| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| psd2 [d.m.Y H:i] – [PIN/TAN] willuhn | psd2 [d.m.Y H:i] (aktuell) – [PIN/TAN] willuhn |
|---|
| ====== Fragen und Antworten zu PSD2 ====== | ====== Fragen und Antworten zu PSD2 ====== |
| |
| \\ | |
| |
| | ** Vorab** \\ \\ **Bevor du all das hier durchliest, mach einfach ein [[support:update|Update auf Hibiscus 2.8.22]] oder höher ("Datei->Einstellungen->Plugins->Updates") und lösche die BPD, wie [[support:faq#bpd_aktualisieren|hier beschrieben]]. Wenn du das erledigt hast, ist das Thema PSD2 für dich vermutlich schon erledigt** ;-) | | |
| |
| \\ | \\ |
| - andererseits aber der Zugriff auf Kundenkonten durch Dritte, also Zahlungsdienstleister (z.B. diverse Finanzoptimierungs-Apps) besser reguliert, kontrolliert und standardisiert wird. | - andererseits aber der Zugriff auf Kundenkonten durch Dritte, also Zahlungsdienstleister (z.B. diverse Finanzoptimierungs-Apps) besser reguliert, kontrolliert und standardisiert wird. |
| |
| **Aspekt 1** betrifft u.a. auch HBCI/FinTS und damit Banking-Programme wie Hibiscus. Der FinTS-Standard wurde hierfür so erweitert, dass beim lesenden Zugriff (z.B. beim Umsatzabruf) teilweise bereits eine TAN eingegeben werden muss. Diese Ergänzungen müssen sowohl die Banken in ihren FinTS-Servern vornehmen. Und ebenso die Autoren der Banking-Programme. Diese Änderungen werden Mitte September 2019 von den Banken scharf geschaltet und müssen von den Banking-Programmen bis dahin umgesetzt und die Updates bei den Usern installiert sein. Das ist der einzige Aspekt, der für Banking-Programme - und damit für Hibiscus-Benutzer - relevant ist. | **Aspekt 1** betrifft u.a. auch HBCI/FinTS und damit Banking-Programme wie Hibiscus. Der FinTS-Standard wurde hierfür so erweitert, dass beim lesenden Zugriff (z.B. beim Umsatzabruf) teilweise bereits eine TAN eingegeben werden muss. Diese Ergänzungen müssen sowohl die Banken in ihren FinTS-Servern vornehmen. Und ebenso die Autoren der Banking-Programme. Diese Änderungen wurden Mitte September 2019 von den Banken scharf geschaltet und müssen von den Banking-Programmen bis dahin umgesetzt und die Updates bei den Usern installiert sein. Das ist der einzige Aspekt, der für Banking-Programme - und damit für Hibiscus-Benutzer - relevant ist. |
| |
| **Aspekt 2** betrifft u.a. neue Anforderungen an Firmen die z.B. Finanz-Optimierungs-Apps anbieten und die auf die Konten ihrer Kunden in deren Auftrag zugreifen wollen. Für diese gilt die Vorgabe, sich bei der Bafin kostenpflichtig registrieren und zertifizieren zu müssen. Ausserdem dürfen sie künftig nicht mehr per FinTS auf die Konten ihrer Kunden zugreifen (diese Schnittstelle ist ab Mitte September nur noch den Anwendern von Banking-Programmen vorbehalten), sondern müssen eine neue Schnittstelle nutzen, welche von den Banken **parallel** zu FinTS angeboten werden muss. Diese Schnittstelle wird umgangssprachlich "PSD2-API" genannt. Alternativ auch "XS2A-API" (Access2Account-API). Die technischen Details dieser Schnittstelle sind für den Kunden/Benutzer nicht relevant, da es hierbei nur um die Datenübertragung zwischen Bank und Dienstleister geht. Sowohl technisch als auch rechtlich bedingt ist es gar nicht möglich, dass ein Kunde mit einem Programm selbst direkt per PSD2-API auf seine Konen zugreift. Diese Schnittstelle kann und darf nur von solchen Dienstleistern verwendet werden. Damit scheidet sie für Banking-Programme aus. | **Aspekt 2** betrifft u.a. neue Anforderungen an Firmen die z.B. Finanz-Optimierungs-Apps anbieten und die auf die Konten ihrer Kunden in deren Auftrag zugreifen wollen. Für diese gilt die Vorgabe, sich bei der Bafin kostenpflichtig registrieren und zertifizieren zu müssen. Ausserdem dürfen sie künftig nicht mehr per FinTS auf die Konten ihrer Kunden zugreifen (diese Schnittstelle ist ab Mitte September nur noch den Anwendern von Banking-Programmen vorbehalten), sondern müssen eine neue Schnittstelle nutzen, welche von den Banken **parallel** zu FinTS angeboten werden muss. Diese Schnittstelle wird umgangssprachlich "PSD2-API" genannt. Alternativ auch "XS2A-API" (Access2Account-API). Die technischen Details dieser Schnittstelle sind für den Kunden/Benutzer nicht relevant, da es hierbei nur um die Datenübertragung zwischen Bank und Dienstleister geht. Sowohl technisch als auch rechtlich bedingt ist es gar nicht möglich, dass ein Kunde mit einem Programm selbst direkt per PSD2-API auf seine Konen zugreift. Diese Schnittstelle kann und darf nur von solchen Dienstleistern verwendet werden. Damit scheidet sie für Banking-Programme aus. |
| * https://www.gls.de/privatkunden/psd2/ | * https://www.gls.de/privatkunden/psd2/ |
| * https://www.hypovereinsbank.de/hvb/services/digitales-banking/psd2 | * https://www.hypovereinsbank.de/hvb/services/digitales-banking/psd2 |
| * https://www.ing.de/ueber-uns/wissenswert/psd2/ | |
| * https://www.netbank.de/privatkunden/service/Starke-Kundenauthentifizierung/ | * https://www.netbank.de/privatkunden/service/Starke-Kundenauthentifizierung/ |
| * https://www.postbank.de/privatkunden/zwei-faktor-authentifizierung.html | * https://www.postbank.de/privatkunden/zwei-faktor-authentifizierung.html |
| |
| |
| ===== Wann passiert das? ===== | |
| ---- | |
| |
| Allgemein gilt als Stichtag für die Einführung der **14.09.2019**. Einige Banken beginnen jedoch bereits einige Tage vorher. Es kann also durchaus sein, dass deine Bank bereits am 11.09.2019 umstellt. | |
| |
| |
| PIN/TAN ist das mit Abstand gebräuchlichste Verfahren. Wenn du nicht genau weisst, welches Verfahren du verwendest, dann ist es mit ziemlicher Sicherheit PIN/TAN. Hierbei spielt es keine Rolle, ob du einen TAN-Generator, eine Smartphone-App oder SMS verwendest. Es sind alles PIN/TAN-Varianten. | PIN/TAN ist das mit Abstand gebräuchlichste Verfahren. Wenn du nicht genau weisst, welches Verfahren du verwendest, dann ist es mit ziemlicher Sicherheit PIN/TAN. Hierbei spielt es keine Rolle, ob du einen TAN-Generator, eine Smartphone-App oder SMS verwendest. Es sind alles PIN/TAN-Varianten. |
| |
| Du musst **zwingend auf Hibiscus 2.8.18 oder neuer** (alternativ ein aktuelles Nightly-Build ab 17.09.2019) aktualisieren. Dein Bank-Zugang wird sonst per 14.09.2019 nicht mehr funktionieren. [[support:update|Hier]] findest du Informationen, wie du Hibiscus aktualisierst. Falls dir das Update nicht angeboten wird, ist wahrscheinlich deine Jameica-Version zu alt. Siehe hierzu die [[#ich_finde_keine_aktuellere_hibiscus-version|häufigen Fragen]]. | |
| |
| === Mehr TANs === | === Mehr TANs === |
| |
| Die wesentliche Änderung wird sein, dass künftig viel häufiger eine TAN eingegeben werden muss. Bisher war eine TAN i.d.R. nur dann nötig, wenn Geld bewegt oder Änderungen am Konto bzw. den Zugangsdaten vorgenommen wurden. Künftig wird unter Umständen bereits beim Abruf der Umsatzdaten/Kontoauszüge eine TAN erforderlich sein. | Die wesentliche Änderung ist, dass viel häufiger eine TAN eingegeben werden muss. Bisher war eine TAN i.d.R. nur dann nötig, wenn Geld bewegt oder Änderungen am Konto bzw. den Zugangsdaten vorgenommen wurden. Mit PSD2 wird unter Umständen bereits beim Abruf der Umsatzdaten/Kontoauszüge eine TAN erforderlich. |
| |
| "Unter Umständen" deshalb, weil Ausnahme-Regelungen existieren, von denen die Banken Gebrauch machen können. So kann es z.B. sein, dass die TAN nur dann benötigt wird, wenn Umsätze abgerufen werden, die älter als 90 Tage sind. | "Unter Umständen" deshalb, weil Ausnahme-Regelungen existieren, von denen die Banken Gebrauch machen können. So kann es z.B. sein, dass die TAN nur dann benötigt wird, wenn Umsätze abgerufen werden, die älter als 90 Tage sind. |
| | |
| | Immer erforderlich ist eine TAN aber in der Regel beim ersten Zugriff auf das Konto (sprich - bei der initialen Einrichtung des Bankzugangs). |
| |
| Diese TAN-Abfragen gewährleisten die sogenannte "Starke Kundenauthentisierung" (bzw. "SCA" für "Strong Customer Authentication"). | Diese TAN-Abfragen gewährleisten die sogenannte "Starke Kundenauthentisierung" (bzw. "SCA" für "Strong Customer Authentication"). |
| === Manchmal gar keine TAN === | === Manchmal gar keine TAN === |
| |
| Obwohl auf der einen Seite häufiger eine TAN notwendig wird (siehe vorheriger Absatz), ist seit PSD2 unter bestimmten Bedingungen keine TAN mehr nötig. Im Wesentlichen sind das folgende Szenarien. Das kann sich jedoch auch von Bank zu Bank unterscheiden: | Obwohl auf der einen Seite häufiger eine TAN notwendig ist (siehe vorheriger Absatz), ist seit PSD2 unter bestimmten Bedingungen keine TAN mehr nötig. Im Wesentlichen sind das folgende Szenarien. Das kann sich jedoch auch von Bank zu Bank unterscheiden: |
| |
| * Überweisung von Kleinbeträgen (bei den meisten Banken ist der Höchstbetrag 30 EUR pro Auftrag, jedoch in Summe höchstens 150 EUR) | * Überweisung von Kleinbeträgen (bei den meisten Banken ist der Höchstbetrag 30 EUR pro Auftrag, jedoch in Summe höchstens 150 EUR) |
| Zumindest rein technisch sollte das Verfahren auch nach dem 14.09.2019 noch funktionieren - es sei denn, deine Bank hat es eingestellt, ohne dir das mitzuteilen oder du hast die Mitteilung übersehen. | Zumindest rein technisch sollte das Verfahren auch nach dem 14.09.2019 noch funktionieren - es sei denn, deine Bank hat es eingestellt, ohne dir das mitzuteilen oder du hast die Mitteilung übersehen. |
| |
| Schlüsseldateien im RAH-Format unterstützt Hibiscus leider nicht. | Schlüsseldateien im RAH-Format unterstützt Hibiscus ab Version 2.10.11 (bzw. Nightly-Build ab 22.02.2023). |
| |
| **Empfehlung**: PIN/TAN ist inzwischen das mit Abstand am häufigsten genutzte Verfahren. Quasi jede Bank bietet es an. Beantrage zusätzlich zu deiner Schlüsseldatei einen PIN/TAN-Zugang, damit du eine alternative Login-Möglichkeit hast, wenn deine Bank die Schlüsseldateien doch unerwartet abschafft. Frage im Zweifel mal bei deiner Bank nach, ob sie Informationen zur Zukunft dieses Verfahrens haben. | **Empfehlung**: PIN/TAN ist inzwischen das mit Abstand am häufigsten genutzte Verfahren. Quasi jede Bank bietet es an. Beantrage zusätzlich zu deiner Schlüsseldatei einen PIN/TAN-Zugang, damit du eine alternative Login-Möglichkeit hast, wenn deine Bank die Schlüsseldateien doch unerwartet abschafft. Frage im Zweifel mal bei deiner Bank nach, ob sie Informationen zur Zukunft dieses Verfahrens haben. |
| Deine Bank hat dich angeschrieben, dass nur noch Banking-Programme mit dem Bank-Server kommunizieren können, die eine Produkt-Registrierung haben? | Deine Bank hat dich angeschrieben, dass nur noch Banking-Programme mit dem Bank-Server kommunizieren können, die eine Produkt-Registrierung haben? |
| |
| Keine Sorge. Hibiscus enthält diese Registrierung bereits seit über einem Jahr. | Hibiscus enthält diese Registrierung bereits seit 2018. |
| |
| ==== Ab welcher Version ist Hibiscus PSD2-fähig ==== | ==== Ab welcher Version ist Hibiscus PSD2-fähig ==== |
| |
| Ab Version 2.8.14 bzw. einem Nightly-Build ab 17.09.2019. | Ab Version 2.8.14 bzw. einem Nightly-Build ab 17.09.2019. |
| Mit den Folgeversionen wurden noch viele weitere PSD2-relevante Fehler behoben. Weitere Bugfix-Releases folgen u.U. noch. | Mit den Folgeversionen wurden noch viele weitere PSD2-relevante Fehler behoben. |
| ==== Ich finde keine aktuellere Hibiscus-Version ==== | ==== Ich finde keine aktuellere Hibiscus-Version ==== |
| |
| * Prüfe, ob im Konto IBAN und BIC hinterlegt ist. Öffne die Detailansicht des betreffenden Kontos, wechsle auf den Reiter "Zugangsdaten" und stelle sicher, dass in den Feldern "IBAN" und "BIC" korrekte Werte eingetragen sind. | * Prüfe, ob im Konto IBAN und BIC hinterlegt ist. Öffne die Detailansicht des betreffenden Kontos, wechsle auf den Reiter "Zugangsdaten" und stelle sicher, dass in den Feldern "IBAN" und "BIC" korrekte Werte eingetragen sind. |
| |
| ==== Meine Bank unterstützt PSD2 noch gar nicht ==== | ==== Banken, die kein FinTS mit PSD2 unterstützen ==== |
| | |
| Hibiscus verwendet für die Kommunikation mit der Bank ausschließlich das neue PSD2-Verfahren mit den zusätzlichen TAN-Abfragen. Wenn deine Bank noch nicht auf PSD2 umgestellt hat, kann es mit der neuen Hibiscus-Version zu Fehlern kommen. Die Fehlermeldung der Bank lautet typischerweise "9180:Wird nicht bzw. nicht mehr unterstützt". Das betrifft derzeit primär die ING. | |
| | |
| In dem Fall kannst versuchen, die HBCI-Version im PIN/TAN-Bankzugang von "FinTS 3.0" auf "HBCI 2.2" zu stellen. In dieser HBCI-Version werden die zusätzlichen TAN-Nachrichten nicht erzeugt. Mit etwas Glück funktioniert es dann wieder. Da die starke Kundenauthentifizierung gesetzlich dennoch nötig ist, musst du dich ggf. mindestens alle 90 Tage auf der Webseite der Bank anmelden und dort die starke Kundenauthentifizierung durchführen. | |
| |
| ==== Consors funktioniert nicht ==== | Hibiscus verwendet für die Kommunikation mit der Bank ausschließlich das neue PSD2-fähige FinTS-Verfahren mit den zusätzlichen TAN-Abfragen. Wenn deine Bank PSD2 nicht unterstützt, kann diese Bank in Hibiscus nicht mehr oder nur eingeschränkt genutzt werden. Die Fehlermeldung der Bank lautet typischerweise "9180:Wird nicht bzw. nicht mehr unterstützt". Das betrifft primär die ING. |
| |
| Stelle sicher, dass du mindestens Hibiscus 2.8.18 verwendest. In Version 2.8.17 kam es hier noch zu einem Fehler. Aktualisiere auf die neue Version per "Datei->Einstellungen->Plugins->Updates". | ==== Meine Bank bietet kein FinTS an, dafür aber eine PSD2-Schnittstelle ==== |
| |
| | Wahrscheinlich bist du Kunde bei einer dieser modernen Direkt- oder Mobile-Banken, die primär auf eine App und eine Kreditkarte für den Zugriff auf das Konto setzen. Diese Banken unterstützen oft kein FinTS. Sie begründen das damit, dass FinTS veraltet sei und man stattdessen deren moderne PSD2-Schnittstelle verwenden solle. |
| |
| Bitte prüfe die hinterlegte Benutzerkennung. Diese muss sich aus der Kontonummer und der zusätzlichen Endung 001 zusammensetzen. | Zu FinTS: Ja, das gibt es schon viele Jahre. Es ist aber nicht veraltet sondern wird kontinuierlich weiterentwickelt. Der Betrieb einer FinTS-Schnittstelle ist für eine Bank aber aufwändig und teuer. Und die Schnittstelle kann nur von den Kunden genutzt werden, die Bankingprogramme auf ihren Computern oder Smartphones betreiben, welche direkt mit der Bank kommunizieren - verschlüsselt und ohne eine dritte Partei dazwischen. Und ohne die Möglichkeit, darüber [[https://de.wikipedia.org/wiki/Querverkauf|Cross-Selling]] zu betreiben. Eine FinTS-Schnittstelle anzubieten, ist für eine Bank aus rein monetären Gesichtspunkten nicht sonderlich attraktiv. |
| |
| ==== Comdirect funktioniert nicht ==== | Zur PSD2-API: Alle Banken in Deutschland sind seit 09/2019 verpflichtet, diese PSD2-API eine anzubieten. Die darf aber nur von Dritt-Dienstleistern genutzt werden. Das sind sogenannte Kontoinformationsdienste (KID) und Zahlungsauslösedienste (ZAD). In [[https://de.wikipedia.org/wiki/Zahlungsdiensterichtlinie#Schnittstellen|Wikipedia]] ist das näher beschrieben. Diese Schnittstelle kann **nicht** dafür genutzt, damit **du** von **deinem Rechner** mit **deiner Software** auf **dein Konto** zugreifen kannst. Stattdessen ermöglicht sie, dass ein Dienstleister **in deinem Namen auf dein Konto** zugreifen darf, ohne dabei deine Zugangsdaten kennen zu müssen. Stattdessen autorisierst du ihn, dies zu können. Er wird dann - hoffentlich in deinem Sinne - Zahlungen durchführen oder deine Umsätze analysieren. |
| |
| Stelle sicher, dass du mindestens Hibiscus 2.8.17 verwendest. Bis Version 2.8.16 kam es hier noch zu einem Fehler. Aktualisiere auf die neue Version per "Datei->Einstellungen->Plugins->Updates". | ==== ING ==== |
| |
| ==== Die ING schrieb mir, mein Banking-Programm soll die PSD2-API verwenden ==== | Die Bank hat es bis heute nicht geschafft, ihren FinTS/HBCI-Server PSD2-konform zu machen (seit 14.09.2019 vorgeschrieben). Den Kommentaren auf https://www.ing.de/ueber-uns/wissenswert/psd2/ (Update 31.05.2021 - die Seite gibt es nicht mehr - war der Bank wohl selbst peinlich) zufolge plant sie das auch nicht mehr. Die Bank kann in Hibiscus daher nur noch sehr eingeschränkt genutzt werden. Das Senden von Überweisungen oder anderen Aufträgen per FinTS bietet die Bank gar nicht mehr an. Der Abruf von Umsätzen funktioniert nur noch, wenn man sich zwischenzeitlich immer mal wieder auf der Webseite der Bank anmeldet. |
| |
| Du bist bei der ING und die Bank hat dich angeschrieben, dass du dich an den Hersteller deines Banking-Programms wenden sollst, damit dieser künftig die PSD2-API nutzt? | Die Bank argumentiert, dass man sich an den Hersteller des Banking-Programms wenden sollst, damit dieser künftig die neue Zahlungsdienstleister-Schnittstelle (die umgangssprachlich ebenfalls "PSD2-Schnittstelle" genannt wird) nutzt. Das Banking-Programm darf und kann diese aber gar nicht nutzen. Stattdessen dürfen Programme mit Direktzugriff auf die Bank nur FinTS verwenden. [[#allgemeines_zu_psd2|Weiter oben]] ist beschrieben, warum das so ist. |
| |
| Das Banking-Programm darf und kann die PSD2-Schnittstelle gar nicht nutzen. [[#allgemeines_zu_psd2|Weiter oben]] ist beschrieben, warum das so ist. | Das Versäumnis liegt hier bei der Bank, nicht bei den Banking-Programmen. Seit 14.09.2019 können in Hibiscus höchstens noch Umsätze abgerufen werden. Zahlungsaufträge sind nicht mehr möglich. |
| |
| Ich weiss nicht, was sich die ING bei dieser Strategie gedacht hat. Vielleicht nahmen sie an, dass nur wenige User Banking-Programme verwenden. Fakt ist jedenfalls, dass sie ihren FinTS-Server nicht rechtzeitig zum 14.09.2019 bereit für PSD2 haben werden. Das Versäumnis liegt hier bei der Bank, nicht bei den Banking-Programmen. Ab dem Stichtag können in Hibiscus höchstens noch Umsätze abgerufen werden. Zahlungsaufträge sind nicht mehr möglich. Mach deinem Ärger über dieses Verhalten der Bank gegenüber ihren Kunden gern in den Kommentaren unter https://www.ing.de/ueber-uns/wissenswert/psd2/ Luft. Wie auch schon über 3.000 andere Kunden vor dir. | Zumindest für den Umsatzabruf kannst du versuchen, die HBCI-Version im PIN/TAN-Bankzugang von "FinTS 3.0" auf "HBCI 2.2" zu stellen. In dieser HBCI-Version werden die zusätzlichen PSD2-TAN-Nachrichten nicht erzeugt. Mit etwas Glück funktioniert es dann wieder. Da die starke Kundenauthentifizierung gesetzlich dennoch nötig ist, musst du dich ggf. mindestens alle 90 Tage auf der Webseite der Bank anmelden und dort die starke Kundenauthentifizierung durchführen. |
| |
