Aktuelle Phishing-Mails mit Bezug auf PSD2

Aktuell sind verstärkt gefälschte E-Mails im Umlauf, um an vertrauliche Kundendaten, z.B. Login-Informationen, zu gelangen. Mit Hinweis auf PSD2 wird auf die Notwendigkeit hingewiesen, die Mobilfunknummer auf einer (gefälschten) apoBank-Seite einzugeben.

Wenn Sie den Verdacht haben, dass bei Ihnen ein solcher Betrugsfall vorliegt, kontaktieren Sie uns umgehend unter der Rufnummer 0211 5998 8000.

Neue Zahlungsverkehrsrichtlinie PSD2

PSD2 – Was die neuen Regeln im Zahlungsverkehr für Sie bedeuten

PSD2 ist der Name einer neuen europäischen Zahlungsdiensterichtlinie. Sie soll den Geldtransfer innerhalb der EU sicherer machen, Verbraucherrechte stärken und die Bedingungen im europäischen Zahlungsverkehr vereinheitlichen. Mit PSD2 wird sich in unserem Online-Banking ab dem 11.09.2019 einiges ändern.

Konkret bedeutet das für Sie:

Mehr Sicherheit durch 2-Faktor-Authentifzierung

Beim Online-Banking wird es eine zusätzliche 2-Faktor-Authentifzierung geben. Dadurch werden Sie beim Login in unregelmäßigen Abständen zur Eingabe einer Transaktionsnummer (TAN) aufgefordert, die Sie z. B. ganz bequem über Ihre apoTAN-App generieren können.

 

Zugang über Drittanbieter

Mit Ihrer Zustimmung können Sie Kontoinformationen für Drittdienstleister freigeben. Diese können dann in Ihrem Auftrag z. B. Zahlungen ausführen, Umsatzdaten einsehen oder die Deckung prüfen.

Online-Zahlung mit Kreditkarte

Für Online-Zahlungen mit Ihrer Kreditkarte wird zukünftig das 3D Secure-Verfahren verbindlich.

Informationen für Entwickler

Kontoinformationsdienstleister, Zahlungsauslösedienstleister und Zahlungsinstrumente ausgebende Dienstleister, die im Besitz einer entsprechenden Zulassung der deutschen bzw. einer anderen europäischen Aufsichts­behörde sind, können – sofern eine Zustimmung des Kunden vorliegt – über eine definierte Schnittstelle ("XS2A-API") auf Kontodaten zugreifen oder Zahlungen auslösen. 

Die Umsetzung erfolgt auf Basis der Berlin Group NextGen Spezifikation Version 1.2 über unseren technischen Dienstleister Fiducia & GAD IT AG.

Wir bieten in diesem Zusammenhang seit dem 14.03.2019 eine Schnittstelle für Tests an. Für die Anmeldung zu Tests und weiteren Informationen nutzen Sie bitte www.fiduciagad.de/xs2asandbox-test.

Seit dem 14.06.2019 ist auch eine produktive Nutzung der Schnittstelle im Echtbetrieb möglich. Weitere technische Details und Informationen zum Zugang auf die Schnittstelle stehen über unseren Dienstleister unter www.fiduciagad.de/xs2a-Drittanbieter-Schnittstelle zur Verfügung.

Momentan bereiten wir uns auf eine IT-Migration vor, die im Jahr 2020 stattfinden wird.

Aus diesem Grund bieten wir ab dem 01.09. 2019 eine weitere Schnittstelle für Tests an. Diese finden Sie unter https://psd2-portal-apobank.b-source.biz. Zu gegebener Zeit werden wir Ihnen weitere Informationen bereit stellen.

Informationen zur Berlin Group Spezifikation NextGen erhalten Sie ausschließlich über die Berlin Group Website (www.berlin-group.org) und das NISP–Projekt (www.nisp.online).

Antworten auf Ihre Fragen:

Was sind die rechtlichen Hintergründe zu PSD2?

Die Richtlinie PSD2 (Payment Service Directive 2) wurde von der Europäischen Kommission beschlossen. Die europäischen Länder sind verpflichtet, sie in nationales Recht umzusetzen. In Deutschland finden sich die Regelungen im Bürgerlichen Gesetzbuch (BGB) und im Zahlungsdiensteaufsichtsgesetz (ZAG).

Wie erfolgt die Information über die anstehenden Änderungen?

Die neuen „Sonderbedingungen für das Online-Banking“ erhalten Sie Ende Juni mit dem Monatsauszug Ihres Girokontos.

Kann ich den Änderungen widersprechen und wenn ja, was bedeutet das für
meine Geschäftsbeziehung mit der apoBank?

Grundsätzlich ist es Ihr Recht, innerhalb von zwei Monaten nach Zustellung den Änderungen in den „Sonderbedingungen für das Online-Banking“ zu widersprechen. In diesem Fall gelten die Änderungen für Sie nicht. Da wir als apoBank gesetzlich verpflichtet sind, die Änderungen umzusetzen, können Sie dann keine Leistungen mehr nutzen, die unter die Zahlungsdiensterichtlinie fallen. Konkret heißt das, dass Sie keinen Online-Zugriff mehr auf Ihr Konto erhalten.

Was passiert, wenn ich nichts unternehme?

Wenn Sie uns Ihre Ablehnung nicht bis zum 14.09.2019 anzeigen, gilt Ihre Zustimmung zu den neuen „Sonderbedingungen für das Online-Banking“ als erteilt. Sie profitieren dann von den beschriebenen Vorteilen.

Mehr Schutz und Sicherheit im Banking

PSD2 – Profitieren Sie von zusätzlichem Schutz für Ihr Konto

Mit PSD2 wird der Online-Zugriff auf Ihr Konto stärker geschützt. So werden Sie bei der Anmeldung ins Online-Banking in unregelmäßigen Abständen aufgefordert, zusätzlich zu Ihren Login-Daten eine Transaktionsnummer (TAN) einzugeben. Das bedeutet mehr Schutz und Sicherheit für Ihre Konten.

Mehr Sicherheit

Eine starke Kunden-authentifizierung bietet mehr Schutz vor Betrügern

Zusätzlicher Kontoschutz

Zusätzliche TAN-Abfragen bieten mehr Schutz für Ihre Konten

Einfache Abwicklung

Das TAN-Verfahren der apoBank sorgt für eine einfache Abwicklung

So funktioniert die neue 2-Faktor-Authentifizierung:

  • Login mit zusätzlicher TAN-Abfrage in unregelmäßigen Abständen
  • Zusätzlich TAN-Eingabe bei Umsatzabfragen älter als 90 Tage

Antworten auf Ihre Fragen:

Was bedeutet „Starke Kundenauthentifizierung“
bzw. „2-Faktor-Authentifzierung“?

Eine „starke Kundenauthentifizierung“ setzt mindestens zwei der folgenden Faktoren voraus:

„Besitz“ = etwas, was nur der Kunde besitzt (z. B. TAN, Chipkarte)

„Wissen“ = etwas, was nur der Kunde weiß (z. B. PIN bei Login)

„Biometrie“ = etwas, das nur dem Kunden körperlich eigen ist (z. B. Fingerabdruck/ Touch ID, Face ID)

Gilt die 2-Faktor-Authentifzierung auch für HBCI PIN/TAN?

Ja. Auch bei der Nutzung von Software-Produkten, wie z. B. StarMoney müssen Sie in Zukunft in unregelmäßigen Abständen eine 2-Faktor-Authentifizierung durchführen. Dies gilt sowohl beim Login als auch beim Abruf von Kontoumsätzen älter als 90 Tage. Es ist somit notwendig, dass Sie als abrufender Nutzer über ein gültiges TAN-Verfahren (z.B. apoTAN) verfügen.

Gibt es Einschränkungen bei der Verwendung der apoBanking App?

Ja. Auch bei der Nutzung der BankingApps der apoBank (apoBankingApp und Kontomonitor) müssen Sie in Zukunft in unregelmäßigen Abständen eine 2-Faktor-Authentifizierung beim Abruf von Daten Ihres apoBank Kontos durchführen. Um also weiterhin die BankingApps der apoBank (apoBankingApp und Kontomonitor) nutzen zu können, benötigen Sie zwingend das apoTAN-Verfahren

Falls Sie die BankingApp zusätzlich als Multibanking-Lösung nutzen, gilt gleiches auch beim Abruf von Daten jedes einzelnen Fremdbankkontos. Auch hier ist ab dann eine 2-Faktor-Authentifizierung mit dem TAN-Verfahren Ihres Fremdbankkontos notwendig. Die Frequenz hängt von Ihrer Fremdbank ab. Die PSD2 schreibt lediglich ein Mindestintervall von 90 Tagen vor. Es steht den Banken also frei, die starke Kundenauthentifizierung häufiger, im Extremfall bei jeder Kontoabfrage, durchzuführen. Hierauf haben wir keinerlei Einfluss.

Aufgrund der nicht steuerbaren Frequenz der TAN-Abfragen bei Fremdbankkonten ist für diese die Hintergrundaktualisierung deaktiviert worden. Somit können Sie Umsätze bei diesen Konten nur aktualisieren, wenn Sie die App aktiv nutzen (Kontorundruf beim Start bzw. manueller Rundruf).

Warum erhalte ich ungefragt TANs zu „Bestandsabfragen“ zugeschickt?

Bei Nutzung von apoBanking App, Kontomonitor und sonstigen Apps haben Sie die Möglichkeit sich mittels Hintergrundaktualisierung regelmäßig via Push-Nachricht über neue Umsätze informieren zu lassen.

Hierzu erfolgt in regelmäßigen Abständen ein Abruf der Kontoumsätze aller Konten. Die PSD2 fordert bei Abruf von Kontoumsätzen älter 90 Tage jetzt eine „Starke Kundenauthentifizierung“ mittels TAN für jedes einzelne Zahlungskonto.

Der Text der TAN lautet: „Die TAN für Ihre Bestandsabfrage lautet: xxxxxx Zeit: hh:mm:ss“

Mit einem Update Anfang September wird der Abruf für apoBanking App und Kontomonitor auf 90 Tage beschränkt, so dass die TAN-Abfrage in diesem Falle nicht mehr notwendig ist. Um kurzfristig den TAN-Versand einzustellen, können Sie in der App die Hintergrundaktualisierung deaktivieren (Hauptmenü oben links \ Einstellungen \ Allgemeine Einstellungen \ Hintergrundaktualisierung).

Die Vorgehensweise bei weiteren Anbietern, wie z.B. finanzblick, outbank, starmoney, etc., können wir nicht beeinflussen.

Zugang über Drittanbieter

PSD2 – Was bedeutet der Zugang über Drittanbieter für mich?

Mit PSD2 können Sie zukünftig über Drittanbieter (z. B. sogenannte FinTechs, andere Banken etc.) auf Ihr Konto zugreifen, um Informationen abzurufen oder Zahlungen zu veranlassen. Natürlich nur, wenn Sie hierfür ausdrücklich Ihre Einwilligung erteilen. Diese gilt bis zu 90 Tage und muss danach von Ihnen neu erteilt werden. Selbstverständlich werden wir Ihre Daten nie ohne Ihre Genehmigung weitergeben.

Diese Drittanbieter gibt es:

  • Kontoinformationsdienste: Sie rufen Informationen über Konto, Kontostand und getätigte Transaktionen ab.

  • Zahlungsauslösedienste: Sie führen Transaktionen/Zahlungen für Sie aus.

  • Zahlungsinstrumente ausgebende Dienstleister: Sie ermöglichen die Abfrage der Verfügbarkeit eines Geldbetrages auf einem Konto.
Was sind Drittanbieter und welchen Service bieten sie an?

Drittanbieter sind Anbieter, die neben den etablierten Finanzdienstleistern wie Banken und Sparkassen ebenfalls Kontoinformations- und Zahlungsauslösedienste anbieten. Im Einzelnen sind das:

Kontoinformationsdienste: Sie greifen mit Ihrer Zustimmung auf Kontostand, Transaktionshistorie und Kontoinformationen zu.

Zahlungsauslösedienste: Sie lösen mit Ihrer Zustimmung Zahlungen (Überweisungen) aus.

Zahlungsinstrumente ausgebende Dienstleister: Sie dürfen nach Autorisierung durch Sie beim Einsatz des Zahlungsinstrumentes prüfen, ob Ihr Zahlungskonto gedeckt ist.

Welchen regulatorischen Anforderungen unterliegen Drittanbieter?

Drittanbieter dürfen nur dann Zahlungsdienste anbieten, wenn sie über eine Lizenz der BaFin (Bundesanstalt für Finanzaufsicht) verfügen. Bevor sie auf Konten zugreifen, müssen sie sich mit einem elektronischen Zertifikat gegenüber der Bank ausweisen.

Wie können Drittanbieter zugreifen?

Mit PSD2 dürfen Drittanbieter nur über die von der Bank zur Verfügung gestellte Schnittstelle auf online zugängliche Zahlungskonten zugreifen. Andere Zugriffswege sind nicht zulässig.

Wie erteile ich meine Zustimmung?

Beim ersten Mal müssen Sie die Kontoabfrage des Drittanbieters mit Ihren Zugangsdaten (apoKennung/Alias, PIN und TAN) genehmigen. Diese Genehmigung gilt für maximal 90 Tage, spätestens dann müssen Sie die Zugangsdaten erneut mit einer neuen TAN bestätigen. Widerspruch- oder Sperrmöglichkeiten bei der Bank gibt es bisher nicht.

Auf welche Konten können Drittanbieter zugreifen?

PSD2 betrifft nur online zugängliche Zahlungskonten. Ihre Spar- oder Depotkonten sind von den Änderungen nicht betroffen. 

Worauf muss ich als Bankkunde jetzt achten?

Sie sollten sorgfältig prüfen, welchem Drittanbieter Sie Zugang zu Ihrem Konto verschaffen. Nach der Richtlinie erhalten Zahlungsdienste wie z. B. Sofortüberweisung keinen vollen Zugang auf das Konto, sondern nur auf die zur Überweisung benötigten Daten. Anders sieht es bei Anbietern für Kontoverwaltungs-Apps aus. Diese erhalten einen umfangreicheren Einblick auf die sensiblen Kontodaten. Überlegen Sie also, wem Sie diesen Einblick gewähren.

Ich nutze bereits Zahlungsauslösedienstleister wie Sofortüberweisung & Co.
Was ändert sich hier für mich?

Bislang durften Zahlungsauslösedienste wie Sofortüberweisung mehr Kontodaten einsehen als für den Zahlvorgang nötig. Mit PSD2 wird dieser Zugriff eingeschränkt. Es können nur noch die Daten abgerufen werden, die für die Überweisungen nötig sind.

Ich nutze bereits Apps zur Kontoverwaltung. Was ändert sich hier für mich?

Diese Drittanbieter dürfen, Ihre Zustimmung vorausgesetzt, die Kontostände und Transaktionen der vergangenen 12 Monate einsehen.

Ich rufe Kontoinformationen über die DATEV ab
bzw. reiche Zahlungen über die DATEV ein. Was ändert sich für mich?

Die DATEV nutzt verschiedene Möglichkeiten zur Kommunikation mit der apoBank an. Bislang sind dies HBCI PIN/TAN, SRZ-Verfahren und EBICS.

Beim Übermittlungsverfahren HBCI PIN/TAN werden Ihre persönlichen Sicherheitsmerkmale über das DATEV-Rechenzentrum an die apoBank übermittelt. Die DATEV agiert somit als Kontoinformationsdienst und darf die Daten zukünftig nur noch über die neue PSD2-Schnittstelle abrufen. Hierfür wird alle 90 Tage eine TAN abgefragt. Es ist somit notwendig, dass Sie über ein gültiges TAN-Verfahren (apoTAN) verfügen, um beim Zugriff die TAN eingeben zu können.

Nur wenn Sie für das Buchen elektronischer Belege die Übermittlungsverfahren RZ-Bankinfo oder EBICS bzw. für Zahlungen das Service-Rechenzentrumsverfahren (DATEV-Sammelverfahren mit Begleitzettel) einsetzen, sind Sie von der gesetzlichen Änderung nicht betroffen und es besteht für Sie kein Handlungsbedarf.

Falls Sie bislang eine DATEV Lösung genutzt haben und die Informationen von Ihrem Bankkonto mittels HBCI PIN/TAN Verfahren abgerufen haben, können Sie anhand folgender Übersicht entscheiden, welche Variante für Sie zukünftig die richtige ist:

Von der DATEV genutzte Schnittstellen HBCI PIN/TAN (FinTS) nur noch bis Sept 2019 PSD2 API (XS2A) ab Sept 2019 SRZ-verfahren mit Begleitzettel und
RZ-Bankinfo
EBICS-Verfahren
Terminüberweisungen JA JA JA JA
Purpose Codes (Textschlüssel) bei Überweisungen JA NEIN JA JA
Batch-Booking-Kennzeichen bei Überweisungen JA JA JA JA
SEPA Überweisungen JA JA JA JA
SEPA Lastschriften JA NEIN JA JA
Auslandsüberweisungen außerhalb des SEPA-Raumes JA NEIN - JA
Geschäftsvorfalls-Code (GVC) / Geschäftsvorgangscode JA
NEIN JA JA

Weitere Informationen finden Sie auf den Infoseiten der DATEV

Wie sieht es mit Lastschriften aus?

Bei Lastschrifteinzug benötigt der Händler die Daten, um das Mandat zu erstellen und die Lastschrift einziehen zu können. Er benötigt keinen Zugriff auf das Kundenkonto. Falls die Kontozugangsdaten für den Lastschrifteinzug abgefragt werden, sollten Sie diese Daten verweigern, da sie nicht erforderlich sind.

Wird mein Konto gläsern?

Nein. Nur Sie als Kunde können Drittanbieter damit beauftragen, für Sie Zahlungen vorzunehmen oder Kontoinformationen abzurufen. Die apoBank ist dann gesetzlich verpflichtet, den Zugriff auf Ihre Konten und diesbezügliche Daten zu ermöglichen

Erhöht sich die Haftungsgrenze?

Nein, im Gegenteil. Bei einem Missbrauch der Bank- oder Kreditkarte oder beim Online-Banking – nämlich bei der PIN oder TAN – haftet bisher der Kunde für entstandene Schäden bis maximal 150 Euro, solange er die Karte oder sein Online-Konto nicht gesperrt hat. Diese Haftungsgrenze sinkt nun auf maximal 50 Euro und lediglich bei grober Fahrlässigkeit oder bei Vorsatz haftet der Kunde auch weiterhin unbeschränkt.

Ich nutze StarMoney, was ändert sich für mich?

Nach Inkrafttreten der PSD2 werden Sie beim Abruf von Kontoinformationen über HBCI PIN/TAN aufgefordert, sich in unregelmäßigen Abständen mittels einer TAN zu verifizieren.

Sofern Sie die aktuellste Version von StarMoney bzw. die jeweilige Vorversion nutzen, gilt somit die neue Regelung für Sie.

Nutzen sie dagegen eine ältere Version von StarMoney, hat Ihnen der Anbieter der Software gemäß Lizenzbedingungen bereits den Updateservice aufgekündigt und stellt keine Aktualisierung für PSD2 bereit. Folgende Versionen sind hiervon betroffen: StarMoney 7.0, StarMoney 8.0, StarMoney 9.0, StarMoney 10, StarMoney Plus, StarMoney Business 4.0, StarMoney Business 5.0, StarMoney Business 6.0, StarMoney Business 7.

Online-Zahlungen mit apoBank Mastercard und VISA

PSD2 – 3D Secure-Verfahren bei Online-Kreditkartenzahlungen

Mit PSD2 wird das 3D Secure-Verfahren für Kreditkartenzahlungen (Mastercard® Identity Check™ bzw. Verified by VISA) im Internet verpflichtend, d. h. Sie geben jede Kartenzahlung mit einer Transaktionsnummer (E-Commerce-TAN) frei. Diese erhalten Sie zum Ende des Bezahlvorgangs per Push-Nachricht in Ihre apoSecure App oder per Kurznachricht (SMS) auf Ihr Mobiltelefon.

Mehr erfahren