Umsetzung EU Richtlinie PSD2

  • Guten Morgen,


    Ich nutze aktuell HCBI mit Schlüsseldatei als Zugang für meine Konten.

    Super komfortabel, und für mich ausreichend sicher Dank USB Stick.


    Hat jemand eine Idee, ob das nach der neuen tollen EU Richtlinie so bleiben wird? Ab September wird sich da ja wohl was ändern, in Richtung Zwei Faktor Authentifizierung o.Ä.


    Liebe Grüße

    • Offizieller Beitrag

    Hat jemand eine Idee, ob das nach der neuen tollen EU Richtlinie so bleiben wird? Ab September wird sich da ja wohl was ändern, in Richtung Zwei Faktor Authentifizierung o.Ä.

    Das hängt von der Bank ab. In Mein Geld wurde die FinTS-Schnittstelle meines Wissens nach für PSD2 erweitert (2FA, Client-Kennung). Das ist nämlich möglich.

    Aber die ING-DiBa z.B. kocht da schon ihr eigenes Süppchen. Vgl.:

    ING-Diba stellt um

    https://www.finanz-szene.de/di…eigene-psd2-welt-schafft/

  • Interessant, ich hoffe nicht dass eine Umstellung nötig ist, die Genossenschaftsbank war da bisher sehr komfortabel, wenn ich mir die Sparkasse anschaue wo bei jeder Überweisung erstmal das Handy ausgepackt werden muss um eine TAN zu bekommen und die dann wieder abzutippen, nein danke!

  • Interessant, ich hoffe nicht dass eine Umstellung nötig ist, die Genossenschaftsbank war da bisher sehr komfortabel, wenn ich mir die Sparkasse anschaue wo bei jeder Überweisung erstmal das Handy ausgepackt werden muss um eine TAN zu bekommen und die dann wieder abzutippen, nein danke!

    Brauche ich nicht. Ich habe eine Chipkarte und einen Kartenleser. Das ist eben immer vom gewählten Verfahren abhängig.


    Falk

  • aber wenn du rdp wegen Schwachstellen nicht nutzt dann musst du aufhören im Internet zu sein.

    Es gibt keine Software die frei von Fehlern ist. Die Frage ist nur wie schnell die behoben werden.

    Und da ist die Wahrscheinlichkeit bei Microsoft relativ hoch.


    Aber ich hoffe das die ING noch einknickt und eine Lösung anbietet. Wenn ich die Wahl zwischen Mein Geld 365 und der ING habe dann nehme ich ganz klar das Mein Geld 365. Ich will bei Bankgeschäften nicht online sein. Das wird ganz safe offline gemacht und ausgewertet.

  • Und was hat die XS2A-Schnittstelle (für Drittanbieter, nicht für Bankkunden!) mit dem Zugriff via Onlinebanking oder noch sicherer via HBCI FinTS zu tun? Rein überhaupt nichts! Du wirfst zwei völlig unterschiedliche Sachverhalte in einen Topf. XS2A lässt nur relativ wenig Vorgänge zu, während du über Onlinebanking, noch besser HBCI FinTS umfangsreiche Möglichkeiten hast und direkt auf den Bankserver zugreifst, nicht über Drittanbieter!

  • Also ich werfe sicherlich gar nichts in einen Topf. Ich verweise lediglich auf einen Artikel der versucht zu beschreiben, wo der Schuh für uns einfache Bankkunden und Kunden von Drittanbieter drückt. Da hier hier so mancher Frust im Forum besteht und manchmal auch Unverständnis darüber besteht und den schwarzen Peter bei Buhl sehen möchte, war meine Intention ,auf diesen Artikel aufmerksam zu machen, in der Hoffnung damit ein wenig zur Aufklärung beitragen zu können.

    Wenn Du meinst, dass inhaltliche Fehler in diesem Artikel sind, dann bitte ich dich um Aufklärung. Schließlich bin ich ,wie viele andere User hier auch, kein Software-Experte. Mich interessieren eigentlich die Definitionen von XS2A nicht sonderlich. Trotzdem mache ich mir die Mühe es zu verstehen.

    So lese ich etwa im folgenden Artikel, dass XS2A ein Teil der PSD2 darstellt und wohl irgendwie für den Kontozugang wichtig ist.

    https://www.it-finanzmagazin.de/psd2-api-psm-sca-xs2a-81703/



    Da ich z.B. ein Konto bei der DKB habe und bekannterweise dort von WMG als Drittanbieter zur Zeit keine Kreditkartenumsätze abrufen kann, frage ich mich natürlich, warum manche Banken es Drittanbieter so schwer machen, obwohl ausdrücklich die PSD2 dafür sorgen sollte, dass "Inovationen" gefördert werden sollte, also der Zugang für Buhl möglich sein sollte. Der Artikel fragt doch zurecht, ob die PSD2 teilweise dazu genutzt wird , sich unliebsame Konkurrenz vom Halse zu halten.

    Also bitte nochmals genauer darstellen, was an dem Artikel inhaltlich falsch sein soll. Was sollen die zwei unterschiedliche Sachverhalte sein ?

  • Da ich z.B. ein Konto bei der DKB habe und bekannterweise dort von WMG als Drittanbieter zur Zeit keine Kreditkartenumsätze abrufen kann,

    Wie kommst du auf die Idee, dass Wiso Mein Geld ein Drittanbieter sei? Drittanbieter sind andere Banken, FinTechs, Depotbanken etc. und diese müssen nach PSD2 zwingend bei der Bafin registriert werden. Mein Geld ist ein Programm (du bekommst keinerlei Finanzdienste über Mein Geld!), das über die definierten Schnittstelle HBCI FinTS bzw. via Screenscraper direkt auf die Server der Banken zugreift und Buhl als Vertreiber von Mein Geld keinen Zugriff auf deine Daten hat.

    Daher hat ein Verweis auf Probleme von Finanzdienstleistern (was du als vermeintlich guten Hinweis siehst) keinerlei Belang für Finanzprogramme, unabhängig ob dies Mein Geld, Sternegeld oder andere sind!

    Du hast einfach noch nicht verstanden.

  • Aus Anwendersicht ist Mein Geld, bzw Buhl meines Erachtens schon ein Drittanbieter: Ich (1) möchte von der Bank (2) meine Kontodaten abrufen und nehme dazu die Dienste eines dritten, hier in Form einer HBCI-Software (3), in Anspruch.


    Dass MG kein Drittanbieter im Sinne von PSD2 ist, da es die Daten ja direkt von der Bank auf meinen Rechner abruft, ohne das der Hersteller die zu Gesicht bekommt, ist natürlich völlig richtig. Bei den "neuen" PSD2-Schnittstellen (XS2A) sähe obige Situation ja so aus:


    Ich (1) möchte von der Bank (2) meine Daten abrufen und beauftrage dazu einen dritten (3), die Daten vom System der Bank auf seine Systeme abzurufen, wo er die dann noch analysieren und auswerten kann, damit er wiederum mir die Daten dann wie auch immer, zum Beispiel über eine Software, zur Verfügung stellt (4).


    Wenn schon - wie in dem Artikel beschrieben - bei den "neuen" Zugängen der Eindruck entsteht, die Banken würden die Softwarehersteller (oder eben genereller "Drittanbieter") gängeln, sehe ich da auch eine parallele zu den verschiedenen Zugängen per Screenscraper. Gerade bei Banken, die ja für Ihre Girokonten offenbar einen funktionierenden FinTS/HBCI Zugang anbieten...

  • Ich (1) möchte von der Bank (2) meine Daten abrufen und beauftrage dazu einen dritten (3), die Daten vom System der Bank auf seine Systeme abzurufen, wo er die dann noch analysieren und auswerten kann, damit er wiederum mir die Daten dann wie auch immer, zum Beispiel über eine Software, zur Verfügung stellt (4).

    Das ist die Theorie. Die Frage ist nur, ob wirklich jeder Kunde will, dass seine Daten über den - zwar zertifizierten - Server eines Dritten laufen, wenn es doch bisher möglich war mittels seiner Software ohne Umwege direkt mit seiner Bank zu kommunizieren.

  • Wie kommst du auf die Idee, dass Wiso Mein Geld ein Drittanbieter sei? Drittanbieter sind andere Banken, FinTechs, Depotbanken etc. und diese müssen nach PSD2 zwingend bei der Bafin registriert werden.

    Buhl ist nicht bei der Bafin registriert, sondern steht zwangsweise unter der Aufsicht der Bafin ! Darüber hat Buhl bereits seine Kunden im Sommer informiert. Du kannst einfach bei der Bafin selber schauen:

    https://portal.mvp.bafin.de/da…nfo/zahlinst.do?id=153789


    Buhl gilt mit WMG bei der Bafin als sogenannter Kontoinformationsdienstleister und Zahlungsauslösedienstleister. Also ein Drittanbieter !


    Auch die Bundesbank erklärt dies sehr gut :

    https://www.bundesbank.de/de/a…sverkehr/psd2/psd2-775434

  • Buhl gilt mit WMG bei der Bafin als sogenannter Kontoinformationsdienstleister und Zahlungsauslösedienstleister. Also ein Drittanbieter !

    Das ist Unsinn. WMG ist kein Dienst und Buhl somit hierfür auch kein Dienstleister. Wenn das anders wäre, wären diverse Produkte anderer Anbieter illegal, da diese Hersteller nämlich nicht bei der Bafin gelistet sind. Produkte wie finanzblick sind ein Dienst und werden entsprechend durch die Bafin kontrolliert.

  • Fakt ist :Kontoinformationsdienste und Zahlungsaulösedienste sind regulierungspflichtig.

    Ich spreche hier nicht von Finanzdienstleistung. Das ist was anderes.


    Warum dies für Finanzblick von Buhl gelten soll, aber nicht für WMG aus dem Hause Buhl, erschließt sich für mich als NIchtprogrammierer auf den ersten Blick tatsächlich nicht. Beides ist für mich eine Software die bei meinem Zahlungsdienstleister (z.B. DKB) meinen Kontostand abfragen als auch Überweisungen auslösen kann.


    Bitte mal genauer erklären, ich möchte das gerne nachvollziehen.

  • Kann ich mir nur wie folgt erklären:


    Z.B. greift HBCi /FinTS mit Chipkarte über normiertes Protokoll aus der SW direkt auf die IT der Bank/Zahlungdienstleister zurück. Ebenso ein Screenparser der ja im Grunde genommen einen menschlichen User simuliert (Lesen und interpretieren von HTML-Code). Es wird kein weiterer "Dienstleister" wie PayPal oder Sofortüberweisung oder KLARNA oder andere dazwischengeschaltet. MG arbeitet direkt mit Deiner Bank.


    Da ich Finanzblick nicht nutze kann ich das auch niucht beurteilen.

  • Warum dies für Finanzblick von Buhl gelten soll, aber nicht für WMG aus dem Hause Buhl, erschließt sich für mich als NIchtprogrammierer auf den ersten Blick tatsächlich nicht. Beides ist für mich eine Software die bei meinem Zahlungsdienstleister (z.B. DKB) meinen Kontostand abfragen als auch Überweisungen auslösen kann.

    Das ist ganz einfach, WMG läuft lokal auf deinem Rechner und Buhl hat keinerlei Zugriff, Finanzblick läuft auf einem Server und somit haben dort potentiell Mitarbeiter Zugriff. Genau das reguliert die Bafin, die sollen dafür sorgen, dass diese Daten immer sicher sind. Das ist wie eine Autovermietung, WMG ist wie nur ein Auto mieten, nur du als Fahrer bist verantwortlich, Finanzblick ist ein Auto mit Chauffeur, d.h. der Anbieter ist für das Fahren verantwortlich. Was nicht heißen soll, dass finanzblick komfortabler wäre 8o