PSD2: Kein Einloggen mehr nur durch PIN-Eingabe ab September 2019?

Hallo,

gerade lese ich:



Quelle:
https://www.chip.de/news/Neue-…89610.html

Ist das wirklich so? Und wie wird Hibiscus das lösen? Kontostandsabfrage mehrerer Konten durch einen Knopfdruck mit gespeicherten PINs, so wie es jetzt wunderbar einfach geht, wird dann wohl nichts mehr?

Viele Grüße
Kleinsparschwein

Das wird es so nicht geben.
Das kann man sich aus der PSD2 auch ganz gut selber ableiten.
Die PSD2 sieht drei Dienste vor, für die sich ei. Dienstleister registrieren kann.
Kontoinformationsdienst
Zahlungsauslösedienst
Kontodeckungsabfragedienst

Dazu gibt es die Auflage, dass eine Bank bei der Bereitstellung von Schnittstellen, den Dienstleister nicht benachteiligen darf.
Ein reiner Kontoinformationsdienstleister würde nie von einer TAN einer Zahlungsauslösung profitieren können.
Die TAN für die Zahlung ist daher unabhängig von einer TAN bei der Anmeldung.
Ein automatisierter Prozess ist also nur für maximal 90 Tage möglich.

Viele Grüße
Holger

Den Kontoinformationsdienst erteilst du eine Berechtigung für 90 Tage auf dein Konto zuzugreifen. Dies geschieht ebenfalls mit 2FA über die PSD2-Api der Bank. Der Kontoinformationsdienst wird ja dadurch nicht benachteiligt, auf den Seiten der Bank oder per HBCI muss ja genauso für den Abruf spätestens nach 90 Tagen eine 2FA durchgeführt werden.

Anders wären wie Holger schon schreibt "Tricks" um die PSD2 zu umgehen. Alle 90 Tage den 2FA durchzuführen, wird also Minimum an Umsetzung der Richtlinie sein. Wobei so ziemlich alle privaten Großbanken, derzeit sogar bei jedem Login 2FA fordern werden.

Wenn die örtliche Genossenschaftsbank oder eventuell einzelne Sparkassen da die 90 Tage Variante nehmen, wäre das eigentlich schon eher die Ausnahme als die Regel bei der Umsetzung der PSD2.

Das mit den "kundenfreundlich" ist halt Definitionssache. Fakt ist auf jeden Fall, dass die 90 Tage Geschichte quasi keinen Sicherheitsgewinn bringt. Wenn jemand die PIN abfängt, ist es völlig unerheblich ob er nach 90 Tagen aus dem Konto geschmissen wird. Er wartet einfach bis der eigentliche Kunde das Konto wieder per 2FA aktiviert.

Weiterhin ist es unverständlich für den Kunden, wann er genau wo und wieso 2FA benutzen muss. Alle 90 Tage, dann wieder wenn er Umsätze älter als 90 Tage zwischendurch abrufen will etc. Bei jedem Login ist eindeutig verständlicher und sicherheitstechnisch auch begründbar.

Aber klar, wenn du es den Kunden möglichst einfach machen willst, dann nimmst du die 90 Tage. Aber raten wir mal wie lange das dauert, bis dann irgendeine Verbraucherzeitschrift um die Ecke kommt und genau das der Bank als Sicherheitsmangel in den Test schreibt. Dann siehst du die betroffenden Banken aber ganz schnell das mit den 90 Tagen wieder auszubauen. Oder die Regulatorik kommt dann mit PSD3 um die Ecke weil denen aufgefallen ist, dass man da ja noch sicherheitstechnisch nachbessern kann.

Dein persönliches Szenario ist natürlich Worst Case. Aber ich denke das werden genau die Beispiele sein, welche Entwicklern von Finanzsoftware dazu zwingt PSD2-APIs einzubauen. Also zumindest wenn man diese Kundschaft weiter erreichen will. Weil bei der PSD2-API werden die Banken die 90 Tage einstellen, das Risiko ist ja auch geringer, da speziell einen Dienstleister Zugriff auf dein Konto gewährst. Wenn dir dann jemand die PIN abgreift, weiß der ja nicht welche Software/Dienste du da Freigaben erteilst hast. Da ist das mit den Zeitraum unproblematischer und vor allem ist der Zugang über die offizielle API stark begrenzt. Da machst du dein Konto dann nicht komplett nackig.

Und Firmen benutzen sowieso EBICS, die sind gar nicht betroffen. Auch DATEV wird ja mit einem PSD2 Dienstleister zusammenarbeiten.

Den Hersteller deiner Software vertraust du natürlich erstmal sowieso generell selber. Weil niemand kann dir garantieren, dass der nicht einfach beim nächsten Softwareupdate eine Backdoor einschmuggelt und dich abschnorchelt. Du liest mit Sicherheit auch bei jedem Kontoabruf deinen Netzwerktraffic nicht mit.

Ein Vorteil der PSD2-API ist aber nunmal, dass du die Daten begrenzen kannst die abgerufen werden. Die Anbieter müssen dir also genau sagen was sie abrufen wollen. Mit der PIN ohne 2FA, kommst du dagegen natürlich an alles. Postbox-Dokumente, laufende Kredite, Dispohöhe etc. Der Bösewicht bekommt also viel mehr Infos über dich als nur die Umsatzdaten über den bisherigen Weg.

Aber ja, es ist natürlich davon auszugehen, dass vor allem Finanzsoftware von Banken damit einen Vorteil bekommen. Aufgrund der Vertrauensbasis. Wenn der PSD2-Server nämlich in derselben Bank steht wo deine Kontodaten sind, dann ist das Vertrauen das die Daten sicher aufbewahrt werden ja sowieso schon da. Nicht ohne Grund finden viele Drittanbieter die PSD2 mittlerweile auch nicht mehr so witzig wie am Anfang, weil die natürlich auch Nachteile für sich dabei sehen.

Übrigens was Banken auch machen könnten die HBCI-Software herstellen: Diese einfach an den jeweiligen PC und an das Konto binden. Das wäre nach derzeitigen Stand, durchaus PSD2-konform (Faktor Besitz). Dann ist keine 2FA mehr nötig, hilft dir aber natürlich nicht, sobald du anfängst da dann Fremdbanken einzubinden.

Aber gerade für Hersteller von "freier" HBCI-Software, ist das natürlich ein riesen Nachteil. Nehmen wir mal an, du müsstest bei einer App wie Banking4A/X (fiktives Beispiel) jedesmal 2FA machen und auf der App der Bank nicht, welche nimmst du dann wohl?

Das ist übrigens keine Theorie, die Deutsche Bank macht das bei der eigenen App so.



Da hat die Regulatorik den Bereich Geschäftskunden, am Anfang nicht wirklich beachtet denke ich. Es stand ja auch erst ziemlich spät fest, das EBICS weiterhin möglich ist. Und im Gegensatz zu HBCI ist EBICS mittlerweile auch ein europäischer Standard. Zudem ist die technische Übertragung bei EBICS auch anders, da die Daten gesammelt im Rechenzentrum verarbeitet werden. Hier geht man wohl davon aus, dass die gesonderte Prüfung im RZ Missbrauch noch erkennen würde und natürlich auch Geschäftskunden anderen Standards unterliegen als Privatkunden. Bzw. man denen auch sicherheitstechnisch gesehen andere Infastrukturen zurechnet. Kann man natürlich kritisieren, aber so ist nunmal die regulatorische Umsetzung derzeit.

Ich gehe auch stark davon aus, dass wir auch noch eine PSD3 sehen werden die da einiges nachbessern wird. Gerade die komplett unterschiedlichen Auslegungen der PSD2-API derzeit, sind natürlich auch nicht hilfreich. Hier hat man den Banken aber auch die Pistole auf die Brust gesetzt da noch irgendwie bis zum März diesen Jahres sich die Schnittstelle aus den Rippen zu schneiden.

Ok, na dann bin ich mal gespannt, ob der Onlinebanking-Mensch Unfug erzählt hat und wie es dann am Tag X wirklich werden wird.

Die gelten für alle. Auch für Geschäftskunden.

Die Privilegierung für EBICS - nun... erst sollte das für EBICS auch gelten. Aber dann ist die BaFIN zurückgerudert und verbreitet die Meinung, dass es für EBICS nicht geilt. Hintergrund ist wohl, dass unsere gesamte Wirtschaft dann aus den Fugen geraten wäre. Die meisten EBICS-Accounts werden nach wie vor mit Schlüsseldatei betrieben. Das abzuschaffen - da wäre wohl die halbe Wirtschaft aus den Fugen geraten. Stell Dir mal vor, die Telekom müßte ihren Zahlungsverkehr plötzlich anders organissieren, oder Energieversorger... Von den ganzen "kleineren" Firmen mal abgesehen. Man definiert da einfach, das gilt nicht, und fertig. Zumal man ja auch sagen kann, dass EBICS eine reine Dateiübertragung ist (signiert) und deswegen erst noch Bankseitig geprüft werden kann und nicht unverzüglich ausgeführt wird. Nur dürfte so eine Prüfung bei einem Telekom- oder e.on-Zahlungslauf schwierig werden...

die Sicherheit wurde erhöht durch die Anzeige
und nein deine Argumentation hinkt, denn für eine SEPA-Lastschrift bspw. ist die Widerspruchsfrist sehr großzügig.

Ah, danke, sehr interessant.

Der ganze Umstellungsprozess leidet hauptsächlich an der Informationspolitik: Würden die Banken klar und deutlich sagen, was sie jetzt und in naher Zukunft planen und welche Verfahren sie beibehalten, wäre es deutlich leichter.

Nachdem mir etliche Banken die Schlüsseldatei gekündigt oder abgekündigt oder eingestellt haben, bot man HBCI mit Chipkarte, chipTAN und SMS-TAN an. Ich habe als neues Verfahren meist chipTAN gewählt. (Es war mehr ein "Bauchgefühl", dass HBCI mit Chipkarte vielleicht das nächste "Opfer" ist und wegfällt, und SMS-TAN auch demnächst wegfällt.) Sofern die jeweilige Bank HBCI mit Chipkarte noch anbietet, könnte ich das natürlich wählen.

Habe ich das jetzt richtig verstanden, dass HBCI mit Chipkarte definitiv die PSD2-Anforderungen erfüllt und noch eine Weile erhalten bleibt? (Bei SMS-TAN scheinen mir die Tage auch gezählt, deswegen finde ich es so dämlich, dass Banken das als Alternative anbieten ...)

Gruß
Lisa

In dem Fall können die meisten Banken bzw. die Mitarbeiter, die im Kundenkontakt stehen da tatsächlich nichts für die verwirrende oder nicht vorhandene Informationspolitik.
Wie wir ja alleine heir schon im Thread sehen, gibt es ganz viele unterschiedliche Aussagen. msa tut mir bei dem Thema fast schon leid, da ich ihn hier häufig korrigiere und er eigentlich nur einen Stand wieder gibt, auf dem ich vor einiger Zeit auch noch war (und ich bin näher an den Quellen). Zeigt, wie sich Auslegungen entwickelt haben und manchmal auch schlicht vom Regulator "overrueld" wurden.
Bestes Beispiel ist die Diskussion um die Schlüsseldatei. Die meisten Experten waren sich einig, dass bei einer Datei die kopiert werdne kann, der Faktor Besitz zumindestnes fraglich ist. Der Regulator geht davon aus, dass die Datei zwar kopiert werden kann, aber durch den Passwortschutz der Faktor Besitz derzeit hinreichend geschützt ist.
Da die Einschätzung des Regulators (der sich im Zweifel auch immer beim übergeordneten europäischen Regulator rückversichern muss), sehr spät kam, die Umstellung vorhandener Kunden aber Zeit braucht, mussten Banken, die sehr viele Schlüsseldateien im Einsatz hatten, handeln, wenn deren eigenen Ressourcen für eine Umstellung der Kunden bis zum 14.09.2019 knapp wurden.
Da der Regulator sich vorbehält, seine Entscheidung zu korrigieren oder den aktuellen Gegebenheiten anzupassen, haben diese Banken dass dann auch bis zum Ende durchgezogen.


Formal erfüllt die SMS TAN auch den Anforderungen der PSD2. Aber alleine aus Sicherheitsaspekten gibt es sicherlich auch ohne Regulator nachvollziehbare Gründe nicht auf die SMS als strategisches Verfahren zu setzen..


Zur ersten Aussage, kann man ohne Probleme ja sagen. Bei derzweiten Aussage wäre schon die Definition von "eine Weile" ein Problem. Bei Sicherheitsverfahren würde ich über einen Zeitraum von 3 - 4 Jahren hinaus keine Aussage mehr treffen. Und wenn, kann man keine pauschale Aussage über alle Banken hinweg treffen....


Wie Du selber schon geschrieben hast: Dein Bauchgefühl - welches man durchaus mit Argumenten unterlegen kann. Aber Der Regulator hat Ja gesagt und auch der Regulator verbietet ein Verfahren nicht ohne akuter Not ohne hinreichenden Vorlauf. Von der Seite betrachtet kann man den Weg ja so gehen. Kann aber natürlich sein, dass die eine Bankengruppe dann trotzdem aussteigt und Andere plötzlich nachziehen.

Das ganze Thema "Sicherheitsverfahren" ist durch PSD2 sicherlich derzeit mächtig in bewegung gekommen und derzeit mit vielen Unsicherheiten versehen. Aber auch das wird sich sicherlich legen, wenn die PSD2 gilt und Erfahrungen und etwas Ruhe eingekehrt ist. (hoffe ich.....)