neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 41
Dabei seit: 01 / 2011
Betreff:

neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 20.08.2019 - 15:31 Uhr  ·  #1
Hallo,

ich habe zur Zeit ein ING-Girokonto; soweit ich richtig verstanden habe, kann ich damit nach dem 14.09. in HIBISCUS bestenfalls noch Buchungen sehen, aber kein Überweisungen ausführen.
Unklar ist mir, ob für die Auswahl einer anderen Bank der HBCI / FinTS-Standard maßgebend ist oder ob HIBICUS auch den PSD2-Standard (laut c't 19-2018 obligatorisch für die Banken) unterstützt.
Vielen Dank, Michael
Benutzer
Avatar
Geschlecht: keine Angabe
Homepage: hibiscus-mashup.de…
Beiträge: 383
Dabei seit: 06 / 2012
Betreff:

Re: neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 20.08.2019 - 15:51 Uhr  ·  #2
nur weil du die c't erwähnt hast. In der aktuellen Ausgabe 18/2019 ist da auf Seite 68 genau zu deinem Thema eine interessante Liste...
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 41
Dabei seit: 01 / 2011
Betreff:

Re: neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 20.08.2019 - 17:12 Uhr  ·  #3
Danke für die bisherigen Rückmeldungen. Das Thema Bank / Konto habe ich aus der Anfrage entfernt.
Der c't-Artikel liegt hier, trotzdem ist mir - für die Nutzung von HIBISCUS - nicht klar, auf welche Kriterien (HBCI (FinTS), PSD2, TAN-Verfahren) ich achten muss. Vielleicht mag mir das jemand erklären?
Danke, Michael
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 20.08.2019 - 18:07 Uhr  ·  #4
Hibiscus kann HBCI/FinTS (voraussichtlich bis 14.09. - manche schalten ab 11.09. "scharf") mit den aktuell Version.
die Nightly wurde vor wenigen Tage angepasst und weitere Anpassung wenn nötig, laufen ja nun die nächsten Tage.
so dass davon ausgegangen werden kann, dass gegen 10.09. spätestens zum 14.09 die nightly zur stable wird

topic.php?p=146742#real146742
https://www.willuhn.de/blog/in…utzen.html
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 20.08.2019 - 18:19 Uhr  ·  #5
Hallo,

zu genau diesem Thema gibt es hier abendfüllende Diskussionen, in denen das alles haarklein erklärt wird. Einfach mal lesen!

Ganz kurze Antworten:
Eigentlich ALLE Banken außer der ING (die will sich das sparen, fängt aber nach massiver Entrüstung vieler Kunden und auch schon Kundenabwanderung inzwischen das Überlegen ab, ob sie das wirklich machen kann) haben ihre HBCI-Server so umgestellt, dass sie ab 14.9. den PSD2-Vorschriften entsprechen und die Kunden das gewohnte Bankingprogramm (sofern es auch an PSD2 angepaßt ist!) weiter nutzen können. Es wird nur etwas unbequemer, weil teilweise auch schon zum Login eine TAN eingegeben werden muss. Näheres siehe die PSD2-Threads hier. Derzeitiger Stand bei der ING ist, dass sie sämtliche Girokonten aus dem HBCI löschen und somit die Girokonten GARNICHT mehr in externen Bankprogrammen genutzt werden können. Extrakonten und Depots sind keine Zahlungsverkehrskonten, die unter PSD2 fallen, und bleiben deswegen drin. Durch diesen Geniestreich will man sich die Kosten für eine Anpassung des HBCI-Servers sparen.

Zum Thema PSD2-Schnittstelle: Diese ist NICHT für Bankkunden nutzbar, sondern ausschließlich für "Zahlungsdienstleister". Insofern ist die Auskunft der ING "fragen Sie Ihren Softwarehersteller nach Unterstützung der PSD2-Schnittstelle" eine Nebelkerze, um von der eigenen Zuständigkeit abzulenken, schlicht gesagt, es ist Verarsche. Ob man das aus Unwissenheit oder Kalkül so macht ist unklar. Armseelig ist es in jedem Fall. Daten über die PSD2-Schnittstelle in ein Kundenprogramm zu bekommen würde in jedem Fall voraussetzen, dass der Programmhersteller sich bei der BAFin als "Zahlungsdienstleister" zertifizieren läßt und einen eigenen Server betreibt. Die Umsätze der Kundenkonten müßten dann vom Dienstleister von der Bank auf den eigenen Server geholt werden und dann vom Kundenprodukt wiederum beim Softwarehersteller-Server abgerufen werden. Ein unbeteiligter Dritter sozusagen, auf dessen Maschinen dann alles vorliegt. Datensparsamkeit, Datenschutz und Geheimhaltung schaut für mich anders aus. Von den anfallenden einmaligen Kosten für die Zertifizierung und die ständig anfallenden Kosten des dauernden Betriebs der zwischengeschalteten Softwareherstellerserver brauchen wir garnicht erst anfangen...
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 20.08.2019 - 19:55 Uhr  ·  #6
In dem Zusammenhang: Das Hauptmissverstaendnis vieler User entsteht ja deshalb, weil es unter dem Sammelbegriff "PSD2" so viele verschiedene Aspekte gibt, die teilweise überhaupt nichts miteinander zu tun haben. Da in dem Zusammenhang auch immer wieder von den PSD2-Schnittstellen bzw. PSD2-APIs die Rede ist, erweckt das bei Usern den Eindruck, als müssten die Bankingprogramme künftig diese Schnittstelle nutzen (wobei die ING ihren Kunden ja genau das verklickern will).

Daher von mir noch ergänzend. "PSD2" allgemein bezeichnet den gesamten Themen-Komplex der EU, welcher dazu führen soll, dass einerseits die Zugriffe auf die Zahlungsverkehrskonten der Kunden sicherer werden (Stichwort SCA bzw. TAN bereits beim lesenden Zugriff auf das Konto). Andererseits aber der Zugriff auf Kundenkonten durch Zahlungsdienstleister (z.B. diverse Finanzoptimierungs-Apps) besser reguliert, kontrolliert und standardisiert wird.

Aspekt 1 betrifft u.a. auch FinTS und damit die Banking-Programme. Der FinTS-Standard wurde hierfür so erweitert, dass beim lesenden Zugriff (z.B. beim Umsatzabruf) teilweise bereits eine TAN eingegeben werden muss. Diese Ergänzungen müssen sowohl die Banken in ihren FinTS-Servern vornehmen. Und ebenso die Autoren diverser Banking-Programme. Diese Änderungen werden Mitte Sept. von den Banken scharf geschaltet und müssen von den Banking-Programmen bis dahin umgesetzt werden. Genau daran arbeite ich auch gerade. Und das ist auch der einzige Aspekt, der für Banking-Programme relevant ist.

Für die Realisierung von Aspekt 2 gibt es künftig die Vorgabe, dass Firmen die z.B. solche Finanz-Optimierungs-Apps anbieten, und die auf die Konten ihrer Kunden in deren Auftrag zugreifen wollen, sich bei der Bafin für teuer Geld registrieren und zertifizieren müssen. Ausserdem dürfen die künftig nicht mehr FinTS verwenden sondern müssen eine neue Schnittstelle (die halt "PSD2-API" genannt wird) nutzen, welche von den Banken *parallel* zu FinTS angeboten werden muss.

Also grob gesagt: Immer dann, wenn man selbst auf seine eigenen Konten zugreift, kommt FinTS zum Einsatz. Dafür kann man ein Banking-Programm nutzen, welches FinTS nutzt. Oder man geht direkt auf die Webseite der Bank. Die Kommunikation findet generell nur zwischen Kunde und Bank statt. Da ist niemand dazwischen, der die Daten sehen kann.

Wenn ich aber eine dritte Firma direkt oder indirekt beauftrage, in meinem Namen auf meine Konten zuzugreifen (und das ist z.B. bei FInanzoptimierungs-Apps der Fall), dann muss diese Firma die PSD2-API nutzen. Da die Firma hierbei die Konto-Daten des Kunden in der Rolle eines Dritten sieht, gelten für dise Firma die strengen regulatorischen Auflagen. Technisch bedingt ist es gar nicht möglich, dass ein Kunde mit einem Programm selbst direkt per PSD2-API auf seine Konen zugreift. Diese Schnittstelle kann und darf nur von solchen Dienstleistern verwendet werden. Damit scheidet sie für Banking-Programme aus.

Das zum Verständnis. Da sich die ING scheinbar nur auf Aspekt 2 konzentriert und dabei wohl Aspekt 1 vergessen hat, versuchen sie jetzt ihren Kunden zu verklickern, die sollen doch die Autoren ihrer Banking-Programme bitten, die PSD2-API nutzen. Genau die kann und darf von Banking-Programmen aber gar nicht verwendet werden. Zumindest nicht, ohne dass sich der Autor des Banking-Programms bei der Bafin zertifiziert, eigene Server betreibt, um dann im Auftrag seiner User auf deren Konten zuzugreifen. Ich glaube nicht, dass es Hibiscus-User gibt, die wollen, dass ich eigene Server betreibe, dort deren Kontodaten speichere und die User ihre hochsensiblen und persönlichen Daten dann von meinen Servern abrufen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 18
Dabei seit: 06 / 2019
Betreff:

Re: neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 21.08.2019 - 08:03 Uhr  ·  #7
Danke für die Klarstellung.

Der Begriff PSD2-API ist eigentlich falsch, richtiger wäre hier von einer 3. Anbieter Schnittstelle oder X2A (Access2Account)-API zu sprechen.

Einige meinen eine REST-Schnittstelle wie sie die Berlin Group anbietet können man doch auch von einer APP aus bedienen. Aber spätesens bei den geforderten elektronischen Zertifikaten / Siegeln die sogar (je nach Auslegung) in Hardware vorliegen müssen wird es schwierg.

Während die 3. Anbieter Schnittstelle verpflichtend ist, ist die FinTS Schnittstelle freiwillig für die Banken. Europaweit gibt es sowas wie die FinTS Schnittstelle auch nicht, daher sind offenbar unsere deutschen Anforderungen und Erfahrungen bei der Regulierung dieses Thema hinten runtergefallen.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: neue Zugangsverfahren: Kontoauswahl für HIBISCUS

 · 
Gepostet: 21.08.2019 - 08:15 Uhr  ·  #8
Zitat geschrieben von duese

Der Begriff PSD2-API ist eigentlich falsch, richtiger wäre hier von einer 3. Anbieter Schnittstelle oder X2A (Access2Account)-API zu sprechen.

Genau. Wenn diese Begrifflichkeiten - auch seitens der Banken - konsequenter genutzt worden wären, hätte es vielleicht auch weniger Verwirrung und Vermischung mit FinTS gegeben. Überhaupt finde ich, dass es keine gute Idee war, diese Drittanbieter-Schnittstelle so direkt den Bank-Kunden zu kommunizieren. Das erweckt den Eindruck, als würden diese sie selbst nutzen können. Ich hätte hier eher den Fokus darauf gelegt, wie der Drittanbieter-Zugriff auf Kundenkonten künftig reguliert ist. Und hier insbesondere die "Consents" erklärt. Was dabei "unter der Haube" zwischen Bank und Drittanbieter für eine technische Schnittstelle zum Einsatz kommt, ist für den Endkunden doch völlig irrelevant.
Gewählte Zitate für Mehrfachzitierung:   0