Die PSD2 Richtlinie hat den Markt für Banking Apps dieses Jahr gehörig umgekrempelt. Ob die neue Richtlinie einen Fortschritt oder Rückschritt darstellt hängt von nationalen Betrachtungsweisen ab. Die Anpassungen zeigen aber einige Problembereiche auf – insbesondere bei freier Software.
Die PSD2 Richtlinie schlug im September diesen Jahres wie eine Bombe ein. Ähnlich wie bei der DSGVO hatten die verantwortlichen Stellen ihre Anpassungen auf den letzten Drücker umgesetzt und so ruckelte es bei vielen gehörig. Die Zwei-Faktor-Authentifizierung im E-Commerce setzten die verantwortlichen Stellen sogar ganz aus, weil die Anpassungen noch nicht weit genug fortgeschritten waren. Die meisten Bankkunden haben die neue Richtlinie in sofern abbekommen, als das sie nun andauernd eine TAN eingeben müssen. Nutzer von Banking-Apps mussten zudem Updates machen und so manche Bank sah die Gelegenheit gekommen sich von HBCI zu verabschieden (siehe auch: Onlinebanking – HBCI/FinTS einfordern).
Dabei sollte man jetzt aber nicht PSD2 pauschal verurteilen. Natürlich hat die Richtlinie ihre Schwächen und dank Lobbyarbeit profitieren vor allem neuartige FinTechs und weniger die Verbraucher. Die Richtlinie verbesserte aber die allgemeine Sicherheit schon deutlich, weil Banken nun gezwungen waren unsichere Alt-Systeme abzustellen. Ich sage nur TAN-Liste. Ich empfehle dazu immer noch Folge 157 von Lage der Nation. Wir Deutschen hatten aber mit HBCI eine sehr komfortable Ausgangslage und konnten fast nur verlieren.
Unabhängig von der politischen Bewertung illustriert die Geschichte wieder mal zwei Probleme im Linux-Sektor. Die Paketverwaltung ist Murks für Endanwenderprogramme und Open Source Programme bekommen künftig ein Problem.
Zuerst zum ersten Punkt. Die veränderten Richtlinien erforderten eine Reihe von Programmupdates bei zentralen Banking-Apps wie KMyMoney oder GnuCash, sowie zu Grunde liegenden Bibliotheken wie aqbanking. Während die meisten kommerziellen Softwareprojekte bereits im Frühjahr mit den notwendigen Aktualisierungen anfingen kamen diese Projekte erst sehr spät mit Updates daher. Allerdings schafften sie es wenigstens im September, wodurch sich die Probleme für den Endanwender in Grenzen halten würden. Es sei denn natürlich dieser Anwender setzt auf eine andere Distribution als Arch Linux – so wie rein zufällig immer noch die meisten Linux-Anwender. Während Debian wenigstens nach einigen Wochen Backports bereitstellte, stehen Ubuntu LTS Nutzer und die aller abhängigen Derivate immer noch im Regen. Dort können sie sich dann z. B. mit den Anwendern von openSUSE Leap unterhalten.
Mit Snaps oder Flatpaks wäre das nicht passiert (siehe: Snaps oder Flatpaks – Es gibt kein zurück). Dem Anwender ist es egal, ob aqbanking und KMyMoney unterschiedliche Projekte sind. Der Anwender installiert meist auch nicht KMyMoney und GnuCash zeitgleich und hat dann alles doppelt. Ich betreue ein paar PCs mit KMyMoney (weil das ein gutes Programm für Banking ist) und die Anwender haben ausreichende Linux-Kenntnisse. Ich muss dort sehr selten eingreifen, auch weil sie eingesetzten Distributionen stabil sind und daher nur alle paar Jahre umfangreiche Pflege benötigen. Aber ich kann denen kaum empfehlen selber Pakete zu bauen, Programme zu kompilieren und Konten auf der Kommandozeile einzurichten.
Unabhängig davon steht es um die Open Source Programme insgesamt nicht gut. Banken erschweren zunehmend den Zugriff via HBCI und nutzen PSD2 als Vorwand. Das ist zwar eine standardisierte Schnittstelle, aber um die nutzen zu können braucht man eine professionelle Infrastruktur, eine Zertifizierung bei der BaFin und muss jährlich erhebliche Summen in die Hand nehmen. Der Entwickler der sehr populären macOS App MoneyMoney hat auf Rückfrage mal die Kosten in Ansätzen offen gelegt. Er beabsichtigt die notwendigen Einnahmen durch ein Abonnement für diejenigen Kunden einzunehmen, die auf PSD2 für ihre Bank angewiesen sind. Doch was machen die Entwickler von Open Source Programmen? Immerhin hat Open Source immer noch kein solides Finanzierungsmodell und es fehlt auch an der notwendigen Organisationsstruktur um so etwas überhaupt anbieten zu können. Ich sehe da leider schwarz für die Zukunft. Zum Glück gibt es wenigstens in diesem Bereich auch ein paar kommerzielle Produkte für Linux.
Ich persönlich habe die ganze Entwicklung tatsächlich zum Anlass genommen mein primäres Konto zu einer Bank umzuziehen, die uneingeschränkt HBCI unterstützt. Hoffentlich noch sehr lange!
Bilder:
Einleitungs- und Beitragsbild von Mudassar Iqbal via Pixabay