Leider finde ich im Wiki und auf der Homepage von Jameica keine Info, ob die Anforderungen der PSD 2 in jameica umgesetzt worden sind. Ohne diese Umsetzung befürchte ich das es Probleme geben wird. Hoffe habe es nur überlesen.

Aufgrund der 90 Tage Regel und dem Start der PSD 2 am 14.09 ist damit zu rechnen das vielen Banken erstmal aktiv eine TAN am 12.12.2019 verlangen werden. Wenn nun die Anwendung / APP aber damit nicht umgehen kann wird der Zugriff verweigert!

Die Änderung in FINTS hat die DK u.a. hier beschrieben:

https://www.hbci-zka.de/dokume…ersion.pdf

Folgende Geschäftsvorfälle werden aber 19.09 TAN pflichtig - die es vorher nicht waren beim Zugriff über FINTS.

Konkret:
- Die Dialoginitialisitierung (HKVVB)
- Abruf SEPA Umsätze (HKKCAZ)
- Kontoumsätze (HKKAZ)
- Kontoinformationen (HKKIF)
- Saldenabfrage (HKSAL)

Wann genau eine TAN angefordert wird von der Bank hängt von diversen Parameter ab die die Bank (teilweise auch der Kunde) bestimmen kann wie:
- Tage Login OHNE TAN (Minimum. alle 90 Tage)
- Umsatztage die abgerufen werden OHNE TAN (Minimum. alle 90 Tage)
- Zulässigkeit der SCA Ausnahme

Grundlage ist hier die PSD 2 RTS Artikel 10.

Sag bloß! Hast Du hier auch was gelesen oder einfach nur mal gepostet?

Ich habe gelesen aber nichts gefunden. Daher meine Frage. Auch in den Threads finde ich nichts konkretes nur vages. Daher würde ich micht über eine konkrete technische Aussage freuen.

Da ist aber ganz viel Halbwissen dabei.
Ab dem 14.09 ist die SCA bei jeder Dialoginizialisierung Pflicht. D.h. Es könnte nicht ein Problem geben, sondern eine Anwendung die das nicht kann, kann ab da nicht genutzt werden.
Der Bank ist es frei gestellt, früher eine SCA zu verlangen.
Die 90 Tage sind eine Ausnahmeregel, die die Bank gewähren kann.
Der Kunde hat keinen Einfluss darauf, wann eine SCA verlangt wird.
Die Vorgaben der Bank kann der Anwender nur verschärfen.
Die Regel für die TAN Pflicht bei Umsätzen lautet richtig: Beim Abruf von Umsätzen älter als 90 Tag ist immer eine TAN notwendig. Sprich im Hätte Fall kommt die TAN bei der Dialoginizialisierung und beim Abruf der Umsätze.

Danke für die Konkretisierung.

Es stimmt aber nicht ganz das der Kunde die SCA nur verschärfen kann, jedenfalls bei der Auslösung von Zahlungen durch die Pflege eine Whitelist für IBANs (siehe FINTS GV HKPWE, HKPWA) kann er die Eingabe einer TAN für bestimmte IBANs unterbinden.

Nur der Neugierde wegen: Gibt es ein Institut das die FinTS GV HKPWE/HKPWA auch unterstützt?

Mindestens die Sparkassen sollten seit letztem Wochenende HKPWE/HKPWA technisch anbieten können, insofern ein Institut das nicht explizit ausgeschaltet hat.

Nachtrag: offenbar ist Funktion zwar technisch da, aber noch gesperrt .

Doch, stimmt so komplett.


Das hat nichts mit dem Vorherigen zu tun. Wenn die Bank die Whitelist nicht bietet, gibt es auch keine Möglichkeit. Nur, wenn die Bank die Pflege einer Whitelist anbietet, kann der Anwender diese Pflegen. Das ist damit keine "Entschärfung" der Vorgabe der Bank, sondern die Bank stellt diese Möglichkeit bereit.

Der PSD2-Support ist in Hibiscus noch nicht drin. Werde ich bis dahin aber noch eingebaut haben. Derzeit fehlt es mir allerdings noch an Testmoeglichkeiten.

Wie man das aber beim Hibiscus-Server loesen koennte, weiss ich leider auch noch nicht. Der vollautomatisierte zyklische Abruf von Umsaetzen im Hintergrund wird dann wohl so nicht mehr funktionieren. Wobei: Bei diesem 90-Tage-Fenster muss die Bank ja auf ihren Servern speichern, wann zum letzten Mal die TAN eingegeben wurde, um zu wissen, wann sie zum naechsten Mal faellig ist. Und diese Information kann ja eigentlich auf dem Bankserver nur der Benutzerkennung zugeordnet werden. An der IP des Client kann man es ja nicht festmachen, weil die meist jedesmal anders ist. Bei FinTS PIN/TAN gibt es ja auch keine Cookies oder so, wo man das 90-Tage-Fenster fest einer konkreten Installation auf einem Client-Rechner zuordnen kann. Ich koennte mir also vorstellen, dass man - wenn man fuer eine einzelne Benutzerkennung mehrere Installationen betreibt (z.Bsp. Hibiscus-Desktop und Hibicus-Server) und die TAN-Abfragen regelmaessig auf dem Desktop beantwortet - auf dem Hibiscus-Server nie eine Abfrage kommt. Weil die fuer diese Benutzerkennung ja regelmaessig bereits auf dem Desktop beantwortet hat. Heisst: Wenn man einen Hibiscus-Server betreibt, muesste man nur zusaetzlich auf einem Hibiscus-Client ebenfalls den Bankzugang einrichten und dort alle paar Wochen mal eine Umsatzabfrage starten, um den 90-Tage-Counter fuer die Benutzerkennung wieder zurueckzusetzen. Ist aber bisher nur meine Vermutung. Und funktioniert natuerlich nur bei Banken, die tatsaechlich dieses Zeitfenster anbieten und nicht wie die Postbank jedesmal die TAN haben wollen.

Danke für deine Antwort.

Bezüglich der 90 Tage habe ich auch schon nachgefasst bei meiner Sparkasse . Es wird EIN Zähler über alle Kanäle pro Zugangskennung. Ausnahme sind die echten XS2A Dienste via TPP , hier wird pro Diensteanbieter gezählt.

D.h. nach 90 Tagen trifft es zufällig irgendein Kanal -wenn ich als Kunde nicht vorher freiwillig eine SCA gemacht habe.

Hier sehe ich auch einen Lösungsansatz für den Server. Mind. X Tage vor Ablauf muss am Frontend proaktiv eine SCA gemacht werden.

Wie man proaktiv eine SCA macht ist mir allerdings noch schleierhaft. Soweit wie ich weiß wird dafür in Bankeigenen Apps ein neuer privater GV verwendet.

Stimmt, da war ich nicht präzise genug. Der Zähler für mich als Kunde ist unabhängig von meinem genutzten Kanal. Hier gibt es nur einen Zähler, so wie für jeden TPP einen eigenen


Nicht zufällig, sondern den, den ich nach Ablauf der Ausnahme als erstes nutze.
Aber eine Möglichkeit zur freiwilligen SCA gibt es nicht. Die Bank hat beim Zugriff auf das Konto eine SCA zu verlangen. Da hat der Kunde keinen Einfluss drauf.

Hier sehe ich auch einen Lösungsansatz für den Server. Mind. X Tage vor Ablauf muss am Frontend proaktiv eine SCA gemacht werden.

Die Möglichkeit gibt es nicht. Das Thema wird allerdings tatsächlich heiß diskutiert. Bis sich die BaFin oder die EBA dazu abschliessend äußern, ist der Ausgang der Diskussion offen.
Wenn man sich aber die Vorgaben rein formal anschaut, habe ich da ganz große Zweifel, dass diese Option legal kommen wird. Es ist schon ein anderer Ansatz genau aus dem Grund gescheitert.

So etwas habe ich auch von den Volksbanken gehört. Die SCA wird damit natürlich vollständig ad absurdum geführt, bringt keinerlei zusätzliche Sicherheit und nur Ärger für den Anwender. Ein Angreifer der auf das Konto zugreifen will benötigt weiterhin nur die Online-Banking PIN, so lange der Kunde brav alle 90 Tage eine SCA macht (und damit den Angreifer auch noch unwissentlich unterstützt).

Doch, so etwas gibt es eigentlich schon seit HBCI 2.0 (vermutlich auch HBCI 1.0, aber das war vor meiner Zeit). Es nennt sich "Kundensystem-ID". Leider wurde die Kundensystem-ID von einigen Serverherstellern nie korrekt umgesetzt und in vielen Clients ebenso falsch behandelt. Dennoch muss man im Client auch bei PIN/TAN noch immer eine Synchronisierung der Kundensystem-ID durchführen, obwohl die Kundensystem-ID niemals wirklich genutzt wird.

Eine korrekte Implementierung würde das 90 Tage Zeitfenster an der Kombination Benutzerkennung + Kundensystem-ID festmachen.

Stimmt, die hatte ich ganz vergessen. Die würde sich dafür in der Tat eignen - wenn sie denn zuverlässig korrekt belegt wäre.

Ne, die würde sich - in der Form - nicht dafür eignen, da es hier keine starke Bindung gibt, die den Faktor Besitz repräsentieren kann.

Besser zumindest als bei Schlüsseldateien, welche noch einfacher kopiert werden können. Außerdem könnte man bei Browser Cookies ganz genauso argumentieren. Und als Konsequenz die Sicherheit gleich ganz aufgeben und statt dessen eine Fake-SCA durchzuführen ist auch nicht besser.

Letztendlich ist doch alles irgendwo Schwachsinn. Warum kann man nicht irgend ein TOKEN einführen, das nicht kopierbar ist, das meinetwegen an usb stcken oder per bluetooth gekoppekt sein muss, womit man dann login machen kann... und alle Banken werden verpflichtet, das genau so zu unterstützen. Ein Token für alle Bankverbindungen, fertig. Im Prinzip genau so wie bei EBICS...

Kurze Frage zum aktuellen Stand hinsichtlich PSD2 / SCA und Hibiscus:
Gibt es mittlerweile Schnittstellen zum Testen, so dass mit den nötigen Anpassungen zum Termin evtl. gerechnet werden kann, oder muss man sich schon mal drauf einstellen, dass die Wochen nach Einführung von SCA in Sachen Hibiscus erst mal nicht viel geht?

Du kannst mit einer SCA-fähigen Hibiscus-Version noch rechtzeitig vor dem Stichtag rechnen. Im Nightly-Build ist bereits erster Code enthalten. Siehe https://www.willuhn.de/blog/in…utzen.html
In den nächsten Tagen wird es auch eine erste Nightly-Build-Version geben, die SCA vollständig enthält.

Cool! Da bin ich ja mal gespannt, wie sich das mit den diversen Banken verhält. Habe hier eine SDV-, eine FI- und eine Fiducia-Bank im Angebot.