Tschüß, Schlüsseldiskette

Die Payment Services Directive 2 ist jetzt bei allen angekommen, und es gibt massive Probleme beim Zugriff auf Konten in den Webinterfaces der Banken und per HBCI. Ab jetzt ist eine starke Kundenauthentifizierung notwendig; das Passwort allein reicht nicht mehr aus.

Schon für das initiale Anmelden bei der Bank muss man eine TAN eingeben - aber auch für den Abruf der Umsätze, wenn man einen Zeitraum von mehr als 90 Tagen gewählt hat. Für jedes meiner Konten muss ich also den TAN-Generator vor den Bildschirm halten, 30 Sekunden warten bis der Startpunkt gefunden und die Daten übertragen wurden, dann die 6-stellige PIN eingeben.

TAN-Eingabe zur Umsatzauflistung

Die Volksbank möchte aber auch innerhalb derselben Sitzung im Browser nochmals eine TAN, wenn man auf ein Konto zurückschaltet, für das man schon eine TAN eingegeben hat.

Das alles wäre nicht so schlimm, wenn ich weiterhin per HBCI auf die Daten zugreifen könnte.

HBCI

Auf meinem Homeserver läuft der als Open Source verfügbare Hibiscus Payment-Server, der alle 3 Stunden die Umsätze aller Konten automatisch abholt, sie in eine lokale MySQL-Datenbank packt und allen Hibiscus-Clients im Netzwerk zur Verfügung stellt.

Die starke Kundenauthentifizierung gilt auch für HBCI, so daß ich aller 3 Monate eine halbe Stunde TANs für alle Konten generieren werden muss.

Aber die TAN ist ja nur eine Möglichkeit bei HBCI/FinTS, zusätzlich zum Wissen (PIN) einen zweiten Faktor (Besitz oder Inhärenz) nachzuweisen: Es gibt die HBCI-Chipkarte, für die man einen Kartenleser und eine Chipkarte braucht, für die die Volksbank Muldental 10€ im Jahr möchte.

Weiterhin gibt es aber auch die Schlüsseldiskette, bei der man lokal einen privaten Schlüssel erzeugt, der Bank den öffentlichen mitteilt und diese dann bei allen signierten Nachrichten weiß, daß sie von mir kommen. Das kostet nichts und gilt als sauberer 2. Faktor.

Mein erster Antrag auf eine Schlüsseldiskette erfolgte 2005, und die Daten im INI-Brief waren inzwischen doch etwas veraltet. Ich fragte deshalb bei der Bank nach einem neuen INI-Brief, damit ich mir erneut einen Schlüssel generieren konnte.

Meine Bank rief mich an und sagte dann, daß das nicht mehr ginge. Bisherige Kunden mit Schlüsseldiskette werden noch bedient, aber weil der Dienstleister (Drecks-Fiducia) das Feature "abgekündigt" habe, werden keine neuen Schlüsseldisketten mehr ausgegeben.

Die Volksbank hat mir die einzige kostenfreie Möglichkeit genommen, meine Kontodaten ohne Handstände automatisiert von ihnen abzufragen.

Bravo.

IngDiba

Heute erfuhr ich bei der Lage der Nation #157, daß IngDiba als erste Bank die PSD2-Umstellung genutzt hat, um ihre HBCI-Schnittstelle kaputt zu machen:

Girokonto Überweisungen können Sie ab September nicht mehr mit Ihrer aktuellen Software über die HBCI-Schnittstelle ausführen. Das ist dann nur noch über die PSD2-Schnittstelle möglich.

Fieserweise ist die PSD2-Schnittstelle nur für Fintech-Startups, die sich die > 8.000€ Registrierungsgebühr bei der BaFin leisten können, nicht für normale Leute, die einfach nur auf ihre Bankkonten zugreifen wollen.

Wenn man die Kunden für Überweisungen auf die eigene Website zwingen kann, kann man ihnen auch viel besser Werbung für Kredite und anderen Rotz anzeigen. HBCI kann das nämlich nicht.

Volksbank-Loginformular mit Werbung

Wir werden sehen, ob andere Banken dem Beispiel folgen werden.

Written by Christian Weiske.

Comments? Please send an e-mail.