Die PSD2 und ihre Auswirkungen auf Banking4 und BankingZV

Was ist die PSD2?

Die PSD2 steht für Payment-Services-Directive 2 und ist eine EU-weite Regelung für Zahlungsdienstleister. In Deutschland ist diese Regelung als Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie in nationales Recht umgesetzt. Alle Banken sind damit gesetzlich verpflichtet, bis zum Ablauf der Übergangsfrist am 14.09.2019 die Vorgaben aus der PSD2 zu erfüllen.

Die PSD2 umfasst eine Vielzahl neuer Regelungen, wobei nur einige davon das Online-Banking betreffen und sich somit auf Banking4 und BankingZV auswirken:

• Die Anforderungen an die verwendeten Sicherheitsverfahren wurden erhöht. Insbesondere wurden die Anforderungen an die 2-Faktor-Authentifizierung (sprich TAN-Verfahren) konkretisiert.
• Die Banken wurden verpflichtet, im Online-Banking mindestens alle 90 Tage eine starke Kundenauthentifizierung (SCA) durchführen.
• Die Banken müssen für Drittdienstleister (bankfremde Kontoinformationsdienste und Zahlungsauslösedienste) eine offene Schnittstelle (API) zur Verfügung stellen.

Um diese Anforderungen zu erfüllen, müssen die Banken alle Online-Banking-Systeme anpassen, teilweise alte TAN-Verfahren abschalten und neue TAN-Verfahren einführen. Auch die von Finanzsoftware, wie Banking4 und BankingZV, genutzte FinTS-Schnittstelle der Banken muss von den Banken entsprechend erweitert und angepasst werden. Finanzsoftware muss dann wiederum an die geänderte FinTS-Schnittstelle der Banken angepasst werden. Wir werden hierzu entsprechende Updates unserer Anwendungen zur Verfügung stellen.

Ab Version 7.1 unterstützen sowohl Banking4 als auch BankingZV auf allen Plattformen FinTS mit den neuen PSD2 Erweiterungen!

Bitte beachten Sie: Ab dem 14.09.2019 werden keine Apps und Anwendungen mehr funktionieren, welche nicht explizit an die durch die PSD2 vorgegebenen FinTS-Änderungen angepasst wurden. Führen Sie frühzeitig Updates auf die jeweils neueste Version 7 von Banking4 und BankingZV aus, um die lückenlose Online-Banking-Funktionalität sicherzustellen.

Sicherheitsverfahren (TAN-Verfahren)

Einige der aktuell noch genutzten Sicherheitsverfahren, wie z.B. TAN-Listen, sind im Zuge der PSD2 nicht mehr erlaubt und müssen von den Banken spätestens am 14.09.2019 in allen Zugängen abgeschaltet werden.

Finanzsoftware, wie Banking4 und BankingZV, nutzt üblicherweise den von den meisten Banken angebotenen Zugangsweg FinTS, um Konten abzurufen und Überweisungen auszuführen.

Grundsätzlich sind wir bemüht, immer alle im Zugangsweg FinTS von den Banken angebotenen Sicherheitsverfahren auch in Banking4 und BankingZV zu unterstützen. Wir haben hierbei aber keinerlei Einfluss darauf, welche Sicherheitsverfahren von den Banken im Zugangsweg FinTS angeboten werden.

Bitte beachten Sie, dass die Banken auf den eigenen Webseiten und in den eigenen Apps oftmals andere Sicherheitsverfahren anbieten, als im Zugangsweg FinTS für fremde Finanzsoftware.

Für Sie bedeutet das, dass Sie möglicherweise das TAN-Verfahren bei Ihrer Bank wechseln müssen. Bitte fragen Sie bei Ihrer Bank nach den für den Zugangsweg FinTS verfügbaren TAN-Verfahren. Wechseln Sie ggf. zuerst das TAN-Verfahren direkt auf den Webseiten Ihrer Bank. In Banking4 und BankingZV wählen Sie das TAN-Verfahren in den Einstellungen des jeweiligen Bankzugangs. Neu hinzugekommene TAN-Verfahren stehen erst nach einer Synchronisierung des Bankzugangs zur Verfügung.

Starke Kundenauthentifizierung (SCA)

Die vorgeschriebene starke Kundenauthentifizierung wird von den Banken durch eine 2-Faktor-Authentifizierung gelöst. Hierbei wird neben der üblichen Online-Banking-PIN zusätzlich eine TAN, wie bereits heute bei Überweisungen, abgefragt.

Neu ist, dass diese TAN-Abfrage nun bereits bei einer einfachen Kontoabfrage zumindest alle 90 Tage erforderlich ist. Das heißt, dass Sie bei einem Kontorundruf in Banking4 oder BankingZV hin und wieder eine TAN eingeben müssen.

Die PSD2 schreibt lediglich ein Mindestintervall von 90 Tagen vor. Es steht den Banken frei, die starke Kundenauthentifizierung häufiger, im Extremfall bei jeder Kontoabfrage, durchzuführen. Hierauf haben wir keinerlei Einfluss.

Drittanbieterschnittstelle (XS2A)

Die von PSD2 geforderte offene Kontoschnittstelle für Drittanbieter (häufig einfach PSD2-Schnittstelle genannt) steht uns in Banking4 und BankingZV leider nicht zur Verfügung.

Banking4 und BankingZV kommunizieren immer direkt mit den Banksystemen. Im gesamten Online-Banking-Vorgang sind keinerlei Systeme der Subsembly GmbH oder anderer Anbieter zwischengeschaltet. Dieses für den Endkunden hinsichtlich Datenschutz und Datensicherheit optimale Szenario wird von den PSD2-Schnittstellen nicht unterstützt! Vielmehr schreibt die PSD2 indirekt vor, dass für den Kontozugriff durch Drittanbieter ein eigenes System zwischen Kunden und Banken zwischengeschaltet werden muss.

Wir haben aktuell nicht vor, ein solches zwischengeschaltetes Serversystem zu entwickeln und zu betreiben. Das hat folgende Gründe:

• Um den Betrieb eines solchen Servers zu finanzieren, müssten wir monatliche Abogebühren für die Nutzung von Banking4 und BankingZV einführen.
• Ein solches Drittanbietersystem darf nur von einem bei der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) registrierten Anbieter betrieben werden. Wir streben aktuell keine BaFin-Registrierung an. Die Kosten und der Aufwand für eine solche Zertifizierung stehen in keinem Verhältnis zum Nutzen.
• Die neuen PSD2-Schnittstellen bieten gegenüber der althergebrachten FinTS-Schnittstelle etliche gravierende Nachteile, allen voran bieten sie nur einen kleinen Bruchteil des Funktionsumfangs.
• Die neuen PSD2-Schnittstellen bieten keinen Sicherheitsgewinn gegenüber der FinTS-Schnittstelle, wenn diese, wie in Banking4 / BankingZV, für eine direkte Kommunikation zwischen dem Kunden und der Bank verwendet wird.
• In den allermeisten Fällen können wir weiterhin direkt aus Banking4 und BankingZV mit der FinTS-Schnittstelle der Banken kommunizieren.

EBICS Schnittstelle

Bei PSD2 handelt es sich um ein Gesetz zum Verbraucherschutz. Die ausschließlich von Unternehmen verwendete EBICS Schnittstelle der Banken wurde deshalb in Deutschland von der BaFin im “Merkblatt — Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG)” explizit ausgenommen. Firmen, die bereits jetzt EBICS einsetzen, sind somit von den PSD2-Änderungen nicht betroffen.

Grundsätzlich empfehlen wir allen Geschäftskunden, die derzeit noch FinTS nutzen, auf BankingZV mit EBICS umzustellen. Hiermit kann ein problemloser Zahlungsverkehr auch langfristig gewährleistet werden.