sein dass du die frage beantworten kannst die ich vorhin gestellt habe ich komme ich komme gleich vor