FinTS/HBCI mit Chipkarte: Zähler abgelaufen: RetCode:[6984]

by Leave a Comment

Fehlermeldung bei der Nutzung der FinTS/HBCI-Chipkarte:

Signieren fehlgeschlagen.

RetCode:[6984] :Command not allowed (further qualification in SW2, see table 17) ::Referenced data invalidated

Die FinTS-HBCI-Chipkarte hat einen Zähler, der jeden Auftrag unterschreibt und der im Rechenzentrum geprüft wird. Die Zahl der Aufträge ist begrenzt und damit die Lebensdauer der Karte. Meiner Vermutung nach können 2¹⁶ Aufträge (16 Bit) signiert werden.

Bitte Aufträge nicht mit Buchungen verwechseln – Aufträge sind alle Transaktionen – das kann auch das Abholen von Umsatzdaten oder das Aktualisieren von Daueraufträgen, etc. sein. Bei mehreren Konten können schnell zig Aufträge pro Aktualisierungsvorgang zusammen kommen.

Meines Wissens kann der Chip in diesem Fall nicht zurückgesetzt werden und die Karte muss ausgewechselt werden.

Sollte jemand wissen, wie der Zählerstand des Chips ausgelesen werden kann, würde ich mich über eine Nachricht oder einen Kommentar freuen. Ein denkbares Tool dafür wäre der Chipcard master vom Chipkarten- und Sicherheitspapst Dr. Olaf Jacobsen.

VR-NetWorld Software: Kartentausch alt gegen neu

by Leave a Comment
letzte Änderung: 04.12.2022
Suchkürzel #VRNWCHIPW

Diese Anleitung erklärt den manuellen Wechsel einer alten FinTS-Chipkarte oder eines anderen Zuganges auf eine personalisierte Chipkarte (Karte mit Namensdruck).

Wenn Sie eine Austauschkarte zu einer ablaufenden Karte erhalten haben, also mit gleicher aufgedruckter Kartennummer, dann können Sie diese sofort einsetzen. Die Software erkennt, dass der Kartenschlüssel eingereicht werden muss und erledigt dies selbständig. Testen Sie den Abruf von Umsätzen. Die folgende Anleitung benötigen Sie nur, wenn der Wechsel nicht funktioniert.

Wichtig: Datensicherung
VRNWS5_Datensicherung

Vor einem Wechsel der Bankverbindung sollten Sie unbedingt eine frische Datensicherung durchführen.

Die Datensicherung finden Sie im Menü hinter dem VR-Logo (links oben).

Prüfen Sie auch die Version über das Menü „Hilfe“ und den Button „über VR-NetWorld…“, die Version sollte mind. eine 5.22 sein.

Im Gegensatz zu einer Neueinrichtung erfordert der Wechsel des Sicherheitsmediums nicht die Eingabe der BLZ und die Zuordnung der Bankverbindung zu den einzelnen Konten.

Sie benötigen folgendes:

  • Ihre neue Chipkarte
  • PIN- und PUK-Brief (ganz oben ist mittig aufgedruckt, was im Brief steckt)
  • aktuellen Kartenleser
  • aktuelle VR-NetWorld Software

Kurzanleitung für Eilige:

  • In Stammdaten/Bankverbindung im Kontextmenü „Sicherheitsmedium wechseln“ auswählen
  • durch das Menü führen lassen, die neue Karte mit der neuen PIN wählen
  • x-mal die neue Karten-PIN eingeben (jeder Teil-Schritt erfordert die PIN-Abfrage)
  • INI-Brief-Druck ist nicht nötig, fertig
  • Testen Sie den Zugang

ausführliche Anleitung: Bankverbindung austauschen

Hinweis: Durch die besondere Absicherung des FinTS/HBCI-Systems erfordern die Teilschritte häufiger die Eingabe der Karten-PIN. Ich werde dies nicht für jeden Schritt mit Bild aufführen.

Meine Empfehlung:
Stecken Sie Ihre neue Karte ein und belassen Sie diese im Gerät bis zum erfolgreichen Test.
VRNWS-Kartentausch_01_Bankverbindung
VRNWS-Kartentausch_02_KontextmenueNutzen Sie das Menü „Stammdaten“, „Bankverbindung“. Die angelegten Bankverbindungen werden im Hauptfenster angezeigt. Falls nicht, melden Sie sich mit Supervisor-Rechten an.
Mit Klick rechte Maustaste auf die alte Bankverbindung öffnet sich das Kontextmenü.

„Sicherheitsmedium wechseln“ anklicken (mit linker Maustaste). Den Sicherheitshinweis mit „Ja“ bestätigen (deshalb die Datensicherung).

Als neues Medium Chipkarte auswählen und mit „Weiter“ bestätigen.VRNWS-Kartentausch_03_Sicherheitsmeldung

VRNWS-Kartentausch_04_Auswahl_Chipkarte

Spätestens jetzt sollten Sie die neue HBCI-Chipkarte einstecken und mit „Weiter“ bestätigen.
Geben Sie die 6-stellige Karten-PIN (aus PIN-Brief) ein, beachten Sie die Anzeige Ihres Chipkartenlesers.

VRNWS-Kartentausch_05_Karten-PIN_Abfrage

 Die Karte wird gelesen, die vorprogrammierte Benutzerkennung ist ausgewählt. Bestätigen Sie mit „Weiter“.

VRNWS-Kartentausch_06_Chipkarte_ausgelesen_

Die Daten werden abgeglichen. Die früher notwendige VR-Kennung muss nicht mehr eingetragen werden.
VRNWS-Kartentausch_0G_Rueckmeldung_VRK

Es werden die Daten angezeigt, wählen Sie „Übernehmen“.
VRNWS-Kartentausch_0H_nachPIN-Eingabe_uebernehmen
VRNWS-Kartentausch_0i_Sicherheitsabfrage_danach synchronisieren

VRNWS-Kartentausch_0D_alles_erfolgreich

Bei der personalisierten Chipkarte ist der Briefdruck und Austausch nicht nötig, die Karte kann sofort verwendet werden.

VRNWS-Kartentausch_0C_fertig_kein_INI-Brief_drucken

Testen Sie die Funktionsfähigkeit, in dem Sie die Kontoumsätze aktualisieren. Wenn die Konten sämtlich erreichbar sind, ist alles ok, dann funktionieren auch Buchungen.

Wenn Sie nach dem Kartenleser gefragt werden:
Die neuen Hardware-Treiber sind über zwei verschiedene Zugänge ansprechbar. Der CT-API-Treiber hat sich bewährt, diesen würde ich aktuell empfehlen.
Denken Sie daran, den Button anzuklicken, sonst werden Sie permanent nach der Auswahl gefragt.
VRNWS-Kartentausch_welcher_Kartenleser_wird_verwendet

WISO mein Geld: Chipkarte – Benutzerkennung unbekannt

by Leave a Comment
letzte Änderung: 28.03.2024

Gibt WISO mein Geld (getestet mit Version 2015) bei der Einrichtung einer neuen Chipkarte, beim Tausch oder einer neuen Bankverbindung trotz richtiger Daten (Benutzerkennung) den folgenden Fehler aus:

9050::Die Nachricht enthält Fehler. (TRE) 9800::Dialog abgebrochen (TRE)
9010::Benutzerkennung unbekannt – Signaturprüfung nicht möglich. (SCA)
9340::Auftrag abgelehnt. (TRE)Fehlermeldung

dann initialisiert WISO MG die neue Karte nicht richtig am Bankserver, sondern versucht sofort mit den neuen Schlüsseln zu arbeiten. Der Fehler liegt meines Wissens in der ddbac.net, denn Wiso mein Verein ist nicht betroffen.

Eine neue Karte Ihrer Bank hilft nicht, die Karte ist nicht defekt.

Jede Karte sollten Sie als neuen Kontakt anlegen und nicht einfach verwenden. Lesen Sie die Karte neu aus und tragen Sie die VR-Kennung nach.

Tipp 1:

Initialisieren Sie die neue Karte mit der ddbac.exe.  Sie finden das Programm in der Systemsteuerung von Windows als „Homebanking-Kontakte“ und folgen Sie dann der Anleitung.. Sollte eine alte Version installiert sein, installieren Sie unbedingt vorher ein Update!

Tipp 2:

In einigen Fällen konnte der Fehler behoben werden, in dem die Benutzerkennung aus dem Chip gelöscht werden und wieder neu eingetragen werden.

Erreichbar ist dies auch über die Kontoeinrichtung und dort im Fenster über den Button „Bankkontakt“ (?) oben rechts über den Eingabefeldern. Mir fehlt leider die Hardcopy dazu.

Sie können aber auch die HBCI-Kontaktverwaltung über das Menü „Online-Verwaltung“, „Administration“ und „HBCI Kontaktübersicht“ erreichen.

01b Menü Wiso Mein Geld Kontoadministration

Folgen Sie anschließend dieser Anleitung, mit etwas Glück kann die Karte dann direkt eingesetzt werden. Der Download der ddbac kann entfallen.

Tipp 3:

Einige Versionen der ddbac beschreiben den Kartenspeicher falsch.
Lesen Sie hier weiter:

HBCI Chipkarte falsch eingestellt: reparieren

 

Starmoney: FinTS/HBCI Chipkarte tauschen

by 2 Comments
Suchwort: #StarKartenw
letzte Änderungen 04.12.2022

Diese Anleitung betrifft die Starmoney-Neueinrichtung und den Austausch des Zugangs mit personalisierten FinTS/HBCI-Karten, die von Genossenschaftsbanken herausgegeben werden.

Mehr allgemeine Informationen zum Chipkartentausch finden Sie >>>hier<<<.
Allgemeine Informationen zu Karten finden Sie >>>hier<<<.

Umstellung vorhandener Zugänge: Achten Sie darauf, dass kein Auftrag im Ausgangkorb die Änderung verhindert! Löschen Sie ggf. die Aufträge oder führen Sie diese vor der Neu-Einrichtung aus.

 

Die folgende Anleitung hält sich an die auf der Starmoney-Hilfeseite im unteren Abschnitt genannten Schritte. Sie hat sich in den letzten Jahren für alle Versionen der Software bewährt und kann auch beim Austausch einer defekten Karte genutzt werden, bei der sich die Benutzerkennung ändert:
externer Link zum Artikel unter hilfe.starmoney.de

Anleitung

Zur Nutzung einer neuen personalisierten Chipkarte, egal ob Sie eine alte Karte austauschen oder einen komplett neuen FinTS/HBCI-Zugang einrichten möchten, benötigen Sie immer folgendes:

  • Ihre neue Chipkarte
  • PIN- und PUK-Brief (ganz oben ist mittig aufgedruckt, was im Brief steckt)
  • aktuellen Kartenleser
  • aktuelle Zahlungsverkehrssoftware
Wichtig: Datensicherung erstellen und Ausgangskorb leeren
Erstellen Sie vor der Änderung eine frische Datensicherung. Achten Sie darauf, dass sich keine Aufträge mehr im Ausgang befinden. Löschen Sie vor einer Änderung unbedingt die Aufträge aus dem Ausgang!

Wählen Sie in der Kontenliste die Neueinrichtung eines Kontos. Sie „tun quasi so“, als wollten Sie eine neues Konto einrichten, obwohl es bereits vorhanden ist. Starmoney hinterlegt dann auch bei einem bereits vorhandenen Zugang das neue Medium automatisch. Tragen Sie Ihre BLZ ein und klicken Sie auf weiter.SM_Auswahl_Sicherheitsmedium

Wählen Sie nun das Sicherheitsmedium „Chipkarte“ aus und folgen Sie dem Assistenten.

Reiner_Kartenleser_PIN-Abfrage

Die Karte wird nach der PIN-Eingabe ausgelesen. Bei einer unpersonalisierten Karte ohne Namensaufdruck ist die Änderung der Transport-PIN  nötig. Beachten Sie dabei die Anzeige des Kartenlesers.
Bei den üblichen vorpersonalisierten Karten mit eingeprägtem Namen ist die Benutzerkennung bereits im Chip programmiert und muss nur ausgelesen werden. Die Benutzerkennung darf nicht geändert werden!

Zusätzliche Daten wie die VR-Kennung oder der VR-NetKey müssen nicht mehr eingetragen werden! Sie müssen auch keinen Ini-Brief an die Bank senden. Besteht das Programm auf die Füllung des zweiten Feldes, tragen Sie die Benutzerkennung (672…) dort ein.

Führen Sie den Prozess bis zum Ende durch, danach sollten Sie die Funktion mit dem Abruf der Umsätze testen.

Bei Störungen

Wenn die Einrichtung noch nicht funktioniert, kontrollieren Sie bitte zuerst, ob Sie einen alten HBCI-Bankkontakt mit den alten Daten als Karteikarte unter „Details“ im Konto finden und löschen Sie diesen. Achten Sie unbedingt darauf, dass keine Aufträge im Ausgang stehen.

Im Zweifelsfall löschen Sie den alten Zugang und richten Sie noch einmal neu ein, wie oben beschrieben.

Ist Starmoney mit den Informationen der Bank durcheinandergekommen und Ihre Konten werden nicht aktualisiert oder sind einfach „grau“, also nicht online erreichbar, dann hilft eventuell ein „Heilen durch Handauflegen.“. Bitten Sie den Banker Ihres Vertrauens, die Vertragsberechtigungen zu kontrollieren und die Karte auf Freischaltung zu prüfen. Wird hier kein Fehler gefunden, dann hilft häufig eine Änderung der Berechtigungen mit anschließendem Rückändern. Warten Sie danach eine halbe Stunde. Das generiert neue UPD, die UserParameterDaten enthalten eine neue Versionsnumer, so dass SM nach einem Abgleich „glaubt“, die Daten wären neu. Aktualisieren Sie dann die Umsätze.

Bei Fehlern

Achtung: Starmoney holt in einigen Versionen nur Umsätze und keine Kontostände ab. Wenn kein Umsatz zu finden ist, wird also womöglich ein Fehler generiert. Bei umsatzlosen Spar- und Anlagekonten überweisen Sie doch einfach einen Euro auf das Konto und rufen Sie erneut ab.

Lesen Sie die Hinweise unten auf dieser Seite.

Starmoney meldet neue Anmeldedaten?

Dies sollte nur bei Bankfusionen eine Rolle spielen.

Über das Protokoll (Rückmeldecode 3072) erfährt die Software die neuen Anmeldedaten zur Karte. Je nach Programmversion pflegt Starmoney die Daten automatisch nach oder zeigt diese zumindest deutlich an.
Starmoney_Rueckmeldung_3072

 

ddbac-Programme: neue Chipkarten einrichten oder tauschen

by 8 Comments
Suchwort: #ddbacKartenw
letzte Änderung: 07.12.2020

KartenleserAuf dieser Seite geht es um die Neu-Einrichtung oder den Tausch auf eine vorpersonalisierte FinTS/HBCI-Chipkarte in Zahlungsverkehrs-Programmen, die auf einem ddbac-Kernel basieren. Vorpersonalisierte Chipkarten erkennen Sie am aufgedruckten Namen der/des KarteninhaberIn. Auf ddbac basierende Programme sind u.a. GLS eBank, windata, Lexware, Wiso

Wie die Einrichtung/Umstellung funktioniert, zeige ich am Windata-Programm exemplarisch, dies ist aber bei allen Programmen mit ddbac-Schnittstelle (b+s, ehemals Datadesign) ähnlich.

Lassen Sie sich durch die lange Anleitung nicht erschrecken: Die Einrichtung dauert nur wenige Minuten.

Wichtig: Datensicherung
Bevor Sie etwas ändern, sichern Sie Ihre Daten. In GLS eBank/windata finden Sie die Datensicherung im linken Menü unter „Datenbanken“.

Zur Nutzung einer neuen personalisierten Chipkarte, egal ob Sie eine alte Karte austauschen oder einen komplett neuen FinTS/HBCI-Zugang einrichten möchten, benötigen Sie immer folgendes:

  • Ihre neue Chipkarte
  • PIN- und PUK-Brief (ganz oben ist mittig aufgedruckt, was im Brief steckt)
  • aktuellen Kartenleser (vergleichen Sie die Version mit der Herstellerangabe)
  • aktuelle Zahlungsverkehrssoftware

Besonderheit: Komplette Neuinstallation GLS eBank - Assistent
Der Start des Einrichtungs-Assistenten erfolgt bei einer kompletten Neuinstallation automatisch, wenn Sie im Programm noch keine Bankkontakte angelegt haben.

windata_rdhneu_00_Assistent

Menue_StammdatenGLS eBank/windata:

Das Menü zur Verwaltung der Bankkontakte finden Sie im linken Menüstreifen unter „Stammdaten / Administrator für HBCI (FinTS).

Bei anderen Programmen suchen Sie bitte die Einrichtung über die Bankkontakte oder HBCI-Zugangsverwaltung.

In Quicken/Lexware finden Sie das Menü in der Kontoübersicht unter „Online-Konten“. Klicken Sie mit der rechten Maustaste öffnet das Kontextmenü, hier bitte „Konto ändern“ mit linker Maustaste auswählen. Wählen Sie den Karteireiter „Zugangsdaten“ an und klicken Sie auf den Button „ändern“.

In Wiso mein Geld klicken Sie links im Menü auf „Konten“ und wählen das Konto an und anschließend das Icon Online-Verwaltung im oberen Menüband. Klicken Sie dann auf „Administration“ und rechts dann auf „HBCI Kontaktübersicht.“ (Wie der Weg zu finden ist, sehen Sie >>>hier<<<). In Wiso mein Verein finden Sie die Verwaltung in der Windows-Systemsteuerung unter „Homebanking-Kontakte“.

Austausch, Umstellung eines alten Zugangs
Haben Sie einen alten Bankzugang eingerichtet, dann sollten Sie diesen zuerst löschen, weil Sie dann den gleichen Bank-Kontaktnamen vergeben und die gleiche Kennung nutzen können. Kontodaten gehen nicht verloren, die Verwaltung ist unabhängig von den Kontodaten.

Markieren Sie den Eintrag  (1) und klicken Sie anschließend unten auf den Button „Entfernen“.

ddbac_chipkartentausch_Kontakt_loeschen

Klicken Sie anschließend im Menü auf den Button „Neu“.

windata_rdhneu_01b_ddbac

windata_rdhneu_02_experten_BLZ

Der Expertenmodus ist bei neuen Karten nicht nötig.

Die Bankleitzahl wird im nächsten Dialog abgefragt. Tragen Sie diese ein und klicken Sie anschließend auf „Weiter“, es wird der Name des Kreditinstitutes ergänzt. Sollte die BLZ nicht erkannt und kein Bankname ergänzt werden, prüfen Sie Ihre Eingabe.

Der Expertenmodus ist selten nötig. Sie müssen diesen Zugang nur auswählen, wenn Sie keinen Erfolg bei der Einrichtung hatten und bei einem vorherigen Versuch etwas schiefgegangen ist. Beim Expertenmodus werden mehr Daten abgefragt. Setzen Sie auch den Haken bei Proxy-Server nur, wenn Sie wirklich einen Proxy-Server einsetzen. Dies können Sie in den Internet-Optionen in der Systemsteuerung sehen. Klicken Sie auf „Weiter“ um mit der Einrichtung fortzufahren.

 

windata_rdhneu_02a_BPD_abruf
Das Programm prüft die Bankdaten und bietet die möglichen Zugänge an. Funktioniert der Abruf nicht, liegt es meist an einer fehlerhaften Verschlüsselung des Windows-Systems. Ddbac-Programme verlassen sich auf die Verschlüsselung des Betriebssystems, dieses muss aktuell sein. Klicken Sie nach der Prüfung auf „Weiter“.

ddbac_chipkartentausch_03_Auswahl

Wählen Sie „Chipkarte“ aus, stecken Sie die Chipkarte ein und klicken Sie auf „Weiter“. Die personalisierten Karten haben keine Transport-PIN, sondern eine sogenannte „Wirk-PIN“, die nicht sofort geändert werden muss (PIN-Änderung am Ende dieser Seite). Sie können hier direkt auf „Weiter“ klicken. Achten Sie darauf, dass die „Sichere PIN-Eingabe“ aktiviert ist, damit die Tastatur des Kartenlesers benutzt wird. Die PIN entnehmen Sie dem PIN-Brief, das Feld sollten Sie spätestens jetzt aufgerubbelt haben.

ddbac_chipkartentausch_04b_Dialog_Kartenleser

Der Dialog mit dem Kartenleser wird geführt. Stecken Sie jetzt die neue Karte ein.

Reiner_Kartenleser_PIN-Abfrage

Nur im Expertenmodus:
Die FinTS-Version (3.0) und die Serveradresse (fints1.atruvia.de oder fints2.atruvia.de) sollten richtig voreingestellt sein. Die personalisierte Chipkarte mit eingelasertem Namen nutzt die RDH-7 Verschlüsselung.

Wenn Sie während der Datenübertragung Fehlermeldungen erhalten: Die Adresse fints1.atruvia.de (Südliche Banken fints2.atruvia.de) und den Port 3000 müssen Sie ggf. in Ihrer Firewall oder Router freigeben.

Markieren Sie den mit der Benutzerkennung vorausgefüllten ersten Platz der Karte.

ddbac_chipkartentausch_05_Auswahl-Kennung

und klicken Sie auf „Weiter“.

Die Erfassung der VR-Kennung oder eines VR-NetKeys ist nicht (mehr) nötig, die Benutzerkennung reicht aus.

Die Kontaktbezeichnung können Sie frei vergeben. Sie sollte selbsterklärend sein, wenn Sie mit mehreren Zugängen oder Personen im Programm arbeiten. Je nach Version kann dies auch nach dem Abschluss kommen.

Hashwert bei unpersonalisierten Karten
Der Hashwert des öffentlichen Schlüssels der Bank wird nur bei unpersonalisierten Karten, den sogenannten „basic-Karten“ ohne Namensaufdruck angezeigt. Prüfen Sie in diesem Fall die Angaben mit dem von der Bank zu Verfügung gestellten Daten.

Nun wird der öffentlicher Schlüssel Ihrer Karte an die Bank geschickt, die Karte wird aktiviert.

ddbac_chipkartentausch_08_fertig

Nach Abschluss des Vorganges sollten neue Konten angezeigt werden, sofern diese noch nicht angelegt waren.

Zuordnung des Bankkontaktes

Je nach Software kann oder muss der neue Bankkontakt den Konten oder den Bankzugängen fest zugeordnet werden.

Menue_BankkontakteIn GLS eBank/windata finden Sie das Menü ebenfalls unter Stammdaten, Bankkontakte und auch in den Auftraggeberkonten.

Sie können hier festlegen, welche Bankzugänge zu einem Konto bevorzugt abgefragt werden sollen, damit die Abfrage nicht bei jedem Dialog erfolgen muss.

Ändern der Karten-PIN

Menue_StammdatenDie Änderung der Karten-PIN erfolgt im gleichen Menü wie die Kartenanlage.

In GLS eBank / windata wählen Sie dazu erneut „Stammdaten /Administrator für HBCI (FinTS)“ aus, wählen Sie den Bankkontakt aus und wählen Sie „Bearbeiten“. Die Menüs der anderen Programme finden Sie wie oben am Anfang der Anleitung beschrieben.

Wählen Sie im Menü rechts „PIN ändern“ aus.

Es muss der sichere PIN-Modus aktiviert sein. Brechen Sie andernfalls ab und stellen Sie unter „Extras“ den Kartenleser auf den sicheren Modus.

 

ddbac_Karten_PIN_aendern

Lassen Sie sich durch den Assistenten führen.

Beachten Sie dabei unbedingt die Anzeige im Display Ihres Kartenlesers. Sie müssen 1x die alte PIN eingeben und 2x die neue, 6 bis 8 Stellen lange PIN jeweils mit „OK“ bestätigen.

Fehler bei neuen HBCI Chipkarten

by Leave a Comment

(in Arbeit, zuletzt aktualisiert 30.03.2015)

Es kann bei neuen HBCI Karten zu Fehlern bei der Einrichtung kommen, wenn z.B. die VR-Kennung nicht verwendet wird. Betroffen sind sowohl neue Karten als auch Austauschkarten (sogenannte „Folgekarten“).
Fehlermeldung:

Elektronische Signatur falsch. (SCA)+9340::Auftrag abgelehnt. (TRE)‘

Betroffen sind vemutlich alle Programme, die einen älteren ddbac Kernel verwenden, u.a. Quicken, Wiso mein Geld, Lexware, windata, GLS eBank, etc.

Vermutung:

Bei neuen Karten muss der öffentliche Schlüssel bei der Bank „angemeldet“ werden. Bei Folgekarten erkennt dies das HBCI-Programm eigentlich und reicht den Schlüssel einfach bei der Benutzung ein.

Bei neuen Karten/Zugängen wird aber bei GAD-Banken die VR-Kennung nötig. Die Karte wird deshalb nicht mit den richtigen Zugangsdaten initialisiert und die Karte erhält trotzdem vom FinTS/HBCI-Programm den Eintrag, „Schlüssel bereits eingereicht“.  Dies wird im Notepad des Chips, eine Art Speicher zur Ablage von Daten abgelegt.

Empfehlung:
Installieren Sie alle Updates und löschen Sie nach einem Backup Ihre Bankdaten. Richten Sie den Bankkontakt neu ein und vergleichen Sie im Dialog mit der Bank die Daten (Benutzerkennung mit 672.. und VRK im zweiten Feld).

Geht das auch nicht?
Testen Sie die Verbindung und Ihre Karte mit der Testversion der VR-NetWorld Software 5, die Sie bei vielen Genobanken herunterladen können (oder bei www.gad.de unter service).

Auch das klappt nicht?
Es gibt bei genossenschaftlichen Banken ein Spezial-Tool, dass die Karte womöglich reparieren kann. Aber vermutlich ist ein Kartentausch günstiger und weniger aufwändig.

Jahreswechsel: Kartentausch

by Leave a Comment

Personalisierte FinTS/HBCI-Chipkarten der genossenschaftlichen Banken, also Karten mit Namenseindruck, haben ein Ablaufdatum (siehe Aufdruck). Eigentlich läuft bei HBCI nicht die Karte, sondern das Zertifikat ab, das aber nur am Rande. Meist reicht es aus, die neue Karte statt der alten zu verwenden, sie wird durch die Software automatisch aktiviert.

Einige Programme haben aber anscheinend mit dem Kartenwechsel Probleme und können die Initialisierung nicht durchführen.

Folgendes hat meiner Erfahrung nach geholfen:

  • Erstellen einer frischen Datensicherung
  • Löschen des alten Bankkontaktes (Achtung bei der VR-NetWorld Software: „Sicherheitsmedium wechseln“ auswählen)
  • Einlesen der neuen Karte (Falls danach gefragt wird: RDH-7, FinTS/HBCI-Version 3.0)
  • ggf. Nachpflegen der VR-Kennung in das zweite Feld (Benutzerkennung mit 672… nicht ändern!)

Die VR-Kennung wird je nach Bankeinstellung über den Rückmeldecode 3072 angezeigt oder muss eventuell bei der Bank erfragt werden.

Ist die Benutzerkennung gelöscht worden, dann muss man diese auch von der Bank erfragen. Sie ändert sich aber eigentlich bei sogenannten „Folgekarten“ nicht.

Ein INI-Brief muss nicht ausgedruckt werden, die Karte ist bereits signiert und kann direkt verwendet werden.

In seltenen Fällen (Fehlermeldung „Benutzerkennung falsch“) muss die Karte komplett neu programmiert werden. Folgen Sie dieser Anleitung.

FinTS/HBCI Chipkartenwechsel Benutzerkennung unbekannt

by Leave a Comment
letzte Änderung: 06.05.2022

Die Fehlermeldung tritt in folgenden Situationen auf: Eine HBCI Chipkarte wird/wurde durch die Bank ausgetauscht durch den zyklischen Wechsel (eine sogenannte Folgekarte), z.B. weil die alte Karte abläuft. Oder es wurde bei der Initialisierung eine Kunden-ID angegeben, die nicht korrekt ist, z.B. die Kundennummer.

Ein Kartentausch seitens der Bank ist hier in der Regel nicht nötig!

In beiden Fällen wurde/wird die Karte nicht richtig initalisiert. Das Banksystem kennt also die Benutzerkennung und Schlüssel der Karte noch nicht, die Software hat aber auf der Karte vermerkt, dass die Karte bereits initialisiert wurde und versucht daher nicht mehr, die Karte neu zu initialisieren, auch wenn man z.B. die Daten korrigiert hat.

Es kann dabei zu folgender Fehlermeldung kommen:

9050::Die Nachricht enthält Fehler. (TRE) 9800::Dialog abgebrochen (TRE)

9010::Benutzerkennung unbekannt – Signaturprüfung nicht möglich. (SCA)

9340::Auftrag abgelehnt. (TRE)Fehlermeldung

Über den Chipcard Master kann der Status der Karte zurückgeändert werden. Diese kostenlose Software finden Sie auf www.heise.de im Download-Sevice. nutzen Sie das virengeprüfte Angebot vom Heise-Verlag, der Link zur Herstellerseite führt wieder zurück.

Die sichere PIN-Eingabe am Kartenleser muss bei den allermeisten Lesern zuerst aktiviert werden im Menü „Kartenleser“, „Einstellen…“

 

Setzen Sie den Haken bei „Pin-Eingabe“ am Kartenleser.

 

 

 

Prüfen Sie den Schlüsselstatus:
04 bedeutet, dass die Initialisierung durchgeführt wurde. Ändern Sie dies Feld auf 01 ab, das sagt der Software, dass der Schlüssel noch nicht eingereicht war.

Passen Sie auch die Kunden-ID an, falls dies die Ursache sein sollte. Bewährt hat sich das Eintragen (kopieren) der Benutzerkennung.

 

 

Wichtig: Nach dem Ändern der Daten muss gespeichert werden, links unten über „Sichere Änderungen“.

 

Über den Chipcard Master kann der Status der Karte zurückgeändert werden.

Prüfen Sie einmal den Schlüsselstatus:
04 bedeutet, dass die Initialisierung durchgeführt wurde. Ändern Sie dies Feld auf 01 ab.

Passen Sie auch die Kunden-ID an, falls dies die Ursache sein sollte. Bewährt hat sich das Eintragen (kopieren) der Benutzerkennung.

 

Beispiel VR-NetWorld Software:

Nach dem neuen Einlesen der Karte ändert sich auch der Schlüsselstatus. Mit „Synchronisieren“ wird die Initialisierung nachgeholt, die Karte ist „gerettet“.

 

 

HBCI-Chipkarte: Die girocard mit HBCI/FinTS Funktion

by Leave a Comment

Einige GAD-Banken nutzen den Multifunktions-Chip der girocard („ec-Karte“, „Bankcard ec“) für die FinTS/HBCI-Funktion.  Im Gegensatz zu den anderen VR-NetWorld cards, also der unpersonalisierten Basic-Karte oder der personalisierten, ist die Karte für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet und damit am Magnetstreifen auf der Rückseite zu erkennen. Genau dort findet sich auch das FinTS-Logo, so dass man dort sehen kann, ob die Karte die HBCI-Funktion erhalten hat.

Verschlüsselung:
 Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird bei den meisten Banken dann automatisch und rechtzeitig verschickt und muss nicht abgeholt werden.

PIN und PUK:
 Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren. PIN und PUK kommen mit jeder Kartengeneration neu! (woher soll der neue Chip auch die PIN des alten kennen…)

Benutzerkennung, Kartennummer und VR-Kennung (GAD):
Die Benutzerkennung und Kartennummer ist im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Man erhält separat eine 6-stellige PIN und eine PUK in speziellen Briefen. Die PIN zum Bezahlen ist nicht geeignet! Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das Auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann „vermuten“ viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren.

Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel der Karte zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.

Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).

PIN&TAN:
 Selbstverständlich kann die Karte auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.

Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Ein Nachteil im Vergleich zur personalisierten und unpersonalisierten Girocard: Personen mit eingeschränkten Vollmachten (A, B, N-Vollmacht) erhalten diese Karte üblicherweise nicht. Auch können keine „fremden“ Banken gespeichert werden.

Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.

mehr Infos: Kartentausch

 

HBCI-Chipkarten: Die unpersonalisierte (basic)-Karte

by Leave a Comment

Die unpersonalisierte HBCI-Karte trägt keinen Namen des/der Eigentümers/in. Die Karte wird bei Genossenschaftsbanken häufig als „basic-Karte“ bezeichnet. Vollständig lautet der Name  „VR-NetWorld card basic“ mit kursivem basic. Diese Karte gibt es in ähnlicher Form auch von anderen Banken und kann, bzw. konnte auch „am freien Markt“ gekauft werden, z.B. bei matrica.

Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-9 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-5 und kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Da keine zeitbegrenzten Bankzertifikate gespeichert sind, ist die Laufzeit nur durch das Verfahren begrenzt. Sind Zeitangaben aufgedruckt, so sollte man diese als „Mindestlaufzeit“ verstehen.

PIN:
Im Auslieferungszustand ist die Karte noch nicht mit einer Benutzerkennung versehen und hat auch noch keine nutzbare PIN. Stattdessen besitzt sie eine 5-stellige Transport-PIN, die vor der ersten Nutzung in eine mindestens 6-stellige PIN geändert werden muss. Die Transport-PIN besteht aus den letzten 5 Stellen der Kartennummer. Dadurch ist gewährleistet, dass die Karten-PIN direkt mit der gescützten Tastatur des Kartenlesers geändert werden kann. Bei den Vorläufern musste die Karte noch per normaler Computertastatur programmiert werden. Eine dreimalige Fehleingabe der PIN in Folge sperrt den Kartenchip, eine neue Karte muss verwendet werden. Die personalisierten Karten haben eine PUK zum Entsperren.

Kartennummer:
Bei Banken am Rechenzentrum GAD muss die Kartennummer im System hinterlegt sein, ich geh davon aus, dass dies auch bei Fiducia-Banken der Fall ist. Die Kartennummer wurde als Seriennummer auf die Karte aufgelasert.

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe:
Die Karte wird mit einer Benutzerkennung und der Transport-PIN (Brief) ausgeliefert. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen und „vermutet“ nach korrekter PIN-Eingabe, dass es sich um eine unpersonalisierte Karte handelt, da keine Benutzerkennung zu lesen ist. Sie fordert zur PIN-Vergabe auf, die am Kartenleser erfolgen sollte (Display genau lesen!). Durch Eingabe der Transport-PIN und 2-maliger PIN-Eingabe der selbstgewählten PIN (mindestens 6-Stellen, höchstens 8) wird die Karten-PIN vergeben. Im nächsten Schritt fragt das Programm nach Benutzerkennung und VR-Kennung (GAD). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen. Damit die Bank den Schlüssel auf Unversehrtheit prüfen kann, muss der INI-Brief ausgedruckt und unterschrieben werden (vom Inhaber des Zugangs, Vollmachtsinhaber, der nicht der Kontoinhaber sein muss) und zur Bank geschickt. Die Bank prüft den Hashwert durch Eingabe in die eigenen Systeme und danach ist die Karte aktiv und kann verwendet werden.

PIN&TAN:
Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden. Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens.
Dies gilt nur für Banken mit dem Altsystem bank21 der exGAD. Leider unterstützt das neue System (agree21) diese Funktion nicht.

Sicherheit
Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Da einige Programme den Befehl zur PIN-Änderung der Transport-PIN nicht beherrschen, liefern einige Banken die Karte bereits mit einer geänderten PIN aus und/oder programmieren die Karte vollständig.

Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 9, möglich ist, weiß ich allerdings leider nicht.

Für die Einrichtung bei einer Genobank wird die vollständige Kartennummer benötigt. Wenn die Feldlänge nicht ausreicht, weil die Kartenprüfziffer fehlt, kann diese mit einem geeigneten Tool, z.B. dem Chipcartmaster ausgelesen werden. www.chipcardmaster.de

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und sie ist schnell verfügbar, wenn die Bank diese auf Vorrat liegen hat. Sie hat Platz für 5 verschiedene Banken.

Die Einrichtung benötigt aber einen aufwändigen Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese Karte nutzen (wie die personalisierte VR-NetWorld card).

weiterer Nachteil: Es gibt keine PUK zur PIN-Neuvergabe. Nach 3x falscher PIN ist die Karte unbrauchbar.

weitere Themen: Kartentausch