1 00:00:00,000 --> 00:00:18,780 *36c3 Vorspannmusik* 2 00:00:18,780 --> 00:00:23,330 Herald: Ich habe hier so ein Handy, vielleicht habt ihr auch ein Smartphone. 3 00:00:23,330 --> 00:00:29,519 Und ich habe eine App drauf und die damit.. Ich habe so mehrere Konten bei 4 00:00:29,519 --> 00:00:33,840 verschiedenen Banken, und ich habe so eine App. Da sind die ganzen Konten so drin. 5 00:00:33,840 --> 00:00:39,260 Und wenn ich wissen will, wie viel Geld ich nicht hab, dann starte ich diese App 6 00:00:39,260 --> 00:00:44,239 und gucke ich da so drauf, weil mein Telefon mich sonst nicht erkennt. Und dann 7 00:00:44,239 --> 00:00:46,500 kann ich halt sehen, wie wieviel Geld ich auf den Konten habe und was ich für 8 00:00:46,500 --> 00:00:50,721 Kontobewegungen hatte. Und dann, irgendwann dieses Jahr *lacht* , hab ich 9 00:00:50,721 --> 00:00:53,449 da nicht mehr gesehen, wie viel Geld auf dem Konto hatte. Da kammen immer so Pop- 10 00:00:53,449 --> 00:01:00,800 ups. Die haben gesagt: Ja, das funktioniert jetzt nicht, weil hab ich 11 00:01:00,800 --> 00:01:04,600 nicht verstanden. Aber was da immer drin vorkam, das waren drei Buchstaben, eine 12 00:01:04,600 --> 00:01:09,500 Zahl, und das hieß PSD2, und jedes Mal habe ich gedacht, jetzt muss ich wieder aus der App 13 00:01:09,500 --> 00:01:11,820 raus und muss wieder irgendwas machen, was ich nicht verstehe. Und dann werden mir 14 00:01:11,820 --> 00:01:17,350 SMSen geschickt, die ich irgendwo eintragen muss und dachte: Was zum Teufel 15 00:01:17,350 --> 00:01:24,851 soll dieser Scheiß? Und das Schöne ist: Wir alle werden jetzt möglicherweise eine 16 00:01:24,851 --> 00:01:29,200 Antwort auf die Frage bekommen, was dieser Scheiß soll. Und falls nicht, dann kann 17 00:01:29,200 --> 00:01:34,829 man hinterher persönlich zur Rechenschaft ziehen. Sein Name ist Henryk Plötz. *lacht* 18 00:01:34,829 --> 00:01:43,649 *Applaus* 19 00:01:43,649 --> 00:01:49,250 Henryk Plötz: Ja, genau. Ich Ich versuche die Frage zu stellen, was hat die PSD2 je 20 00:01:49,250 --> 00:01:53,759 für uns getan? Und Antworten darauf zu geben, in der Hoffnung, dass ich auch 21 00:01:53,759 --> 00:01:58,330 herausfinden, was der Scheiss soll? Für diejenigen, die, es ist einer der ersten 22 00:01:58,330 --> 00:02:02,280 Vorträge, die hineingestolpert sind, ohne zu wissen, worum es geht. Es geht um die 23 00:02:02,280 --> 00:02:08,269 Richtlinie der EU 2015 2366 des Europäischen Parlaments und des Rates vom 24 00:02:08,269 --> 00:02:12,390 25. November 2015 über Zahlungsdienste im Binnenmarkt zur Änderung der Richtlinie 25 00:02:12,390 --> 00:02:17,710 und so weiter und so fort und fort. Das ist die Zahlungsdienst, der Richtlinie 2, 26 00:02:17,710 --> 00:02:23,419 und da dranhängt noch eine Handvoll Delegierter Verordnungen, aber ganz massiv 27 00:02:23,419 --> 00:02:28,309 die Delegierte Verordnung vom 27. November für die technischen Regulierung Standards 28 00:02:28,309 --> 00:02:31,650 für eine starke Kunden Authentifizierung und für sichere offene Standards zur 29 00:02:31,650 --> 00:02:38,130 Kommunikation. Das ist, was in der App die ganzen Pop-ups verursacht hat. Warum bin 30 00:02:38,130 --> 00:02:43,130 ich hier? Und warum erzähle ich euch etwas zu diesem Thema? Ich bin Informatiker und 31 00:02:43,130 --> 00:02:47,080 Sicherheitsforscher. Ich glaub, neudeutsch sagt man Hacker dazu. Hab einen meiner 32 00:02:47,080 --> 00:02:51,500 ersten Vorträge auf dem Kongress vor zehn Jahren zu "Mifaire Classic" gehalten. 33 00:02:51,500 --> 00:02:57,140 Seitdem einiges gemacht zu Zutrittskontrollsystemen, RFID, Die 34 00:02:57,140 --> 00:03:03,090 Spezialgebiet sind halt solche Arten von Kommunikationsprotokollen. Ich bin auch 35 00:03:03,090 --> 00:03:06,150 Open Source Entwickler. Also wenn irgendwo ein Kommunikationsprotokoll rumliegt, dann 36 00:03:06,150 --> 00:03:09,269 implementiert ich das manchmal unter anderem HBCI. Dazu erzähle ich euch noch 37 00:03:09,269 --> 00:03:15,910 ein bisschen was. Es gibt im Umfeld des CCC eine Vereinswaltung, die entstanden 38 00:03:15,910 --> 00:03:24,670 ist, die heißt byro von Rixx. Da habe ich einige größere Dinge zu beigetragen, und 39 00:03:24,670 --> 00:03:28,850 es gibt von Rami. Die beiden waren ja die Kasse und der Vorverkauf von Rami eine 40 00:03:28,850 --> 00:03:32,960 Python Implementierung von FinTS, ich sage vielleicht noch, was das ist. Dazu 41 00:03:32,960 --> 00:03:35,980 hab ich größere Dinge beigetragen. Und dann die Kombination dabei ist das im 42 00:03:35,980 --> 00:03:41,370 PlugIn byro-fints. Also eine Perspektive, aus der ich das betrachtet, halt als Open 43 00:03:41,370 --> 00:03:46,260 Source Entwickler. Ich bin auch Gründer und Geschäftsführer. Vor zwei Jahren habe 44 00:03:46,260 --> 00:03:50,290 ich mit einem Freund zusammen eine eigene Firma gegründet "Digital Wolff und Plötz 45 00:03:50,290 --> 00:03:54,270 GmbH und Co. Wir haben einen etwas schwammigen, schwammige Selbstverständnis, 46 00:03:54,270 --> 00:03:57,620 eigentlich sehr präzise Selbstverständnis, das etwas schwieriger zu verstehen ist. 47 00:03:57,620 --> 00:04:03,870 Dass die Digitalisierung in komplexen Umfeldern. Wir entwickeln. Wir machen halt 48 00:04:03,870 --> 00:04:07,200 Beratung, aber entwickeln halt auch Software. Auf dieser Ebene gucke ich das 49 00:04:07,200 --> 00:04:11,400 auch an bzw. andere Produkte. Für die evangelische Kirche bauen wir den 50 00:04:11,400 --> 00:04:15,030 digitalen Klingelbeutel. Wir sind jetzt Zahlungsdienstleister. Zum Glück hat es 51 00:04:15,030 --> 00:04:18,680 nichts damit zu tun. Ich bin. Ich freue mich sehr, dass alles, was wir tun, an der 52 00:04:18,680 --> 00:04:23,800 PSD2 vorbeigeschrammt ist, außer halt als Privatkunde. Ich bin nämlich auch noch 53 00:04:23,800 --> 00:04:30,640 neugieriger Nutzer. Wir haben gerade in der Einführung gehört, dass jemand 54 00:04:30,640 --> 00:04:33,230 durchaus eine App von mehreren Konten haben könnte. Ich habe mal kurz 55 00:04:33,230 --> 00:04:36,800 durchgezählt. Bei mir sind es neun verschiedene Konten, weil ich auch noch 56 00:04:36,800 --> 00:04:42,670 mehrere Hüte auf habe, also sowohl Geschäftskunden, neun verschiedene Banken. 57 00:04:42,670 --> 00:04:48,201 Konten sind es ein paar mehr. Als sowohl geschäftliche Konten als auch 58 00:04:48,201 --> 00:04:53,530 Privatkonnten bzw. Familien Konto. Als auch ich bin in Vereinen, Vorstand, 59 00:04:53,530 --> 00:05:00,310 Vereinskonten. Ich glaube sieben oder so. Davon benutze ich auch regelmäßig. Der 60 00:05:00,310 --> 00:05:04,280 Rest war halt so kostenloses Girokonto. Mal ausprobieren, was die tun. Und dann sind 61 00:05:04,280 --> 00:05:08,400 da halt 10 Euro drauf und man kann sehen, wie die auf diese Umstellung reagiert 62 00:05:08,400 --> 00:05:13,270 haben. Das hilft dann auch wieder beim Entwickeln von Open-Source-Software. Wenn 63 00:05:13,270 --> 00:05:18,360 man Testkonten hat und mal gucken kann, was die Banken so anstellen. Agenda also. 64 00:05:18,360 --> 00:05:22,910 Wir haben gerade gehört, worum es gehen soll. Ich werde euch gleich den 65 00:05:22,910 --> 00:05:29,191 wunderschönen vorher Zustand darstellen. Die Begründungen geben, die die 66 00:05:29,191 --> 00:05:32,880 Europäische Kommission gegeben hat, warum diese Richtlinie veröffentlicht, 67 00:05:32,880 --> 00:05:38,550 beschlossen werden sollte. Dann auf die Frage antworten, was uns PSD2 wirklich 68 00:05:38,550 --> 00:05:46,520 gebracht hat. In der Form, die schön ist und dann in der Form. Was ist dann 69 00:05:46,520 --> 00:05:54,280 tatsächlich herausgekommen? Ist mit einer kurzen, kurzen Eingehen auf die Zeitlinie 70 00:05:54,280 --> 00:06:02,020 und dann zu den diversen Problemen, Ärgerungen, ja, Blutdruck kommen. Ich fand 71 00:06:02,020 --> 00:06:06,220 das sehr schön. Als die zwei Minuten bevor der Vortrag losging, war hier im Info 72 00:06:06,220 --> 00:06:13,370 Beamer, eine Werbefolie für BTX. Irgendwo hier stehen BTX Terminals, die man 73 00:06:13,370 --> 00:06:18,180 ausprobieren kann. Es war ja nicht alles schlecht in 2018 oder auch in den 80ern. 74 00:06:18,180 --> 00:06:24,350 Schon seit den 80ern gibt es Online- Banking für Privatkunden. In Deutschland 75 00:06:24,350 --> 00:06:28,701 fing das halt so, in den frühen 80ern mit BTX. Ich glaube der CCC hat ein bisschen 76 00:06:28,701 --> 00:06:34,550 Geschichte mit BTX, der Eine oder Andere wird sich erinnern. Es wurde 2007 leider 77 00:06:34,550 --> 00:06:39,520 abgeschaltet, aber man hat bis dahin ganz gut funktioniert. Daraus entstanden mehr 78 00:06:39,520 --> 00:06:43,520 oder weniger direkt ist das sogenannte HBCI-Buchstaben. Abkürzungen haben 79 00:06:43,520 --> 00:06:50,250 vielleicht die meisten schon mal gehört: Homebanking Computer Interface. Das ist 80 00:06:50,250 --> 00:06:57,180 ein Datenübertragungen, Kommunikationsprotokoll zum Austausch von 81 00:06:57,180 --> 00:07:06,690 Bankdaten für Endanwender. Naja, komma separierte Werte auf Drogen. Das hat 82 00:07:06,690 --> 00:07:09,950 Semikolons als Trennzeichen, aber manchmal sind dann auch noch Doppelpunkt 83 00:07:09,950 --> 00:07:14,590 Trennzeichen und manchmal Pluszeichen Trennzeichen. Was das... Ich habe es 84 00:07:14,590 --> 00:07:18,450 implementiert. Es ist tatsächlich parsbar, ich hätte es mir nicht gedacht. Es gibt durchaus 85 00:07:18,450 --> 00:07:21,840 Protokolle, die nicht parsbar sind. Dies gehört nicht dazu. Aber es erscheint mir 86 00:07:21,840 --> 00:07:27,560 wie ein Zufall. *lachen* Es ist sehr hierarchisch aufgebaut, die 87 00:07:27,560 --> 00:07:30,692 Datenstrukturen sind hierarchisch, man kann Dinge in Dinge, in Dinge tun. Aber es 88 00:07:30,692 --> 00:07:35,523 gibt nur drei Ebenen von Trennzeichen, und irgendwann sind dann die Trennzeichen 89 00:07:35,523 --> 00:07:41,550 alle. Aber rein zufällig sind dann auch die Ebenen alle. Das ist übergegangen, es 90 00:07:41,550 --> 00:07:48,350 wurde immer wieder erweitert und verbessert eingeführt 1998. Version 2.1 91 00:07:48,350 --> 00:07:52,370 war, glaub ich, die erste brauchbare. Das hat sich immer, wurde immer weiter 92 00:07:52,370 --> 00:07:58,300 verbessert, ist übergegangen. HBCI 3.0 kennen die meisten, und dann wurde es 93 00:07:58,300 --> 00:08:02,220 umbenannt in FinTS --- Financial Transaction Services. Es war ursprünglich 94 00:08:02,220 --> 00:08:08,320 ein rein deutsches Ding. Es ist ein rein deutsches Ding. Mit FinTS haben Sie dann 95 00:08:08,320 --> 00:08:12,110 versucht, das international einsetzbar zu machen, unter anderem, in dem Sie es in 96 00:08:12,110 --> 00:08:20,190 XML gegossen haben. Und ja, das XML ist auch parsbar, aber doch eine der 97 00:08:20,190 --> 00:08:25,500 unschönsten Implementierungen, wie man sich das vorstellen kann. Es gibt auch 98 00:08:25,500 --> 00:08:29,890 niemand, der das einsetzt. Ne, ist nicht richtig. Es gibt tatsächlich eine zentrale 99 00:08:29,890 --> 00:08:34,180 Liste, wo alle Banken drinstehen mit den FinTS bzw. HBCI-Versionen, die sie 100 00:08:34,180 --> 00:08:39,950 unterstützen. Sind ja. In Deutschland erreicht man damit quasi jede Bank, manche 101 00:08:39,950 --> 00:08:44,589 noch mit Version 2, ich glaub die Deutsche Bank. Die meisten unterstützen Version 3, 102 00:08:44,589 --> 00:08:49,760 und ich glaube, es gibt exakt einen Eintrag, der FinTS Version 4 ankündigt. Wie gesagt, 103 00:08:49,760 --> 00:08:57,750 benutzt niemand, 4. FinTS 3 total überall, weil es damit erst der breiteren Öffentlichkeit 104 00:08:57,750 --> 00:09:02,180 zugänglich wurde. Früher HBCI war ein typisch deutsches Ding. Sehr schön, sehr 105 00:09:02,180 --> 00:09:06,390 sicher. So, mit Smartcard in Computer stecken. Dazu muss man erst mal die 106 00:09:06,390 --> 00:09:13,260 Smartcard besorgen, eine PIN dafür haben, einen separaten Berechtigungsvertrag bzw. 107 00:09:13,260 --> 00:09:18,560 es gab auch ein Allternativverfahren, wo man Disketten durch die Gegend... Briefe durch die 108 00:09:18,560 --> 00:09:27,191 Gegend geschickt hat, auf denen RSA-Keys abgedruckt waren. *lachen* Seit FinTS 3 109 00:09:27,191 --> 00:09:30,611 gibt es auch als alternatives Verfahren PinTan. Das ist, was die meisten in 110 00:09:30,611 --> 00:09:34,640 Deutschland als Online-Banking kennen. Man meldet sich mit seiner PIN an, hat dann 111 00:09:34,640 --> 00:09:38,980 nur Lese Zugriff aufs Konto, und wenn man eine Transaktion durchführen möchte, 112 00:09:38,980 --> 00:09:42,729 braucht man einen Transactions Autorisierung Nummer, eine TAN. Sehr 113 00:09:42,729 --> 00:09:49,500 schön, sehr einfach. Leider demnächst tot. Die Franzosen haben so etwas ähnliches wie 114 00:09:49,500 --> 00:09:52,490 BTX. Sie haben minitel. Das ist aber auch schon vor ein paar Jahren abgeschaltet worden. 115 00:09:52,490 --> 00:09:57,080 Das ist so der Überblick für die anderen Länder. Ansonsten wars das im Wesentlichen 116 00:09:57,080 --> 00:10:02,370 an schönen, strukturierten Verfahren. Seit den, seit der Mitte der 90 hier habe ich 117 00:10:02,370 --> 00:10:06,460 einen Screenshot von Wells Fargo. Die waren eine der ersten, die man hingeguckt 118 00:10:06,460 --> 00:10:12,570 rechts oben Online-Banking anbieten 1995. Man bemerke auch die Adresse. Das war vor 119 00:10:12,570 --> 00:10:22,560 https, gab es einen Wildwuchs, das halt viele Banken irgendeine Form von Online- 120 00:10:22,560 --> 00:10:27,510 Banking angeboten haben, aber halt immer durch das Web-Interface und immer mit 121 00:10:27,510 --> 00:10:34,060 unterschiedlichen Formen von Berechtigungs-Methoden und -Mechanismen . 122 00:10:34,060 --> 00:10:38,680 Für Firmenkunden, sieht das Ganze noch verwirrender bzw. besser aus. Das sind 123 00:10:38,680 --> 00:10:42,140 halt alles nur die Privatkunden. Firmenkunden haben schon schon wesentlich 124 00:10:42,140 --> 00:10:45,350 früher angefangen, weil ja auch mehr Transaktionen hatten, mit tatsächlich Disketten 125 00:10:45,350 --> 00:10:50,620 durch die Gegend schicken, das Datenträgeraustauschverfahren. Später gab 126 00:10:50,620 --> 00:10:56,151 es dann Nachfolger BCS und das aktuelle EBICS. Da werde ich dann gleich noch 127 00:10:56,151 --> 00:11:01,960 drauf kommen, wenn ich die Situation bei meiner Firma beschreibe, weil das mit dem 128 00:11:01,960 --> 00:11:06,990 FinTS ist jetzt leider schade war. Es ermöglichte damals interoperables 129 00:11:06,990 --> 00:11:12,029 Multibanking. In FinTS selber sind sogenannte Geschäftsvorfälle definiert. 130 00:11:12,029 --> 00:11:15,720 Man kann halt nicht alle Banken unterstützen alles. Aber man kann im 131 00:11:15,720 --> 00:11:23,020 Wesentlichen abrufen, Kontoauszüge abrufen oder Transaktionsliste. Man kann 132 00:11:23,020 --> 00:11:26,361 Überweisungen einkippen oder Lastschriften verursachen. Das ist das Wichtigste, was 133 00:11:26,361 --> 00:11:30,280 man machen kann. Alle Banken haben noch irgendwas anderes. Aber das Schöne ist, das 134 00:11:30,280 --> 00:11:34,860 funktioniert eigentlich überall. Und dann gibt es einfach auf meinem Handy eine App, 135 00:11:34,860 --> 00:11:38,510 die das implementiert. Das Schöne daran war, dass das Protokoll einfach frei im 136 00:11:38,510 --> 00:11:44,570 Internet verfügbar war. Ursprünglich kommt es von der ZKA der Zentrale Kreditausschuss. 137 00:11:44,570 --> 00:11:47,510 Die haben sich irgendwann umbenannt und haben sich bei der Bahn ein Beispiel 138 00:11:47,510 --> 00:11:53,870 genommen und heißen jetzt DEKA. Die Kreditwirtschaft *einzelne Lachen* oder 139 00:11:53,870 --> 00:11:59,060 die deutsche Kreditwirtschaft je nachdem. Da kann man die Spezifikation runterladen. 140 00:11:59,060 --> 00:12:02,090 Wie gesagt, das ist prinzipiell parsbar. Man kann es implementieren, ich habs 141 00:12:02,090 --> 00:12:09,290 gemacht. Und dann braucht man nur noch Benutzername und Pin, wie man sie von der 142 00:12:09,290 --> 00:12:13,450 Bank erhalten hat und die gleichen Zugangsdaten wie im Onlinebanking gelten. 143 00:12:13,450 --> 00:12:16,590 Und man muss niemanden fragen, das finde ich das Wichtigste, sondern muss niemand 144 00:12:16,590 --> 00:12:19,410 fragen, wofür man eine Implementierung schreibt. Man muss niemanden fragen, bevor 145 00:12:19,410 --> 00:12:23,520 man die Implementierung benutzt. Ich habe das für Vereinsverwaltungsoftware 146 00:12:23,520 --> 00:12:30,089 geschrieben, das die gesamten Finanzen des Vereins quasi vollautomatisiert 147 00:12:30,089 --> 00:12:35,070 verarbeitet werden können, ohne dass irgendjemand im Webinterface die Dinge 148 00:12:35,070 --> 00:12:44,830 herunterlädt und irgendwo eingibt oder gar abtippt. Das Schöne an diesem FinTS ist 149 00:12:44,830 --> 00:12:50,510 eine der Eigenschaften von diesem FinTS ist, dass es zukunftskompatibel ist. Man 150 00:12:50,510 --> 00:12:54,351 kann halt, es gibt diese einzelnen Datensätze, haben eine Versionsnummer, und 151 00:12:54,351 --> 00:12:58,780 man kann dann jedes Mal eine neue Version einführen. Der alte Datensatz funktioniert 152 00:12:58,780 --> 00:13:02,610 weiterhin für die Banken oder die Software nur das alte unterstützt. Man sieht daran 153 00:13:02,610 --> 00:13:06,380 aber auch jedes Mal, wenn irgendwas in der Geschichte passiert ist, wenn es neue 154 00:13:06,380 --> 00:13:10,989 Regulierungen gab, die darauf Auswirkungen hatten, dann kommt gibts halt eine neue 155 00:13:10,989 --> 00:13:14,660 Version von z.Bsp. dem Datensatz zum Anmelden, das dann plötzlich ein neues 156 00:13:14,660 --> 00:13:18,630 Feld drin ist für ein SMS Abbuchungskonto. Weil, ich weiß nicht genau wann das war, 157 00:13:18,630 --> 00:13:24,490 2012 die EU beschlossen hat, dass der Kunde das Konto angeben muss, von dem die 158 00:13:24,490 --> 00:13:29,580 SMS Gebühren berechnet werden, die für die AnmeldeTan benutzt werden. Später gab es 159 00:13:29,580 --> 00:13:34,600 neue Veränderung, eine neue Versionen. Es ist an der Stelle schön, dass man so quasi 160 00:13:34,600 --> 00:13:38,890 in Fossilienmäßig sehen kann, was in der Vergangenheit passiert ist, indem man sich 161 00:13:38,890 --> 00:13:46,240 das Protokoll anguckt. Wie gesagt, Multibanking war die wichtigste 162 00:13:46,240 --> 00:13:49,570 Funktionalität um seine Finanzsoftware auf deinem Computer oder deinem Telefon oder 163 00:13:49,570 --> 00:13:53,720 auf deinem Server oder sonst wo zu haben und sie funktioniert mit allen Banken in 164 00:13:53,720 --> 00:14:03,110 Deutschland. Was gab es noch für der andere wichtige Punkt für Endverbraucher 165 00:14:03,110 --> 00:14:07,310 ist Onlineshopping. Ich möchte gerne bezahlen. Ich brauche irgendeine Zahlung. 166 00:14:07,310 --> 00:14:12,240 Da gab es gibt es immer noch Dienste wie PayPal oder irgendwelche Wallit Dienste, 167 00:14:12,240 --> 00:14:18,660 wo man auf eine beliebige Art vorher Geld auflädt, das Geld ausgeben kann, was aber 168 00:14:18,660 --> 00:14:22,980 nichts mit dem eigentlichen Bankkonto zu tun hat. Was für den Verbraucher natürlich 169 00:14:22,980 --> 00:14:26,740 wesentlich angenehmer ist, Konntobezogene Zahlungsdienste, irgendwas, was direkt mit 170 00:14:26,740 --> 00:14:30,450 meinem Konto, das ich sowieso habe, verbunden ist. Am einfachsten für alle 171 00:14:30,450 --> 00:14:35,040 Beteiligten ist die Vorkasse, kann man halt vorher überweisen und kriegt dann 172 00:14:35,040 --> 00:14:39,589 seinen Gut oder auch nicht. Am einfachsten für den Verbraucher ist die Lastschrift, 173 00:14:39,589 --> 00:14:46,240 verschickt halt der Versender das Gut und belastet nachher das Konto. Beides nicht 174 00:14:46,240 --> 00:14:52,340 so ideal. Deswegen gab es immer wieder Versuche, andere Systeme einzuführen. Ich 175 00:14:52,340 --> 00:14:55,440 glaube, die ersten waren die Niederländer mit einem System, das so einen 176 00:14:55,440 --> 00:15:01,340 integrierten Prozess anbot. Der Händler kann das System ansprechen. Ihm sagen: Ich 177 00:15:01,340 --> 00:15:07,019 hätte gerne von einem Benutzer so viel Euro. Oder 2005, ja? Ich hätte gerne so 178 00:15:07,019 --> 00:15:11,220 und so viel Geld von diesen Benutzer. Der macht das dann auf der Webseite seiner 179 00:15:11,220 --> 00:15:16,650 Bank mit den Zugangsdaten der Bank, gibt den Betrag frei. Der Händler kriegt sofort 180 00:15:16,650 --> 00:15:20,100 die Bestätigung, dass der Betrag freigegeben wurde und kann sofort die Ware 181 00:15:20,100 --> 00:15:24,459 losschicken. In Deutschland haben wir das auch. Das kennt natürlich wieder keiner, 182 00:15:24,459 --> 00:15:30,640 weil die Sparkassen sitzen es ein. Und dann war's das fast. Das heißt Giropay, 183 00:15:30,640 --> 00:15:37,910 und das ist, wie man Onlinezahlungen übers Konto eigentlich machen würde. Parallel um 184 00:15:37,910 --> 00:15:41,850 2006 entstand ein Dienstleister, ich hatte vorhin einen anderen Namen, die 185 00:15:41,850 --> 00:15:46,150 Sofortüberweisung. Das kennen Leute doch noch, und man wundert sich ein bisschen, 186 00:15:46,150 --> 00:15:51,990 dass überhaupt entstehen konnte. Also, ich fand das Geschäftsmodell schon immer ein 187 00:15:51,990 --> 00:16:00,450 bisschen komisch. Sofortüberweisung-in- the-Middle. Der Benutzer gibt seine 188 00:16:00,450 --> 00:16:03,579 Zugangsdaten, die er von seiner Bank bekommen hat, auf der Webseite von 189 00:16:03,579 --> 00:16:09,780 Sofortüberweisung ein. Sofortüberweisung loggt sich bei der Bank ein. Macht, was 190 00:16:09,780 --> 00:16:13,600 auch immer, gibt dem Händler halt Bescheid, dass die Transaktion 191 00:16:13,600 --> 00:16:19,040 durchgeführt worden ist und führt dem Benutzer dann zum Händler zurück. Sie 192 00:16:19,040 --> 00:16:23,540 geben ihr Indianerehrenwort, dass sie nichts anderes tun, außer die Transaktion 193 00:16:23,540 --> 00:16:27,360 freizuschalten und gegebenenfalls ein Konto nachzuschauen, ob du Gebounste, 194 00:16:27,360 --> 00:16:31,750 Überweisung oder sonst was hast. Irgendeine Risikobewertung. Sie haben auch 195 00:16:31,750 --> 00:16:35,770 TüV gibt TüV geprüften Datenschutz, der TüV Saarland steht dafür gerade. Und wenn 196 00:16:35,770 --> 00:16:39,199 ich mich richtig erinnere, haben sie sogar dann doch noch etwas passiert, haben auch 197 00:16:39,199 --> 00:16:42,959 noch eine Versicherung abgeschlossen. *eizelne Gelächter* Falls das 198 00:16:42,959 --> 00:16:53,709 Indianerehrenwort nicht reicht. Damals, 2012, verstieß das jetzt mal abgesehen vom 199 00:16:53,709 --> 00:16:57,580 gesunden Menschenverstand auch gegen die Teilnahmebedingungen für das Pin/Tan- 200 00:16:57,580 --> 00:17:00,970 Verfahren, die ihr bei eurer Bank unterschrieben habt. Ich habe hier das Mal 201 00:17:00,970 --> 00:17:04,360 rausgesucht von der DKB. Der Teilnehmer ist verpflichtet, die technische 202 00:17:04,360 --> 00:17:10,029 Verbindung zum Onlinebanking der Bank nur nur über die Internetseite der Bank oder 203 00:17:10,029 --> 00:17:16,509 andere mitgeteilte Kommunikationswege herzustellen. Um kurz zu illustrieren, 204 00:17:16,509 --> 00:17:22,929 habe ich eine Abbildung aus der Wikipedia herausgesucht. Eigentlich verstößt man 205 00:17:22,929 --> 00:17:26,989 damit gegen die Bedingungen seiner Bank und im schlimmsten Fall die Bank übernimmt 206 00:17:26,989 --> 00:17:30,580 erst einmal nicht, garantiert nicht, dass es funktioniert, übernimmt die Schäden 207 00:17:30,580 --> 00:17:35,271 nicht. Es gab da dann so verschiedene Banken, die versucht haben, das auch 208 00:17:35,271 --> 00:17:39,029 technisch zu unterbieten, zu verbieten. Ich habe da keine Bestätigung, aber ich 209 00:17:39,029 --> 00:17:43,639 hörte die Geschichte, dass die Sparkasse wohl versucht hätte, die Zufgriffe, die 210 00:17:43,639 --> 00:17:47,030 Sofortüberweisung auslöst, zu blockieren, indem sie die IP-Adresse sperren, 211 00:17:47,030 --> 00:17:52,299 woraufhin dann drei Stunden später die Zugrffe von drei anderen IP-Adressen kamen. 212 00:17:52,299 --> 00:17:55,380 Da gab es auch juristische Auseinandersetzungen, weil die Sparkasse 213 00:17:55,380 --> 00:17:59,239 vorher, wie ich auf der vorherigen Folie gezeigt habe, ein eigenes System anbot, 214 00:17:59,239 --> 00:18:01,899 das als Mitbewerber gesehen werden kann. Auch wenn es technisch halt richtig 215 00:18:01,899 --> 00:18:06,309 rum ist, im Gegensatz zur Sofortüberweisung, die falsch rum ist. 216 00:18:06,309 --> 00:18:09,349 Deswegen wurde Ihnen dann verboten zu versuchen, die Sofortüberweisung zu 217 00:18:09,349 --> 00:18:14,359 torpedieren. Das zog auch so langsam ein. Ich habe deswegen die DKB von 2012 218 00:18:14,359 --> 00:18:18,799 rausgesucht, weil ich mich erinnere. Mein Konto ist schon ein bisschen länger, dass 219 00:18:18,799 --> 00:18:22,850 ich irgendwann AGB Änderungen mitgeteilt bekommen habe. Da haben Sie halt diesen 220 00:18:22,850 --> 00:18:26,549 Absatz einfach gestrichen. Und statt dessen stand dort. "Sie dürfen die 221 00:18:26,549 --> 00:18:32,130 Zugangsdaten nur auf der Webseite der DKB eingeben, oder einem anderen von uns 222 00:18:32,130 --> 00:18:36,200 autorisierten Zahlungsdienstleister siehe Anhang." Der Anhang enthielt genau eine 223 00:18:36,200 --> 00:18:45,060 Zeile "Sofortüberweisung.de", so nebenbei. Um herauszufinden, was die Bedingungen von 224 00:18:45,060 --> 00:18:53,090 2012 waren, musste ich bei mir bei der DKB mal einloggen, um mein Postfach zu gucken, 225 00:18:53,090 --> 00:18:57,050 wie wir gleich sehen werden, braucht man zum Einloggen neuerdings manchmal eine TAN. 226 00:18:57,050 --> 00:19:02,139 Dazu gibts den TAN Generator, der ein Passwort will, das ich natürlich nicht 227 00:19:02,139 --> 00:19:06,919 mehr wusste, aber gar kein Problem, es hat einen Rücksetzfluß. Man kann sich einfach 228 00:19:06,919 --> 00:19:09,480 eine SMS schicken lassen und den TAN Generator zurücksetzen und dann 229 00:19:09,480 --> 00:19:20,460 funktioniert es wieder. OK, glaube, das Passwort brauche ich mir nicht merken. So das 230 00:19:20,460 --> 00:19:33,800 war der Zustand bis Anfang diesen Jahres, bis Mitte dieses Jahres. 2015 kam diese 231 00:19:33,800 --> 00:19:37,169 Zahlungsrichtlinie heraus, und das ist die Begründung, warum die herausgebracht wird, 232 00:19:37,169 --> 00:19:44,089 die dort stehen. Unter anderem seit der vorherigen Richtlinie 2007, die PSD, die 233 00:19:44,089 --> 00:19:49,100 Zahlungsrichtlinie, nicht die Zahlungsrichtlinie 2, sind neue Arten von 234 00:19:49,100 --> 00:19:54,460 Zahlungsdiensten entstanden. Vor allen Dingen Zahlungsauslösedienste. Ein anderes 235 00:19:54,460 --> 00:20:02,779 Wort für Sofortüberweisung. Oder Kontoinformationsdienste. Diese Richtlinie 236 00:20:02,779 --> 00:20:07,020 soll darauf abzielen, die Kontinuität im Markt sicherzustellen. Mit anderen Worten 237 00:20:07,020 --> 00:20:10,619 Diese Richtlinie ist in keiner Form gedacht oder geeignet, irgendeinen der 238 00:20:10,619 --> 00:20:16,020 bisherigen Player am Markt zu benachteiligen oder zu disruptieren. 239 00:20:16,020 --> 00:20:21,270 Ich las irgendwann mal den schönen Satz Lex-Sofortüberweisung. Hier ist die 240 00:20:21,270 --> 00:20:25,509 Gegenüberstellung von der Zahlungsdiensterichtlinie 2007 und 241 00:20:25,509 --> 00:20:31,619 Zahlungsdiensterichtlinie 2 2015. Die haben relativ langes Zeugs und unglaublich 242 00:20:31,619 --> 00:20:34,569 komplizierte Sätze an einigen Stellen. Man muss so 2 Minuten lang lesen, um 243 00:20:34,569 --> 00:20:39,450 herauszufinden, dass das... A. Diese Richtlinie gilt nicht für Geldabheben im 244 00:20:39,450 --> 00:20:46,250 Supermarkt. Der Satz, der das beschreibt ist vier Zeilen lang. Es gibt einen 245 00:20:46,250 --> 00:20:51,159 Anhang, der steht, worauf sie sich bezieht. Die ersten Paar sind gleich 246 00:20:51,159 --> 00:20:54,240 geblieben, und in Zahlungsdiensterichtlinie 2 sind 247 00:20:54,240 --> 00:21:00,260 neuerdings Zahlungsauslösedienste und Kontoinformationsdienste hinzugekommen. Und 248 00:21:00,260 --> 00:21:09,169 dann noch ein paar Regeln dazu. Was hat also diese PSD2 gebracht? Die neuen Kategorien des 249 00:21:09,169 --> 00:21:15,049 Zahlungsauslösedienstleisters und des Konto-Informationsdienstleisters, neue 250 00:21:15,049 --> 00:21:20,179 Sicherheitsmaßnahmen. Das ist der Teil, den die meisten mitgekriegt haben. Die 251 00:21:20,179 --> 00:21:25,860 sogenannte starke Kundenauthentifizierung SCA, Strong Customer Authentification. 252 00:21:25,860 --> 00:21:29,820 Damit zusammenhängend eine ganz merkwürdige 90-Tage-Regelung, die keiner 253 00:21:29,820 --> 00:21:35,279 so richtig versteht und nur manchmal angewendet wird. Ich weiß nicht, ob das 254 00:21:35,279 --> 00:21:38,850 haben die wenigsten mitgekriegt, ausser wenn Sie sich geärgert haben, dass Timeout 255 00:21:38,850 --> 00:21:42,959 im Onlinebanking ist heruntergesetzt worden auf fünf Minuten. Wenn man nicht alle fünf 256 00:21:42,959 --> 00:21:45,709 Minuten etwas anklickt, zum Beispiel, weil man gerade versucht TAN Generator heraus- 257 00:21:45,709 --> 00:21:53,099 zusuchen, wird man ausgeloggt, und muss sich wieder einloggen und eine TAN eingeben. Es 258 00:21:53,099 --> 00:21:57,090 gibt, das ist tatsächlich ganz positiv, neue Transparenzpflichten. Das ist so der Teil, 259 00:21:57,090 --> 00:22:01,940 den die wenigsten mitkriegen, weil man das mal so abnickt. Da steht dann drin, dass 260 00:22:01,940 --> 00:22:05,809 alle Dienstleister jetzt auch dieses Mal ordentlich und transparent darüber 261 00:22:05,809 --> 00:22:10,200 Auskunft geben müssen, welche Kosten entstehen, welche Gebühren entstehen, die 262 00:22:10,200 --> 00:22:14,639 Gebührenstruktur nachvollziehbar sein soll, dass man sie auf einem dauerhaften 263 00:22:14,639 --> 00:22:25,600 Datenträger ausgehändigt bekommen muss. Es gibt in der PSD2 neue Meldepflichten, zum einen 264 00:22:25,600 --> 00:22:32,090 an die Bundesbank bzw. die Bankenaufsicht. Zum anderen vor der Aufnahme des Betriebs 265 00:22:32,090 --> 00:22:37,499 muss man sich registrieren lassen. Das finden glaube ich alle ganz gut. Wir hatten mal 266 00:22:37,499 --> 00:22:41,029 ein Meeting bei der Bundesbank, die meinten, das fanden sie ganz toll, dass sie jetzt 267 00:22:41,029 --> 00:22:44,580 diese Daten über den Finanzmarkt kriegen und die Finanzmarktstabilität besser 268 00:22:44,580 --> 00:22:50,289 einschätzen können. Besser bewerten können, weil für einen Dienstleister nach 269 00:22:50,289 --> 00:22:54,290 dieser Richtlinie jetzt sehr ausführlich vorgeschrieben ist, welche 270 00:22:54,290 --> 00:22:59,019 Risikokategorien, welche Risikobewertung er machen muss und in welcher Form er 271 00:22:59,019 --> 00:23:02,239 diese Daten dann nach oben melden muss auch was Betrugsversuche und erfolgreichen 272 00:23:02,239 --> 00:23:08,970 Betrug angeht. Und es gibt neue Schnittstellen. Naja, mehr oder weniger. 273 00:23:08,970 --> 00:23:14,289 In der Zahlungsdiensterichtlinie bzw. tech- nischen Durchführung ist von dedizierten 274 00:23:14,289 --> 00:23:19,509 Schnittstellen für Zahlungsauslösedienste bzw. Kontoinformationsdienste die Rede, die 275 00:23:19,509 --> 00:23:25,410 angeboten werden müssen. Neudeutsch sagt man dazu API. Das ist dann das, was unter 276 00:23:25,410 --> 00:23:32,270 PSD2 API überall läuft. Es steht allerdings nicht drin, wie der aussehen 277 00:23:32,270 --> 00:23:40,579 soll, nur was sie leisten können. Die neuen Kategorien. Wie gesagt, 278 00:23:40,579 --> 00:23:48,279 Zahlungsauslösedienst ist jemand, der im Auftrag von jemandem eine Zahlung auslöst. 279 00:23:48,279 --> 00:23:53,090 Also Sofortüberweisung.de oder theoretisch auch andere. Aber man muss bestimmte 280 00:23:53,090 --> 00:23:57,879 Voraussetzungen erfüllen, um überhaupt in diese Kategorie fallen zu können. Das hält 281 00:23:57,879 --> 00:24:02,129 unter anderem eine ganze Menge Eigenkapital und Zertifizierungen und so 282 00:24:02,129 --> 00:24:06,509 weiter. Und Kontoinformationsdienste. Damit ist das, was wir früher unter 283 00:24:06,509 --> 00:24:12,749 Multibanking gekannt haben. Ich bin mir nicht ganz sicher, welche wie die Leute 284 00:24:12,749 --> 00:24:15,960 drauf waren, die das formuliert haben oder geschrieben haben. Aber sie hatten 285 00:24:15,960 --> 00:24:18,750 offensichtlich kein Handy, auf dem sie eine App installiert haben, wo man alle 286 00:24:18,750 --> 00:24:22,339 seine Konten hat, sondern sie haben es auf einer Webseite gemacht. Es ist also 287 00:24:22,339 --> 00:24:28,619 neuerdings vorgesehen, dass ein online Anbieter, eine Webseite, ein Portal halt sich 288 00:24:28,619 --> 00:24:32,870 auf alle meine Konten einloggt und mir dann auf der Webseite anzeigt, wie mein 289 00:24:32,870 --> 00:24:37,950 Finanzstatus ist. Dazu muss sie natürlich sich überall einloggen können. Und dann 290 00:24:37,950 --> 00:24:42,749 braucht man neue Richtlinien, Regulierung und den ganzen Kram. Ein kurzer Blick 291 00:24:42,749 --> 00:24:47,239 zurück, wie man sich das dachte. Ich habe beim Recherchieren, ich fand es total 292 00:24:47,239 --> 00:24:53,280 toll, ein Screenshot von Heise aus dem Newsticker vom Jahr 2000. Das stimmt 293 00:24:53,280 --> 00:24:58,890 nicht. Das Datum ist falsch. Ich glaube, es war 2016. Ein Screenshot von 2016, wie 294 00:24:58,890 --> 00:25:04,729 wir uns die schöne neue Zukunft mit PSD2 vorstellen. Aktuell muss man durch ein 295 00:25:04,729 --> 00:25:11,519 Bezahldienstleister gehen, der mit meiner Kreditkarte zur Bank geht. Neuerdings kann 296 00:25:11,519 --> 00:25:20,669 der Online-Shop via PSD2-API direkt auf das Bankkonto zugreifen. Ja, ne. *einzelne 297 00:25:20,669 --> 00:25:27,680 Kommentare* Ich nenne das die Lüge von der dritten Partei. Ein kurzer Blick, wie wir 298 00:25:27,680 --> 00:25:34,729 das bei uns einer Firma hatten. Wir haben Abrechnungssoftware, Personalverwaltung, 299 00:25:34,729 --> 00:25:39,570 Lohnbuchung, den ganzen Kram. Die hat dann einfach über FinTS mit meiner Bank 300 00:25:39,570 --> 00:25:42,120 geredet. Ein Rechner, der bei mir in meiner Firma steht, der gehört mir, da ist 301 00:25:42,120 --> 00:25:45,730 Software drauf installiert, die ich gekauft habe. Und da ist mal meine Bank, 302 00:25:45,730 --> 00:25:48,380 und dazwischen ist halt ein Vertrauensverhältnis, weil das meine Bank 303 00:25:48,380 --> 00:25:51,950 ist und ich gebe irgendwie meine Zugangsdaten meiner Bank. Und dann 304 00:25:51,950 --> 00:25:58,809 funktioniert das hervorragend. Das ist zum 14. September 2019 abgeschaltet worden. 305 00:25:58,809 --> 00:26:02,809 Datev hat uns gesagt, Sie haben einen neuen Kooperationspartner, die FinApi 306 00:26:02,809 --> 00:26:07,629 GmbH. Das heißt, neuerdings läuft das so, dass die Daten meiner Firma erstmal an das 307 00:26:07,629 --> 00:26:14,509 Datav Rechenzentrum gehen, von dort an die FinAPI GmbH, die dann die API 308 00:26:14,509 --> 00:26:21,070 implementiert, die meine Bank implementiert. Ich weiß nicht, ich kann es hier vorne ganz 309 00:26:21,070 --> 00:26:25,270 gut sehen, aber das Logo der FinAPI GmbH, ist deswegen sehr schön weil da steht Schufa 310 00:26:25,270 --> 00:26:31,940 Comany. FinApi hat sich aufkaufen lassen bzw. Mehrheitsbeteiligung der Schufa Holding 311 00:26:31,940 --> 00:26:38,000 GmbH. *einzelne Gelächter* In der schönen neuen Welt gehen alle meine Daten jetzt 312 00:26:38,000 --> 00:26:43,099 mal nicht abgesehen davon, dass sie durch Datev gehen, auch noch durch die Schufa, 313 00:26:43,099 --> 00:26:48,099 die natürlich verpflichtet sind, damit nichts Böses zu tun. Allerdings habe ich 314 00:26:48,099 --> 00:26:51,019 mit der Schufa irgendwie auch keinen Vertrag dazu abgeschlossen, sondern ich habe 315 00:26:51,019 --> 00:26:55,550 meinen Vertrag mit jemandem anderen, deswegen nicht so schön. Überall wird 316 00:26:55,550 --> 00:27:00,399 immer von Drittdienstleistern gesprochen, das heißt immer die dritte Partei 317 00:27:00,399 --> 00:27:04,545 implementiert halt PSD2 API. Das ist ja falsch! Sind ja immer vier Parteien 318 00:27:04,545 --> 00:27:13,269 beteiligt. Es ist ja immer ich, ich kann mal, ich darf nicht mich vorbeugen ich 319 00:27:13,269 --> 00:27:17,689 nehme mal diesen Laserpointer hier, es ist ja immer ich daran beteiligt es ist ja 320 00:27:17,689 --> 00:27:21,479 immer meine Bank daran beteiligt sind wir schon bei zweien. Dann gibt es irgendwas 321 00:27:21,479 --> 00:27:25,460 was ich in Wirklichkeit machen möchte. Also meinetwegen Zahlungen, das wäre dann 322 00:27:25,460 --> 00:27:29,350 meinetwegen Zahlungen. Das wäre hier so irgend eine Partei. Aber de facto muss es immer 323 00:27:29,350 --> 00:27:32,239 immer eine vierte Partei geben, einen neuen Gatekeeper, der dann die API 324 00:27:32,239 --> 00:27:36,249 tatsächlich implementiert. Ich sag gleich warum. Aber im Wesentlichen läuft es 325 00:27:36,249 --> 00:27:41,049 darauf hinaus, dass die hier einen bevorzugten Zugang zu allen Banken 326 00:27:41,049 --> 00:27:45,390 erhalten, der nicht so einfach auf einer der anderen drei Ebenen, zum anderen 327 00:27:45,390 --> 00:27:48,580 beiden Ebenen zu implementieren ist. Es gibt aber eigentlich immer eine vierte 328 00:27:48,580 --> 00:27:53,029 Partei. Es gibt quasi keinen Anwendungs- fall, der mir einfällt, wo es nur drei 329 00:27:53,029 --> 00:27:56,429 Parteien sind, außer vielleicht der Kontoinformationendienstleister, der 330 00:27:56,429 --> 00:28:01,969 selber ein Webportal betreibt, auf dem ich meinen Kontostand einsehen kann. Der 331 00:28:01,969 --> 00:28:08,320 einzige Fall, der einem einfällt, wo es nur drei sind. Die PSD2 API schreibt, wie 332 00:28:08,320 --> 00:28:15,279 gesagt, einen offenen Zugriff vor. Naja, offen ist halt so gemeint wie ein Bürokrat das 333 00:28:15,279 --> 00:28:20,779 als offen versteht. Es ist kein Vertragsverhältnis erforderlich zwischen 334 00:28:20,779 --> 00:28:25,179 den Banken und den Leuten, die darauf zugreifen, das ist schon mal ganz gut. Die 335 00:28:25,179 --> 00:28:29,070 Banken sind verpflichtet, ein API anzubieten, aber es steht halt nur, dass 336 00:28:29,070 --> 00:28:32,200 es verfügbar sein muss und was es leisten können muss und dass es genauso gut sein 337 00:28:32,200 --> 00:28:38,019 muss wie der Zugriff, den die Bank dem Kunden direkt anbietet. Und die gleichen 338 00:28:38,019 --> 00:28:41,200 Servicelevel Agreements erfüllen muss, die gleiche Verfügbarkeit haben muss. Es steht 339 00:28:41,200 --> 00:28:44,869 nicht drin, wie es tatsächlich ausgestaltet ist. Es steht nicht drin, 340 00:28:44,869 --> 00:28:50,190 welche Spezifikation dies erfüllen soll. Das führt dazu, dass nicht jede Bank 341 00:28:50,190 --> 00:28:54,789 entwickelt ihr eigenes API. Die haben gar keine Lust darauf. Die kaufen schon noch 342 00:28:54,789 --> 00:29:02,129 APIs von externen Dienstleistern diese Funktionalität ein. Aber dennoch gibt es 343 00:29:02,129 --> 00:29:05,881 eine größere Handvoll an verschiedenen APIs, die von verschiedenen Banken 344 00:29:05,881 --> 00:29:12,269 eingesetzt werden. Die, wenn ich also, wenn ich eine Funktionalität 345 00:29:12,269 --> 00:29:15,179 implementieren möchte, die auf Zahlungskonten zugreift, muss ich sie 346 00:29:15,179 --> 00:29:19,249 eigentlich alle implementieren. Oder ich nehme mir einen zusätzlichen Dienstleister 347 00:29:19,249 --> 00:29:24,820 wie die FinApi dazu, der dann für mich alle implementiert. Es gibt ein quasi- 348 00:29:24,820 --> 00:29:30,459 Standard. Die Berlin Group hat sich zusammengesetzt, um eine PSD2 API zu 349 00:29:30,459 --> 00:29:34,090 spezifizieren, die jeder implementieren kann, wo dann alle Seiten nur einmal das 350 00:29:34,090 --> 00:29:37,000 machen müssen. Die Webseite ist ein bisschen schlimm, ist relativ schwierig, 351 00:29:37,000 --> 00:29:42,871 den Standard herunterzuladen. Aber das ist mittlerweile der quasi-Standard. Es gibt 352 00:29:42,871 --> 00:29:49,289 noch keinen echten Standard. Voraussetzung dafür ist, um die PSD2 API nutzen zu 353 00:29:49,289 --> 00:29:55,650 können, dass ich ein lizensierte bzw. registrierter Dienstleister bin. Gute 354 00:29:55,650 --> 00:30:00,070 Nachricht, ich hab nicht notwendigerweise Eigenkapitalanforderungen. Also, ich als 355 00:30:00,070 --> 00:30:02,789 Privatperson kann es leider nicht machen, aber zumindest meine juristische Person 356 00:30:02,789 --> 00:30:05,480 kann ich schnell gründen ohne Eigenkapital. Wenn ich eine 357 00:30:05,480 --> 00:30:08,309 Berufshaftpflichtversicherung abschließen. Das gilt auch nur für 358 00:30:08,309 --> 00:30:14,879 Kontoinformationsdienstleister. Sobald ich Zahlungsauslösedienst sein möchte, muss 359 00:30:14,879 --> 00:30:25,880 ich 50.000 Euro Eigenkapital Anfangskapital hinlegen. Die meisten Dienstleistungen 360 00:30:25,880 --> 00:30:28,489 oder die meisten Funktionen, die ich mir vorstellen könnte, machen mit nur 361 00:30:28,489 --> 00:30:32,779 Kontoinformation nicht so viel Sinn. Wenn ich an meinem Beispiel des Vereins denke, 362 00:30:32,779 --> 00:30:36,130 wenn ich die Vereinsverwaltung mache, möchte ich halt sowohl Zahlungseingänge 363 00:30:36,130 --> 00:30:40,870 verbuchen können als auch mindestens Lastschriften auslösen können. Und da bin 364 00:30:40,870 --> 00:30:45,629 ich schon Zahlungsauslösedienst, und der Zug ist abgefahren in meinem Verein hat 365 00:30:45,629 --> 00:30:52,409 keine 50.000 Euro. Plus Zugang ist offen. Solange ich ein qualifiziertes 366 00:30:52,409 --> 00:30:57,150 elektronisches Zertifikat habe, das mich als registrierter Zahlungsauslösedienst 367 00:30:57,150 --> 00:31:03,900 ausweist. In der gesamten Spec kommt das Konzept. Dies ist kein Cloud-Dienst. Dies 368 00:31:03,900 --> 00:31:07,800 ist eine Software, die ich herunterladen und ausführen kann, einfach nicht vor. 369 00:31:07,800 --> 00:31:11,989 PSD2 API ist komplett nutzlos für Leute, die Software auf ihrem eigenen Rechner 370 00:31:11,989 --> 00:31:18,569 ausführen wollen. Was kann sie denn noch? Neu dazugekommen ist schon Customer 371 00:31:18,569 --> 00:31:26,090 Authentification, das ist das mit dem Blutdruck. Neuerdings kann manchmal Ich 372 00:31:26,090 --> 00:31:30,570 komme gleich drauf, Strong Customer Authentication gefordert werden, und 373 00:31:30,570 --> 00:31:36,890 das bedeutet, dass mindestens zwei der Elemente Wissen, Besitz und Inhärenz 374 00:31:36,890 --> 00:31:44,559 benutzt werden müssen. Inhärenz ist das fancy Wort für Biometrie. Müssen benutzt 375 00:31:44,559 --> 00:31:48,089 werden und müssen voneinander unabhängig sein. Dann steht da also Kram drin. Unter 376 00:31:48,089 --> 00:31:51,269 anderem steht da auch drin, dass nach fünf Fehlversuchen der Zugang gesperrt werden 377 00:31:51,269 --> 00:31:57,990 muss. Die Abmeldungen nach fünf Minuten Inaktivität kommt auch darin vor. 378 00:31:57,990 --> 00:32:01,789 Verpflichtend ist eine dynamische Verknüpfung der Customer Authentication 379 00:32:01,789 --> 00:32:07,129 mit dem jeweiligen Vorgang. Das heißt, iTAN Listen sind halt absolut verboten. Es 380 00:32:07,129 --> 00:32:12,460 muss in jedem Fall der Code auf irgend eine Art mit dem Betrag den ich überweisen 381 00:32:12,460 --> 00:32:17,879 möchte verbunden sein. Hier steht auch die Formulierung, dass dafür gesorgt werden 382 00:32:17,879 --> 00:32:23,299 muss, dass Mechanismen vorhanden sind, die sicherstellen, dass die Software oder das 383 00:32:23,299 --> 00:32:29,819 Gerät nicht vom Zahler oder einem Dritten verändert wurden. Es war dann das wo ich 384 00:32:29,819 --> 00:32:32,860 meinen Blutdruck gekriegt habe, weil ich mein Android-Telefon natürlich gerootet 385 00:32:32,860 --> 00:32:36,130 habe, unter anderem um Backups machen zu können und mir die App dann 386 00:32:36,130 --> 00:32:41,359 freundlicherweise sagt "Ja ne, ist nicht, ist ja gerootet". Und dann überlegt man 387 00:32:41,359 --> 00:32:45,119 sich nochmal, was gerootet bedeutet, na ja bedeutet, dass das Telefon unter anderem 388 00:32:45,119 --> 00:32:48,289 in der Lage wäre, über seinen Zustand zu lügen. Die App möchte nicht funktionieren 389 00:32:48,289 --> 00:32:51,150 auf einem Telefon, das in der Lage wäre, über seinen Zustand zu lügen, es sei denn 390 00:32:51,150 --> 00:32:54,710 natürlich, das Telefon lügt über seinen Zustand so gut, dass die App dann doch 391 00:32:54,710 --> 00:32:58,709 wieder funktioniert. Das war dann für mich die Motivation doch mal magisk 392 00:32:58,709 --> 00:33:04,880 auszuprobieren, dass ein hinreichend erfolgreiche Rootdetectionsverhinderung 393 00:33:04,880 --> 00:33:11,400 hat, wobei es dann wieder zu so einer Waffen Spirale kommt, das mit zunehmenden 394 00:33:11,400 --> 00:33:15,019 App Updates die Detection besser wird was dazu führt, dass die Leute die die 395 00:33:15,019 --> 00:33:20,940 Detection verhindern, wieder besser werden und ich dann am Ende doch ein zweites 396 00:33:20,940 --> 00:33:25,809 Gerät habe *lächelt*, auf dem ich die Tan Apps ausführe, die sich zurzeit nicht 397 00:33:25,809 --> 00:33:32,579 austricksen lassen und am Ende halt für vollkommenen Unfug. Wird noch besser. Das 398 00:33:32,579 --> 00:33:37,679 Feature nennt sich "Surprise SCA". Bisher war die Sache einfach. Ich habe mich mit 399 00:33:37,679 --> 00:33:40,829 der PIN angemeldet, dann hab ich einen read-only Zugang gekriegt. Wenn ich 400 00:33:40,829 --> 00:33:44,849 irgendwas read-write-mäßiges machen wollte, musste ich eine TAN eingeben, die 401 00:33:44,849 --> 00:33:50,419 auf diesen Vorgang bezogen war. Jetzt brauche ich die TAN für wesentlich mehr. 402 00:33:50,419 --> 00:33:53,519 Und zwar brauche ich die TAN teilweise zum Anmelden, also die genaue Formulierung 403 00:33:53,519 --> 00:33:57,639 die genaue Formulierung ist zum Zugriff auf Kontodaten oder sensible Kontodaten, 404 00:33:57,639 --> 00:34:00,739 damit ist halt in der Regel Anmelden in der App beziehungsweise im Web-Interface 405 00:34:00,739 --> 00:34:07,239 gemeint, ausser manchmal. Es gibt vier oder fünf Seiten in der technischen 406 00:34:07,239 --> 00:34:13,160 Richtlinie, die Ausnahmen beschreiben. Also zum einen darf ich die SCA weg lassen 407 00:34:13,160 --> 00:34:18,630 wenn ich nur Zahlungskontoinformationen bis 90 Tage alt abrufe, außer beim ersten 408 00:34:18,630 --> 00:34:23,650 Mal oder wenn das letzte Mal mehr als 90 Tage her ist. Da kommen die 90 Tage her, 409 00:34:23,650 --> 00:34:26,700 du musst die TAN alle 90 Tage eingeben, weil dann die Ausnahme garantiert nicht 410 00:34:26,700 --> 00:34:34,260 mehr gilt. Bei kontaktlos Zahlungen sind es 50 Euro. Die ohne PIN bzw. Strong 411 00:34:34,260 --> 00:34:38,670 Customer Authentification, weil den Besitz habe ich ja durch die Karte immer 412 00:34:38,670 --> 00:34:44,230 gewährleistet, die ohne zusätzliche PIN möglich sind. Ausser es sind schon 150€ 413 00:34:44,230 --> 00:34:48,370 vergangen seit dem letzten Mal. Parkgebühren sind grundsätzlich ohne SCA, 414 00:34:48,370 --> 00:34:54,260 das ist sehr angenehm. Vertrauenswürdige Empfänger sind ohne SCA, ausser natürlich 415 00:34:54,260 --> 00:34:58,980 der Vorgang, vertrauenswürdige Empfänger zu definieren. Wiederkehrende 416 00:34:58,980 --> 00:35:03,600 Zahlungsvorgänge ab dem zweiten Mal kann ich auch ohne machen. Überweisungen auf 417 00:35:03,600 --> 00:35:09,620 ein anderes Konto derselben Person können, ohne sein. Kleinstbetragszahlung bis 30€ 418 00:35:09,620 --> 00:35:15,460 können ohne sein, außer manchmal. Unternehmen fallen eher ganz raus das war 419 00:35:15,460 --> 00:35:20,820 dann unsere Lösung gegen das FinTS FinAPI Fiasko. Es gibt einfach EBICS, da ist dann 420 00:35:20,820 --> 00:35:24,300 quasi nichts drin. Es ist dann so, man wirft die Zahlung dahin und wenn die halt 421 00:35:24,300 --> 00:35:28,000 von der Firma kommen, dann werden die halt so stimmen. Da braucht niemand mehr 422 00:35:28,000 --> 00:35:33,470 irgendwo eine TAN eingeben und Transaktions Risikoanalysen, die 423 00:35:33,470 --> 00:35:37,410 modifizieren den ganzen Kram wieder. Also die können dann sowohl bei bisherigen 424 00:35:37,410 --> 00:35:41,560 Ausnahmen die SCA wieder erfordern als auch, man kann halt sagen, na gut, die 425 00:35:41,560 --> 00:35:46,411 Zahlung hat ein so geringes Risiko, dass ich dann doch wieder keiner SCA brauche. 426 00:35:46,411 --> 00:35:51,050 Außer natürlich die laufende Berechnung der Betrugsraten, die ich verpflichtet bin 427 00:35:51,050 --> 00:35:53,660 durchzuführen. Ergibt, das eine höhere Betrugsrate eingesetzt hat, da muss ich 428 00:35:53,660 --> 00:36:00,560 wieder dauernd SCA machen. Schlussfolgerung: In Summe ist es von 429 00:36:00,560 --> 00:36:05,870 außen nicht vorhersehbar, wann eine TAN verwendet werden muss. Das macht beim User 430 00:36:05,870 --> 00:36:09,820 Interface Design. Ich weiß nicht, wie viele sich mal damit beschäftigt haben. Natürlich 431 00:36:09,820 --> 00:36:14,250 besonders viel Spaß. Also, ich hab das in Byro, das ist eine Web-App. Ein bisschen 432 00:36:14,250 --> 00:36:17,220 schwierig, wenn man irgendwie auf SUBMIT drückt und dann passiert halt nicht das, 433 00:36:17,220 --> 00:36:22,389 sondern da kommt erst mal: Übrigens musst noch eine TAN eingeben. Das ist für den 434 00:36:22,389 --> 00:36:27,000 User natürlich total verwirrend, weil der sich auf nichts mehr verlassen kann. Er 435 00:36:27,000 --> 00:36:31,340 kann halt nicht mehr vorhersehen, was passiert, wenn er ein Knopf drückt. Das 436 00:36:31,340 --> 00:36:39,310 ist für automatisierte Dienste, die FinTS benutzen wollen, total unmöglich, weil ich 437 00:36:39,310 --> 00:36:42,200 selbst von den Vorgängen, von denen ich bisher ausgegangen bin, dass sie zum 438 00:36:42,200 --> 00:36:45,860 Beispiel read-only sind und keine TAN brauchen. Wenn ich also zum Beispiel die 439 00:36:45,860 --> 00:36:50,410 Kontoeingänge bei meinem Verein laufend verbuchen möchte und einen Cronjob starte, 440 00:36:50,410 --> 00:36:55,360 der alle x-Tage mal abruft, kann es passieren, dass dann trotzdem wieder Mal 441 00:36:55,360 --> 00:36:59,300 eine TAN nötig ist. Ich kann halt auch nicht den Zugriff unterdrücken. Ich weiß 442 00:36:59,300 --> 00:37:02,320 es halt nicht vorher. Es kann halt irgendeinen ein Sonderfall eingetreten 443 00:37:02,320 --> 00:37:05,212 sein. Und wenn man dann so einen Pushdienst verwendet, ist es 444 00:37:05,212 --> 00:37:08,010 halt toll, weil derjenige, dem der Zugang gehört, dann plötzlich eine Push- 445 00:37:08,010 --> 00:37:10,600 Nachrichten kriegt. Und es ist nicht ganz zu unterscheiden, ob das jetzt derselbe 446 00:37:10,600 --> 00:37:18,080 aufgesetzte, automatisierte Vorgang war oder ob es irgendein anderer Bösewicht. 447 00:37:18,080 --> 00:37:21,930 Die verschiedenen Banken handhaben das auch sehr unterschiedlich. Bei der DKB zum 448 00:37:21,930 --> 00:37:26,050 Beispiel muss man jedes Mal eine TAN eingeben, wenn man sich irgendwo einloggt. 449 00:37:26,050 --> 00:37:30,760 Bei der Sparkasse nicht. Die Sparkasse macht Gebrauch von den 90 Tagen Ausnahmen. 450 00:37:30,760 --> 00:37:33,640 Dafür muss man bei der Sparkasse die TAN eingeben, wenn man einen Suchvorgang 451 00:37:33,640 --> 00:37:38,580 startet, der mehr als 90 Tage beinhaltet. Die DKB hat gesagt, dass es 452 00:37:38,580 --> 00:37:43,330 Ihnen zu umständlich. Deswegen fragen Sie immer nach der TAN. Außer man hat halt, 453 00:37:43,330 --> 00:37:47,060 dann sind danach alle Transaktionen ohne TAN. Ausser natürlich es sind wieder fünf 454 00:37:47,060 --> 00:37:56,380 Minuten vergangen. *Stimmen im Publikum" Euch fällt auf, das passiert eigentlich 455 00:37:56,380 --> 00:37:59,950 nur bei solchen EU-Richtlinien oder solchen EU-Regulierung. Ich weiß nicht, 456 00:37:59,950 --> 00:38:04,481 wer ein PayPal-Konto hat, PayPal hat seit immer kein 2-Faktor-System. Die machen 457 00:38:04,481 --> 00:38:08,730 einfach irgendwas: Keine Ahnung die machen auch Transaktionsrisiko und Zeugs. Die 458 00:38:08,730 --> 00:38:12,090 wissen halt, dass so eine TAN eigentlich nur dazu führt, dass der Nutzer den 459 00:38:12,090 --> 00:38:16,310 Prozess im Zweifelsfall einfach abbricht, was halt bei Zahlungen doof ist, weil dann 460 00:38:16,310 --> 00:38:22,000 die Einnahmen entgehen. Das ist einer der Gründe, warum PayPal das nicht hat und 461 00:38:22,000 --> 00:38:24,660 Leute immer wieder sagen "Ihr seid doch so unsicher" und am Ende naja eigentlich 462 00:38:24,660 --> 00:38:31,050 nicht offensichtlich, weil sie sind ja noch am Markt. Der Effekt Multi-Banking 463 00:38:31,050 --> 00:38:33,850 haben wir gehört. Ich habe eine App, wo ich alle meine Dinge drin hat. Führte 464 00:38:33,850 --> 00:38:41,860 dazu, dass ich Multifaktor habe. Hier den Dilo Delwitz Witz einfügen. Das sind die 465 00:38:41,860 --> 00:38:46,020 TAN-Generierungsapps im Wesentlichen, die ich auf meinem Telefon habe. Ich habe 466 00:38:46,020 --> 00:38:50,840 neulich mal in meiner, ich glaube kurz nach dem 14. September in meiner 467 00:38:50,840 --> 00:38:54,680 Online-Banking-App versehentlich auf alle Konten aktualisieren gedrückt, was dazu 468 00:38:54,680 --> 00:39:02,090 führte, dass ich acht, neun verschiedene TANs eingeben musste, eine davon zweimal 469 00:39:02,090 --> 00:39:07,410 auf vier verschiedenen Modalitäten. Also ich habe ja auch noch TAN-Generatoren mit 470 00:39:07,410 --> 00:39:11,050 ChipTAN, was ja eigentlich das bessere Verfahren ist. Da muss man halt 471 00:39:11,050 --> 00:39:13,560 raussuchen. Aber ist ja nicht so schlimm, weil macht man ja nur, wenn man eine 472 00:39:13,560 --> 00:39:22,440 Überweisung durchführt. Und die DKB hat Ihr Kreditkartenkonto von FInTS jetzt abgehängt, 473 00:39:22,440 --> 00:39:26,000 das heißt, die Software, die ich verwende, macht dann Webcalling, was die alte 474 00:39:26,000 --> 00:39:31,250 Methode war, um Finanzdaten abzurufen. Wozu dann nochmal ein separater TAN- 475 00:39:31,250 --> 00:39:35,550 Eingabe nötig ist, um sich im Webinterface anzumelden. Ich habe seitdem nicht nochmal 476 00:39:35,550 --> 00:39:40,300 auf alles Abrufen gedrückt. Ich sollte das mal irgendwann wieder tun. Ich muss mich 477 00:39:40,300 --> 00:39:46,370 bloß vorbereiten. *Stimmen im Publikum* Genau. Zeitlinie, also die Richtlinie vom 478 00:39:46,370 --> 00:39:50,320 25. November. Sie ist technisch gesehen im Januar 2016 in Kraft getreten. Das 479 00:39:50,320 --> 00:39:54,230 bedeutet, da gibt es eine 2-Jahresfrist, die ist 2018 in nationales Recht umgesetzt 480 00:39:54,230 --> 00:40:00,480 worden. Das Zahlungsdiensteumsetzungs - gesetz in Deutschland. Da steht bloß Copy 481 00:40:00,480 --> 00:40:05,440 und Paste von der Richtlinie drin. In der Richtlinie ist eine Verordnung delegiert 482 00:40:05,440 --> 00:40:09,230 worden, was die technische Umsetzung angeht von 2017. Und jetzt kommen wir 483 00:40:09,230 --> 00:40:13,760 Warum ist es eigentlich alles am 14. November? 14. September explodiert? Weil 484 00:40:13,760 --> 00:40:26,770 die Frist am 14. September wird diese delegierte Verordnung gültig. Sechs Monate 485 00:40:26,770 --> 00:40:31,490 vorher hätten die Banken eine Testumgebung zur Verfügung stellen müssen, damit 486 00:40:31,490 --> 00:40:36,490 Softwareentwickler, die nicht der Größte am Markt sind, das mal testen können. Es 487 00:40:36,490 --> 00:40:41,890 gibt eine Fallbacklösung, falls man sich außerstande sieht, eine PSD2 API 488 00:40:41,890 --> 00:40:46,040 anzubieten oder da irgendwas nicht ist, oder ein Notfall eintritt, wobei Notfall 489 00:40:46,040 --> 00:40:52,590 glaube ich definiert ist als fünf Vorgänge haben mehr als 30 Sekunden Latenz, dürfen 490 00:40:52,590 --> 00:40:55,800 Zahlungsdienstleister also die Kontoinformationsdienste oder die 491 00:40:55,800 --> 00:40:59,770 Zahlungsauslösedienste ein Fallback benutzen, nämlich das Interface, was der 492 00:40:59,770 --> 00:41:07,230 normale Kunde benutzt. Da sind wir wieder beim Webcalling. Wenn die Banken das 493 00:41:07,230 --> 00:41:12,820 nicht möchten, müssen sie mindestens drei Monate am Stück die normale PSD2-API zur 494 00:41:12,820 --> 00:41:18,370 Verfügung stellen. Das heißt, Sie hätten im Juni die PSD2-API produktiv laufen 495 00:41:18,370 --> 00:41:24,320 müssen haben müssen, um von der Ausnahmeregelung ausgenommen zu werden. 496 00:41:24,320 --> 00:41:29,350 Ich glaube, das hat keiner. Am 14. September ist dann alles explodiert. Dann 497 00:41:29,350 --> 00:41:36,720 wurde die Durchführungsverordnung gültig. Die Delegierteverordnung gültig, was dazu 498 00:41:36,720 --> 00:41:38,930 führte, dass noch nicht sofort alles explodiert ist. Erstmal sind nur 499 00:41:38,930 --> 00:41:42,240 Transaktionen und Onlineanmeldung, weil manche Banken haben tatsächlich davon 500 00:41:42,240 --> 00:41:46,420 Gebrauch gemacht, dass da irgendwo 90 Tage steht. Und wenn man sich halt am 13. 501 00:41:46,420 --> 00:41:50,680 September angemeldet hat, dann war man ja angemeldet. Ja, das war dann am 13. 502 00:41:50,680 --> 00:41:53,370 Dezember vorbei. Das heißt spätestens seit dem 13. Dezember hat jeder der 503 00:41:53,370 --> 00:41:59,010 Online-Banking benutzt Spaß. Gibt kleinere Problemchen. Die Anmeldefluß für 504 00:41:59,010 --> 00:42:04,500 2-Faktor-Apps sind oft kompliziert, der Support etwas überlastet. Bei der Postbank 505 00:42:04,500 --> 00:42:08,070 habe ich das Problem, dass ich neu etwas unterschreiben musste, weil ich als 506 00:42:08,070 --> 00:42:11,550 Vereinskonto, das war das doofe, es ist ein Gemeinschaftskonto, war ja früher 507 00:42:11,550 --> 00:42:14,750 nicht so schlimm. Man teilt halt einfach die Pin, und nur einer kriegt die 508 00:42:14,750 --> 00:42:17,640 Chipkarte für die TAN-Generierung. Neuerdings müssen halt alle 509 00:42:17,640 --> 00:42:21,610 Gemeinschaftskonten extra Personenaccounts für jeden, der Lesezugriff haben soll 510 00:42:21,610 --> 00:42:27,030 haben. Bei der Postbank lief es darauf hinaus, dass ich unterschreiben musste und 511 00:42:27,030 --> 00:42:30,350 die meine E-Mail nicht angenommen haben. Der Mailserver hat gemeint "Aufgrund der 512 00:42:30,350 --> 00:42:38,510 hohen Betrugsraten können Sie zurzeit keine Mail annehmen." *Gelächter* Moment, 513 00:42:38,510 --> 00:42:41,820 nachdem ich den Support gefragt habe, ich habe tatsächlich telefonisch was erreicht, 514 00:42:41,820 --> 00:42:46,640 meinte er, faxen sie es uns. Das habe ich vorgeschlagen Faxen. Das habe ich gemacht. 515 00:42:46,640 --> 00:42:50,030 Das hat auch nur vier Wochen gedauert. Es hat funktioniert. Andere Leute haben 516 00:42:50,030 --> 00:42:52,750 andere Probleme, irgendwie. Geräte, Wechsel, Verlust ist ein bisschen 517 00:42:52,750 --> 00:42:55,850 schwierig. Ich habe mit jemandem geredet. Ich habe gesagt, ihr habt ja im vorigen 518 00:42:55,850 --> 00:43:00,330 Screenshot gesehen, welches Handy verliere oder auch nur tauschen möchte, muss ich 519 00:43:00,330 --> 00:43:04,640 halt acht verschiedene Apps neu einrichten, teilweise in acht Schritten. 520 00:43:04,640 --> 00:43:09,410 Ich habe gerade jemandem geholfen, bei der Apobank seine TAN-App einzurichten, weil es 521 00:43:09,410 --> 00:43:14,420 halt dreimal nicht geklappt hat. Der Knopf Brief generieren mit dem Bestätigungscode 522 00:43:14,420 --> 00:43:17,730 der hat immer funktioniert. Da kam ein neuer Brief. Aber es war nicht zu sehen, wo man 523 00:43:17,730 --> 00:43:21,910 den Bestätigungscode eingibt, bis man auf der Webseite war und das vierseitige PDF 524 00:43:21,910 --> 00:43:28,740 mit den acht einfachen Schritten gefunden hat. *Gelächter* Der schärfste Trick: Für 525 00:43:28,740 --> 00:43:31,660 Kreditkarten gilt das eigentlich auch mit der starken 526 00:43:31,660 --> 00:43:35,441 Kundenauthentifizierung. Bloß das hat noch keiner umgesetzt. Das muss noch im Webshop 527 00:43:35,441 --> 00:43:40,290 implementiert werden. Deswegen hat die EBA jetzt gesagt: Na gut, ihr habt noch mal 528 00:43:40,290 --> 00:43:47,950 ein bisschen Zeit bis 2020. Und was ich vorhin sagte: Die APIs waren und oder sind 529 00:43:47,950 --> 00:43:51,330 nicht funktional. Die Leute haben einfach zu wenig Zeit gehabt zum Testen. Kurzer 530 00:43:51,330 --> 00:43:57,510 Seitenhieb. 3D Secure. Es gab da schon mal ein Vortrag über einen Vortrag halten. 531 00:43:57,510 --> 00:44:01,780 Aber es gibt auf jeden Fall ein sehr schönes Paper dazu "Verified bei Visa and 532 00:44:01,780 --> 00:44:09,790 Mastercard Secure-Code or how not to design authentication" von Murdoch und 533 00:44:09,790 --> 00:44:14,470 Anderson. Three D secure steht für Three -Domain-, acquirere, Issuer and 534 00:44:14,470 --> 00:44:20,130 Interoperability sind die Domains der Herausgeber Akzeptanz und die dazwischen Leute. Der 535 00:44:20,130 --> 00:44:25,590 Kunde fehlt in der Liste, die hier geschützt werden. Es ist dafür da, dem 536 00:44:25,590 --> 00:44:29,390 Kunden neue AGB aufzudrücken und die Schuld zu verschieben, weil offensichtlich 537 00:44:29,390 --> 00:44:36,321 der Kunde schuld ist. Ist ja, jetzt sicher. Bei einer meiner Banken, ist eine am VR-Banken-Netz 538 00:44:36,321 --> 00:44:41,720 angeschlossene bei der Fiducia muss man sich registrieren, da kriegt man so ein 539 00:44:41,720 --> 00:44:44,521 Brief? Gehen Sie mal wieder auf diese Webseite und füllen Sie dort die 540 00:44:44,521 --> 00:44:49,720 Registrierung aus. So online sichereinkaufen.de oder so ähnlich. 541 00:44:49,720 --> 00:44:53,600 Sicheronlineeinkaufen.de? Sicher einkaufen. Ich bin mir sicher es war sicher 542 00:44:53,600 --> 00:45:02,260 online einkaufen. Ich weiß es, weil diese Seite existiert, die anderen nicht. Diese 543 00:45:02,260 --> 00:45:11,560 Seite existiert. *applaus* Und hat ein gültiges Sicherheitszertifikat von 544 00:45:11,560 --> 00:45:19,310 LetsEncrypt. *Gelächter* Und dann war wieder da die Sache mit dem Blutdruck, die 545 00:45:19,310 --> 00:45:22,870 hat dann wieder gemeint na ja, Sie können sich jetzt hier registrieren und die Push-TAN- 546 00:45:22,870 --> 00:45:28,280 App aktivieren. Das geht auf Ihrem Telefon nicht, weil es gerootet ist. Das Telefon 547 00:45:28,280 --> 00:45:32,620 ist unsicher. Gar kein Problem. Sie können auch den Alternativprozess verwenden. Wir 548 00:45:32,620 --> 00:45:43,080 schicken ihn einfach eine SMS an dieses Telefon. *fröhliches Lachen* Ok. Muss ich 549 00:45:43,080 --> 00:45:49,420 jetzt nicht verstehen. Dieses Formular, wie gesagt, das ist aktuell online hat 550 00:45:49,420 --> 00:45:52,140 immer noch die gleichen Probleme, die Murdoch und Anderson von damals genannt 551 00:45:52,140 --> 00:46:00,630 haben. Wenn man runter scrollt, findet man diesen Signup System. Das ist ein IFrame, 552 00:46:00,630 --> 00:46:03,580 das von irgendeiner anderen Domain kommt. Die hat sogar ein Extended-Validation- 553 00:46:03,580 --> 00:46:09,900 Zertifikat, nur dass es halt niemand sieht, weil ist halt ein iFrame. Was ist noch so 554 00:46:09,900 --> 00:46:14,060 passiert? Wie gesagt, Gemeinschaftskonten benötigen jetzt einen Login pro Person. 555 00:46:14,060 --> 00:46:19,140 Ich glaube hier. Die CCV-Veranstaltungs GmbH hat auch schon Spaß damit gehabt. Die 556 00:46:19,140 --> 00:46:22,380 Banken gehen langsam dazu über FinTS abzuschalten oder loszuwerden, weil sie 557 00:46:22,380 --> 00:46:28,460 haben ja jetzt die PSD2 API. Die regulierten Dienstleister dürfen nicht mehr über FinTS 558 00:46:28,460 --> 00:46:35,270 zugreifen außer halt im Fallbackmodus, außer manchmal. Surprise SCA, wie gesagt, 559 00:46:35,270 --> 00:46:41,080 ist Userinterface wird halt nur noch merkwürdiger. User sind frustriert und 560 00:46:41,080 --> 00:46:45,400 kriegen Hals. Was gar nicht so schlecht ist. Es gibt jetzt ein 561 00:46:45,400 --> 00:46:48,130 Registrierungspflicht für Anwendungen, die auch für FinTS gilt. Also auch meine 562 00:46:48,130 --> 00:46:55,540 Anwendung byro, FinTs ist registriert. Und es ist im Sinne der Transparenz sieht man 563 00:46:55,540 --> 00:47:00,420 im Online-Banking, welche App verwendet wurden. Das ist erst mal nicht schlecht. 564 00:47:00,420 --> 00:47:02,700 Kann man nichts gegen haben, zumal die Registrierung auch als Open Source 565 00:47:02,700 --> 00:47:09,510 Entwickler möglich ist. Ist ja nicht immer so. Aber fast jede Transaktion kann 566 00:47:09,510 --> 00:47:14,540 manchmal eine TAN anfordern. Wie gesagt, ich hab das auch gerade gesehen. Wir 567 00:47:14,540 --> 00:47:18,640 kommen zum Schluss. Transparenz und Aufsicht sind verbessert worden. 568 00:47:18,640 --> 00:47:22,530 Verbraucher sind zunehmend genervt. Perfekte Grundlage für Wirsching? Ich weiß 569 00:47:22,530 --> 00:47:25,450 nicht, wie viele von euch so eine Mail gekriegt haben. PSD2 tritt jetzt in Kraft. 570 00:47:25,450 --> 00:47:28,370 Bitte geben Sie jetzt hier nochmal Ihre Kontonummer ein. Sie müssen sich jetzt neu 571 00:47:28,370 --> 00:47:34,270 anmelden, weil neue sichere Umstellung des Sicherheitsverfahrens. Gewerbliche Nutzer, 572 00:47:34,270 --> 00:47:37,830 wie gesagt, müssen komplett ausweichen, weil das macht gar keinen Sinn. Dafür gibt 573 00:47:37,830 --> 00:47:40,720 es jetzt neue Geschäftsfelder für Startups, die entsprechende 574 00:47:40,720 --> 00:47:48,620 Anfangsinvestitionen haben. Open Source kannste halt vergessen in Zukunft. Danke. 575 00:47:48,620 --> 00:48:00,600 *Applaus* 576 00:48:00,600 --> 00:48:03,950 Herald: Wir haben Zwölf Minuten Zeit für Fragen und Antworten. Drei Mikrofone im 577 00:48:03,950 --> 00:48:07,930 Saal verteilt. Falls ihr Fragen habt, stellt euch hin. Ich versuche, euch 578 00:48:07,930 --> 00:48:14,960 halbwegs fair aufzurufen. Eine Frage hätte ich. Was soll der Scheiß? *Lachen* 579 00:48:14,960 --> 00:48:18,700 Henryk: Hast du nicht gehört? Sofortüberweisung ist jetzt legal. *Herald 580 00:48:18,700 --> 00:48:27,260 lacht.* Frage: Okay, du hast gesagt, dass FinTS 581 00:48:27,260 --> 00:48:30,650 jetzt langsam ausgeschlichen wird von den Banken. Ich weiß von einigen Banken, dass 582 00:48:30,650 --> 00:48:36,300 sie bei PSD2 direkt das FinTS abgeklemmt haben, weil sie es nicht implementiert hatten PSD2 583 00:48:36,300 --> 00:48:40,230 konform. Aber weißt du, wie das bei den anderen Banken aussieht? Also gibt es da 584 00:48:40,230 --> 00:48:45,060 schon Ankündigungen von den großen Rechenzentren Fiducia oder Sparkasse oder 585 00:48:45,060 --> 00:48:47,740 wie wir alle heißen? Henryk: Die haben sich größtenteils 586 00:48:47,740 --> 00:48:52,170 zurückgehalten. Sie sagen da nur durch die Blume, dass sie es zumindest nicht mehr 587 00:48:52,170 --> 00:48:56,420 erweitern wollen. Sie haben ja jetzt das andere. Ich glaube ING-Diba hatte da genau 588 00:48:56,420 --> 00:48:58,690 dieses Problem. Sie haben ein bisschen zurückgerudert. Wenn mich nicht alles 589 00:48:58,690 --> 00:49:03,600 täuscht. Aber es gibt ja keinen Grund mehr dafür. 590 00:49:03,600 --> 00:49:07,040 Frage: Die haben zurückgerudert nach dam sich 3000 Leute beschwert haben in einem 591 00:49:07,040 --> 00:49:12,230 wütenden Mob Blogpost. Henryk: Ja. 592 00:49:12,230 --> 00:49:15,820 Herald: Bitte. Frage: Gibts irgendwie so eine Art 593 00:49:15,820 --> 00:49:20,880 Informationsblatt, was ich als Kunde der Bank geben kann? Wenn ich der Meinung bin, 594 00:49:20,880 --> 00:49:26,500 dass sie mir völligen Bullshit zu der PSD2 erzählt und irgendwelche neuen Änderungen 595 00:49:26,500 --> 00:49:29,970 damit versucht zu begründen? Henryk: Ja, das steht sogar in der 596 00:49:29,970 --> 00:49:33,730 Richtlinie drin, das die europäische Bankenaufsicht und die BaFin jeweils ein 597 00:49:33,730 --> 00:49:38,330 Merkblatt für Kunden herausgeben, in denen alle Änderungen und neuen Pflichten und 598 00:49:38,330 --> 00:49:41,290 Rechte des Kunden dargelegt sind. Es müsste auch der Webseite der BaFin zu 599 00:49:41,290 --> 00:49:43,480 finden sein. Frage: Ich meine eigentlich umgekehrt, 600 00:49:43,480 --> 00:49:46,050 Richtung Bank. Henryk: Ja, das ist das Merkblatt für dich 601 00:49:46,050 --> 00:49:50,380 als Kunde, und du kannst der Bank vorhalten und sagen: "Guck mal, was ihr 602 00:49:50,380 --> 00:49:57,290 mir sagt, steht da nicht drauf." Frage: Du meinst, es ist das nicht 603 00:49:57,290 --> 00:50:00,530 sonderlich kompliziert, sich eine juristische Person anzulegen. Könnte ich 604 00:50:00,530 --> 00:50:04,050 dann mit einer juristischen Person mir ein Geschäftskonto anlegen, damit ich dann 605 00:50:04,050 --> 00:50:09,800 wieder APIs habe, die ich von einer App aus verwenden kann? Ist das der neue Weg? 606 00:50:09,800 --> 00:50:12,710 Henryk: Klar. Aber ja! Also du brauchst halt eine 607 00:50:12,710 --> 00:50:25,450 neue App. Es ist dann EBICS, aber ja... Frage: Du hast aufgelistet, dass es ja 608 00:50:25,450 --> 00:50:31,220 drei Authentifizierundsmerkmale gibt und du hast sehr konsequent nur von TANs 609 00:50:31,220 --> 00:50:38,700 gesprochen. Wenn ich die Richtlinie korrekt interpretiere, ist Wissen und 610 00:50:38,700 --> 00:50:45,140 Besitz. Also Pin und Chipkarte nach wie vor eigentlich vollkommen valides 611 00:50:45,140 --> 00:50:48,290 Authentifizierungsmittel. Henryk: Korrekt. Also steht die 612 00:50:48,290 --> 00:50:52,010 Formulierung, die Sie verwenden, ist, dass diese aus den drei Faktoren muss ein 613 00:50:52,010 --> 00:50:56,750 Authentifizierungscode abgeleitet werden. Das kann auch eine Signatur oder was auch 614 00:50:56,750 --> 00:51:01,560 immer sein. Ich habe aber keine Implementierung davon gesehen, also 615 00:51:01,560 --> 00:51:05,690 ausser halt innerhalb von Apps. Die DKB zum Beispiel hat eine eigene App und wenn man 616 00:51:05,690 --> 00:51:10,480 innerhalb der DKB App bleibt. Dann bleibt also alles innerhalb der DKB App inklusive 617 00:51:10,480 --> 00:51:15,150 mit iPhone, wie auch immer diese Gesichtserkennung heißt, da braucht man 618 00:51:15,150 --> 00:51:20,460 auch keine TAN mehr das stimmt. Aber wenn man eine andere App benutzt, die nicht, die 619 00:51:20,460 --> 00:51:23,540 ist, ist es irgendwie schwierig, der Signatur abzutippen. Deswegen tippt man 620 00:51:23,540 --> 00:51:29,070 meistens lieber TANs ab. Ich frag nur, weil die Sparkasse mir erzählt hat, das 621 00:51:29,070 --> 00:51:34,600 HBCI mit Chipkarte ja diese Authentifizierungsbedingungen nicht 622 00:51:34,600 --> 00:51:37,280 erfüllen würde. Henryk: Das ist inkorrekt. HBCI mit 623 00:51:37,280 --> 00:51:43,090 Chipkarte ist halt gerade Besitz, Besitz und Wissen, sie können sich eventuell 624 00:51:43,090 --> 00:51:47,210 darauf herausreden, dass irgendwie PIN mit der Verifikation auf der Karte eventuell 625 00:51:47,210 --> 00:51:50,960 nicht güle, aber eigentlich dann doch schon. 626 00:51:50,960 --> 00:51:53,960 Herald: Ok, und die Mitte mal wieder. Zuhörer: Mal wieder nur eine kleine 627 00:51:53,960 --> 00:51:58,970 Anmerkung. Du meint, dass das PayPal mit 2-Faktor nicht funktioniert. Aber in der 628 00:51:58,970 --> 00:52:03,440 Tat habe ich PayPal mit 2-Faktor. Henryk: Es gab vor fünf Jahren, glaub ich, 629 00:52:03,440 --> 00:52:06,070 eine kurze Zeit, wo sie das angeboten haben. Aber ich glaube, es wird nicht mehr 630 00:52:06,070 --> 00:52:08,490 beworben. Zuhörer: Ich konnte das in der App 631 00:52:08,490 --> 00:52:11,520 anklicken, vor ungefähr einem halben Jahr. Henryk: Oh, dann haben Sie was neues 632 00:52:11,520 --> 00:52:23,530 eingebaut.Wollen Sie jetzt? Ist das schon? Frage: Ich frag für einen Freund, der 633 00:52:23,530 --> 00:52:28,370 entwickelt einen Webshop, und da müssen Sie sich auch mit dem 3D Secure Kram 634 00:52:28,370 --> 00:52:32,610 herumschlagen. Und der Zahlungsdienstleister sagt: Es ist in 635 00:52:32,610 --> 00:52:38,060 Ordnung, wenn man für das Hinterlegen der Kreditkarte beim Zahlungsdienstleister 636 00:52:38,060 --> 00:52:42,560 einmal dieses 3D Secure Verfahren macht. Und danach kann man als Shop quasi 637 00:52:42,560 --> 00:52:45,810 beliebig oft davon abbuchen, und der Kunde muss dann nicht mehr nochmal irgendwelche 638 00:52:45,810 --> 00:52:48,690 TANs eingeben. Ist das überhaupt korrekt so, weil dann sehe ich den Sinn dahinter 639 00:52:48,690 --> 00:52:53,920 nicht so ganz. Henryk: Ja, für die erste Zahlung bei 640 00:52:53,920 --> 00:52:58,010 wiederkehrenden Zahlungen ja. Aber es muss trotzdem jede Zahlung autorisiert werden. 641 00:52:58,010 --> 00:53:02,220 Bloß das für wiederkehrende Zahlungen einfache Autorisierung reicht. Ich 642 00:53:02,220 --> 00:53:05,230 bin mir da aber auch nicht ganz sicher. Frage: Das muss dann aber nicht über 643 00:53:05,230 --> 00:53:08,680 den Dienstleister gehen. Das reicht dann einfach, wenn der Kunde im Onlineshop 644 00:53:08,680 --> 00:53:11,280 einmal klickt: Ja, diese Kreditkarte, oder? 645 00:53:11,280 --> 00:53:15,270 Henryk: Genau, das kann mit Passwort, würde dann reichen. Also nicht zwei Merkmale, sondern 646 00:53:15,270 --> 00:53:18,450 nur eins. Herald: Entweder habe ich unseren Signal- 647 00:53:18,450 --> 00:53:24,060 Angel die ganze Zeit übersehen oder es gibt gerade was Neues, bitte! 648 00:53:24,060 --> 00:53:28,190 Signal-Engel: Kam gerade erst die Frage. Wärest du mit PSD2 glücklicher, wenn sie 649 00:53:28,190 --> 00:53:31,920 ein bisschen glücklicher, wenn es ein bisschen Open Source wäre, die Zugang für 650 00:53:31,920 --> 00:53:37,300 Open Source Programme offen wäre? Oder sagt es allgemein eher mäh gelaufen? 651 00:53:37,300 --> 00:53:40,820 Henryk: Na ja, es gibt relativ, es ist relativ schwierig, diese Anforderungen 652 00:53:40,820 --> 00:53:44,150 grundsätzlich umzusetzen bei Software, die der Anwender selber runter kompiliert und 653 00:53:44,150 --> 00:53:53,080 laufen lässt. Deswegen sehe ich nicht, wie man das umsetzen könnte. Man müsste halt 654 00:53:53,080 --> 00:53:58,030 auf die Anforderungen verzichten, das die Endpunkte durch qualifiziertes Zertifikat 655 00:53:58,030 --> 00:54:02,710 identifiziert werden. Und dann hat man nur noch die Probleme. Die Benutzer haben mit 656 00:54:02,710 --> 00:54:07,600 dem ganzen TAN-Scheiss. Zumindest Open- Source Entwickler keine Probleme mehr und 657 00:54:07,600 --> 00:54:13,980 der Userinterface Flow ist immer noch kaputt. Frage: Ich wollte einfach nur 658 00:54:13,980 --> 00:54:18,190 nochmal anmerken. Die meisten hier Anwesenden werden wahrscheinlich zwei 659 00:54:18,190 --> 00:54:25,280 Geräte besitzen. Aber gerade dieses ganze 2-Faktor wird ja ab ad absurdum geführt. 660 00:54:25,280 --> 00:54:29,010 Wenn ich mein Online-Banking auf demselben Gerät mache, wo auch der TAN Generator 661 00:54:29,010 --> 00:54:36,770 ist, ist auch die App zu App trans-Integration die manche Banken anbieten. Wird ja hier auf 662 00:54:36,770 --> 00:54:41,370 dem Kongress vor paar Jahren auch schon mal gezeigt, dass das sinnlos ist, weil es 663 00:54:41,370 --> 00:54:45,950 irgendwo gehackt werden kann. Ist man da irgendwie gesichert, wenn man das macht 664 00:54:45,950 --> 00:54:50,700 als Kunde? Die meisten haben ja doch nur ein Gerät zu Hause und halten sich nicht 665 00:54:50,700 --> 00:54:53,910 dran, das man dann als Kunde eigentlich der Gearschte diesbezüglich. 666 00:54:53,910 --> 00:54:58,890 Henryk: Es steht drinnen, dass es zwei getrennte Geräte sein sollten oder oft auf 667 00:54:58,890 --> 00:55:02,500 dem Gerät. Das ist unter anderem einer der Gründe für die Rootdetektion auf dem 668 00:55:02,500 --> 00:55:08,960 Gerät, für eine Trennung der. Es gibt da einen Absatz, der irgendwie. Man müsse die 669 00:55:08,960 --> 00:55:12,640 Trennungssysteme des Betriebssystems nutzen. Also ich vermute mal, das geht 670 00:55:12,640 --> 00:55:16,240 eher in Richtung Samsung Knox und nicht auf normales Android. Aber eigentlich 671 00:55:16,240 --> 00:55:19,390 sollte normales Android ausreichen. Ich bin mir nicht sicher. Ich glaube als dieser App-TAN 672 00:55:19,390 --> 00:55:25,940 Hack war da. Oder waren es auch gerootete Geräte oder erweiterte lokaler Zugriff. 673 00:55:25,940 --> 00:55:29,950 Frage: Ich nutze so ein Open-Source- Software, um so persönliche Finanzen zu 674 00:55:29,950 --> 00:55:33,480 tracken und habe das auf meinem Server installiert. Erste Frage, bin ich jetzt 675 00:55:33,480 --> 00:55:40,010 schon Konntoinformationsdienstleister? Der Entwickler hat gesagt, er möchte PSD2 676 00:55:40,010 --> 00:55:44,260 einbauen. Und wenn ich das richtig verstanden habe, dann geht das gar nicht. 677 00:55:44,260 --> 00:55:49,200 Ich habe auch gelesen auf GitHub, er hat sich irgendwo registriert, und ich habe 678 00:55:49,200 --> 00:55:55,270 aber nicht ganz verstanden, ob das geht. Kann er überhaupt das jetzt so einbauen, 679 00:55:55,270 --> 00:55:59,040 dass ich das dann benutzen kann? Henryk: Ja, die Registrierung war die 680 00:55:59,040 --> 00:56:04,420 HBCI-Registrierung. Ob du dann schon für dich selber? Ich bin mir nicht sicher, ich 681 00:56:04,420 --> 00:56:07,910 glaube für dich selber. Ich bin mir nicht sicher, ob da etwas von einem Dritten 682 00:56:07,910 --> 00:56:13,260 drinsteht. Da müsste ich nachgucken. Kann ich so nicht beantworten. Müsste man ... 683 00:56:13,260 --> 00:56:16,980 Frage: Kann er denn PSD2 in seine Software einbauen, dass es jemand benutzen 684 00:56:16,980 --> 00:56:19,020 kann? Henryk: Ne, keine PSD2 API. Es wird immer 685 00:56:19,020 --> 00:56:21,010 über FinTs laufen, was du beschrieben hast. 686 00:56:21,010 --> 00:56:23,540 Frage: Ok. Und wenn die Bank FinTS abschaltet, bin ich im Arsch. 687 00:56:23,540 --> 00:56:29,760 Henryk: Ja, du kannst auf EBICS wechseln. *Herald lacht* 688 00:56:29,760 --> 00:56:33,390 Frage: Hast du eine Vermutung, wer hinter dem Ganzen steht? Warum die das 689 00:56:33,390 --> 00:56:38,050 gemacht haben? Weil ich meine Sofortüberweisung alleine gegen die ganze 690 00:56:38,050 --> 00:56:41,150 Bankenlobby. Banken mögen das offensichtlich nicht. Irgendwer muss es 691 00:56:41,150 --> 00:56:46,990 doch durchgedrückt haben. Henryk: Ich weiß es tatsächlich nicht. Wir 692 00:56:46,990 --> 00:56:51,410 haben kurz vorher uns unterhalten, dass es da so ein Slogan gab: Digital first, 693 00:56:51,410 --> 00:56:56,270 Bedenken second. Das könnte damit zusammenhängen. Es klingt nach 694 00:56:56,270 --> 00:57:03,210 Fortschritt. Es wird halt besser. Frage: Ich wollte noch einmal 695 00:57:03,210 --> 00:57:08,310 Fragen: Sind hier Organisationen oder politische Akteure bekannt, die die 696 00:57:08,310 --> 00:57:14,010 Benutzerinteressen in irgendeiner Form bündeln und versuchen zu kanalisieren? Wir 697 00:57:14,010 --> 00:57:17,220 versuchen da irgendwie ein bisschen Lobby im Sinne der Nutzer und der User zu 698 00:57:17,220 --> 00:57:22,920 machen an der Stelle. Verbraucherschutz welche? Henryk: Es gibt ein Voice-Verband der IT 699 00:57:22,920 --> 00:57:29,060 Anwendunger EV. Aber ich weiß nicht ob die in dem Rahmen Aktivitäten haben. Mir wird 700 00:57:29,060 --> 00:57:32,080 gerade gesagt, dass sie eine Selbst-Hilfe- Gruppe sind. Aber es ist... *Alle lachen* 701 00:57:32,080 --> 00:57:37,480 Du hast nur gefrat, das ist mir bekannt. Antwort: ich kenne nur eine. 702 00:57:37,480 --> 00:57:42,270 Herald: Bitte. Scheint auch letzte Frage zu sein. Frage: Du erwähntest die 703 00:57:42,270 --> 00:57:47,740 Registrierung für die Drittdienste. Ist es nicht eigentlich auch eine Art Zulassung 704 00:57:47,740 --> 00:57:53,570 bei der BaFin und da kam doch gerade vor ein paar Wochen auch Standards raus, was 705 00:57:53,570 --> 00:57:57,080 für Sicherheitsmaßnahmen da umzusetzten sind, die auch möglicherweise geprüft werden . 706 00:57:57,080 --> 00:58:01,630 Und auch diese Zulassung entzogen werden kann. 707 00:58:01,630 --> 00:58:04,970 Henryk: Genau. Deswegen seht auch da "Registriert und Zugelassen", als 708 00:58:04,970 --> 00:58:08,480 Formulierung. Weil es für Kontoinformationsdienstleister ein 709 00:58:08,480 --> 00:58:14,741 bisschen einfacher dann ist. Die Absätze 1 bis 6 außer Paragraphen 3 und dings gelten 710 00:58:14,741 --> 00:58:17,520 nicht für Kontoinformationsdienstleister oder so ähnlich. Aber für alle, die 711 00:58:17,520 --> 00:58:21,770 weitergehend es machen, es ist mit Zulassung und Bericht und vorige 712 00:58:21,770 --> 00:58:27,820 Registrierung und so weiter drin, inklusive Entzug. 713 00:58:27,820 --> 00:58:34,220 Herald: Bist du glücklich? Du siehst nicht glücklich aus. 714 00:58:34,220 --> 00:58:38,010 Signal-Engel: Ich habe sogar noch 2 auf Twitter. 1) Kann ich irgendwie verhindern, 715 00:58:38,010 --> 00:58:45,500 dass mein Arbeitgeber meine Bankdaten an datev weitergibt? Oder habe ich da keine Chance? 716 00:58:45,500 --> 00:58:51,060 Henryk: Lustige Frage, ich glaube nicht. Frage: 2) Kannst du einen Ausblick 717 00:58:51,060 --> 00:58:55,160 geben? Siehst du Hoffnung, dass irgendwas verbessert wird, oder müssen wir halt 20 718 00:58:55,160 --> 00:58:57,900 Jahre warten, bis das nächste neue Gesetz kommt? 719 00:58:57,900 --> 00:59:02,820 Henryk: Da steht drin, dass die alle X-Jahre evaluiert und aktualisiert werden 720 00:59:02,820 --> 00:59:07,720 sollen. Ab 2021 ist das nächste Mal. Vielleicht wird nachgebessert. Ich bin da 721 00:59:07,720 --> 00:59:12,700 aber nicht so sehr hoffnungsvoll, weil hier, wie gesagt, aus Sicht der zentralen 722 00:59:12,700 --> 00:59:19,630 Behörden nicht so nicht Cloud Anwendungen, eher Nischenprodukte. Etwas auf seinem 723 00:59:19,630 --> 00:59:22,510 eigenen Rechner zu betreiben, kommt aus der Mode. 724 00:59:22,510 --> 00:59:24,870 Herald: Jetzt aber wirklich die letzte Frage. 725 00:59:24,870 --> 00:59:27,840 Fragender : Ich würde gerne an eine vorherige Frage anknüpfen, nämlich ob es 726 00:59:27,840 --> 00:59:31,770 Institutionen gibt, die sich dafür einsetzen, dass das Ganze gebessert wird. 727 00:59:31,770 --> 00:59:35,780 Ich arbeite jetzt für sofort, und wir sind Sofortüberweisung. *fröhliche Gelächter* 728 00:59:35,780 --> 00:59:40,220 Wir sind aktiv dabei, mit nahezu allen Banken in Europa und auch den nationalen 729 00:59:40,220 --> 00:59:44,140 Behörden zu diskutieren, dass es da schnellstmöglich Änderungen gibt. Noch vor 730 00:59:44,140 --> 00:59:48,620 einer neuen Direktive, also in möglichst naher Zukunft. Es gibt Leute, die sich 731 00:59:48,620 --> 00:59:52,600 dafür einsetzen. Henryk: Sehr gut. 732 00:59:52,600 --> 00:59:54,810 Herald: Es könnte also sein, dass du die Frage beantworten kannst, die ich vorhin 733 00:59:54,810 --> 01:00:00,830 gestellt habe. Ich komme gleich vor! *Alle Lachen* 734 01:00:00,830 --> 01:00:02,390 Herald: Henryk Plötz! Vielen Dank! 735 01:00:02,390 --> 01:00:04,950 *Applaus* 736 01:00:04,950 --> 01:00:08,730 *36c3 Abspannmusik* 737 01:00:08,730 --> 01:00:32,000 Untertitel erstellt von c3subtitles.de im Jahr 2020. Mach mit und hilf uns!