„PSD2“ ist die Abkürzung für „Zweite EU-Zahlungsdiensterichtlinie“ (Payment Services Directive). Ausführliche Dokumentation zu dem Thema findet sich bei Wikipedia. Daher hier nur kurz und allgemein verständlich, um was es dabei hauptsächlich geht:

„PSD2“ allgemein bezeichnet den gesamten Themen-Komplex der EU, welcher dazu führen soll, dass

1. einerseits die Zugriffe auf die Zahlungsverkehrskonten der Kunden sicherer werden
2. andererseits aber der Zugriff auf Kundenkonten durch Dritte, also Zahlungsdienstleister (z.B. diverse Finanzoptimierungs-Apps) besser reguliert, kontrolliert und standardisiert wird.

Aspekt 1 betrifft u.a. auch HBCI/FinTS und damit Banking-Programme wie Hibiscus. Der FinTS-Standard wurde hierfür so erweitert, dass beim lesenden Zugriff (z.B. beim Umsatzabruf) teilweise bereits eine TAN eingegeben werden muss. Diese Ergänzungen müssen sowohl die Banken in ihren FinTS-Servern vornehmen. Und ebenso die Autoren der Banking-Programme. Diese Änderungen werden Mitte September 2019 von den Banken scharf geschaltet und müssen von den Banking-Programmen bis dahin umgesetzt und die Updates bei den Usern installiert sein. Das ist der einzige Aspekt, der für Banking-Programme - und damit für Hibiscus-Benutzer - relevant ist.

Aspekt 2 betrifft u.a. neue Anforderungen an Firmen die z.B. Finanz-Optimierungs-Apps anbieten und die auf die Konten ihrer Kunden in deren Auftrag zugreifen wollen. Für diese gilt die Vorgabe, sich bei der Bafin kostenpflichtig registrieren und zertifizieren zu müssen. Ausserdem dürfen sie künftig nicht mehr per FinTS auf die Konten ihrer Kunden zugreifen (diese Schnittstelle ist ab Mitte September nur noch den Anwendern von Banking-Programmen vorbehalten), sondern müssen eine neue Schnittstelle nutzen, welche von den Banken parallel zu FinTS angeboten werden muss. Diese Schnittstelle wird umgangssprachlich „PSD2-API“ genannt. Alternativ auch „XS2A-API“ (Access2Account-API). Die technischen Details dieser Schnittstelle sind für den Kunden/Benutzer nicht relevant, da es hierbei nur um die Datenübertragung zwischen Bank und Dienstleister geht. Sowohl technisch als auch rechtlich bedingt ist es gar nicht möglich, dass ein Kunde mit einem Programm selbst direkt per PSD2-API auf seine Konen zugreift. Diese Schnittstelle kann und darf nur von solchen Dienstleistern verwendet werden. Damit scheidet sie für Banking-Programme aus.

Das heisst:

1. Immer dann, wenn man selbst auf seine eigenen Konten zugreift, kommt FinTS - und damit ein Banking-Programm wie Hibiscus - zum Einsatz. Oder man geht direkt auf die Webseite der Bank. Die Kommunikation findet direkt zwischen Kunde und Bank statt. Da ist kein Dritter dazwischen, der die Daten sehen kann.
2. Wenn man aber eine dritte Firma direkt oder indirekt beauftragt, auf die eigenen Konten zuzugreifen (und das ist z.B. bei Finanzoptimierungs-Apps der Fall), dann muss diese Firma die PSD2-API nutzen. Da die Firma hierbei die Konto-Daten des Kunden in der Rolle eines Dritten sieht, gelten für diese Firma die strengen regulatorischen Auflagen hinsichtlich Registrierung und Zertifizierung.

Im Folgenden eine (unvollständige) Liste mit Links zu den PSD2-Informationsseiten der verschiedenen Banken:

• https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2
• https://www.1822direkt.de/service/sicherheitsportal/psd2/
• https://www.apobank.de/footer/sicherheit/sicherheitshinweise/PSD2.html
• https://www.comdirect.de/konto/psd2-phototan.html
• https://www.commerzbank.de/portal/de/privatkunden/konten-karten/wissen/zahlungsverkehr-organisieren/psd2.html
• https://www.consorsbank.de/ev/Service-Beratung/PSD2
• https://www.deutsche-bank.de/pk/lp/psd2.html
• https://www.dkb.de/info/psd2/
• https://www.gls.de/privatkunden/psd2/
• https://www.hypovereinsbank.de/hvb/services/digitales-banking/psd2
• https://www.ing.de/ueber-uns/wissenswert/psd2/
• https://www.netbank.de/privatkunden/service/Starke-Kundenauthentifizierung/
• https://www.postbank.de/privatkunden/zwei-faktor-authentifizierung.html
• https://www.sparda.de/online-sicherheit-psd2/
• https://www.sparkasse.de/aktuelles/psd2-mehr-wettbewerb-mehr-sicherheit.html

• https://www.heise.de/newsticker/meldung/Online-Banking-und-PSD2-Neue-Regeln-im-September-4499106.html
• https://www.heise.de/newsticker/meldung/heiseshow-PSD2-Was-da-auf-uns-zukommt-und-woran-es-noch-hakt-4501857.html

Allgemein gilt als Stichtag für die Einführung der 14.09.2019. Einige Banken beginnen jedoch bereits einige Tage vorher. Es kann also durchaus sein, dass deine Bank bereits am 11.09.2019 umstellt.

PIN/TAN ist das mit Abstand gebräuchlichste Verfahren. Wenn du nicht genau weisst, welches Verfahren du verwendest, dann ist es mit ziemlicher Sicherheit PIN/TAN. Hierbei spielt es keine Rolle, ob du einen TAN-Generator, eine Smartphone-App oder SMS verwendest. Es sind alles PIN/TAN-Varianten.

Du musst zwingend auf Hibiscus 2.8.18 oder neuer (alternativ ein aktuelles Nightly-Build ab 17.09.2019) aktualisieren. Dein Bank-Zugang wird sonst per 14.09.2019 nicht mehr funktionieren. Hier findest du Informationen, wie du Hibiscus aktualisierst. Falls dir das Update nicht angeboten wird, ist wahrscheinlich deine Jameica-Version zu alt. Siehe hierzu die häufigen Fragen.

Die wesentliche Änderung wird sein, dass künftig viel häufiger eine TAN eingegeben werden muss. Bisher war eine TAN i.d.R. nur dann nötig, wenn Geld bewegt oder Änderungen am Konto bzw. den Zugangsdaten vorgenommen wurden. Künftig wird unter Umständen bereits beim Abruf der Umsatzdaten/Kontoauszüge eine TAN erforderlich sein.

„Unter Umständen“ deshalb, weil Ausnahme-Regelungen existieren, von denen die Banken Gebrauch machen können. So kann es z.B. sein, dass die TAN nur dann benötigt wird, wenn Umsätze abgerufen werden, die älter als 90 Tage sind.

Immer erforderlich ist eine TAN aber in der Regel beim ersten Zugriff auf das Konto (sprich - bei der initialen Einrichtung des Bankzugangs).

Diese TAN-Abfragen gewährleisten die sogenannte „Starke Kundenauthentisierung“ (bzw. „SCA“ für „Strong Customer Authentication“).

Obwohl auf der einen Seite häufiger eine TAN notwendig wird (siehe vorheriger Absatz), ist seit PSD2 unter bestimmten Bedingungen keine TAN mehr nötig. Im Wesentlichen sind das folgende Szenarien. Das kann sich jedoch auch von Bank zu Bank unterscheiden:

• Überweisung von Kleinbeträgen (bei den meisten Banken ist der Höchstbetrag 30 EUR pro Auftrag, jedoch in Summe höchstens 150 EUR)
• Übertrag/Umbuchung zwischen den eigenen Konten bei der selben Bank
• Überweisung an eine IBAN, die bankseitig explizit als TAN-frei (Whitelist) hinterlegt wurde
• Es wurden Umsätze abgerufen, die weniger als 90 Tage in die Vergangenheit reichen
• Innerhalb der letzten 90 Tage wurden die Umsätze bereits für diese Benutzerkennung mit Eingabe einer TAN abgerufen (das kann auch von einem anderen Rechner aus geschehen).

Die alten iTAN-Listen in Papierform werden bei allen Banken abgeschafft (es mag jedoch sein, dass die TAN-Liste aufgehoben werden muss, da sie in Einzelfällen noch nötig sein kann).

Einige Banken schaffen auch das smsTAN-Verfahren ab.

Alle TAN-Verfahren, die die Bank per FinTS anbietet, werden auch von Hibiscus unterstützt. In dieser FAQ findest du eine Liste aller TAN-Verfahren und Hinweise zur Einrichtung in Hibiscus.

Die Schlüsseldatei (auch RDH-Schlüssel genannt) ist ein alternatives Verfahren. Hierbei kommt eine kryptografisch gesicherte Datei zum Einsatz, in der ein geheimer Schlüssel gespeichert ist. Die Datei ist typischerweise auf einem USB-Stick gespeichert. Es wird allerdings nur von sehr wenigen Banken unterstützt und dementsprechend auch nur von sehr wenigen Nutzern verwendet. Es handelt sich um ein recht altes Verfahren, welches bereits vor PIN/TAN existierte.

Da die Schlüsseldatei kopierbar ist, erfüllt sie eigentlich nicht die neuen Sicherheitsanforderungen der PSD2. Falls du also dieses Zugangsverfahren verwendest, kann es sein, dass sich deine Bank bei dir meldet (oder dies bereits getan hat) und dir mitteilt, dass dieses Verfahren irgendwann eingestellt wird. Es kann sein, dass die Schlüsseldatei noch bis auf weiteres geduldet wird. Daher können hier momentan keine konkreten Aussagen zur Zukunft dieses Verfahrens gemacht werden.

Zumindest rein technisch sollte das Verfahren auch nach dem 14.09.2019 noch funktionieren - es sei denn, deine Bank hat es eingestellt, ohne dir das mitzuteilen oder du hast die Mitteilung übersehen.

Schlüsseldateien im RAH-Format unterstützt Hibiscus leider nicht.

Empfehlung: PIN/TAN ist inzwischen das mit Abstand am häufigsten genutzte Verfahren. Quasi jede Bank bietet es an. Beantrage zusätzlich zu deiner Schlüsseldatei einen PIN/TAN-Zugang, damit du eine alternative Login-Möglichkeit hast, wenn deine Bank die Schlüsseldateien doch unerwartet abschafft. Frage im Zweifel mal bei deiner Bank nach, ob sie Informationen zur Zukunft dieses Verfahrens haben.

Achtung Verwechslungsgefahr Mit „HBCI-Chipkarte“ (auch DDV-Chipkarte) ist nicht ChipTAN/SmartTAN gemeint. ChipTAN/SmartTAN ist ein TAN-Verfahren, bei dem eine Girocard zur Erzeugung einer TAN verwendet wird. Die Datenübertragung findet durch manuelle Eingabe, QR-Code, Flickercode oder per USB statt. Allen gemein ist, dass letzlich eine TAN erzeugt wird - egal, ob diese manuell eingegeben oder automatisch auf den Computer übertragen wird. Wenn du dieses Verfahren nutzt, ist das keine „HBCI-Chipkarte“ und der folgende Absatz ist für dich nicht relevant. HBCI-Chipkarten sind spezielle Chipkarten (also nicht die gewohnte Girocard), die mit USB-Kartenlese-Geräten verwendet werden und bei denen eine Karten-PIN in das Lesegerät eingegeben werden muss. Hierbei wird keine TAN erzeugt.

Hibiscus unterstützt nur sogenannte DDV-Chipkarten, wie sie etwa von den Sparkassen oder der DKB verwendet werden/wurden. Einige Banken (hier insbesondere Volksbanken) nutzen sogenannten RDH-Chipkarten. Diese wurden von Hibiscus jedoch nie unterstützt.

DDV-Chipkarten gelten als veraltet. Die verbliebenen Banken stellen es schrittweise ein. Neue DDV-Karten werden schon seit einiger Zeit nicht mehr ausgegeben.

Zumindest rein technisch sollte das Verfahren auch nach dem 14.09.2019 noch funktionieren - es sei denn, deine Bank hat es eingestellt, ohne dir das mitzuteilen oder du hast die Mitteilung übersehen.

Empfehlung: PIN/TAN ist inzwischen das mit Abstand am häufigsten genutzte Verfahren. Quasi jede Bank bietet es an. Beantrage zusätzlich zu deiner DDV-Chipkarte einen PIN/TAN-Zugang, damit du eine alternative Login-Möglichkeit hast, wenn deine Bank die Chipkarten doch unerwartet abschafft. Frage im Zweifel mal bei deiner Bank nach, ob sie Informationen zur Zukunft dieses Verfahrens haben.

Der Hibiscus Payment-Server ist eine spezielle Hibiscus-Version, die auf einem Server verwendet werden kann, um zyklisch und automatisiert die Umsatzbuchungen von verschiedenen Konten abzurufen oder - bei Verwendung einer Schlüsseldatei - sogar automatisiert Überweisungen/Lastschriften auszuführen.

Insofern die Verfahren „Schlüsseldatei“ oder „DDV-Chipkarte“ verwendet werden und die Bank diese noch nicht eingestellt hat, dann können diese Verfahren b.a.w. so weitergenutzt werden. Siehe hierzu auch weiter oben. Konkretere Informationen hierzu kann dir deine Bank geben.

Falls auf dem Hibiscus Payment-Server jedoch ein PIN/TAN-Zugang verwendet wird, um die Umsatzbuchungen automatisiert abzurufen, dann kannn es seit 14.09.2019 zu Problemen kommen. Nämlich genau dann, wenn die Bank bereits für den Umsatzabruf eine TAN haben möchte (siehe weiter oben). Da der Hibiscus Payment-Server prinzipbedingt aufgrund der Programmausführung im Hintergrund keine Benutzerinteraktion zulässt, ist demzufolge auch keine TAN-Eingabe möglich. Der Server wird die Synchronisierung in dem Fall mit einer Fehlermeldung stoppen. Einige/Viele Banken benötigen nur dann eine TAN, wenn die Umsätze älter als 90 Tage sind. In dem Fall kann es funktionieren, parallel zum Hibiscus-Server auf einem anderen Computer die Desktop-Version von Hibiscus zu installieren, und dann von dort aus mit der gleichen Benutzerkennung das Konto von Zeit zu Zeit (jeweils innerhalb des 90-Tage-Limit) zu synchronisieren und die eventuell nötigen TANs dort einzugeben. Dies bewirkt, dass das seitens der Bank geführte 90-Tage-Zeitfenster für diese Benutzerkennung zurückgesetzt wird und der Hibiscus-Server nicht mit einer TAN-Abfrage konfrontiert wird. Achte ausserdem darauf, auf dem Hibiscus-Server pro Konto maximal 4 mal täglich die Umsätze abzurufen. Es gibt eine Regelung, nach der die Bank von der TAN-Ausnahme nur höchstens 4 mal täglich Gebrauch machen kann.

Unter Umständen kann es auch zu einem Fehler kommen, wenn das zu verwendende TAN-Verfahren oder eine TAN-Medienbezeichnung benötigt wird und diese Informationen nicht fest hinterlegt sind. Diese Informationen müssen auf dem Server bereits bei der Anlage des PIN/TAN-Zugangs manuell eingegeben werden. Wenn du diese Informationen nicht kennst, dann lege den Bankzugang zuerst auf einer Desktop-Installation von Hibiscus an, um es zu testen.

Empfehlung

1. Wenn du Schlüsseldatei oder DDV-Chipkarte verwendest, sollte es weiterhin funktionieren - es sei denn, deine Bank hat es eingestellt.
2. Wenn du PIN/TAN verwendest: Auch wenn der Hibiscus-Server keine TAN-Anfrage beantworten kann (zumindest nicht automatisch im Hintergrund ohne Benutzer-Interaktion), so muss er dennoch seit 14.09.2019 bei der Datenübertragung zur Bank mitteilen, dass er es prinzipiell könnte. Ob dann tatsächlich eine TAN nötig ist, entscheidet die Bank. Stelle das Synchronisationsintervall so ein, dass höchstens 4 mal täglich die Umsätze abgerufen werden. Aktualisiere außerdem auf Version 2.8.22 oder höher. In dieser Version ist es beim Anlegen und Bearbeiten eines PIN/TAN-Bankzugangs in der web-basierten Benutzeroberfläche möglich, das zu verwendende TAN-Verfahren sowie die TAN-Medienbezeichnung fest zu hinterlegen. Außerdem können TANs, TAN-Verfahren und TAN-Medienbezeichnung notfalls auch direkt im Konsolen-Fenster eingegeben werden, wenn der Prozess nicht im Hintergrund gestartet wurde und als TAN-Handler bei der Erstellung des Bankzugangs „Console Handler“ ausgewählt wurde.

Ja. Wenn du Hibiscus verwendest, bist du betroffen. Es betrifft alle Banken.

Deine Bank hat dich angeschrieben, dass nur noch Banking-Programme mit dem Bank-Server kommunizieren können, die eine Produkt-Registrierung haben?

Keine Sorge. Hibiscus enthält diese Registrierung bereits seit über einem Jahr.

Ab Version 2.8.14 bzw. einem Nightly-Build ab 17.09.2019. Mit den Folgeversionen wurden noch viele weitere PSD2-relevante Fehler behoben. Weitere Bugfix-Releases folgen u.U. noch.

Hibiscus 2.8.x setzt mindestens Jameica 2.8 voraus. Wenn du das Online-Update auf die aktuelle Hibiscus-Version nicht angeboten bekommst, ist deine Jameica-Version zu alt. Vermutlich verwendest du noch Jameica 2.6.

Beachte, dass Jameica 2.8 mindestens Java 8 oder höher benötigt. Falls du also noch Java 6 oder Java 7 installiert hast, aktualisiere dieses ebenfalls. Unabhängig davon gelten Java 6 und 7 ohnehin als veraltet.

Aktualisiere in dem Fall zuerst Jameica wie hier beschrieben. Anschließend sollte dir im Menü unter „Datei→Einstellungen→Plugins→Verfügbare Updates“ die neue Hibiscus-Version angeboten werden.

Die Fehlermeldung tritt auch gern zusammen mit „passport format AESFormat not supported on this plattform “ auf. Deine Java-Version ist zu alt. Die beherrscht noch kein AES-256.

Installiere eine aktuelle Java-Version. Deinstalliere die alte ggf. vorher. Wenn Du Linux verwendest, dann suche im Paketmanager einfach nach „OpenJDK“ oder „Java“ (Version 8 oder höher). Alternativ kannst Du Java auch von https://adoptopenjdk.net herunterladen. Wenn du Windows verwendest, dann achte bei der Installation darauf, die beiden Optionen „JAVA_HOME-Variable konfigurieren“ und „JavaSoft (Oracle) registry keys“ mit zu installieren. Andernfalls findet Jameica die Java-Installation nicht.

• Eventuell sind die BPD (Bank-Parameter-Daten) noch nicht aktuell. In dieser Anleitung findest du Informationen zum Aktualisieren der Bank-Parameter. Unter Umständen kann es auch nötig sein, den Bankzugang zu löschen und neu anzulegen. Die Konten und Umsätze gehen hierbei nicht verloren.
• Stelle sicher, dass du wirklich aktualisiert hast. Klicke im Menü auf „Hibiscus→Über“.
  • Dort sollte bei „Software-Version“ „2.8.22“ oder höher stehen (alternativ „2.9.0-nightly“, vorausgesetzt das Datum bei „Build“ ist mindestens „20190917“.
  • Bei „HBCI4Java-Version“ sollte mindestens 3.1.18 stehen.
  • Werden dort ältere Versionen angezeigt, aktualisiere Hibiscus per „Datei→Einstellungen→Plugins“. Kopiere eine neuere Version von Hibiscus nicht über eine alte Version drüber - hierbei können Fragmente der Vorversion erhalten bleiben. Siehe Update-Anleitung
• In dem PIN/TAN-Bankzugang ist als HBCI-Version eventuell noch „HBCI 2.2 (HBCI+)“ eingestellt. Ändere das auf „FinTS 3.0“. Eventuell muss auch der PIN/TAN-Bankzugang gelöscht und mit der HBCI-Version „FinTS 3.0“ neu angelegt werden. Eine ausführliche Anleitung (bezieht sich auf die Sparkasse, sollte aber dennoch allgemeingültig sein) findest du hier.
• Eventuell sind im PIN/TAN-Bankzugang TAN-Verfahren gespeichert, die von der Bank nicht mehr angebeoten werden. Erkennbar daran, dass der Button „TAN-Verfahren zurücksetzen“ in der Detailansicht des PIN/TAN-Zugangs anklickbar ist. Klicke diesen an. Beim nächsten Verbindungsaufbau wirst du erneut nach dem zu verwendenden TAN-Verfahren gefragt.
• Prüfe, ob im Konto IBAN und BIC hinterlegt ist. Öffne die Detailansicht des betreffenden Kontos, wechsle auf den Reiter „Zugangsdaten“ und stelle sicher, dass in den Feldern „IBAN“ und „BIC“ korrekte Werte eingetragen sind.

Hibiscus verwendet für die Kommunikation mit der Bank ausschließlich das neue PSD2-Verfahren mit den zusätzlichen TAN-Abfragen. Wenn deine Bank PSD2 nicht unterstützt, kann diese Bank in Hibiscus nicht mehr oder nur eingeschränkt genutzt werden. Die Fehlermeldung der Bank lautet typischerweise „9180:Wird nicht bzw. nicht mehr unterstützt“. Das betrifft primär die ING.

Die Bank hat es bis heute nicht geschafft, ihren FinTS/HBCI-Server PSD2-konform zu machen (seit 14.09.2019 vorgeschrieben). Den Kommentaren auf https://www.ing.de/ueber-uns/wissenswert/psd2/ (Update 31.05.2021 - die Seite gibt es nicht mehr - war der Bank wohl selbst peinlich) zufolge plant sie das auch nicht mehr. Die Bank kann in Hibiscus daher nur noch sehr eingeschränkt genutzt werden. Das Senden von Überweisungen oder anderen Aufträgen per FinTS bietet die Bank gar nicht mehr an. Der Abruf von Umsätzen funktioniert nur noch, wenn man sich zwischenzeitlich immer mal wieder auf der Webseite der Bank anmeldet.

Die Bank argumentiert, dass man sich an den Hersteller des Banking-Programms wenden sollst, damit dieser künftig die neue Zahlungsdienstleister-Schnittstelle nutzt. Das Banking-Programm darf und kann diese aber gar nicht nutzen. Stattdessen dürfen Programme mit Direktzugriff auf die Bank nur FinTS verwenden. Weiter oben ist beschrieben, warum das so ist.

Das Versäumnis liegt hier bei der Bank, nicht bei den Banking-Programmen. Seit 14.09.2019 können in Hibiscus höchstens noch Umsätze abgerufen werden. Zahlungsaufträge sind nicht mehr möglich. Mach deinem Ärger über dieses Verhalten der Bank gegenüber ihren Kunden gern in den Kommentaren unter https://www.ing.de/ueber-uns/wissenswert/psd2/ Luft. Wie auch schon über 4.000 andere Kunden vor dir.

Zumindest für den Umsatzabruf kannst du versuchen, die HBCI-Version im PIN/TAN-Bankzugang von „FinTS 3.0“ auf „HBCI 2.2“ zu stellen. In dieser HBCI-Version werden die zusätzlichen PSD2-TAN-Nachrichten nicht erzeugt. Mit etwas Glück funktioniert es dann wieder. Da die starke Kundenauthentifizierung gesetzlich dennoch nötig ist, musst du dich ggf. mindestens alle 90 Tage auf der Webseite der Bank anmelden und dort die starke Kundenauthentifizierung durchführen.