„PSD2 hat willkürliches Chaos gebracht“ – 36C3-Interview mit IT-Sicherheitsexperte Henryk Plötz
Auf dem Leipziger Hackerkongress 36C3 hat sich IT-Sicherheitsexperte Henryk Plötz kritisch mit den Auswirkungen der PSD2 (hier der Vortrag “Was hat die PSD2 je für uns getan? Pleiten, Pech und Pannen in der Zahlungsdiensteregulierung”) auseinandergesetzt. Seine Erkenntnis: Privatkunden können seither nicht mehr einfach direkt per Software mit ihrer Bank reden. IT Finanzmagazin-Autorin Anja Küner hat Henryk Plötz zur PSD2 und den Ergebnissen befragt.
von Anja Küner
Warum hast Du Dich mit der PSD2 beschäftigt?
Im Umfeld des CCC gibt es die Open-Source-Vereinssoftware byro, für die ich das Plugin byro-fints geschrieben habe, um den Kassenwarten ihre Arbeit zu erleichtern. Für die Evangelische Kirche Berlin-Brandenburg habe ich den digitalen Klingelbeutel entwickelt. Es gibt nun die Möglichkeit einer Kollekte per Karte oder NFC. Und natürlich bin ich auch Bankkunde. Ich habe Konten bei neun verschiedenen Banken und dabei die unterschiedlichsten Hüte auf als Privatperson, habe ein Familienkonto, Firmenkonten und bin auch für Vereinskonten verantwortlich.
Wie hast Du die Umstellung durch PSD2 erlebt?
Am Tag danach habe ich wie immer eine Kontomanagement-Software nutzen wollen, in der ich den Überblick über alle meine Konten habe. Das war ein Fehler, der mir den Blutdruck in die Höhe trieb.
Ich musste zu unterschiedlichen Zeitpunkten acht verschiedene TANs eingeben, bei einer Bank war dies sogar zweimal nötig.”
Früher war klar, dass man für einen reinen Lesezugriff auf die Kontodaten eine PIN brauchte und eine individuell generierte TAN nur dann erforderlich war, wenn eine Transaktion ausgelöst werden soll. Das ist jetzt nicht mehr so. Manche Banken fordern schon beim Lesezugriff eine TAN.
Aus Kundensicht ist das ein unvorhersehbares und willkürliches Chaos.”
Jede Bank hat andere Anforderungen, mal wird die TAN per bankeigener App generiert, mal gibt es die Foto-TAN, bei einigen Banken existiert die völlig unsichere mobile TAN noch und andere setzen auf den physischen TAN-Generator.
Daran haben sich die Kunden sicherlich inzwischen gewöhnt. Was sind die dauerhaften Nachteile?
Mir hat die Umstellung enorme Nachteile gebracht. Denn als Entwickler von Open-Source-Software stoße ich auf eine Kommerzialisierungs-Hürde. Es ist die Mär vom Zugang Dritter zu Kontoinformationen. Außer für Geschäftskunden ist eine direkte Kommunikation per Software zwischen Kunde und Bank nicht mehr möglich. Aus den zwei beteiligten Parteien sind nun vier und nicht drei geworden, denn es ist eine Zulassung als Kontoinformationsdienstleister oder Zahlungsauslösedienstleister nötig, um die jeweiligen Schnittstellen der Banken zu nutzen.
Insbesondere für Zweite ist eine Open-Source-Lösung unmöglich. Denn dazu braucht es ein qualifiziertes Zertifikat – und das ist teuer.”
Doch selbst wenn ein Open-Source-Entwickler das Geld dafür hat: Er kann dieses Zertifikat nicht einfach auf Github hochladen und öffentlich machen. Zudem kann man es als Endnutzer nicht auf seinem privaten Rechner nutzen, denn Nicht-Cloud-Anwendungen sind komplett ausgeschlossen. Der Endnutzer ist auf kommerzielle Anbieter angewiesen, die aber die Daten in einem Rechenzentrum lagern. Da kommen also gleich zwei neue Parteien ins Spiel – statt zwei sind vier Parteien involviert.
Statt durch die PSD2 mehr Service im Kundensinn zu ermöglichen, gibt es also nur mehr Verwirrung?
Wenn entsprechende Anfangsinvestitionen gestemmt werden, dann hat die PSD2 tatsächlich neue Geschäftsfelder für Start-ups erzeugt. Doch Kontomanagement-Systeme auf Open-Source-Basis sind nun unmöglich.”
Das heißt, Kontoinformationen gibt es seither nur für andere. Und weil die Verbraucher genervt sind und eine einfach zu handhabende Lösung zurückhaben wollen, ist dies eine gute Grundlage für Phishing.
Gibt es aus Deiner Sicht auch Vorteile durch die PSD2?
In Gesprächen mit der Bundesbank erfuhr ich, dass die Qualität der gemeldeten Daten deutlich besser geworden ist. Und die Transparenz generell ist gestiegen. Aber das interessiert den Endverbraucher wohl nur mäßig.”
War die PSD2 aus Deiner Sicht ein Reinfall?
Die Regelungen waren einfach nicht zu Ende gedacht.”
Hoffnung birgt die Tatsache, dass eine Evaluierung der Ergebnisse Ende 2021 ansteht. Bis dahin läuft hoffentlich die bisherige relativ sichere Schnittstelle HBCI weiter, denn kaum eine Bank hat diese abgeschaltet. PSD2 bringt im Grunde nur den Rest Europas auf den Stand, den wir in Deutschland durch HBCI schon lange haben.Anja Küner
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/99478
Schreiben Sie einen Kommentar