PSD2: Was haltet ihr von einer Petition, die Banken zwingt FinTS anzubieten?

  • Hallo zusammen,


    ich mag es Probleme an der Wurzel zu lösen. Ich selbst bin DKB-VISA-Geschädigter und leide darunter, dass das Konto in MG nicht mehr abrufbar ist.

    Ursache ist, dass MG einen Screenparser einsetzen muss, der dann wieder an der 2FA im Webbanking scheitert. Würde die DKB dieses Konto ebenfalls über FinTS öffnen hätten wir das Dilemma gar nicht.


    In meinen Augen stellt die Nutzung über die Bankingsoftware aber an sich schon einen sicheren Zugang dar. Ich fasse einmal meine Authentifizierungen zusammen:

    1. Aufruf der Datenbank (Besitz)
    2. Eingabe DB-Kennwort (Wissen)
    3. optional:
      1. Eingabe Kennwort Datentresor, wenn nicht hinterlegt (Wissen)
      2. Eingabe bankspezifischer Anmeldenamen und PINs (Wissen)
    4. hier lassen sich nun die Authentifizierungen der Banken auflisten
      1. ChipTAN
      2. PhotoTAN
      3. smsTAN/ mTAN
      4. HBCI-Chipkarte/Schlüsseldatei

    Im Falle der Screenparser werden in der letzten Authentifizierungsschleife selbstverständlich mindestens 2 Faktoren abgefragt, weil die Bank nicht unerscheidet ob über den Browser oder aus einer sicheren Software heraus angefragt.


    Man könnte nun versuchen die Banken in D (vermutlich wird auf die EU verwiesen) mittels einer Petition (und dann über ein Gesetz) dazu zu verpflichten grundsätzlich immer auch FinTS (als normierte Standardschnittstelle) anzubieten. Ich würde gerne mit Euch darüber diskutieren ob das die Lösung unseres Problems wäre und ob es für die Banken zumutbar wäre. Ich kann nicht abschätzen wie aufwändig das Implementieren und Betreiben einer FinTS-Schnittstelle für die Banken ist. Wir wollen ja auch die jungen FinTechs nicht durch einen FinTS-Zwang erwürgen. Wo liegen Chancen und Risiken?


    Die Lösung würde natürlich allen Banking-Softwaren helfen. Buhl würde allerdings ein gern vorgetragenes Kaufargument verlieren, weil die hohe Bankenverfügbarkeit via Screenparser dann entfällt (Punktekonten etc. sind ja nicht betroffen). Aber wenn man das ernst nimmt was hier immer geschrieben wird sind die Screenparser auch für Buhl mehr Fluch als Segen. Für mich überwiegt hier aber der Vorteil und die Weiterentwicklung.


    Feuer frei - ich freue mich auf Eure Beiträge!

  • Für die ING versucht das schon jemand:


    https://www.change.org/p/ing-d…king-nach-psd2-umstellung


    Ich bin kein Freund von nationalen Lösungen. Das sieht man schon an der girocard. Wenn, dann sollte man auf EU-Ebene PSD2 so erweitern, dass nicht nur Finanzdienstleister davon profitieren, sondern auch Lösungen für genau unseren Fall, den direkten Zugriff mit Finanzverwaltungsoftwareprodukten, zur Verfügung gestellt werden müssen.

  • FinTS ist ja eine, von der Bankenorganisation definierte, normierte Schnittstelle die im Betrieb mit der Chipkarte auch 2 Faktoren mit Besitz und Wissen unterstützt. Und das schon seit Jahren. Hinzu kommt das OS getrennte Kartenlesegerät (auch Besitz).

    ABER.

    Dies erfordert, abgesehen von der so gut wie nie verwendeten Implementierung von SECODER, immer auch noch zusätzliche SW, welche verhindert, dass der Kunde die Werbung auf der Homepage der Banken sieht/wahrnimmt.

    Und das ist ein großes Problem bei den Banken, denn die Können in dieser lagen Niedrigzinsphase ihre "Finanzprodukte" werblich so nicht schnell an den Kunden/in bringen.


    Ich bin auch für die Ausbreitung oder zumindes Beibehaltung von FinTS mit Chipkarte aber das wird den Kunden wohl Geld kosten.

  • Ich habe mir über die Jahre die Banken gesucht deren Rechenzentren zuverlässig laufen und welche die Online-Banking-Methoden anbieten welche ich nutzen möchte. Denn, eine Bank ist für mich ein reiner Zahlungsdienstleister, also das Rechenzentrum steht im Mittelpunkt.


    Und wenn die Banken bemerken, dass Kunden ausbleiben weil gewisse Online-Banking-Methoden nicht angeboten werden, wird sich das schon von selbst regeln.


    "Hängen geblieben" sind wir bei Banken welche als Rechenzentrum jenes der Fiducia nutzen. Das läuft am stabilsten und man hat seine Ruhe.

    Das Rechenzentrum welches von der Sparkasse in meiner Nähe genutzt wurde war die reinste Katastrophe, die Rate der Buchungsfehler war der Grund.

    Privatbanken meide ich, denn dort ist es zu "unruhig" und es gibt zu viele Änderungen, zu viele Experimente. Ist für stabiles Online-Banking zu aufwändig.

  • Hi Falk1

    Jetzt stellt auch die DKB HBCI/FinTS mit Chipkarte ein und zwingt die Kunden damit auf TAN2go oder PushTAN.


    Durch ein mir bislang unbekanntes Detail wurde meine Chipkarte während eines Kontorundrufs ungültig. Auf den Karten wird gezählt wie viele Transaktionen man durchgeführt hat. Die Höchstgrenze liegt bei 65.536 Transaktionen. Hört sich viel an - relativiert sich aber bei ~10 Konten und 15 Jahren regelmäßiger Nutzung.


    Soweit ich in diesem Internet gelesen machen das einige andere Banken aktuell auch. Allerdings bleibt der Service bei vielen Banken für Geschäftskunden ("Multibanking-Zugang") erhalten.


    Parallel habe ich bei Reiner SCT gelesen, dass dort für die Sparkassen ein neuer Chipkartenleser entwickelt wurde, der dann ähnlich wie die HBCI-Chipkartenleser funktioniert - nur halt mit der Debit-Karte. Also TAN-Generierung im Gerät und direkte Übermittlung an die Software. Zumindest habe ich das so verstanden.


    Wie ist Deine Meinung dazu? Hast Du eine Erklärung warum die Banken die Chipkarte loswerden wollen? PushTAN von DKB zwingt man ja auch auf deren Webseite zu gehen und mit dort irgendwelche Werbung anzusehen.

    • Offizieller Beitrag

    Die Höchstgrenze liegt bei 65.536 Transaktionen.

    Das war schon immer so und ist technisch bedingt. Ich habe mittlerweile die dritte oder vierte HBCI-Karte.


    Jetzt stellt auch die DKB HBCI/FinTS mit Chipkarte ein und zwingt die Kunden damit auf TAN2go oder PushTAN.

    Was hat das mit dem vorherigen Punkt zu tun?


    Soweit ich in diesem Internet gelesen machen das einige andere Banken aktuell auch. Allerdings bleibt der Service bei vielen Banken für Geschäftskunden ("Multibanking-Zugang") erhalten.

    Solange Du Deine HBCI-Karte bzw. den diesbezüglichen Vertrag, den man ja gesondert abgeschlossen hat, nicht kündigst, läuft das weiter. Du gehst zur Bank und beantragst eine neue Karte für 10€ Kostenbeteiligung. So zumindest ist das bei meiner Sparkasse.

  • o zumindest ist das bei meiner Sparkasse.

    Dann gehörst du zu den wenigen Glücklichen. Unsere Sparkasse hat es rigoros abgelehnt, eine neue Karte für den bestehenden Vertrag zu erstellen. Wir mussten wohl oder übel auf dieses umständliche Verfahren mit dem TAN-Generator umsteigen. Zumal man spätestens alle 90 Tage auch noch die BankingApp der Sparkasse für die neue Authorisierung aktivieren muss (auch wenn man sonst damit überhaupt nicht arbeitet).


    Nein - die Sparkassen und leider immer mehr andere Banken (zuletzt die DKB) wollen uns mit Macht auf ihre Webseiten zwingen und den Finanzprogrammen den Garaus machen. Nur noch das "Sternengeld" als Produkt aus dem Sparkassenverband findet Gnade vor den Augen dieser (fast auschließlich) Herren in Anzügen.

    • Offizieller Beitrag

    Zuletzt im August letzten Jahres. Dafür kann ich nicht zusätzlich den Zugang über die Homepage einrichten. Es geht dann halt nur entweder oder.

  • Nein - die Sparkassen und leider immer mehr andere Banken (zuletzt die DKB) wollen uns mit Macht auf ihre Webseiten zwingen und den Finanzprogrammen den Garaus machen.

    Du kannst doch sämtliche TAN-Verfahren der Sparkasse via FinTS mit WISO MG benutzen, ohne dass Du auf die Internetseite der Bank musst. Mit dem Verfahren chipTAN-USB kannst Du z.B. den Kartenleser von Reiner SCT (ggf. mit einem Update) in gewohnter Weise weiter nutzen. Nur, dass Du an Stelle der HBCI-Chipkarte die Bankcard nutzen musst.

  • Du kannst doch sämtliche TAN-Verfahren der Sparkasse via FinTS mit WISO MG benutzen, ohne dass Du auf die Internetseite der Bank musst.

    Das habe ich auch nicht behauptet. Aber es bleibt dabei, nach spätestens 90 Tagen verlangt jedes TANVerfahren bei den Sparkassen eine Authorisierung zwingend entweder über die Webseite oder über S-PushTAN-App (für Android und Apple verfügbar). Und schon die Pflicht, die Kontoauszüge über das Postfach auf der Webseite abholen zu mÜssen (Auszugsdrucker kostet 2 Euro pro Auszug!) und keine Möglichkeit, diese wie im Sternengeld über sein Programm abholen zu können, zwingt zu unnötigen Schritten (aber aus Sicht der Sparkasse nützlich, da man ja endlich auch einmal die vielen "schönen" Angebote der Sparkasse sieht.


    Nein - der Komfort der Chipkarte ist bei den Sparkassen endgültig weg (und kommt auch nicht wieder) und man muss sich mit weniger sicheren Verfahren herumplagen (denn der TAN-Generator der Sparkassen ist für ältere Leute wie uns eine Zumutung ob des geringen Kontrastes).


    Aber die Banken zwingen zu einem Standard, den es nur in Deutschland gibt (weil vom Bankenverband entwickelt)? Ich glaube, das werden wir in Europa nicht durchsetzen können. Und die XS2A-Schnittstelle wird für Privatprogramme sicher nicht generell freigegeben, sie kann ja auch wesentlich weniger als die Programme.

  • miwe4

    Ich habe die DKB ausdrücklich gebeten mir eine neue HBCI-Karte zuzuschicken - das wurde mit dem Hinweis auf die anderen TAN-Verfahren verweigert. Dem Mitarbeiter war auch die technische Transaktionsgrenze nicht bekannt und er schien selbst überrascht.


    Als die iTAN abgeschafft wurde musste ich zwischen ChipTAN und PushTAN entscheiden. HBCI mit Chipkarte lief die ganze Zeit immer parallel und nie alleine.


    Scheinbar haben sich die Beschwerden bei der DKB gehäuft, wie mir eine andere MItarbeiterin mitteilte. Ich finde die Abschaffung einfach nur unlogisch, da man den Dienst für Geschäftskunden vermutlich beibehalten wird. Da wird also keine IT abgebaut werden um Kosten zu sparen. Ich will aber nicht bei der DKB kündigen, da ich sonst zufrieden bin.


    Ich verstehe halt nicht warum man diesen Rückschritt macht. Es nutzt doch niemandem ein unsicheres Verfahren zu bedienen bzw. zu betreiben.

    • Offizieller Beitrag

    miwe4

    Ich habe die DKB ausdrücklich gebeten mir eine neue HBCI-Karte zuzuschicken - das wurde mit dem Hinweis auf die anderen TAN-Verfahren verweigert. Dem Mitarbeiter war auch die technische Transaktionsgrenze nicht bekannt und er schien selbst überrascht.


    Als die iTAN abgeschafft wurde musste ich zwischen ChipTAN und PushTAN entscheiden. HBCI mit Chipkarte lief die ganze Zeit immer parallel und nie alleine.

    Du hast doch eine vertragliche Vereinbarung zur HBCI-Card und die hat doch wohl bis heute niemand von deren Seite gekündigt. Also hast Du einen gültigen Vertrag, somit hartnäckig bleiben.


    Auch bei der Sparkasse kennen die HBCI-Card die wenigsten Mitarbeiter und erzählen einem im Zweifel sonst etwas.


    Wie gesagt, Du hast einen Vertrag, bestehe auf dessen Erfüllung. Also den Vertrag einfach mal heraussuchen.

  • Du hast doch eine vertragliche Vereinbarung zur HBCI-Card und die hat doch wohl bis heute niemand von deren Seite gekündigt. Also hast Du einen gültigen Vertrag, somit hartnäckig bleiben.

    Du vergisst die AGB der Banken - im Zweifel sind sie stärker und ich habe keine Lust, mich deswegen vor Gericht bis hin zum BGH zu streiten. Da wechsele ich eben die Bank - ist wesentlich nervenschonender. Ausserdem - wenn du letztes Jahr ein neue Karte bekommen hast (hatte ich selber auch), heisst das noch lange nicht, dass sie dies auch noch dieses Jahr machen würden.

    Pacta sunt servanda - richtig, aber da gibt es immer das Kleingedruckte.