Inhaltsverzeichnis

Fragen und Antworten zu PSD2


Allgemeines zu PSD2

„PSD2“ ist die Abkürzung für „Zweite EU-Zahlungsdiensterichtlinie“ (Payment Services Directive). Ausführliche Dokumentation zu dem Thema findet sich bei Wikipedia. Daher hier nur kurz und allgemein verständlich, um was es dabei hauptsächlich geht:

„PSD2“ allgemein bezeichnet den gesamten Themen-Komplex der EU, welcher dazu führen soll, dass

  1. einerseits die Zugriffe auf die Zahlungsverkehrskonten der Kunden sicherer werden
  2. andererseits aber der Zugriff auf Kundenkonten durch Dritte, also Zahlungsdienstleister (z.B. diverse Finanzoptimierungs-Apps) besser reguliert, kontrolliert und standardisiert wird.

Aspekt 1 betrifft u.a. auch HBCI/FinTS und damit Banking-Programme wie Hibiscus. Der FinTS-Standard wurde hierfür so erweitert, dass beim lesenden Zugriff (z.B. beim Umsatzabruf) teilweise bereits eine TAN eingegeben werden muss. Diese Ergänzungen müssen sowohl die Banken in ihren FinTS-Servern vornehmen. Und ebenso die Autoren der Banking-Programme. Diese Änderungen wurden Mitte September 2019 von den Banken scharf geschaltet und müssen von den Banking-Programmen bis dahin umgesetzt und die Updates bei den Usern installiert sein. Das ist der einzige Aspekt, der für Banking-Programme - und damit für Hibiscus-Benutzer - relevant ist.

Aspekt 2 betrifft u.a. neue Anforderungen an Firmen die z.B. Finanz-Optimierungs-Apps anbieten und die auf die Konten ihrer Kunden in deren Auftrag zugreifen wollen. Für diese gilt die Vorgabe, sich bei der Bafin kostenpflichtig registrieren und zertifizieren zu müssen. Ausserdem dürfen sie künftig nicht mehr per FinTS auf die Konten ihrer Kunden zugreifen (diese Schnittstelle ist ab Mitte September nur noch den Anwendern von Banking-Programmen vorbehalten), sondern müssen eine neue Schnittstelle nutzen, welche von den Banken parallel zu FinTS angeboten werden muss. Diese Schnittstelle wird umgangssprachlich „PSD2-API“ genannt. Alternativ auch „XS2A-API“ (Access2Account-API). Die technischen Details dieser Schnittstelle sind für den Kunden/Benutzer nicht relevant, da es hierbei nur um die Datenübertragung zwischen Bank und Dienstleister geht. Sowohl technisch als auch rechtlich bedingt ist es gar nicht möglich, dass ein Kunde mit einem Programm selbst direkt per PSD2-API auf seine Konen zugreift. Diese Schnittstelle kann und darf nur von solchen Dienstleistern verwendet werden. Damit scheidet sie für Banking-Programme aus.

Das heisst:

  1. Immer dann, wenn man selbst auf seine eigenen Konten zugreift, kommt FinTS - und damit ein Banking-Programm wie Hibiscus - zum Einsatz. Oder man geht direkt auf die Webseite der Bank. Die Kommunikation findet direkt zwischen Kunde und Bank statt. Da ist kein Dritter dazwischen, der die Daten sehen kann.
  2. Wenn man aber eine dritte Firma direkt oder indirekt beauftragt, auf die eigenen Konten zuzugreifen (und das ist z.B. bei Finanzoptimierungs-Apps der Fall), dann muss diese Firma die PSD2-API nutzen. Da die Firma hierbei die Konto-Daten des Kunden in der Rolle eines Dritten sieht, gelten für diese Firma die strengen regulatorischen Auflagen hinsichtlich Registrierung und Zertifizierung.

PSD2-Informationen der Banken

Im Folgenden eine (unvollständige) Liste mit Links zu den PSD2-Informationsseiten der verschiedenen Banken:

Auswirkungen auf Hibiscus


PIN/TAN

PIN/TAN ist das mit Abstand gebräuchlichste Verfahren. Wenn du nicht genau weisst, welches Verfahren du verwendest, dann ist es mit ziemlicher Sicherheit PIN/TAN. Hierbei spielt es keine Rolle, ob du einen TAN-Generator, eine Smartphone-App oder SMS verwendest. Es sind alles PIN/TAN-Varianten.

Mehr TANs

Die wesentliche Änderung ist, dass viel häufiger eine TAN eingegeben werden muss. Bisher war eine TAN i.d.R. nur dann nötig, wenn Geld bewegt oder Änderungen am Konto bzw. den Zugangsdaten vorgenommen wurden. Mit PSD2 wird unter Umständen bereits beim Abruf der Umsatzdaten/Kontoauszüge eine TAN erforderlich.

„Unter Umständen“ deshalb, weil Ausnahme-Regelungen existieren, von denen die Banken Gebrauch machen können. So kann es z.B. sein, dass die TAN nur dann benötigt wird, wenn Umsätze abgerufen werden, die älter als 90 Tage sind.

Immer erforderlich ist eine TAN aber in der Regel beim ersten Zugriff auf das Konto (sprich - bei der initialen Einrichtung des Bankzugangs).

Diese TAN-Abfragen gewährleisten die sogenannte „Starke Kundenauthentisierung“ (bzw. „SCA“ für „Strong Customer Authentication“).

Manchmal gar keine TAN

Obwohl auf der einen Seite häufiger eine TAN notwendig ist (siehe vorheriger Absatz), ist seit PSD2 unter bestimmten Bedingungen keine TAN mehr nötig. Im Wesentlichen sind das folgende Szenarien. Das kann sich jedoch auch von Bank zu Bank unterscheiden:

Keine alten TAN-Verfahren mehr

Die alten iTAN-Listen in Papierform werden bei allen Banken abgeschafft (es mag jedoch sein, dass die TAN-Liste aufgehoben werden muss, da sie in Einzelfällen noch nötig sein kann).

Einige Banken schaffen auch das smsTAN-Verfahren ab.

Alle TAN-Verfahren, die die Bank per FinTS anbietet, werden auch von Hibiscus unterstützt. In dieser FAQ findest du eine Liste aller TAN-Verfahren und Hinweise zur Einrichtung in Hibiscus.

Schlüsseldatei

Die Schlüsseldatei (auch RDH-Schlüssel genannt) ist ein alternatives Verfahren. Hierbei kommt eine kryptografisch gesicherte Datei zum Einsatz, in der ein geheimer Schlüssel gespeichert ist. Die Datei ist typischerweise auf einem USB-Stick gespeichert. Es wird allerdings nur von sehr wenigen Banken unterstützt und dementsprechend auch nur von sehr wenigen Nutzern verwendet. Es handelt sich um ein recht altes Verfahren, welches bereits vor PIN/TAN existierte.

Da die Schlüsseldatei kopierbar ist, erfüllt sie eigentlich nicht die neuen Sicherheitsanforderungen der PSD2. Falls du also dieses Zugangsverfahren verwendest, kann es sein, dass sich deine Bank bei dir meldet (oder dies bereits getan hat) und dir mitteilt, dass dieses Verfahren irgendwann eingestellt wird. Es kann sein, dass die Schlüsseldatei noch bis auf weiteres geduldet wird. Daher können hier momentan keine konkreten Aussagen zur Zukunft dieses Verfahrens gemacht werden.

Zumindest rein technisch sollte das Verfahren auch nach dem 14.09.2019 noch funktionieren - es sei denn, deine Bank hat es eingestellt, ohne dir das mitzuteilen oder du hast die Mitteilung übersehen.

Schlüsseldateien im RAH-Format unterstützt Hibiscus ab Version 2.10.11 (bzw. Nightly-Build ab 22.02.2023).

Empfehlung: PIN/TAN ist inzwischen das mit Abstand am häufigsten genutzte Verfahren. Quasi jede Bank bietet es an. Beantrage zusätzlich zu deiner Schlüsseldatei einen PIN/TAN-Zugang, damit du eine alternative Login-Möglichkeit hast, wenn deine Bank die Schlüsseldateien doch unerwartet abschafft. Frage im Zweifel mal bei deiner Bank nach, ob sie Informationen zur Zukunft dieses Verfahrens haben.

HBCI-Chipkarte

Achtung Verwechslungsgefahr Mit „HBCI-Chipkarte“ (auch DDV-Chipkarte) ist nicht ChipTAN/SmartTAN gemeint. ChipTAN/SmartTAN ist ein TAN-Verfahren, bei dem eine Girocard zur Erzeugung einer TAN verwendet wird. Die Datenübertragung findet durch manuelle Eingabe, QR-Code, Flickercode oder per USB statt. Allen gemein ist, dass letzlich eine TAN erzeugt wird - egal, ob diese manuell eingegeben oder automatisch auf den Computer übertragen wird. Wenn du dieses Verfahren nutzt, ist das keine „HBCI-Chipkarte“ und der folgende Absatz ist für dich nicht relevant. HBCI-Chipkarten sind spezielle Chipkarten (also nicht die gewohnte Girocard), die mit USB-Kartenlese-Geräten verwendet werden und bei denen eine Karten-PIN in das Lesegerät eingegeben werden muss. Hierbei wird keine TAN erzeugt.

Hibiscus unterstützt nur sogenannte DDV-Chipkarten, wie sie etwa von den Sparkassen oder der DKB verwendet werden/wurden. Einige Banken (hier insbesondere Volksbanken) nutzen sogenannten RDH-Chipkarten. Diese wurden von Hibiscus jedoch nie unterstützt.

DDV-Chipkarten gelten als veraltet. Die verbliebenen Banken stellen es schrittweise ein. Neue DDV-Karten werden schon seit einiger Zeit nicht mehr ausgegeben.

Zumindest rein technisch sollte das Verfahren auch nach dem 14.09.2019 noch funktionieren - es sei denn, deine Bank hat es eingestellt, ohne dir das mitzuteilen oder du hast die Mitteilung übersehen.

Empfehlung: PIN/TAN ist inzwischen das mit Abstand am häufigsten genutzte Verfahren. Quasi jede Bank bietet es an. Beantrage zusätzlich zu deiner DDV-Chipkarte einen PIN/TAN-Zugang, damit du eine alternative Login-Möglichkeit hast, wenn deine Bank die Chipkarten doch unerwartet abschafft. Frage im Zweifel mal bei deiner Bank nach, ob sie Informationen zur Zukunft dieses Verfahrens haben.

Auswirkungen auf den Hibiscus Payment-Server


Der Hibiscus Payment-Server ist eine spezielle Hibiscus-Version, die auf einem Server verwendet werden kann, um zyklisch und automatisiert die Umsatzbuchungen von verschiedenen Konten abzurufen oder - bei Verwendung einer Schlüsseldatei - sogar automatisiert Überweisungen/Lastschriften auszuführen.

Insofern die Verfahren „Schlüsseldatei“ oder „DDV-Chipkarte“ verwendet werden und die Bank diese noch nicht eingestellt hat, dann können diese Verfahren b.a.w. so weitergenutzt werden. Siehe hierzu auch weiter oben. Konkretere Informationen hierzu kann dir deine Bank geben.

Falls auf dem Hibiscus Payment-Server jedoch ein PIN/TAN-Zugang verwendet wird, um die Umsatzbuchungen automatisiert abzurufen, dann kannn es seit 14.09.2019 zu Problemen kommen. Nämlich genau dann, wenn die Bank bereits für den Umsatzabruf eine TAN haben möchte (siehe weiter oben). Da der Hibiscus Payment-Server prinzipbedingt aufgrund der Programmausführung im Hintergrund keine Benutzerinteraktion zulässt, ist demzufolge auch keine TAN-Eingabe möglich. Der Server wird die Synchronisierung in dem Fall mit einer Fehlermeldung stoppen. Einige/Viele Banken benötigen nur dann eine TAN, wenn die Umsätze älter als 90 Tage sind. In dem Fall kann es funktionieren, parallel zum Hibiscus-Server auf einem anderen Computer die Desktop-Version von Hibiscus zu installieren, und dann von dort aus mit der gleichen Benutzerkennung das Konto von Zeit zu Zeit (jeweils innerhalb des 90-Tage-Limit) zu synchronisieren und die eventuell nötigen TANs dort einzugeben. Dies bewirkt, dass das seitens der Bank geführte 90-Tage-Zeitfenster für diese Benutzerkennung zurückgesetzt wird und der Hibiscus-Server nicht mit einer TAN-Abfrage konfrontiert wird. Achte ausserdem darauf, auf dem Hibiscus-Server pro Konto maximal 4 mal täglich die Umsätze abzurufen. Es gibt eine Regelung, nach der die Bank von der TAN-Ausnahme nur höchstens 4 mal täglich Gebrauch machen kann.

Unter Umständen kann es auch zu einem Fehler kommen, wenn das zu verwendende TAN-Verfahren oder eine TAN-Medienbezeichnung benötigt wird und diese Informationen nicht fest hinterlegt sind. Diese Informationen müssen auf dem Server bereits bei der Anlage des PIN/TAN-Zugangs manuell eingegeben werden. Wenn du diese Informationen nicht kennst, dann lege den Bankzugang zuerst auf einer Desktop-Installation von Hibiscus an, um es zu testen.

Empfehlung

  1. Wenn du Schlüsseldatei oder DDV-Chipkarte verwendest, sollte es weiterhin funktionieren - es sei denn, deine Bank hat es eingestellt.
  2. Wenn du PIN/TAN verwendest: Auch wenn der Hibiscus-Server keine TAN-Anfrage beantworten kann (zumindest nicht automatisch im Hintergrund ohne Benutzer-Interaktion), so muss er dennoch seit 14.09.2019 bei der Datenübertragung zur Bank mitteilen, dass er es prinzipiell könnte. Ob dann tatsächlich eine TAN nötig ist, entscheidet die Bank. Stelle das Synchronisationsintervall so ein, dass höchstens 4 mal täglich die Umsätze abgerufen werden. Aktualisiere außerdem auf Version 2.8.22 oder höher. In dieser Version ist es beim Anlegen und Bearbeiten eines PIN/TAN-Bankzugangs in der web-basierten Benutzeroberfläche möglich, das zu verwendende TAN-Verfahren sowie die TAN-Medienbezeichnung fest zu hinterlegen. Außerdem können TANs, TAN-Verfahren und TAN-Medienbezeichnung notfalls auch direkt im Konsolen-Fenster eingegeben werden, wenn der Prozess nicht im Hintergrund gestartet wurde und als TAN-Handler bei der Erstellung des Bankzugangs „Console Handler“ ausgewählt wurde.

Häufige Fragen


Ist meine Bank auch betroffen

Ja. Wenn du Hibiscus verwendest, bist du betroffen. Es betrifft alle Banken.

Hibiscus braucht eine Produkt-Registrierung

Deine Bank hat dich angeschrieben, dass nur noch Banking-Programme mit dem Bank-Server kommunizieren können, die eine Produkt-Registrierung haben?

Hibiscus enthält diese Registrierung bereits seit 2018.

Ab welcher Version ist Hibiscus PSD2-fähig

Ab Version 2.8.14 bzw. einem Nightly-Build ab 17.09.2019. Mit den Folgeversionen wurden noch viele weitere PSD2-relevante Fehler behoben.

Ich finde keine aktuellere Hibiscus-Version

Hibiscus 2.8.x setzt mindestens Jameica 2.8 voraus. Wenn du das Online-Update auf die aktuelle Hibiscus-Version nicht angeboten bekommst, ist deine Jameica-Version zu alt. Vermutlich verwendest du noch Jameica 2.6.

Beachte, dass Jameica 2.8 mindestens Java 8 oder höher benötigt. Falls du also noch Java 6 oder Java 7 installiert hast, aktualisiere dieses ebenfalls. Unabhängig davon gelten Java 6 und 7 ohnehin als veraltet.

Aktualisiere in dem Fall zuerst Jameica wie hier beschrieben. Anschließend sollte dir im Menü unter „Datei→Einstellungen→Plugins→Verfügbare Updates“ die neue Hibiscus-Version angeboten werden.

Ich erhalten den Fehler "Illegal key size or default parameters"

Die Fehlermeldung tritt auch gern zusammen mit „passport format AESFormat not supported on this plattform “ auf. Deine Java-Version ist zu alt. Die beherrscht noch kein AES-256.

Installiere eine aktuelle Java-Version. Deinstalliere die alte ggf. vorher. Wenn Du Linux verwendest, dann suche im Paketmanager einfach nach „OpenJDK“ oder „Java“ (Version 8 oder höher). Alternativ kannst Du Java auch von https://adoptopenjdk.net herunterladen. Wenn du Windows verwendest, dann achte bei der Installation darauf, die beiden Optionen „JAVA_HOME-Variable konfigurieren“ und „JavaSoft (Oracle) registry keys“ mit zu installieren. Andernfalls findet Jameica die Java-Installation nicht.

Ich habe Hibiscus aktualisiert, geht aber trotzdem nicht

Banken, die kein FinTS mit PSD2 unterstützen

Hibiscus verwendet für die Kommunikation mit der Bank ausschließlich das neue PSD2-fähige FinTS-Verfahren mit den zusätzlichen TAN-Abfragen. Wenn deine Bank PSD2 nicht unterstützt, kann diese Bank in Hibiscus nicht mehr oder nur eingeschränkt genutzt werden. Die Fehlermeldung der Bank lautet typischerweise „9180:Wird nicht bzw. nicht mehr unterstützt“. Das betrifft primär die ING.

Meine Bank bietet kein FinTS an, dafür aber eine PSD2-Schnittstelle

Wahrscheinlich bist du Kunde bei einer dieser modernen Direkt- oder Mobile-Banken, die primär auf eine App und eine Kreditkarte für den Zugriff auf das Konto setzen. Diese Banken unterstützen oft kein FinTS. Sie begründen das damit, dass FinTS veraltet sei und man stattdessen deren moderne PSD2-Schnittstelle verwenden solle.

Zu FinTS: Ja, das gibt es schon viele Jahre. Es ist aber nicht veraltet sondern wird kontinuierlich weiterentwickelt. Der Betrieb einer FinTS-Schnittstelle ist für eine Bank aber aufwändig und teuer. Und die Schnittstelle kann nur von den Kunden genutzt werden, die Bankingprogramme auf ihren Computern oder Smartphones betreiben, welche direkt mit der Bank kommunizieren - verschlüsselt und ohne eine dritte Partei dazwischen. Und ohne die Möglichkeit, darüber Cross-Selling zu betreiben. Eine FinTS-Schnittstelle anzubieten, ist für eine Bank aus rein monetären Gesichtspunkten nicht sonderlich attraktiv.

Zur PSD2-API: Alle Banken in Deutschland sind seit 09/2019 verpflichtet, diese PSD2-API eine anzubieten. Die darf aber nur von Dritt-Dienstleistern genutzt werden. Das sind sogenannte Kontoinformationsdienste (KID) und Zahlungsauslösedienste (ZAD). In Wikipedia ist das näher beschrieben. Diese Schnittstelle kann nicht dafür genutzt, damit du von deinem Rechner mit deiner Software auf dein Konto zugreifen kannst. Stattdessen ermöglicht sie, dass ein Dienstleister in deinem Namen auf dein Konto zugreifen darf, ohne dabei deine Zugangsdaten kennen zu müssen. Stattdessen autorisierst du ihn, dies zu können. Er wird dann - hoffentlich in deinem Sinne - Zahlungen durchführen oder deine Umsätze analysieren.

ING

Die Bank hat es als einzige deutsche Bank bis heute nicht geschafft, ihren FinTS/HBCI-Server PSD2-konform zu machen (seit 14.09.2019 vorgeschrieben). Den Kommentaren auf https://www.ing.de/ueber-uns/wissenswert/psd2/ (Update 31.05.2021 - die Seite gibt es nicht mehr - war der Bank wohl selbst peinlich) zufolge plant sie das auch nicht mehr. Die Bank kann in Hibiscus daher nur noch sehr eingeschränkt genutzt werden. Das Senden von Überweisungen oder anderen Aufträgen per FinTS bietet die Bank gar nicht mehr an. Der Abruf von Umsätzen funktioniert nur noch, wenn man sich zwischenzeitlich immer mal wieder auf der Webseite der Bank anmeldet.

Die Bank argumentiert, dass man sich an den Hersteller des Banking-Programms wenden soll, damit dieser künftig die neue Zahlungsdienstleister-Schnittstelle (die umgangssprachlich ebenfalls „PSD2-Schnittstelle“ genannt wird) nutzt. Das Banking-Programm darf und kann diese aber gar nicht nutzen. Stattdessen dürfen Programme mit Direktzugriff auf die Bank nur FinTS verwenden. Weiter oben ist beschrieben, warum das so ist.

Das Versäumnis liegt hier bei der Bank, nicht bei den Banking-Programmen. Seit 14.09.2019 können in Hibiscus höchstens noch Umsätze abgerufen werden. Zahlungsaufträge sind nicht mehr möglich.

Zumindest für den Umsatzabruf kannst du versuchen, die HBCI-Version im PIN/TAN-Bankzugang von „FinTS 3.0“ auf „HBCI 2.2“ zu stellen. In dieser HBCI-Version werden die zusätzlichen PSD2-TAN-Nachrichten nicht erzeugt. Mit etwas Glück funktioniert es dann wieder. Da die starke Kundenauthentifizierung gesetzlich dennoch nötig ist, musst du dich ggf. mindestens alle 90 Tage auf der Webseite der Bank anmelden und dort die starke Kundenauthentifizierung durchführen.