FS241 Nackedei in der Lederhülle

Segeln — iPad Pro — Das PSD2-Drama — Russen im Apple Store — Podcasts hören — Publishing Software — Scheitern als Chance

In kleiner Runde kommen wir zusammen und hukl und Letty berichten von ihrem jüngsten Segeltörn. Im Anschluss stimmen wir zum großen PSD2-Rant an, bei dem wir mal alles zusammentragen, was in den letzten Wochen und Jahren so an Unbill an deutsche Kontoinhaber zugekommen ist. Tim vertut sich dann noch ein wenig in der Zeit und wir sinnieren über Startups und Failkultur.

Dauer: 3:29:11

On Air
avatar Tim Pritlove Bitcoin Icon Amazon Wishlist Icon Liberapay Icon SEPA-Überweisung via Online-Banking-Software Icon Paypal Icon
avatar Letty Lettys Wunschliste Icon
avatar hukl Thomann Wishlist Icon Amazon Wishlist Icon Bitcoin Icon
Support
avatar Rainer Bitcoin Icon
avatar Studio Link On Air
Shownotes:

59 Gedanken zu „FS241 Nackedei in der Lederhülle

  1. Bzgl. Russen im Apple-Store: Mir ist vor einer Weile mal genau das gleiche aufgefallen, in dem Kudamm-Laden, ohne das es da gerade neue Sachen gab. Ich glaube, in dem Kiez ist einfach die “wohlhabende Russen”-Dichte generell recht hoch (aber die Exporteure gibt’s sicher auch).

  2. Vielen Dank für die großartige Show, besonders den Segelpart! Zu den Banken: Sich kostenlos Girokonten im Web klicken gibt es übrigens bei der DKB in der Verwalterplattform. Ist allerdings offiziell für Vermieter gedacht.‬

  3. Meine Lieblings-App für geteilte Ausgaben: Splittr
    Finde ich super und es würde mich mal interessieren, wie die im Vergleich zu Splid abschneidet.

  4. Danke für den Rant des Jahres. ;-) Ich rante mal mit.

    So einen Waschlappen-Button wünsch ich mir auch ganz fest, was die da ausgerollt haben, ist echt nicht mehr feierlich. Und ich finde auch die Lügen einfach unglaublich. DKB behauptet einfach so, daß SMS-TAN nicht mehr gemacht werden darf laut Richtlinie, aber das ist deren eigene Entscheidung (andere Banken machen es auch weiterhin) – sie wollen es nur nicht. Nein, man muß diese dumme Tan2Go-App benutzen…
    Und da war ich mal vorbildlich und habe es nicht auf den letzten 3 Tagen gemacht, sondern den Mist schon vor 2-3 Monaten eingerichtet gehabt. Hat “toll” funktioniert. Und ja, es ist super, daß man ein Passwort eingeben muß, um an eine TAN zu kommen. Da bin ich gleich das 2. Mal drüber gestolpert, daß ich mich bei dem Passwort ersteinmal selber ausgesperrt hatte und ein Anruf erfolgen mußte… Naja, es ging dann. Bis zum denkwürdigen Tag…
    Jetzt geht die Tan2Go-App auf dem Handy nicht mehr, ja warum sollte sie auch, die stürzt einfach so ab mit Button auf eine Webseite, wo dann als ein möglicher Grund steht, daß das Handy gerootet sein könnte… ja (jetzt einmal den Waschlappen bitte!) natürlich ist mein Handy gerootet. Es ist ein über 6 Jahre altes Samsung S4, was von Samsung bei Android 4.2 stehen geblieben ist, also kurz nach Urschleim. Da habe ich jahrelang Cyanogenmod für 4.4.4 (das ging noch einfach damals), dann später mittels TWRP und Bootloader-Austausch dann Android und jetzt seit etwas mehr als einem Jahr dann Android 8.1 (jetzt unter dem Projekt LineageOS, aber ist ja egal). Ich versuche also mein Handy auf einem möglichst aktuellen Stand zu halten, und bekomme jetzt den Arschtritt, weil ein gerootetes Handy ja nicht sicher sei für ne verkackte TAN? Ja, mir ist klar, daß ich dann über irgendeinen MITM theoretisch anfällig für die Kack Login-TAN wäre, aber kommt mal wieder runter auf den Teppich?!? Und – das ist erst seit einem App-Update irgendwann in den letzten Monaten passiert, vorher ging das. Auch die Versuche mit Apps wie Magisk den Rootzustand zu verbergen, scheitert… die DKB-App erkennt es scheinbar trotzdem. Ich werde jetzt bestimmt nicht xx weitere Stunden hier herumprobieren, um diese doofe App wieder zum Laufen zu bekommen. Hotline-Anruf Nummer 2 gab auch nichts weiter außer “nein das ist nicht sicher, blaffasel” und “Haben Sie nicht noch ein Tablet?”
    Gehen die wirklich davon aus, daß jeder XX Geräte ständig neu kauft oder sonst noch bereit stehen hat, damit die einen total verkackten Zugriff zu gewährleisten?
    Und wie viele Apps soll man nun für manche Banken installieren? Und wo ist das dann ein zweiter Faktor, wenn es auf dem gleichen Handy wie die Banking-App ist? Wenn es – wie wir es machen – eine separate PC-Software ist, ist so eine Tan-App ja toll und ein 2. Faktor, aber doch nicht, wenn “MobileFirst” alles per Handy passieren soll.
    Ich werde nun auf Chip-TAN wechseln… mal sehen, wie die Arie weiter geht. Es ist ja zum Glück kein wichtiges Konto… wenn ich jetzt wochenlang vom Hauptkonto ausgesperrt wäre, könnte das noch richtig unangenehm werden….

    VISA und “verified by Visa” und das MasterCard-Pendant waren auch immer großartig… einmal bin ich bei VISA da reingefallen (ist schon 2-3 Jahre her), als ein Shop das verlangt hatte, weil das ja dann so sicher wäre… Nun fragte mich die Mini-Loginmaske nun nach irgendwelchen Passwörtern… 3 Versuche, deng, gesperrt… Das System war gar nicht eingerichtet für meine VISA-Karte, da kann es auch nicht funktionieren. Aber das war dem Shop ja dann egal, er wollte es trotzdem… Ich Wenn ich das Logo für Verified… jetzt sehe, bestell ich gleich woanders. Und dann wundern sich die Shops, daß Amazon so groß ist/wird?
    Oder die Banken wundern sich, daß es Paypal gibt?

    Die Packstation hat letztens auch was umgestellt, so daß ich nun immer 2 Mails bekomme… eine mit der Packstation 0815 in Straße am Sowieso hat ein Paket für Sie – und eine mit der mTAN, die früher per SMS kam. Wo ist denn das ein 2. Faktor? Aber ja, die Woche erst mit einer Frau vor der Packstation gesprochen, wo die 2. Mail wohl verloren gegangen ist und sie nach einer TAN gefragt wurde, die sie nicht hatte… Oder jetzt ganz leicht per App, siewissenschon. Nein, ich bin zwar Packstationsdauernutzer, aber ich installiere echt nicht für jeden Mist eine App, Kommt mal klar. Mit einem falschen 2. Faktor können sie das auch wieder sein lassen… Oder generell in der Verwaltungszentrale irgendwo einen Haken machen, daß man das abschalten kann. Ich fall nicht auf Fishing rein, mir würde ein normaler PIN-Login wie vor 10 Jahren reichen. Den 1. Faktor mit der Magnetstreifenkarte haben sie ja schon wegoptimiert, weil es jetzt welche mit Scancode zum davorhalten gibt (hab ich noch nicht), also tipp ich jetzt meine Packstationsnummer manuell ein. Also 2x 0,5 Faktor oder wie soll man das jetzt nennen?

    So ‘ne andere Tagesgeld-Bank wollte – wegens der Sicherheit wissenschon – auch gar kein HBCI (wär schön, wenn man das vorher gewusst hätte), weil sie von vorne herein 2 Faktor wollte – vor Jahren schon. Der 2. Faktor waren 3 feste Frage-Antwort-Spiele im Stil von “Der Mädchenname ihrer Mutter”, “Geburtsort des Vaters” und noch irgendwas. Feste Fragen, da kann ich nicht mal falsch antworten. Und beim Login über die Webseite dann wurde nach der PIN immer diese Frage gestellt. Nur war es dann jedes Mal die gleiche Frage. W T F.
    Gewollt und nicht gekonnt.
    Naja, gibt nun eh keine Zinsen mehr.

  5. Bei dem Banking-Rant kann ich mich natürlich nur anschließen… aber um mal etwas Positives zu dem Thema beizutragen:
    Es gibt tatsächlich eine Bank, die mir ein bisschen Hoffnung für die Zukunft gibt. Monzo, ein Startup aus London. https://monzo.com
    Bisher sie leider nur UK-Residents als Kunden zu, aber sie haben für ihre kurze Zeit am Markt schon einen beträchtlichen und allem Anschein nach sehr zufriedenen Kundenstamm.
    Sie sind zu nicht unerheblichem Teil per Crowdinvesting (leider auch nur für UKler möglich) finanziert, das wahnsinnig schnell zusammen kam und dass auch die Köpfe dahinter nicht vollkommen verkehrt sind vermute ich, denn ich einen der Gründer habe ich zufällig vor einer halben Ewigkeit mal persönlich kennen gelernt und der Rest der Leute wirkt ebenfalls jung und kompetent.
    Abgesehen von meinem oberflächlichen Eindruck, spricht für sie zum Beispiel eine offene API und freie Developer-Community. Aber auch viele Standard-Banking-Funktionen scheinen bestmöglich umgesetzt zu sein und ein “Bill-splitting”-Feature sowie die Möglichkeit, verschiedenene Spartöpfe anzulegen gibt es auch schon von Haus aus. Abgesehen davon gibt natürlich schon alleine die Website ein sehr viel besseres Bild ab, als die der Banken, auf denen ich mich täglich herumquälen muss. Ihren Youtube-Kanal kann man sich auch mal geben: https://www.youtube.com/channel/UCNDTPIw62jC_qxtgje-b28g/
    Also… vielleicht wird das ja mal was hierzulande. Meinetwegen auch gerne von irgendeiner anderen Bank, hauptsache es tut sich was.

  6. Kurzer Addon zum PSD2 Rant… bei der Consorsbank hat man sich auch dazu entschieden das Einfügen von TANs per Copy-Paste z.B. aus iMessage zu verbieten! *arg*

  7. Hey Tim,

    du sagst im PSD2 Kapitel, dass die TAN für Kreditkartenzahlungen verschwunden ist. Ich bin ein wenig verwundert, weil ich – und sicher auch viele andere Entwickler – den Großteil des Augusts damit beschäftigt waren, unsere Payment APIs umzubauen, dass sie Strong Customer Authentication (https://en.m.wikipedia.org/wiki/Strong_customer_authentication) unterstützen.

    Also die SMS Tan (wie vorher mit „verified by Visa“)oder eine Push Nachricht aus der Banking App mit anschließendem Touch ID in der App sind die Möglichkeiten, die unser Zahlungsdienstleister (Stripe) in seinen Test APIs anbietet.

    Also, zumindest theoretisch sollte mit der PSD2 mehr Sicherheit in die Kreditkartenzahlungen einfließen, in der realen Welt sehe ich bisher – nach etwa 14 Tagen – noch keine großen Auswirkungen

    • Ich bin auch seit einiger Zeit bung Nutzer. Dort sind 25 echte Konten, also eigenständige Konten mit eigener IBAN, im Paket inklusive. Gegen kleine Gebühr gehen sogar mehr.
      bunq unterstützt in MoneyMoney übrigens auch den automatisierten Download der Kontoauszüge. Und Apple Pay gibts auch.
      Und es gibt ein API von bunq mit einer für jeden zugänglichen Sandbox zum testen.

    • Der Vorteil von bunq (https://www.bunq.com/de/) ist auch das man neben den 25 Konten auch virtuelle Kreditkarten neben den 3 physischen Kreditkarten bekommen kann und den CVC-Code kann für beide Typen automatisch neu erstellen lassen alle 5 Minuten oder manuell neu generieren oder auch fix lassen kann.

      Und auch ein praktisches Feature von bunq ist Zinsen bekommen. Ist zwar nicht viel, aber besser wie nix!

      Das bunq-Konto kostet in dieser Form allerdings Geld, aber man kann sich auch mit anderen zusammen tun und in einem bunq-Pack kann man dann 1 Buisness-Konto und drei Privat-Konten für 20€ bezahlen.

      Was HBCI angeht, glaube ich eher nicht, dass das geht, aber bunq kann FinTS und das funktioniert soweit ganz fluffig.
      Für die API kann man sich verschiedene OAuth-Tokens erstellen für verschiedene Zwecke.

    • bunq ist cool, das hatte ich vor längerem auch schon mal im Slack empfohlen. Tim hatte dann abgewunken, weil die als niederländische Bank kein FinTS anbieten, allerdings hat bunq eine eigene, für Kunden offene JSON-API, die von Apps wie MoneyMoney oder Banking4 auch implementiert wurde.

      Definitiv sehr nerd-freundlich, von der SCA ist noch wenig zu merken (imho tatsächlich zu wenig um sie korrekt implementiert zu haben). Aber 25 Konten auf Zuruf, 3 flexibel zuordenbare Karten, SDKs für diverse Sprachen, OAuth, … Für das Geschäftskonto gibt es jetzt auch die Möglichkeit den Kontoauszug automatisch per Mail zu verschicken (theoretisch wäre das vmtl. auch via Banking-App machbar, die API kann das). Auch interessant: Lastschriften behandelt bunq als Opt-In, wenn man sie nicht bestätigt werden sie automatisiert zurückgegeben (Händler-Whitelisting möglich). bunq ist auch kein Venture Capital-aufgepumptes Startup wie andere Fintechs sondern bisher allein vom Gründer Ali Niknam getragen.
      (Nein, ich werde nicht von bunq bezahllt ;) )

    • Habe auch seit etwa einem Jahr bunq und bin ganz zufrieden (die API-Berechtigungen könnten etwas feingranularer sein). Ansonsten ist das einfache anlegen von Konten —auch gemeinsame — ziemlich gut, außerdem kann man festlegen, wie sein Geld angelegt werden soll. Outbank, MoneyMoney läuft über die API (Überweisungen noch nicht getestet). Mit der NL-IBAN kommen mittlerweile auch fast alle klar. 5€/Monat sind natürlich > 0, dafür ist man dann aber auch Kunde und nicht das Produkt…

  8. Noch einen Hinweis zu dem Thema „iPhone neu aufsetzen“. Selbst aus einem verschlüsselten Backup ist die Legitimation der diversen TAN-Generator-Apps weg und wenn man die nur einmal hat, kommt man an sein Konto nicht mehr ran. Zuvor auch diese Apps auf‘s iPad. Damit können dann die Apps auf dem iPad wieder legitimiert werden. Ansonsten braucht man Post von der Bank.

  9. PSD2
    OK, was aber nicht lustig ist: meine Kolleginnen und Kollegen an der Kundenhotline mit bescheuerter Klugscheißerei nerven. Bitte nicht mehr machen, Danke.

    • Hotline-Mitarbeiter sind nun einmal die armen Schweine an vorderster Front und kriegen den Shitstorm ab… ich nehme mir oft noch die Zeit und sage auch “Sie persönlich können nichts dafür, aber ich bin gerade stinksauer und es ist ja auch in Ihrem eigenen Interesse, meine Beschwerde mit entsprechendem Nachdruck weiter zu geben, damit sich etwas ändert und ich nicht nochmal mit der gleichen Laune anrufen zu müssen”….

  10. Affinity Publisher Manual:
    Fortsetzen von Text per AutoFlow in mehreren neuen Textrahmen:
    Klicken Sie in der rechten unteren Ecke des übergelaufenen Textrahmens mit gedrückter – auf das Symbol “Textfluss”.
    Textrahmen mit den gleichen Abmessungen und Eigenschaften werden nun so lange auf neuen Seiten erstellt, bis kein Textüberlauf mehr vorhanden ist.

    Da legt er dir lustig neue Seiten an…

    https://affinity.help/publisher/de.lproj/index.html?page=pages/Text/flowingText.html?title=Textfluss%20in%20Rahmen

  11. Warum redet ihr eigentlich immer im Präteritum von Framemaker?
    Bei uns an der Uni gibt es ein Institut, da nutzen alle Mitarbeiter immer noch Framemaker für alles mögliche.

  12. PSD2. Das ich nicht lache. Bei einem meiner comdirect Konten hat sich die Fototan APP scheinbar verabschiedet. Wenn ich die Grafik nach dem Login Scannen möchte kommt der Fehler: Es ist ein Fehler aufgetreten, bitte führen sie die Aktivierung in ihrem Kundenbereich erneut durch.

    Und wie komme ich in den Kundenbereich? Richtig! Mit Phototan, die nicht funktioniert. Jetzt sitze ich hier mit dem tollen “Aktivierungsbrief” und kann es auch nicht neu einrichten, weil ich selbstverständlich die zweite Grafik im Onlinebanking nicht Scannen kann.

    Well done. Well done. Die APP funktionierte übrigens über Monate Problemlos. Dieser Fehler trat erst neu auf.

    Outbank kann nun übrigens die Fototan Grafik auch an die Watch schicken. Damit kann man die APP auch wieder nutzen. Wenns denn geht….

    • So, nun nach der Rücksprache mit der Kundenhotline habe ich nun neue Aktivierungsbriefe beantragen müssen, da die alten nicht mehr den Richtlinien entsprechen. Hab dann direkt für beide Konten den Brief bestellt.

      Ergebnis: Es wurden alle(!!!) Tan Verfahren gelöscht. Bis die Briefe da sind und ich das neu aktiviert hab, habe ich keinen Zugriff mehr auf meine Konten. Nichtmal mehr lesend. Ich brech zusammen.

  13. zum Publisher:
    mit einem SHIFT-Klick erzeugt man automatisch Seiten mit Textrahmen für den Übersatztext.

    Ein Hinweis auf Affinitys Studio-Link wäre noch schön gewesen.
    Publisher – Photo – Designer — das flutscht einfach alles.

    Danke für die tollen Shows.

  14. @0:44:40 Der Laden heißt übrigens seit ca. einem Jahr nur noch ING, gesprochen in einzelnen Buchstaben, so wie der niederländische Mutterkonzern, das DiBa entfällt.

    • Jein – die haben ihre URL geändert und ihr Logo und ihr gesamtes Marketing, aber der “legal name” ist immer noch der alte – siehe z.B. das Impressum auf der Webseite.

  15. Der Banken-Rant ist besser als der legendäre Kalender Rant! So was von berechtigt.

    Nur: Wer hat die Hoffnung dass diese Branche zuhört? Und handelt!

  16. Meine Bank hat zum Glück auf Kritik reagiert:
    Zunächst musste man eine TAN eingeben, um die Umsätze anzeigen zu lassen… angeblich weil man man mehr als 90 Tage in die Vergangenheit gehen wolle, für einen kürzeren Überblick brauche man keine TAN, es gab aber keine Chance, den Auswertungszeitraum einzugrenzen.
    Und besonders nett: in einer laufenden Sitzung musste man JEDESMAL eine TAN eingeben, sobald man die Umsatzübersicht aufrufen wollte….
    Meine Wutrede an den Support hatte ich schon fertig ausformuliert und wollte zum Hörer greifen… plötzlich klappt es wieder ganz bequem und ohne TAN :-D :-D

  17. Zur PSD2:

    Das mit der SCA bei Kreditkartenzahlungen kommt noch, die Händler*innen haben nur die Deadlines nicht hinbekommen. Bisher gibt es noch keine neue Deadline, das wird aber kommen. Die Technik dafür ist „3D Secure v2“ eine neue, deutlich weniger phishy wirkende, „frictionless“ Version von „3D Secure“ (aka „Verified by Visa“/„MasterCard SecureCode“).

    Bei der SCA beim Online-Banking gibt es verschiedene Strategien, die DKB nutzt bspw. die 90-Tage-Ausnahme für Kontoinformationen nicht mit der Begründung, dass sie wollen, dass die Kund*innen wissen, wann eine TAN verlangt wird, und das nicht erratisch passiert. (Quelle: Payment & Banking Podcast https://paymentandbanking.com/sca-und-seine-anforderungen/) Das ist ein Argument, auch wenn ich das gegenüber der Nervigkeit weniger gewichtig finde.

    Es gibt übrigens einen Fall, bei dem trotz der 90-Tage-Frist eine TAN für die Umsatzabfrage notwendig ist: Wenn Umsätze abgefragt werden, die älter als 90 Tage sind, muss _immer_ eine TAN abgefragt werden. Auch das ist ein Grund für Banken, die 90 Tage-Ausnahme nicht zu benutzen, damit nicht eine TAN-Abfrage kommt, wenn der*die Kund*in durch die Umsätze scrollt und bei 90 Tagen ankommt.

    Bei der „XS2A“-Schnittstelle („Acces to Account“ [sic!]), also der Drittanbieter-Schnittstelle ist eine Sandbox übrigens vorgeschrieben, dass es das für HBCI nicht gibt ist schon eher traurig (und eine Zumutung für HBCI-Client-Entwickler*innen, die leisten alle bemerkenswerte Arbeit). An den XS2A-Schnittstellen wird aber auch noch dran gebastelt, das scheint auch von Bankenseite noch nicht zu funktionieren.

    EBICS gibt es je nach Bank übrigens für einen 1- bis 2-stelligen Betrag pro Monat, plus Einrichtungsgebühr, also nicht nur was für VW, aber eher was für Unternehmen. (Kann auch so fancy shit wie verteile Autorisierung von Transaktionen, für die Vereinsarbeit wäre das cool, leider zu teuer). Ist afaik übrigens für alle Banken, die Mitglied der Deutschen Kreditwirtschaft und Teilnehmer am DFÜ-Abkommen sind Pflicht das anzubieten, wenn auch zu einem unbestimmten Preis.

    Zum TAN-App-Chaos: Eigentlich gibt es da ja auch Standards… Die bei den vielen Banken (u.A. Sparkassen uns Genobanken) üblichen „chipTAN“ oder „sm@rtTAN“ genannten Generatoren mit Girocard beruhen auf einem Standard der Deutschen Kreditwirtschaft (ex ZKA), dem „ZKA-TAN-Generator“. Davon gibt es dann noch ein paar Varianten bei denen die selben Daten entweder klassische per Flickercode oder neuerdings komfortabler auch per USB/Bluetooth, QR-Code oder in so einem proprietären bunten Code (auch für andere Verfahren verwendet) übertragen wird. Wenn sich wenigstens alle deutschen Banken einigen könnten das zu verwenden…

    Zu der Äußerung, dass es Unsinnig sei, nach dem Login für eine Transaktion eine weitere PIN zu verlangen: Imho ist der Fehler da ein anderer. Für die Transaktion sollte auf jeden Fall eine TAN verlangt werden (solange keine Ausnahme gilt), da die TAN ja auch der Fälschungssicherheit der Transaktion gilt. Damit wird schließlich sichergestellt, dass niemand durch MitM stattdessen eine andere Transaktion bestätigen kann, da eine TAN ja immer nur für einen bestimmten Betrag und einen bestimmten Empfänger gilt. (Ob jetzt nach einer Transaktion die Kontoinformationen ohne zusätzliche Authentifizierung stattfinden darf ist eine andere Frage.) Der Fehler ist eher, dass die App ggf. ungefragt eine Abfrage der Kontoinformationen startet, auch wenn man nur eine Überweisung vornehmen will. (Da kann man allerdings auch darüber streiten, was die bessere UX ist.)

    Schön wäre ja, wenn es zeitnah eine PSD3 gäbe. Meine Wünsche wäre eine Liberalisierung der SCA bei Kontoinformationen (bspw. um automatisierte Abrufe zu ermöglichen), mehr technische Standardisierung, etwas weniger Micro-Management und API-Zugang für die Kund*innen zur eigenen Verwendung.

  18. Hi,

    zu den Banken:

    Ihr habt mehrere wirklich gute Punkte angesprochen. Die IT Abteilung wird leider wirklich als Geldverbrennung angesehen. Das erlebe ich täglich… allerdings ist es für „uns“ sehr schwierig die Vorgaben so umzusetzen, wie wir das gerne möchten. Gerade PSD2 macht ziemlich klare Vorschriften wie wann welche Authentifizierungsmethode genutzt werden soll.

    Ich frage mich wirklich, wieso niemand in dem Zusammenhang mit PSD2 über TAN-Freie Zahlungen spricht. Kleinbetragszahlungen oder white-Listen können gepflegt werden (leider aber aktuell noch nicht bei allen Banken, vorgesehen ist es aber) , genau das ist doch der Grund, wieso beim anmelden teilweise eine TAN genutzt werden muss. Leider überwiegt die Angst der Banken, dass der Betrug damit erheblich zunehmen könnte und nicht alle setzen es, wie es für den Endkunden am einfachsten wäre, ein.

    @Tim: Hast du die Sparkassen App? Da kann man relativ einfach direkt Kontakt zum/r BeraterIn aufnehmen und zumindest bei mir hat diese/r schnell geantwortet und unter anderem auch diesen elendigen Post-Versand eingestellt.

    Wäre schön, wenn ihr gerade für die TAN-Freien Zahlungen das noch mal ansprechen könnt, weil das ist doch (laut EU) DIE Erleichterung.

  19. Nerds reden von Publishing Software und erwähnen LaTeX nicht mit einem Wort. Ich bin enttäuscht von euch. Das macht mir nach wie vor Spaß.

    Es gibt Konzepte, die zu geil sind für den Mainstream ;oP

  20. Zu der PSD2 noch ein wenig Hintergrundwissen, weil es leider nicht nur eine europäische Direktive ist:

    – Es gibt die PSD2 (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32015L2366),
    – dazu gehören dann Regulator Technical Standars (RTS), die das technisch detaillieren, dabei aber Technologie-frei bleiben wollen (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2018.069.01.0023.01.ENG&toc=OJ:L:2018:069:TOC)
    – dann gibt es die Guidelines der EBA dazu, bspw. https://eba.europa.eu/documents/10180/1904583/Final+Guidelines+on+Authorisations+of+Payment+Institutions+%28EBA-GL-2017-09%29.pdf/f0e94433-f59b-4c24-9cec-2d6a2277b62c
    – in Deutschland kommt dann noch das ZAG als nationales Umsetzungsgesetz dazu https://www.gesetze-im-internet.de/zag_2018/
    – sowie die Schreiben der BaFin BaFin-Schreiben zur Bereitstellung von Zugangsschnittstellen im Sinne der PSD2 vom 14.08.2019 (PDF, 2MB, nicht barrierefrei)

    Inhalt von dem ganzen sind wie von euch besprochen zwei mehr oder weniger gegensätzliche Themen: Erhöhung der Sicherheit durch Starke Authentifizierung (SCA) und Zugriff auf Zahlungsverkehrskonten (XS2A) durch zertifizierte (!) Dritte. Ganz wichtig dabei, all das regelt nur Zahlungsverkehrskonten (also Giro). Die angesprochenen Tagesgeldkonten, Kreditkarten, Depots etc. sind nicht Teil der PSD2.

    Die 90-Tage Ausnahme findet sich in Artikel 10 des RTS und gilt nur für die Salden, Transaktionen der letzten 90 Tage etc. Sobald man auf andere sensible Daten zugreifen will (persönliche Daten wie Adresse, Steuerinformationen aber ggf. auch Daten von Zahlungsverkehrskonten) muss eine SCA erfolgen. Die Banken, die ich kenne, sind der Meinung, dass es für Kunden verständlicher ist immer beim Login eine TAN einzugeben, als nur manchmal dann aber wieder innerhalb des Onlinebankings wenn auf bestimmte Funktionen zugegriffen wird.

    Übrigens, die TAN beim Login ist eine Authentifizierung (Bestätigung, dass ich ich bin), die TAN bei der Transaktion ist eine TAN zur Autorisierung (Bestätigung, dass ich den Auftrag durchführen will). Für letzteres sieht die PSD2 Ausnahmen in bestimmten Fällen vor (Kleinstbeträge, Überträge zwischen eigenen Konten etc.), die haben aber mW fast keine Bank bisher umgesetzt

    Zum Screenscraping: Das ist laut PSD2 der Standardweg und wenn eine Bank APIs anbieten will (was die meisten wollen), muss sie zusätzliche Anforderungen erfüllen (siehe Article 32/33)

    Was ihr nur gestreift habt: Die oben genannte Schnittstelle XS2A steht nach Gesetz nur zertifizierten Dritten zur Verfügung, die ein sogenanntes eIDAS-Zertifikat (QWAC/QSEAL) haben müssen. (ETSI Standard hier: https://portal.etsi.org/TB-SiteMap/esi/esi-activities). Damit sind all die Multibanking-Anbieter, die nur lokal ohne Server laufen (MoneyMoney, Outbank etc.) aufgeschmissen und müssen entweder ihr Zertifikat (wenn sie den eins haben) in der Applikation mitausliefern oder einen Server dazwischenschalten, der die Abrufe um das Zertifikat ergänzt. Unabhängig davon ist das (s.o.) nur eine Lösung für ZV-Konten, alle anderen entweder über HBCI (mit SCA) oder Screen-Scraping (ebenfalls mit SCA).

  21. Zum Thema PSD2:
    Bei mir hat die Einführung neuer Verfahren ganz konkret zu weniger Sicherheit geführt, nämlich zur Aufhebung der 2 Faktor Authentifizierung.
    Ich nutzte bisher immer zwei Devices: Computer fürs Banking und Handy zum Erzeugen der TAN.
    Jetzt wurde ich durch meine Bank gezwungen, zum einmaligen Einrichten des neuen Verfahren, neben der TAN-App auch die Banking-App zu installieren. Die Authentifizierung erfolgt bei beiden über den Fingerabdruck (mit dem ich auch das Handy entsperre ;) . Ich kann also am selben Gerät mit dem selben Finger die Überweisung tätigen und per TAN frei geben.
    Ich glaube so geht Sicherheit!
    Jetzt kann der sicherheitsbewusste Nutzer natürlich für jede App eine andere Freischaltung wählen, aber allein das es möglich ist, widerspricht jedem Gedanken an Verfahren mit inherenter Sicherheit.
    Das wäre mit den alten TAN-Listen nicht möglich gewesen, da haben die Banken ich noch gewarnt, die TAN-Liste auf dem selben Gerät zu speichern auf dem man sich das Banking macht.

  22. Für Tims PSD2 Sammlung:
    Ich habe viele meiner Kunden von HBCI auf EBICS umgestellt (hauptsächlich Sparkasse und Volksbank). Das funktioniert soweit auch ganz gut, die Anbindung im Bankrechnenzentrum scheint aber anders zu sein.
    Bei HBCI werden beim Abruf der Buchungen die aktuellen Buchungen angezeigt (so wie auch im webinterface)
    Bei EBICS werden die Daten in einem Nachtlauf bereitgestellt, das heißt also ich kann so oft abrufen wie ich will, ich sehe immer nur die Buchungen vom Vortag!

  23. Zum Thema PSD2 und APIs statt HBCI/FinTS:
    Nachdem die PSD2 so schöne REST APIs verspricht habe ich mir mal angeschaut, was man dafür so tun muss (also z.B. https://xs2a-developer.comdirect.de/howto)

    Für die ganzen APIs muss man als AIS (Account Information Service) bei der BaFin registriert sein. Das kostet mal eben 6.150 Euro und zig Audits, ist also nichts für zwischendurch (als Privatperson wahrscheinlich gar nicht möglich).

    Stattdessen gibt es jetzt schon Firmen, die Ihre Zugänge teilen, also als Proxy fungieren. Da fängt die DSGVO das weinen an, wenn man bald für Kontozugriff noch einen zusätzlichen Anbieter braucht, der die ganzen APIs einmal aggregiert. Ist zwar schön für die ganzen FinTechs, aber WTF? NEIN! Dafür gibt es seit 40 Jahren software, die genau diesen Zweck hat, da muss nicht noch ein defizitäres Unicorn dazwischen, was am Ende einmal alle Kontodaten in einem S3 Bucket verliert.

    Die ganze PSD2 scheint zugeschnitten auf Sofortüberweisung, die hätte man viel früher platt machen müssen, dann ginge es allen Beteiligten besser.

  24. Da Tim bei Twitter dazu aufrief, hier meine 2Ct:

    Mein Konto ist bei der ING (Diba). Hatte bisher keine Probleme, HBCI habe ich aber auch bisher nicht benötigt. Vor der PSD-Einführung war es so, dass man zum Web-Login erst die “Internetbanking PIN” (10 stelliges Passwort aus Buchstaben und Zahlen) benötigt, danach benötigt man aus einer weiteren 6 stelligen PIN (“Diba-Key”), zwei vom Server ausgewählte Ziffern, die man per Mausklick auswählen muss, wahrscheinlich als Maßnahme gegen Keylogger.

    Seit einiger Zeit benötigt man nun zusätzlich auch noch einen zweiten Faktor, u.a. kann man die Smartphone-App der ING installieren. Diese sichert man mit einer weiteren 5-stelligen PIN. Wenn man sich nun im Browser wie oben beschrieben einloggt, muss man nun zusätzlich auf dem Smartphone die App öffnen, die PIN zum Entsperren eingeben. Dann muss man bestätigen, dass man sich gerade im Browser einloggen möchte. Dafür gibt man die PIN noch einmal ein. Genauso funktioniert das für Überweisungen: App aufrufen, PIN eingeben, Überweisung X EUR an Y bestätigen, PIN eingeben.

    Soweit so gut, könnte einfacher sein, aber wenn man das Passwort und die beiden PINs im Kopf hat, kann man mal eben auch unterwegs mit Laptop*+Smartphone Überweisungen tätigen ohne wie bisher die TAN-Liste dabei zu haben und wahrscheinlich ist es auch sicherer.

    *ABER: Die App kann allerdings nicht nur Aktionen aus dem Webbanking bestätigen, sondern auch selber den Kontostand abrufen und Überweisungen ausführen. Mit lediglich der o.g. PIN, ohne TANs. Man braucht den Laptop nicht. Wenn der zweite Faktor also alleine ausreicht, ist es dann noch 2FA? Wahrscheinlich gerechtfertigt durch Besitz des Gerätes (1) und Wissen der PIN (2).
    Aber wenn das Gerät (Android, seit >2 Jahren ohne Sicherheitsupdates) kompromittiert ist, ist die Sicherheit dennoch vorbei. Ich dachte ja das war der Grund warum man von (i)TANs weg will.

    Wobei Linus in LNP meinte (wenn ich ihn richtig verstanden habe), dass Hauptzweck von SFA beim Banking nicht Gerätesicherheit ist, sondern Schutz vor Phishing.

    Übrigens hat die ING im Webbanking jetzt tolle Analyse-Funktionen (Tortengrafiken!!!111) mit denen sie möglicherweise zeigen will, dass man HBCI gar nicht braucht :-)

    Bei der netbank habe ich übrigens vor zwei Jahren gekündigt, nachdem die sie von der Augsburger übernommen wurden und erstmal den Service verschlechtert haben (wenn ich mich richtig erinnere, konnte man nur noch einmal im Monat abheben, die Kreditkarte wurde zur Debitkarte, man konnte nicht mehr überall zahlen) und dann eine technische Umstellung so sehr verkackt haben, dass Onlinebanking tagelang nicht erreichbar war, Lastschriften nicht abgebucht werden konnten, ich Post von Inkasso bekam und die Hotline überlastet war, …

  25. Ich bin auch ein begeisterter MoneyMoney User und schwer beeindruckt, was an Aufwand in dieses Programm gesteckt wird. Würde es eine iOS Version geben, ich wäre sofort dabei. Das wäre mir auch Inapp/Abofoo wert, der in diesem Fall mal total gerechtfertigt wäre.

  26. Zum Thema Seekrankheit: ich kenne das Problem mit dem Klogang, Kochen, usw. unter Deck auch sehr gut. Allerdings ist meine Erfahrung, dass sich mit Augen unter Deck hinzulegen erstaunlicherweise ziemlich gut gegen Seekrankheit hilft, obwohl man den Horizont nicht sieht.

    Als vorbeugendes Medikament gegen Seekrankheit funktionieren übrigens Scopolamin-Pflaster sehr gut. Das sind so kleine runde Pflaster, von denen man sich eines auf die Haut klebt (typischerweise hinter dem Ohr). Die wirken 3 Tage lang und reduzieren deutlich die Anfälligkeit für Seekrankheit. Die Wirkung tritt erst nach ein paar Stunden ein, so dass man es aufkleben sollte, bevor man Seekrank wird.
    Die Pflaster sind verschreibungspflichtig, sollte einem aber jeder Hausarzt verschreiben können. Als Nebenwirkung führen sie häufig zu einem etwas trockenen Mund und man darf sich nach dem Anfassen des Pflasters nicht in die Augen fassen, weil der Wirkstoff die Pupillen erweitert. Also Händewaschen nach dem Aufkleben :-)

  27. Hatte sich im Nachgang der Sendung schon irgendwo ein Projekt zur Banken-Matrix aufgetan?

    Wären sonst hier im Kommentarbereich welche bereit daran zu helfen?
    Vielleicht könnte man das ja gemeinsam starten

  28. Anmerkung zur ING

    Die ING hat es geschafft, den Login-Prozess per photoTAN auf noch einer weiteren Ebene zu verbocken.

    Liegen zwischen 2 Anmeldevorgängen mehr als 7 Tage, wird der Zugang trotz korrekter Handhabung des Photo-TAN-Generators bei Eingabe der generierten TAN verweigert. Der Login per photoTAN, der bereits funktionierte, scheitert mit der Mitteilung, dass die eingegebene photoTAN falsch sei. Nach dem 5. Versuch kommt die Meldung, dass der nächste fehlgeschlagene Versuch den Zugang sperrt.

    Man muss das photoTAN-Verfahren deaktivieren (einmal im Loginprozess und auch im photoTAN-Generator: Einschalttaste lange drücken: Aktivierung löschen) und dann den ganzen photoTAN-Aktivierungsprozess neu durchführen.

  29. Apropos Legacy Textverarbeitung / Publishing…. ich nutze immer noch ragtime…. leider inzwischen überaltert und sauteuer, aber wir haben’s in unserer Werkstatt noch und damit kann man hat spreadsheets stammlayouts etc machen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.