PSD2

Für und in Deutschland gilt das wohl so, wir haben hier eigentlich seit langem einigermaßen definierte Standards an die sich die Banken und deren Rechenzentralen halten können. "Halten könnten" müsste man natürlich sagen, was da teilweise individuelle interpretiert und vermurkst wurde und wird, steht auf einem anderen Blatt.
Wenn man aber die Marktchancen gerade für die deutschen aber auch für neue Anbieter sieht, dann wird hier einiges in anderen Dimensionen möglich. Ich denke, es wird nicht lange dauern, bis hier internationalere Angebote und Ideen entwickeln werden, die diese neuen Möglichkeiten versuchen zu nutzen.
Da wird auch noch sehr viel Geld in diese Ideentöpfe geworfen werden, da bin ich sicher.

Sorry, wenn keiner der Mitarbeiter eine eigene Vollmacht für den Abruf der Umsatzinformationen hat, läuft rechtlich und organisatorisch bei dem Kunden was falsch.

Es das eine Vermutung oder liegen da konkrete Beweise vor? Wo wurde ein solcher Fall denn bereits bekannt?

Und desweiteren, was hindert einen solchen Anbieter denn in Zukunft dies weiter zu tun? Zumindest bei der 90 Tage Lösung welche die meisten GENO-Banken wohl nutzen werden, würde doch der Anbieter sofort wieder Zugriff auf die Daten bekommen sobald der Kunde mal wieder selber in sein Konto schauen muss.

Ich sehe rein von der Sicherheit, keinerlei Vorteile in dieser Ausnahmeregelung innerhalb der PSD2. Das ist inkonsequent und erhöht die Sicherheit nicht. Ganz im Gegenteil, wenn der Kunde nicht genau nachvollziehen kann wann er mal eine TAN eingeben muss, macht es das gleichzeitig das Spiel für die Angreifer einfacher. Früher hat man den Kunden immer beigebracht, dass man niemals einfach so eine TAN anfordern wird es sei denn, der Kunde stellt da selber einen Auftrag. Dies Thema hat sich erledigt und gilt nicht mehr. Der Kunde wird damit leichter auszutricksen sein, einen Sicherheitsgewinn, sehe ich hier beim besten Willen nicht.

Kommt ja mit der PSD2 sogar. Genau so ist das vorgesehen, du kannst dann im Banking einfach die Zugriffe widerrufen bzw. diese sind auch zeitlich dann begrenzt. Der extra 2FA im Banking, ist ein allgemeiner Sicherheitsfaktor der eingeführt wurde um den Kunden zu schützen. Ob der das auch so wahrnehmen wird, darf natürlich stark bezweifelt werden.



Welche Lobby soll das gewesen sein? Den Banken gefällt es mit Sicherheit auch nicht jetzt jeden Kunden da 2FA aufzuzwingen. Zumal das in vielen Fällen sogar extra kostet je nachdem welches Verfahren verwendet wird. Und der Aufwand an Support wird alles andere als lustig ab September. Die FinTech-"Lobby" welche da einen leichteren Zugriff haben wollte, sieht sich ja auch vor den Kopf gestoßen weil das alles nicht mehr "easy" und "sexy" genug für deren Produkte ist.

Das ist eher typischer EU-Bürokratenkram, da wurde weit übers Ziel hinausgeschossen weil man meinte damit den Kunden besser zu schützen. Das der dann aber vor lauter Aufwand bald weder mehr Bankgeschäfte noch Einkäufe im Internet vernünftig abwickeln kann, sieht da anscheinend keiner. Am Ende freut das dann große Techkonzerne wie Google und Apple die da dank Hardware-Anbindung am Kunden, da einfachere Lösungen bauen werden.

https://www.handelsblatt.com/f…80786.html

//edit : @Ries
über chrome sehe ich den Beitrag umfänglich, auch im Inkognito-Modus.
(somit hab ich keine Veranlassung gesehen, das Forum in Probleme zu navigieren.)

Hier ohne kostenpflichtigem Zugang beim HB ohne Einschränkungen lesbar.

Das werden Filter/PlugIns bei dir sein...

/OT Ende

Du wirst abwarten müssen, wie sich das entwickelt. Solange die Banken nicht umgestellt HABEN, ist alles nur heiße Luft.

Allerdings gibt es mehrere Dinge zu bedenken:

1) Wenn ein MA Konten nur ABFRAGEN soll, dann muß er das nicht unbedingt über die Kennung des Betreuers tun, er kann auch eine eigene Kennung bekommen, über die nur eine Umsatzabfrage möglich ist aber keine Aufträge ausgelöst werden können. Er kann dann auch eigene TANs haben, die eben nur für die nötigen Dinge (Verwaltungsfunktionen, Login etc.) genutzt werden können aber nicht für Aufträge.

2) Für alle Konten bei EINER Bank/Sparkasse müssen nicht pro Konto ein eigener Login vorhanden sein, Banken können alle Konten, für die eine Person Zugriff hat, unter einen Login packen. Damit hat man den Login, für den man im Fall des Falles eine TAN eingeben muss nur EIN mal pro Abruf. Und die mehreren hundert Konten werden ja nicht bei mehreren hundert verschiednenn Banken sein. Ich habe beruflich z.B. bei einer Bank unter einem HBCI-Login ca. 350 Konten, die so alle in einem Rutsch abgerufen werden können.

3) Notfalls muss vom Übertragungsweg HBCI auf den Übertragungsweg EBICS gewechselt werden. Dieser ist für professionelle Verwendung (und das ist der von Dir geschilderte Fall) besser geeignet und besser verwendbar. Klar, EBICS-Verwendung ist teurer, aber wenn man anders nicht mehr arbeiten kann muss man wohl daran denken. Bei EBICS gibt es "sogar" den sog. technischen Teilnehmer, der ist gerade dafür gedacht, dass Computer vollautomatisch Umsätze abrufen und ggf. Zahlungsdateien senden können, die ein Berechtigter dann gesondert auf dem Bankrechner freigibt.

Ggf. muss man auch daran denken, die Konten bei einem Institut zu bündeln, so dass sie alle unter einen Login gepackt werden können.

Andere Lösungen gibt es derzeit nicht wirklich.

Diese Praxis widerspricht meines Wissens immer schon den Sonderbedingungen der Banken, die verbieten dürften, die Zugangsdaten (PIN) komplett zu speichern. Die Neuregelungen der PSD2 setzt dies jetzt lediglich auf technischer Ebene durch.
Meiner Meinung könnte eine saubere sinnvolle Lösung für professionelle Betreuungsbüros ein Zugang als "Service-Rechenzentrum" (SRZ) über EBICS sein, bei dem auch ein technischer Zugang für die automatische Abwicklung vorgesehen ist.
Das Problem sind aber sicherlich die Kosten:
EBICS und SRZ haben als Zielgruppe Firmen mit eher mehr Buchungen, nicht die privaten Konten betreuter Menschen.
Gruß
Raimund

Hallo,

seit einiger Zeit erhalte ich von der Stadtsparkasse München (SSKM) über die HBCI/FinTS-Schnittstelle den folgenden Hinweis:

"3075 Banking-Programm muss zum 14,09.2019 auf PSD2 umgestellt werden."

Ist das eine allgemeine Floskel oder wie ist das zu verstehen?

mfg Volker

Daraufhin bat ich per Mitteilung im Web-Online-Banking an die Sparkasse, von sms-TAN auf chipTAN umzustellen, WEIL es online dafür keine Möglichkeit gibt. Girocard und TanJack bereits vorhanden. Es soll nur das TAN-Verfahren gewechselt werden.

Antwort der Sparkasse:


Sparkasse eben. So gut ihr Rechenzentrum ist, so schlecht und absolut unverständlich gehen sie mit der Zeit ihrer Kunden um. Ich erinnere mich noch an die letzte "persönliche Vorsprache": Ich hatte einen Termin vormittags 11 Uhr (!), für den ich natürlich Urlaub nahm, dann musste ich in der Filiale trotzdem 45 Minuten warten. Die Erteilung der Vollmacht für das Konto und die Freischaltung des Online-Bankings nahm dann weitere 45 Minuten in Anspruch.

Also wenn die nicht wollen, dann wird halt weiter sms-TAN genutzt, basta.

Ich weiß, es gehört nicht hierher, aber ich bin gerade mal wieder pappensatt.

Gruß
Lisa