Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Finanzen"

Banking Apps - HBCI, PSD2 und Open Source

Die PSD2 Richtlinie hat den Markt für Banking Apps dieses Jahr gehörig umgekrempelt. Ob die neue Richtlinie einen Fortschritt oder Rückschritt darstellt hängt von nationalen Betrachtungsweisen ab. Die Anpassungen zeigen aber einige Problembereiche auf - insbesondere bei freier Software.

Die PSD2 Richtlinie schlug im September diesen Jahres wie eine Bombe ein. Ähnlich wie bei der DSGVO hatten die verantwortlichen Stellen ihre Anpassungen auf den letzten Drücker umgesetzt und so ruckelte es bei vielen gehörig. Die Zwei-Faktor-Authentifizierung im E-Commerce setzten die verantwortlichen Stellen sogar ganz aus, weil die Anpassungen noch nicht weit genug fortgeschritten waren. Die meisten Bankkunden haben die neue Richtlinie in sofern abbekommen, als das sie nun andauernd eine TAN eingeben müssen. Nutzer von Banking-Apps mussten zudem Updates machen und so manche Bank sah die Gelegenheit gekommen sich von HBCI zu verabschieden (siehe auch: Onlinebanking - HBCI/FinTS einfordern).

Dabei sollte man jetzt aber nicht PSD2 pauschal verurteilen. Natürlich hat die Richtlinie ihre Schwächen und dank Lobbyarbeit profitieren vor allem neuartige FinTechs und weniger die Verbraucher. Die Richtlinie verbesserte aber die allgemeine Sicherheit schon deutlich, weil Banken nun gezwungen waren unsichere Alt-Systeme abzustellen. Ich sage nur TAN-Liste. Ich empfehle dazu immer noch Folge 157 von Lage der Nation. Wir Deutschen hatten aber mit HBCI eine sehr komfortable Ausgangslage und konnten fast nur verlieren.

Unabhängig von der politischen Bewertung illustriert die Geschichte wieder mal zwei Probleme im Linux-Sektor. Die Paketverwaltung ist Murks für Endanwenderprogramme und Open Source Programme bekommen künftig ein Problem.

Zuerst zum ersten Punkt. Die veränderten Richtlinien erforderten eine Reihe von Programmupdates bei zentralen Banking-Apps wie KMyMoney oder GnuCash, sowie zu Grunde liegenden Bibliotheken wie aqbanking. Während die meisten kommerziellen Softwareprojekte bereits im Frühjahr mit den notwendigen Aktualisierungen anfingen kamen diese Projekte erst sehr spät mit Updates daher. Allerdings schafften sie es wenigstens im September, wodurch sich die Probleme für den Endanwender in Grenzen halten würden. Es sei denn natürlich dieser Anwender setzt auf eine andere Distribution als Arch Linux - so wie rein zufällig immer noch die meisten Linux-Anwender. Während Debian wenigstens nach einigen Wochen Backports bereitstellte, stehen Ubuntu LTS Nutzer und die aller abhängigen Derivate immer noch im Regen. Dort können sie sich dann z. B. mit den Anwendern von openSUSE Leap unterhalten.

Mit Snaps oder Flatpaks wäre das nicht passiert (siehe: Snaps oder Flatpaks - Es gibt kein zurück). Dem Anwender ist es egal, ob aqbanking und KMyMoney unterschiedliche Projekte sind. Der Anwender installiert meist auch nicht KMyMoney und GnuCash zeitgleich und hat dann alles doppelt. Ich betreue ein paar PCs mit KMyMoney (weil das ein gutes Programm für Banking ist) und die Anwender haben ausreichende Linux-Kenntnisse. Ich muss dort sehr selten eingreifen, auch weil sie eingesetzten Distributionen stabil sind und daher nur alle paar Jahre umfangreiche Pflege benötigen. Aber ich kann denen kaum empfehlen selber Pakete zu bauen, Programme zu kompilieren und Konten auf der Kommandozeile einzurichten.

Unabhängig davon steht es um die Open Source Programme insgesamt nicht gut. Banken erschweren zunehmend den Zugriff via HBCI und nutzen PSD2 als Vorwand. Das ist zwar eine standardisierte Schnittstelle, aber um die nutzen zu können braucht man eine professionelle Infrastruktur, eine Zertifizierung bei der BaFin und muss jährlich erhebliche Summen in die Hand nehmen. Der Entwickler der sehr populären macOS App MoneyMoney hat auf Rückfrage mal die Kosten in Ansätzen offen gelegt. Er beabsichtigt die notwendigen Einnahmen durch ein Abonnement für diejenigen Kunden einzunehmen, die auf PSD2 für ihre Bank angewiesen sind. Doch was machen die Entwickler von Open Source Programmen? Immerhin hat Open Source immer noch kein solides Finanzierungsmodell und es fehlt auch an der notwendigen Organisationsstruktur um so etwas überhaupt anbieten zu können. Ich sehe da leider schwarz für die Zukunft. Zum Glück gibt es wenigstens in diesem Bereich auch ein paar kommerzielle Produkte für Linux.

Ich persönlich habe die ganze Entwicklung tatsächlich zum Anlass genommen mein primäres Konto zu einer Bank umzuziehen, die uneingeschränkt HBCI unterstützt. Hoffentlich noch sehr lange!


Bilder:

Einleitungs- und Beitragsbild von Mudassar Iqbal via Pixabay 

 

"

Tags: Open Source, Linux, HBCI, Banking, PSD2

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

it-frosch
Hallo Gerrit,

also noch ein "Lage der Nation" Hörer. ;-)
Ich möchte deinen Artikel zum Anlass nehmen, auf das Bankingprogramm Hibiscus hinzuweisen, das dank Java über alle OS hinweg nutzbar ist und das für mich seit Jahren ein fester Bestandteil meiner Programmwelt ist.
Ruhig mal ausprobieren und nicht von der Oberfläche abschrecken lassen.
Es konzentriert sich auf das Wesentliche und das m.E. sehr gut.


Gerrit
Hibiscus ist leider eines dieser Programme, dessen Oberfläche so gruselig ist, das ich darüber kaum noch hinwegsehen kann. sad
Marcus
Oh ja, sehr gruselig. Nach meinen Umstieg auf Linux dieses Jahr habe ich auch lange gesucht, bin aber dann bei Hibiscus hängen geblieben.
Mit den anderen Programmen bin ich nicht zurecht gekommen (woran es scheiterte kann ich gar nicht mehr sagen), zu Schluss war Hibiscus das Programm, das ich am Besten bedienen konnte.

Michael Thomas
Vielen Dank für den gerade für derzeit sehr passenden Artikel!

Zitat :
Ich persönlich habe die ganze Entwicklung tatsächlich zum Anlass genommen mein primäres Konto zu einer Bank umzuziehen, die uneingeschränkt HBCI unterstützt. Hoffentlich noch sehr lange!


Das hoffe ich von der anderen Bank bei mir auch. Da aber nicht die Gefahr vorüber zu sein scheint (der September war wohl nicht der relevante Monat), die Kündigungen zum Ende Februar 2020 ausgesprochen werden, frage ich mich derzeit, ob es eine Liste von Banken gibt, die die HBCI-Schnittstelle weiter pflegen werden. (Gemein gefragt: welche Bank ist das, die es noch zusagt?).

Zwei Punkte sehe ich derzeit anders:

Zitat :
Die Richtlinie verbesserte aber die allgemeine Sicherheit schon deutlich, weil Banken nun gezwungen waren unsichere Alt-Systeme abzustellen.


Es ist eher von der Regenrinne in die Traufe. Die eine Bank von mir wirbt für eine App zur TAN-Anzeige. (AppTAN). Diese darf offiziell auf demselben Smartphone laufen, wie die Online-Banking App. Weiterhin werden auch nicht mehr von Google gepflegte Android-Versionen unterstützt. Letztlich wird damit alles auf den Kunden abgewälzt, wenn dieser nicht deutlich mehr Ahnung hat. Dann hat er aber schon zuvor keine TAN-Listen mehr genutzt.

Zitat :
Mit Snaps oder Flatpaks wäre das nicht passiert


Hier kann ich Deine Euphorie nicht nachvollziehen, da ich dasselbe Risiko sehe, wie bei den Docker-Images (wo es im übrigen auch als "Sicherheitsfeature" anfangs verkauft wurde und bei Containern immer noch). Im Laufe der Zeit waren ca. 80% der Docker-Images mit veralteter Software verbunden worden. Dies sehe ich auch bei den anderen "gebundelten" Programmen (z.B. bei Apple macOS), da dort meistens aus Bequemlichkeit der Entwickler die weiterhin in der Entwicklungsumgebung noch vorhandene veraltete OpenSSL-Library verwendet wird.

Wenn der Entwickler alles richtig macht, ist es aber sicherlich ein Gewinn. Aber nur dann... (und ich habe noch mehr Träume).


Torsten
Es gibt noch "konto", ein kleines, aber sehr schickes webbasiertes Banking-Tool mit HBCI-Anbindung:

https://github.com/mtill/konto

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius