Sinn und Zweck real praktizierter SCA

PSD2 in der Paraxis

 
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 08:09 Uhr  ·  #21
Als Ergänzung zum Posting von msa:
Es ist im Kern wie msa es geschrieben hat. Im Fokus lag der Verbraucher und der Schutz seiner Daten. Man kann das wie msa sehen und sich sagen, und sollen Sie doch. Aber möchte ich wirklich, dass nur weil ich mal einen Service genutzt habe, um einen Kreditantrag schnell bewilligt zu bekommen, oder eine Alternative Versichrung gesucht habe, dass die "Dienstleister" auch nach der Nutzung dieses einen Dienstes auf ewige Zeiten meine Umsätze, meine Limite, Versicherungen und was sonst noch alles auslesbar ist regelmäßig abrufen, verarbeiten und die Daten direkt oder als Service verkaufen?
Oder nach einem Passwortwechsel, ständig mein Zugang gesperrt ist, weil irgendwelche "Dienste" mit alten Daten abrufen und bei Fehlern nicht reagieren?
Mit der SCA ist es diesen Dritten verboten meine Zugangsdaten zu speichern und die Dritten müssen eine Schnittstelle nutzen, wenn die Bank diese bereitstellt und diese Dritten unterliegen der Aufsicht der BaFin und müssen nachweisen, was sie mit Daten machen. Und ich als Kunde bekommeschlicht die Kontrolle über mein Konto zurück.
Dem entgegen steht in der Tat das Bedürfnis von Unternehmen, die eigenen Kontoinformationen automatisiert abrufen zu können. Auch wenn in der PSD2 und im dazu gehörenden RTS explizit steht, dass die PSD2 uneingeschränkt auch für Nichtverbraucher gilt und man so glauben könnte, dass man auch an die Nichtverbraucher gedacht hat, so kann man tatsächlich eher sagen, dass hier legliche Lobbyarvbeit (falls es sie gab) versagt hat.
Dazu kommt sicherlich auch, dass bei FinTS das Verfahren in vielen Köpfen noch ein Verfahren für den Privatkunden ist. Vielelicht hilft die PSD2 ja dabei, dass hier ein Umdenken statt findet und die Leute merken, dass diese Art des PIN/TAN Verfahrens für den Firmenkunden eher untauglich ist.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 286
Dabei seit: 12 / 2005
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 08:34 Uhr  ·  #22
@Holger:

Volle Zustimmung.

Salopp gesagt: „Uns hat ja keiner gefragt“.

Wo also sind die Ansprechpartner wo geplante Änderungen im Vorfeld angekündigt und wo man seine Bedenken diskutieren kann.
Und nicht erst hinterher.

Andreas Selle, Msa und ich (fallen mir gerade so ein) hätten bestimmt im Vorfeld Bedenken geäussert.

Aber es gab im Vorfeld keine Kommunikation
- Keine konkreten Angaben wie es den genau technisch laufen soll (siehe die Brandbriefe von Andreas vor einiger Zeit)
- Keine offziellen Testmöglichkeiten
- Keine einheitlichen Vorgehensweisen

Deshalb war meine Frage „ob auch Experten an solchen Entscheidungen beteiligt sind“.
Ich habe schon mehrfach hier im Forum bemängelt das man immer wieder von Änderungen „kalt erwischt wird“
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 08:42 Uhr  ·  #23
Selbst bei gemeinsamen Projekten wie giropay, Paydirekt etc. läuft es nicht rund, da wird es bei so einem zersplitterten Thema wie FinTS/HBCI nicht einfacher.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 286
Dabei seit: 12 / 2005
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 08:49 Uhr  ·  #24
Zitat geschrieben von Raimund Sichmann

Selbst bei gemeinsamen Projekten wie giropay, Paydirekt etc. läuft es nicht rund, da wird es bei so einem zersplitterten Thema wie FinTS/HBCI nicht einfacher.


Da lobe ich mir das Elsterverfahren der Finanzämter.
Da gibt es federführend die OfD München welche das Projekt betreut.
- Es gibt ein betreutes Fachforum mit allen Ankündigungen, Diskusstionen, Newsletter
- Es gibt jährliche Entwicklertreffen. (meistens so 130 Teilnehmer)
- alle Vorhaben werden offen und mit großen Zeit-Vorlauf offen kommuniziert.

Bin ich und ein paar andere auch nicht mit allem Einverstanden, aber man weis was kommt.
Da ist nix mit "kalt erwischt"

Mal eine Größenordnungen:
21 Milionen Umsatzsteuer-Voranmeldungen - monatlich - an alle Finanzämter

Und die Bankenwelt kriegt so was nicht geregelt ???
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 11:18 Uhr  ·  #25
Zitat geschrieben von Holger Fischer
Dazu kommt sicherlich auch, dass bei FinTS das Verfahren in vielen Köpfen noch ein Verfahren für den Privatkunden ist. Vielelicht hilft die PSD2 ja dabei, dass hier ein Umdenken statt findet und die Leute merken, dass diese Art des PIN/TAN Verfahrens für den Firmenkunden eher untauglich ist.
Sagen wir mal so, so untauglich wie das bei manchen Banken derzeit ausgestaltet ist, ist es wirklich untauglich. Es könnte aber sehr tauglich sein, wenn man es sinnvoll ausgestalten würde. So leid es mir tut: Mir fällt da spontan FI ein. Es gibt die Möglichkeit, Sammelzahlungen zu übertragen, die mit einfachem Setzen eines Schalters in der Datei einzeln verbucht werden, es gibt Umsätze via CAMT oder MT940 - je nachdem was die nachgeschalteten Produkte benötigen, es gibt die Möglichkeit Dateien hin und her sogar über WebBanking und gezippt zu übertragen, es gibt die Möglichkeit alles völlig zu automatisieren und es gibt mit chipTAN-usb ein Freigabeverfahren, mit dem wirklich jeder zurechtkommen kann, es versteht und bequem und ohne Abtippen der TAN ist es auch noch.

Nachdem auch die 90-Tage-Ausnahme konsequent genutzt wird, ist ein solches HBCI in meinen Augen 100% Firmenkundentauglich. Für kleinere und mittelgroße FIrmen - und den Handwerksbetrieb fehlt doch überhaupt nichts?!

Stichwort EBICS: Das mag firmenkundentauglicher sein, aber es ist für viele Kunden einfach "zu kompliziert" und vor allem zu teuer. Wenn man schaut, was Banken da teilweise für verlangen, fixe monatliche Gebühren und dann noch Kosten pro abgerufenem Kontoauszug... das können und wollen sich gerade kleine Firmen nicht wirklich leisten. Von den Preisen der meisten EBICS-tauglichen Softwareprodukten brauchen wir garnicht reden.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 286
Dabei seit: 12 / 2005
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 11:31 Uhr  ·  #26
Zitat geschrieben von msa

Mir fällt da spontan FI ein.


Für dumme wie mich:
Was ist "FI" ?
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 11:34 Uhr  ·  #27
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 327
Dabei seit: 07 / 2005
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 17:49 Uhr  ·  #28
Zitat geschrieben von kontex

Da lobe ich mir das Elsterverfahren der Finanzämter......
..... Es gibt jährliche Entwicklertreffen. (meistens so 130 Teilnehmer)
Na, das kann ja wohl nicht unwidersprochen bleiben. Wenn diese vielen Entwickler, die zudem noch indirekt vom Steuerzahler bezahlt werden, es hinkriegen würden, dieses Tool auf eine Javaplattform zu stellen, könnten auch andere User partizipieren und nicht nur Windows-User.
Es gibt auch "richtige" Betriebssysteme wie Unix oder Linux. Diese User wurden von anfang an ausgegrenzt. Und komme mir niemand mit der Onlineerklärung bzw. der Cloud. Meine Daten stelle ich nirgendwo hin, die bleiben auf meinem Rechner.
Daher wundert mich das Chaos überhaupt nicht. Überall da, wo Behörden bzw. Ämter tätig sind, werden Millionen an Steuergeldern in den Sand gesetzt, und trotzdem funktioniert nichts richtig.
Beispiele kennt jeder genug...
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 286
Dabei seit: 12 / 2005
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 16.09.2019 - 19:07 Uhr  ·  #29
@clio

Dein Einwand geht hier am Thema vorbei !

Es geht nicht darum wie und welche Technik eingesetzt sondern wie die Abläufe und Entscheidungen mit den Softwareherstellern kommuniziert und dokumentiert werden. Und das läuft bei Elster weiteraus besser. Um es nochmal zu sagen: Es gab bei Elster noch nie etwas was mich "kalt erwischt hat". Bei Banken allerdings schön öfter. (z.B. kürzlich TLS 1.2-Pflicht).
Man sitzt also morgens am Rechner und wartet das einem die Anwenderbeschwerden um die Ohren fliegen.

Und mit deinem Prollgehabe "richtige" Betriebsysteme kannste mir wegbleiben. Das hat sowas wie "richtige Männer" programmieren auf Bit-Ebene im Maschinencode und brauchen auch keinen Debugger. Im übrigen kannste dich ja mal bei der Politik dafür einsetzten das es ein EU-Betriebssystem gibt.
Ansonsten halte ich mich daran was marktüblich ist.

Es geht in meiner Argumentation einzig um das Verhältnis Finanzverwaltung <-> Software-Hersteller. Und das ist bei Elster weitaus besser als es zwischen BankRZ <> Software-Hersteller ist.

OT zu Elster:
M.E. ist sind die technische Abläufe dort unnötig kompliziert.
Mit einfach einen XML-String irgendwohin pingen wie z.B. in Österreich ist da nicht.
Da liefert die Fianzverwaltung doch tatsächlich ausführbare DLLs welche in eigende Software einzubauen sind, um Vorort-Plausiprüfungen, Verschlüsselungen, Kompriemierung zu machen.
Den Ablauf beschreibe ich immer mit einem Ostfriesen-Witz:
- Frage: Wieviele Ostfriesen braucht man um eine Glühbirne einzuschrauben
- Antwort: 5 - Einer hält die Glühbirne fest, und 4 drehen den Tisch auf dem er steht.
Soweit meine technische Sicht auf Elster.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 327
Dabei seit: 07 / 2005
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 17.09.2019 - 13:03 Uhr  ·  #30
Zitat geschrieben von kontex
Und mit deinem Prollgehabe "richtige" Betriebsysteme kannste mir wegbleiben.
Da hast Du aber was grundlegend mißverstanden.
Was denkst Du denn, mit welchem OS die vielen Server in den großen Rechenzentren der Banken und Behörden betrieben werden? Doch wohl mit Unix oder Linux. Gerade bei den Banken sind auch noch einige Mainframes in Betrieb, aber ist ein anderes Thema.
Windows-Server sind für Office Anwendungen und für Mailbetrieb. Ich habe fast 40 Jahre in großen RZ gearbeitet, das darfst Du mir also glauben, und die anwesenden Bankmitarbeiter hier werden das auch bestätigen können.
Daher meine Anführungszeichen...
Klar war das OT, aber in einem Diskussionsbeitrag darf man schon mal abschweifen.
Und noch was OT zu Elster:
Eine Javaplattform sollten die Maintainer doch wohl hinkriegen, Hibiscus läuft schließlich auch darauf.
Am Geld kann es ja wohl kaum liegen, das ist schlicht und einfach Desinteresse, das wir Nichtwindowsuser auch noch finanzieren. Das ärgert mich maßlos, ich darf gar nicht darüber nachdenken.
Jetzt hör' ich aber auf mit OT.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 286
Dabei seit: 12 / 2005
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 17.09.2019 - 13:35 Uhr  ·  #31
Zitat geschrieben von clio

Was denkst Du denn, mit welchem OS die vielen Server in den großen Rechenzentren der Banken und Behörden betrieben werden?


Ich kann ausschließlich von der "anderen", der Anwenderseite sprechen.
Und da ist Windows leider das vorherschende System.
(Die Sprüche von "richtige Männer .." kommen immer im Heise-Forum wenn mal wieder über eine Windows-Panne berichtet wird.)

Vom RZ-Betrieb hab ich keine Ahnung.
Nix für ungut, das habe ich aus deinem Posting nicht rausgelesen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 25
Dabei seit: 01 / 2019
Betreff:

PSD2 und Sicherheit / Absicherung / Haftung

 · 
Gepostet: 24.12.2019 - 11:37 Uhr  ·  #32
Zitat geschrieben von infoman

Es geht Dir also um Absicherung deines Kontos/Geld?
Deine Haftung solltest also prüfen ... du wirst schnell feststellen, dass das Risiko (fast) komplett bei der Bank liegt.


...interessant finde ich hier das "fast". Was steckt dahinter? "Selbstbeteiligung"? In welcher Höhe typischerweise?

Mich würde auch interessieren, wie es bei entstandenen Schäden in der Praxis aussieht. Wie genau wird hingeschaut, ob ich all meine Obliegenheiten befolgt habe? Im umfangreichen Kleingedruckten liegt ja oft der Hase im Pfeffer... Und bei wem liegt im Streitfall (mit entsprechendem Prozessrisiko) die Beweislast?

In jedem Fall habe ich im Schadensfall Aufwand, ihn reguliert zu bekommen. Das kostet Zeit und je nach Verlauf wahrscheinlich auch Geld. Und den allem möchte ich bestmöglich vorbeugen.

Von daher stiimt mich vor allem dier set PSD2 (abhängig von der Bank) schwerer (falls überhaupt sicher) zu beurteilenden Frage, ob die Anforderung einer TAN im gerade konkret vorliegenden Fall nun legitim ist oder nicht, sehr unzufrieden. (wie es hier ja auch schon - aus meiner Sicht sehr zutreffend - dargestellt wurde)

(Ich bitte um Verzeihung, falls das hier schon irgendwo diskutiert wurde, ohne dass ich es gefunden habe, und wünsche frohe Weihnachten (gehabt zu haben))
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: Sinn und Zweck real praktizierter SCA

 · 
Gepostet: 24.12.2019 - 12:16 Uhr  ·  #33
beleghafte Transaktionen bzw. per Telefon/Fax sind doch viel anfälliger
in Sachen Onlinebanking Haftung siehe Bank individuell bzw. exemplarisch: topic.php?t=18461
sowie die Rechtssprechung und das Gesetz u.a. https://www.gesetze-im-internet.de/bgb/__675v.html

Versicherung (als Online-Arbag): https://www.homebanking-hilfe.de/forum/topic.php?t=18373 und die Stellungnahme dazu https://www.welt.de/finanzen/v…enken.html
gibt aber noch weitere oder https://www.sparkassenversiche…netschutz/

ein Aufwand im Schadenfall ist immer vorhanden. (egal ob Privathaftpflicht o.ä.)
Gewählte Zitate für Mehrfachzitierung:   0