Personalisierte FinTS/HBCI-Chipkarten der genossenschaftlichen Banken, also Karten mit Namenseindruck, haben ein Ablaufdatum (siehe Aufdruck). Eigentlich läuft bei HBCI nicht die Karte, sondern das Zertifikat ab, das aber nur am Rande. Meist reicht es aus, die neue Karte statt der alten zu verwenden, sie wird durch die Software automatisch aktiviert.

Einige Programme haben aber anscheinend mit dem Kartenwechsel Probleme und können die Initialisierung nicht durchführen.

Folgendes hat meiner Erfahrung nach geholfen:

  • Erstellen einer frischen Datensicherung
  • Löschen des alten Bankkontaktes (Achtung bei der VR-NetWorld Software: „Sicherheitsmedium wechseln“ auswählen)
  • Einlesen der neuen Karte (Falls danach gefragt wird: RDH-7, FinTS/HBCI-Version 3.0)
  • ggf. Nachpflegen der VR-Kennung in das zweite Feld (Benutzerkennung mit 672… nicht ändern!)

Die VR-Kennung wird je nach Bankeinstellung über den Rückmeldecode 3072 angezeigt oder muss eventuell bei der Bank erfragt werden.

Ist die Benutzerkennung gelöscht worden, dann muss man diese auch von der Bank erfragen. Sie ändert sich aber eigentlich bei sogenannten „Folgekarten“ nicht.

Ein INI-Brief muss nicht ausgedruckt werden, die Karte ist bereits signiert und kann direkt verwendet werden.


In seltenen Fällen (Fehlermeldung „Benutzerkennung falsch“) muss die Karte komplett neu programmiert werden. Folgen Sie dieser Anleitung.

Die unpersonalisierte HBCI-Karte trägt keinen Namen des/der Eigentümers/in. Die Karte wird bei Genossenschaftsbanken häufig als „basic-Karte“ bezeichnet. Vollständig lautet der Name  „VR-NetWorld card basic“ mit kursivem basic. Diese Karte gibt es in ähnlicher Form auch von anderen Banken und kann, bzw. konnte auch „am freien Markt“ gekauft werden, z.B. bei matrica.

Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-9 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-5 und kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Da keine zeitbegrenzten Bankzertifikate gespeichert sind, ist die Laufzeit nur durch das Verfahren begrenzt. Sind Zeitangaben aufgedruckt, so sollte man diese als „Mindestlaufzeit“ verstehen.

PIN:
Im Auslieferungszustand ist die Karte noch nicht mit einer Benutzerkennung versehen und hat auch noch keine nutzbare PIN. Stattdessen besitzt sie eine 5-stellige Transport-PIN, die vor der ersten Nutzung in eine mindestens 6-stellige PIN geändert werden muss. Die Transport-PIN besteht aus den letzten 5 Stellen der Kartennummer. Dadurch ist gewährleistet, dass die Karten-PIN direkt mit der gescützten Tastatur des Kartenlesers geändert werden kann. Bei den Vorläufern musste die Karte noch per normaler Computertastatur programmiert werden. Eine dreimalige Fehleingabe der PIN in Folge sperrt den Kartenchip, eine neue Karte muss verwendet werden. Die personalisierten Karten haben eine PUK zum Entsperren.

Kartennummer:
Bei Banken am Rechenzentrum GAD muss die Kartennummer im System hinterlegt sein, ich geh davon aus, dass dies auch bei Fiducia-Banken der Fall ist. Die Kartennummer wurde als Seriennummer auf die Karte aufgelasert.

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe:
Die Karte wird mit einer Benutzerkennung und der Transport-PIN (Brief) ausgeliefert. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen und „vermutet“ nach korrekter PIN-Eingabe, dass es sich um eine unpersonalisierte Karte handelt, da keine Benutzerkennung zu lesen ist. Sie fordert zur PIN-Vergabe auf, die am Kartenleser erfolgen sollte (Display genau lesen!). Durch Eingabe der Transport-PIN und 2-maliger PIN-Eingabe der selbstgewählten PIN (mindestens 6-Stellen, höchstens 8) wird die Karten-PIN vergeben. Im nächsten Schritt fragt das Programm nach Benutzerkennung und VR-Kennung (GAD). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen. Damit die Bank den Schlüssel auf Unversehrtheit prüfen kann, muss der INI-Brief ausgedruckt und unterschrieben werden (vom Inhaber des Zugangs, Vollmachtsinhaber, der nicht der Kontoinhaber sein muss) und zur Bank geschickt. Die Bank prüft den Hashwert durch Eingabe in die eigenen Systeme und danach ist die Karte aktiv und kann verwendet werden.

PIN&TAN:
Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden. Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens.
Dies gilt nur für Banken mit dem Altsystem bank21 der exGAD. Leider unterstützt das neue System (agree21) diese Funktion nicht.

Sicherheit
Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Da einige Programme den Befehl zur PIN-Änderung der Transport-PIN nicht beherrschen, liefern einige Banken die Karte bereits mit einer geänderten PIN aus und/oder programmieren die Karte vollständig.

Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 9, möglich ist, weiß ich allerdings leider nicht.

Für die Einrichtung bei einer Genobank wird die vollständige Kartennummer benötigt. Wenn die Feldlänge nicht ausreicht, weil die Kartenprüfziffer fehlt, kann diese mit einem geeigneten Tool, z.B. dem Chipcartmaster ausgelesen werden. www.chipcardmaster.de

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und sie ist schnell verfügbar, wenn die Bank diese auf Vorrat liegen hat. Sie hat Platz für 5 verschiedene Banken.

Die Einrichtung benötigt aber einen aufwändigen Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese Karte nutzen (wie die personalisierte VR-NetWorld card).

weiterer Nachteil: Es gibt keine PUK zur PIN-Neuvergabe. Nach 3x falscher PIN ist die Karte unbrauchbar.


weitere Themen: Kartentausch