hbci4java / Sparkasse / dem Endgerät vertrauen

Guten Tag,

wir benutzen hbci4java (auf einem Linux-Server) um für unsere Kunden Umsatzdaten bei diversen Banken abzuholen. Nur Umsätze abholen, keine TAN-pflichtigen Transaktionen.

Das hat bis jetzt bei Sparkassen immer gut funktioniert. Bei einer Sparkasse in Bayern passiert seit einigen Tagen folgendes: Wenn unser Server Umsätze holen will, bekommt der Kunde auf seinem Handy die Aufforderung, zu bestätigen, dass er dem Endgerät vertraut. Ich habe keine Ahnung wie man damit umgehen soll.

Hat man eine Chance, aus dem eigenen Java-Programm heraus abzuwarten und zu prüfen, dass der Kunde das auf dem Handy bestätigt hat?

Oder (besser) kann man verhindern, dass diese Nachfrage überhaupt kommt?

Wir benutzen das neuste hbci4java 3.1.81.

Klingt vernünftig, dürfte aber unpraktikabel sein. Müssten wir jeden Kunden zu seiner Sparkasse schicken, damit er sich dort einen Nur-Lesen-Zugang besorgt.

vor PSD2 war das schon so geplant und wenn man es umgebogen hat, dass "alle Zugriffsberechtigten" mit ein und den selbst Zugangsdaten aktiv wird - nunja. (Haftung bei Missbrauch usw. - selbst bei "ehemaligen" Ehe-/Lebenspartnern lustig)
(legst du einen Schließanlagenschlüssel auch unter den großen Stein am Eingang oder die Fußmatte?)
(PS: will gar nicht wissen was mit der Schlüsseldatei der VR passiert)

ja so ist das halt (im RL: wenn eine Freundin/Frau/Mann/neuer Partner einzieht bekommt der/die/das ja auch seinen Schlüssel)
wobei geht ja auch digital und ist ja nur einmalig.

Nach meiner Erfahrung musst du keine Mindest-Anzahl von Sekunden warten. Mit regelmäßigen Abfragen per NEED_PT_DECOUPLED_RETRY kannst du erkennen, ob der User die Freigabe zwischenzeitlich vorgenommen hat.

Das musst du für deinen Use-Case selbst herausfinden. Ich würde irgendwas zwischen 30 Sekunden und 2 Minuten wählen.

Das müsste sich aus den neuen BPD-Feldern ergeben, die bei HITANS seit Version 7 mitgeliefert werden. https://www.hbci-zka.de/dokume…ersion.pdf

Ja, du wirst automatisch in den passenden Intervallen über den Callback aufgerufen und kannst da selbst ein Sleep machen oder einen Wartedialog einblenden. HBCI4Java erkennt selbst, wenn es weitergehen kann.

Hallo Zusammen,

vielleicht mal ein paar Hintergründe.

Die PSD2 ist u.a. geschaffen worden, damit Dritte nicht unkontrolliert mit den Zugangsdaten des Inhabers / Bevollmächtigen auf die Konten der Inhaber zugreifen können.
Im Kern gibt es seit der PSD2 zwei Möglichkeiten auf Konten zuzugreifen. Ich bin bevollmächtigt / bzw Inhaber, oder ich bin ein regulierter Drittanbieter und der Bevollmächtigte/Inhaber gewährt mit für bis zu 180 Tage einen Zugriff.

Für diesen Zugriff muss der Dritte bei der BaFin registriert sein und die für diesen Zweck geschaffene XS2A Schnittstelle der Bank nutzen, wenn diese das anbietet.
Die Banken haben die Auflage die Zugriffe zu kontrollieren und im Zweifel Gegenmaßnahmen zu treffen.

Eine der Maßnahmen ist, dass der Zugriff auf das Konto nur mit einer TAN möglich ist. Die Bank darf hierzu eine Ausnahme für maximal 180 Tage gewähren.
D.h. jeder Zugriff auf das Konto war bisher schon tanpflichtig.. Die Bank hat aus Komfortgründen nur darauf verzichtet und von der Ausnahme Gebrauch gemacht.

Da immer noch Dritte unkontrolliert die Zugangsdaten der Inhaber / Bevollmächtigten nutzen, sind Banken gezwungen, sich zu überlegen wie sie das unterbinden können, bevor die Regulatorik einschreitet.

Eine der Möglichkeiten ist, die Bindung an die Hardware. Zwei Vorteile, für die Autorisierung steht der zweite Faktor Besitz zur Verfügung. Die Bank kann die Ausnahmeregelung entfallen lassen und der Kunde muss in seinem System dennoch keine TAN eingeben, da der Faktor Besitz zieht.
Zweiter Vorteil, Dritte die sich nicht an die Regulatorik halten, fallen direkt auf und können nicht mehr auf die Konten zugreifen, wenn der Inhaber nicht involviert ist,

NP-Portal: ich kenne euren Prozess und eure Abläufe nicht. Das was ihr hier schreibt, klingt massiv danach, dass ihr die Zielgruppe seid, von der die BafIn verlangt, dass die Banken diese aus den Kundenschnittstellen raus halten.

Ich würde mich mal dringend mit einem Anwalt/Spezialisten zusammen setzen und klären, ob euer Vorgehensmodell durch die PSD2 gedeckt ist, wenn nicht regelt die BaFin so etwas auch mal ganz schnell.

Habe es jetzt testen können.

Die Sache mit NEED_PT_DECOUPLED funktioniert. Wenn das Callback aufgerufen wird, warte ich auf dem Server, Kunde bestätigt auf seinem Handy, dass das Gerät vertrauenswürdig ist, dann mache ich return aus dem Callback und alles ist gut.

Der Kunde sieht dann in seinem Online-Banking unter "Gespeicherte Geräte" ein Gerät, mit Kundenproduktname: HBCI4Java, Herstellername: OlafWilluhn, FinTS-Produktkategorie: PC-/MacOS-Software.

Das Vertrauen in das Gerät hält anscheinend nur so lange vor, bis man das nächste Mal ein Reset macht, d.h. die Passport-Datei löscht. Sehe ich das richtig? Damit kann ich leben, weil ich den Reset ohnehin nur mache, wenn der Kunde es interaktiv anstößt. Könnte es Probleme geben, wenn der selbe Kunde bei einem Institut mehrere Konten hat (und damit mehrere Passport-Dateien)? Oder hat er dann einfach für seine n Konten n verschiedene Pseudo-Geräte?

Wenn das so einfach ist, dass man da nur ein Formular hinschicken muss, dann mache ich das mal. Vielen Dank für den Hinweis.

Wenn Du die FinTS Schnittstelle nutzen darfst, ist das so einfach. Die Frage ist, ob euer Konstrukt/Betrieb den Vorgaben der PSD2 entspricht, um die FinTS Schnittstelle nutzen zu dürfen.

Die FinTS Schnittstelle, EBICS Schnittstelle, das OnlineBanking darf nur durch den Kunden oder dessen Bevollmächtigte direkt genutzt werden, wenn die Anwendung in der Hoheit des Kunden liegt.

Bestesbeispiel ist das Multibankenfähige Banking der Banken.

Wenn Du also im OnlineBanking der Sparkasse ein Volksbankkonto mit PIN/TAN einrichtest, ist es der Sparkasse regulatorisch untersagt, hierfür die FinTS Schnittstelle zu nutzen (für die Geschäftsvorfälle und Konten, die unter der Regulatorik fallen), sie muss die PSD2 Schnittstelle der Bank nutzen, die für Drittdienstleister geschaffen wurde.

Wenn ihr keine eigene Vollmacht auf die Konten habt, die Software bei euch läuft, seit ihr in einem Konstrukt unterwegs, der darunter fallen könnte. Könnte, weil z.B. "Software as a Service" nicht darunter fallen muss.


Es gibt keinen Reset im eigentlichen Sinne. Es wird eine KundensystemID gespeichert, die zu der Installation zugeordnet wird. Mit einer TAN wird diese Kombination legitimiert. Kommt jetzt eine neue Installation / neue Anwendung, gibt es eine neue KundensystemID. Die ist unbekannt, also wird der Vorgang abgelehnt, bzw es muss eine neue KundensystemID angefordert werden die dann wieder mit einer TAN bestätigt wird. Die Bindung an die Installation wandert also zur nächsten Installation. Am ersten Gerät kann dann wieder erst eine Verbindung aufgebaut werden, wenn dort wieder eine KundensystemID angefordert wird und diese mit einer TAN bestätigt wird.

Genau dies ist derzeit das Problem bei B4 wenn man es am Rechner und am Handy nutzt. Man connected beispielsweise unter Windows - OK. Dann synct man den Datenbestand auf Android - Kundensystem-ID ungültig. Also unter Android synchronisieren. Klappt. Zurück auf Windows - klappt wieder nicht mehr. Neu Synchronisieren.

Komisch in dem Zusammenhang ist nur, dass die Synchronisation jede Mal OHNE eine TAN-Eingabe funktioniert. Somit ist das Prozedere eigentlich völlig sinnlos!?