letzte Änderung 19.10.2016

Haben Sie den Verdacht, Ihre HBCI-Sicherheitsdatei könnte unberechtigt kopiert worden sein, dann müssen Sie die Sicherheitsdatei austauschen. Dazu ist bei Banken an der exGAD keine neue Benutzerkennung und kein neuer Brief notwendig, Sie erzeugen die neue Verschlüsselung und unterschreiben diese mit ihrer alten Datei.
Bei Programmen, die dies nicht beherrschen, bleibt nur die Neueinrichtung. Ein Passwortwechsel reicht nicht aus, die Kopie behält ja das alte Passwort!

Informationen zum Fehlerhinweis: Signatur-ID ist ungültig oder was already used

So erzeugen Sie eine neue Sicherheitsdatei und reichen diese online ein

Lesen Sie hier weiter für:
Profi cash: Schlüssel austauschen und neues Passwort vergeben


Wenn Ihr Programm nicht mehr läuft, rufen Sie die Bank an. Erreichen Sie diese nicht, nutzen Sie die Sperrhotline, z.B. die Rufnummer 116 116.


VR-NetWorld Software: Schlüsselwechsel und Passwort tauschen
  1. Wählen Sie Stammdaten/Bankverbindungen an und klicken Sie doppelt auf den zu ändernden Bankkontakt.
  2. Wählen Sie links im Baum Sicherheitsmedium
  3. Wählen Sie Schlüsselwechsel aus und folgen Sie dem Assistenten
  4. Ändern Sie noch das Passwort

Schlüssel sperren mit ddbac-Programmen (windata, Quicken, Lexware…)

ddbac_Schluessel_sperreneBank/windata und die meisten ddbac Programme, wie Quicken/Lexware etc. bieten den Schlüsseltausch nicht an. Sie können aber die Signaturdatei sperren. Klicken Sie in der ddbac (bei eBank / Windata erreichbar über Stammdaten, Administrator für HBCI) doppelt auf den Bankkontakt und wählen Sie „Zugang sperren“ aus.

Das Programm fragt in einem weiteren Sicherheitsdialog, ob Ihnen der Schlüssel noch zur Verfügung steht und klärt Sie über die Folgen auf.

ddbac_Schluessel_sperren_01

Das es wirklich ernst ist, zeigt der erneute Hinweis.

Danach geht wirklich nichts mehr mit einer alten Kopie!

ddbac_Schluessel_sperren_02

Es öffnet sich der gewohnte Dateidialog, selbst jetzt könnte man noch abbrechen. Folgen Sie dem Dialog bis zum Ende.

ddbac_Schluessel_sperren_03

Einrichtung einer FinTS/HBCI-Chipkarte bei GAD-Banken
Stand 29.09.2015

KartenleserAuf dieser Seite geht es um die Neu-Einrichtung oder den Tausch auf eine vorpersonalisierte FinTS/HBCI-Chipkarte in Zahlungsverkehrs-Programmen, die auf einem ddbac-Kernel basieren. Vorpersonalisierte Chipkarten erkennen Sie am aufgedruckten Namen der/des KarteninhaberIn. Auf ddbac basierende Programme sind u.a. GLS eBank, windata, Lexware, Wiso

Wie die Einrichtung/Umstellung funktioniert, zeige ich am Windata-Programm exemplarisch, dies ist aber bei allen Programmen mit ddbac-Schnittstelle (b+s, ehemals Datadesign) ähnlich.

Lassen Sie sich durch die lange Anleitung nicht erschrecken: Die Einrichtung dauert nur wenige Minuten.

Wichtig: Datensicherung
Bevor Sie etwas ändern, sichern Sie Ihre Daten. In GLS eBank/windata finden Sie die Datensicherung im linken Menü unter „Datenbanken“.

Zur Nutzung einer neuen personalisierten Chipkarte, egal ob Sie eine alte Karte austauschen oder einen komplett neuen FinTS/HBCI-Zugang einrichten möchten, benötigen Sie immer folgendes:

  • Ihre neue Chipkarte
  • PIN- und PUK-Brief (ganz oben ist mittig aufgedruckt, was im Brief steckt)
  • VR-Kennung (kann auch dem Hinweis-Protokoll entnommen werden)
  • aktuellen Kartenleser
  • aktuelle Zahlungsverkehrssoftware

Besonderheit: Komplette Neuinstallation GLS eBank - Assistent

Menue_StammdatenGLS eBank/windata:

Das Menü zur Verwaltung der Bankkontakte finden Sie im linken Menüstreifen unter „Stammdaten / Administrator für HBCI (FinTS).

Bei anderen Programmen suchen Sie bitte die Einrichtung über die Bankkontakte oder HBCI-Zugangsverwaltung.

In Quicken/Lexware finden Sie das Menü in der Kontoübersicht unter „Online-Konten“. Klicken Sie mit der rechten Maustaste öffnet das Kontextmenü, hier bitte „Konto ändern“ mit linker Maustaste auswählen. Wählen Sie den Karteireiter „Zugangsdaten“ an und llicken Sie auf den Button „ändern“.

In Wiso mein Geld klicken Sie links im Menü auf „Konten“ und wählen das Konto an und anschließend das Icon Online-Verwaltung im oberen Menüband. Klicken Sie dann auf „Administration“ und rechts dann auf „HBCI Kontaktübersicht.“ (Wie der Weg zu finden ist, sehen Sie >>>hier<<<). In Wiso mein Verein finden Sie die Verwaltung in der Windows-Systemsteuerung unter „Homebanking-Kontakte“.

Austausch, Umstellung eines alten Zugangs

windata_rdhneu_01b_ddbac

Die Bankleitzahl wird im nächsten Dialog abgefragt. Tragen Sie diese ein und Klicken Sie anschließend auf „Weiter“, es wird der Name des Kreditinstitutes ergänzt. Sollte die BLZ nicht erkannt und kein Bankname ergänzt werden, prüfen Sie Ihre Eingabe. Wird ausschließlich nach einer BIC gefragt, ist Ihre Software nicht aktuell.windata_rdhneu_02_experten_BLZ


Der Expertenmodus ist selten nötig. Sie müssen diesen Zugang nur auswählen, wenn Sie keinen Erfolg bei der Einrichtung hatten und bei einem Versuch etwas schiefgegangen ist. Beim Expertenmodus werden mehr Daten abgefragt. Setzen Sie auch den Haken bei Proxy-Server nur, wenn Sie wirklich einen Proxy-Server einsetzen. Dies können Sie in den Internet-Optionen in der Systemsteuerung sehen. Klicken Sie auf „Weiter“ um mit der Einrichtung fortzufahren.


 

windata_rdhneu_02a_BPD_abruf
Das Programm prüft die Bankdaten und bietet die möglichen Zugänge an. Funktioniert der Abruf nicht, liegt es meist an einer fehlerhaften Verschlüsselung des Windows-Systems. Ddbac-Programme verlassen sich auf die Verschlüsselung des Betriebssystems, dieses muss aktuell sein. Klicken Sie nach der Prüfung auf „Weiter“.

ddbac_chipkartentausch_03_Auswahl

Wählen Sie „Chipkarte“ aus, stecken Sie die Chipkarte ein und klicken Sie auf „Weiter“. Die personalisierten Karten haben keine Transport-PIN, sondern eine sogenannte „Wirk-PIN“, die nicht sofort geändert werden muss (PIN-Änderung am Ende dieser Seite). Sie können hier direkt auf „Weiter“ klicken. Achten Sie darauf, dass die „Sichere PIN-Eingabe“ aktiviert ist, damit die Tastatur des Kartenlesers benutzt wird. Die PIN entnehmen Sie dem PIN-Brief, das Feld sollten Sie spätestens jetzt aufgerubbelt haben.

ddbac_chipkartentausch_04b_Dialog_Kartenleser

Der Dialog mit dem Kartenleser wird geführt. Stecken Sie jetzt die neue Karte ein.

Reiner_Kartenleser_PIN-Abfrage

Nur im Expertenmodus:
Die FinTS-Version (3.0) und die Serveradresse (hbci.gad.de) sollten richtig voreingestellt sein. Die personalisierte Chipkarte nutzt die RDH-7 Verschlüsselung.

Wenn Sie während der Datenübertragung Fehlermeldungen erhalten: Die Adresse hbci.gad.de müssen Sie ggf. in Ihrer Firewall freigeben. Auch die Nutzung des Port 3000 muss erlaubt sein.

Markieren Sie den mit der Benutzerkennung vorausgefüllten ersten Platz der Karte.

ddbac_chipkartentausch_05_Auswahl-Kennung

und klicken Sie auf „Weiter“.

Es fehlt noch die VR-Kennung, die Sie dem Schreiben der Bank oder dem Protokoll entnehmen können. Einige Programme tragen dies automatisch nach. Die Benutzerkennung darf dabei nicht geändert werden. Die VR-Kennung gehört in das zweite Feld, die Feldbezeichnung kann auch „Kunden-ID“ sein. Geben Sie die VR-Kennung vollständig ein, also VRK in großen Buchstaben und alle 16 Ziffern, nehmen Sie keinesfalls den Alias.

Achtung:
Wird Ihnen kein zweites Feld angeboten, führen Sie den Vorgang trotzdem zu Ende und ändern Sie das Feld anschließend ab.

Eine Anleitung zur Nachträglichen Eintragung der VRK finden Sie  >>>hier<<<.ddbac_chipkartentausch_06_VR-Kennung

Die Kontaktbezeichnung können Sie frei vergeben. Sie sollte selbsterklärend sein, wenn Sie mit mehreren Zugängen oder Personen im Programm arbeiten.

Hashwert bei unspersonalisierten Karten

Nun wird der öffentlicher Schlüssel Ihrer Karte an die Bank geschickt, die Karte wird aktiviert. Sehen Sie hier Fehlermeldungen, muss die Karte oder die VR-Kennung in der Bank noch richtig eingestellt sein. Vergleichen Sie bitte die richtige Eingabe der VR-Kennung.

ddbac_chipkartentausch_08_fertig

Nach Abschluss des Vorganges sollten neue Konten angezeigt werden, sofern diese noch nicht angelegt waren.


Zuordnung des Bankkontaktes

Je nach Software kann oder muss der neue Bankkontakt den Konten oder den Bankzugängen fest zugeordnet werden.

Menue_BankkontakteIn GLS eBank/windata finden Sie das Menü ebenfalls unter Stammdaten, Bankkontakte und auch in den Auftraggeberkonten.

Sie können hier festlegen, welche Bankzugänge zu einem Konto bevorzugt abgefragt werden sollen, damit die Abfrage nicht bei jedem Dialog erfolgen muss.


Ändern der Karten-PIN

Menue_StammdatenDie Änderung der Karten-PIN erfolgt im gleichen Menü wie die Kartenanlage.

In GLS eBank / windata wählen Sie dazu erneut „Stammdaten /Administrator für HBCI (FinTS)“ aus, wählen Sie den Bankkontakt aus und wählen Sie „Bearbeiten“. Die Menüs der anderen Programme finden Sie wie oben am Anfang der Anleitung beschrieben.

Wählen Sie im Menü rechts „PIN ändern“ aus.

 

ddbac_Karten_PIN_aendern

Lassen Sie sich durch den Assistenten führen.

Beachten Sie dabei unbedingt die Anzeige im Display Ihres Kartenlesers. Sie müssen 1x die alte PIN eingeben und 2x die neue, 6 bis 8 Stellen lange PIN jeweils mit „OK“ bestätigen.

FinTS/HBCI mit Signaturdatei ist sehr sicher und bequem, wenn eine ausreichend starke Verschlüsselung eingesetzt wird. Genossenschaftliche Banken verwenden nur noch RDH10 mit langen Schlüsseln. Die verwendete Verschlüsselungstechnik ist dokumentiert und veröffentlicht, es gibt auch einige open-Source Programme, die diese Technik unterstützen. Das ist nicht bei allen Banken so.

Alternativen
Die Chipkarte: Kann nicht kopiert werden und sperrt sich nach 3 maliger falscher PIN-Eingabe in Folge
PIN und TAN: Auftragskontrolle bei SmartTAN und mobileTAN und auch im Browser nutzbar

Potentielle Angreifer werden – so vermute ich –
a) entweder versuchen, die Onlinebanking-Software selbst zu unterwandern, also z.B. gefälschte Aufträge in das System hineinzubringen oder
b) in den Besitz der Signaturdatei und des dazugehörigen Passwortes zu kommen, um auf einem eigenen System zu arbeiten. Das verwendete Computersystem muss also gut abgesichert sein.
c) ein durchprobieren sämtlicher Passwörter halte ich bei guten Passwörtern für aussichtslos.

Ersteres würde sämtliche andere Verfahren im gleichen Maße treffen, weshalb dies von einigen Experten als das wahrscheinlichere angesehen wird. Mir erscheint das zweite Szenario aber als „einfacher“ zu programmieren. Zur Beruhigung: Bislang ist mir aber noch nie ein Angriff „von außen“ bekannt geworden. Betrugsversuche von Insidern sind allerdings vorgekommen.

Folgende Sicherheitsmaßnahmen sind unumgänglich:

  • die Signaturatei darf niemals in fremde Hände geraten
  • das dazugehörige Passwort darf ebenfalls niemals Dritten zugänglich werden

Viele denken bei ersterem Punkt an den USB-Stick oder an die Sicherheitsdatei und verwahren diese besonders sicher. Das ist richtig und gut so, aber womöglich zu kurz gedacht, die Sicherheitsdatei könnte ja auch unbemerkt kopiert werden. Auch der zweite Teil der Sicherheit, nämlich das zur Datei gehörige Passwort, muss vertraulich bleiben.

Die Gefahr: Passwörter könnten von sogenannten Keyloggern direkt bei der Tastatureingabe ausgelesen werden.

Lesen Sie hier weiter, was im Fall der Fälle zu tun ist


zuletzt geändert: 07.11.2016

Die Protokolle der Datenübertragung und Verarbeitung können sehr wichtig bei der Fehlersuche sein, denn BankmitarbeiterInnen haben keinen Zugriff auf die Serverdaten.

Vorab mag mir der Hinweis gestattet sein: Protokolle enthalten persönliche Daten. Bevor Sie Protokolle erstellen, mailen, speichern, sollten Sie sich darüber bewusst sein, wo diese abgelegt werden (Netzwerk?) und ggf. Verschlüsselungen einsetzen. Zumindest ein Zip-Passwort ist wichtig und verkleinert die Datenmenge. Wenn Sie der Bank das Protokoll zur Vergügung stellen und einen Onlinebanking-Zugang mit Postkorb über den Browser haben, sollten Sie diesen unbedingt nutzen, da hier verschlüsselt wird. Ihr Bankberater/in kann Ihnen eine Postkorbnachricht senden, auf die Sie antworten und auch Anhänge anhängen können..

Es gibt mehrere Protokollarten, z.B. das sogenannte HBCI-Statusprotokoll, das Ihre Software während und nach der Übertragung erzeugen kann und das die Hinweise und Informationen und Fehlermeldungen des Bankservers enthält. Dann gibt es aber auch das technische HBCI-Protokoll, das sehr viel Detailinformationen zu den übertragenen Daten enthält und quasi den Datentransfer mit dem Server aufzeichnet. Meist muss dieses separat aktiviert werden.

Protokolle sicher in Foren posten oder an den Hersteller mailen
Anonymisieren Sie Ihre Bank-Daten, ersetzen Sie beispielsweise Ihre VR-Kennung durch VRK123… Auch Ihr Name und Ihre Kontonummer bzw. IBAN sollte geändert werden. Buchungsdaten sind besonders kritisch, wenn sie fremde Daten enthalten, aber für eine Diagnose benötigt werden. Belassen Sie Ihre BLZ in den Daten.

Programme und Protokolle

Starmoney: Sofern nicht gelöscht, sind die Sendeprotokolle im Ausgangskorb zu finden

Profi cash: Das Statusprotokoll zu den Aufträgen erhalten Sie nach der Übertragung bei Fehlern angezeigt
Holen Sie nachträglich das Statusprotokoll ab über Stammdaten/HBCI-Verwaltung, Button „Statusprotokoll abholen“.

Aktivierung technischer Protokolle:

ddbac-exe-Programme (GLS eBank, Lexware, Quicken, Wiso mein Verein, Windata)

Hinweis zu Windata/GLS eBank: Fehlerhafte Einzelbuchungen können Sie in der Statistik abrufen und bei der neuen Version ab 8.8.x bleiben die fehlerhaften Einzel-Aufträge auch eines Sammlers als Aufträge offen.
Protokolle_finden_ddbac_01_ueber_ddbacDiese Programme steuern die ddbac-Software von b+s/datadesign an. Suchen Sie die ddbac am besten im Zahlungsverkehrs-Programm (s.u.). Es kann auch in der Windows-Systemsteuerung unter „Homebanking-Kontakte“ aktiviert werden. Das technische HBCI-Protokoll muss aktiviert werden und ist unter dem Link „über datadesign“) versteckt. Man findet das Protokoll dann an der gleichen Stelle (Link anklicken, der Editor sollte sich öffnen).

Lesen Sie das Hinweisfenster, um später die Protokolldateien löschen zu können.

Protokolle_finden_ddbac_02_aktivieren

wo ist die ddbac zu finden?
windata, GLS eBank: Stammdaten, Administrator für HBCI
Lexware, Quicken und andere: Windows Systemsteuerung, Homebanking Kontakte.


DATEV Zahlungsverkehr online: In der Spalte Aktion klicken Sie auf Zahlungsauftrag anzeigen und dort auf die Karteikarte „Kommunikations-Protokoll“. weitere Infos und Quelle: DATEV Wiki


technisches Protokoll: Profi cash
Achtung: Wenn Sie diese Anleitung auf Anhieb nicht verstehen, müssen Sie sich Hilfe holen. Zu groß ist die Gefahr, einen Fehler zu machen und etwas zu zerstören. Das technische HBCI-Protokoll muss vor der Übertragung aktiviert werden. Sie benötigen administrative Rechte, also normalerweise den „master“-Benutzer. Aktivieren Sie die Erstellung in der Firmenkonfiguration unter Stammdaten.

Für alte Versionen, wenn der Button nicht vorhanden ist (besser: Updaten): Klicken Sie den Button „wpc.ini bearbeiten“. Es sollte sich ein Editor öffnen. Suchen Sie nach dem Eintrag „traces=0“ und ändern Sie dann die 0 auf 1. Finden Sie diesen Eintrag nicht, schreiben Sie ihn in eine neue Zeile unten dazu.

Die Protokolle finden Sie dann im traces Ordner im HBCI-Ordner. Diesen Speicher-Ort finden Sie in der bkcemu.ini verzeichnet.


Lesen Sie hier, wo Sie das FinTS/HBCI Protokoll in Hibiscus finden

Einige GAD-Banken nutzen den Multifunktions-Chip der girocard („ec-Karte“, „Bankcard ec“) für die FinTS/HBCI-Funktion.  Im Gegensatz zu den anderen VR-NetWorld cards, also der unpersonalisierten Basic-Karte oder der personalisierten, ist die Karte für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet und damit am Magnetstreifen auf der Rückseite zu erkennen. Genau dort findet sich auch das FinTS-Logo, so dass man dort sehen kann, ob die Karte die HBCI-Funktion erhalten hat.

Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird bei den meisten Banken dann automatisch und rechtzeitig verschickt und muss nicht abgeholt werden.

PIN und PUK:
Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren. PIN und PUK kommen mit jeder Kartengeneration neu! (woher soll der neue Chip auch die PIN des alten kennen…)

Benutzerkennung, Kartennummer und VR-Kennung (GAD):
Die Benutzerkennung und Kartennummer ist im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Man erhält separat eine 6-stellige PIN und eine PUK in speziellen Briefen. Die PIN zum Bezahlen ist nicht geeignet! Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das Auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann „vermuten“ viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren.

Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel der Karte zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.

Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).

PIN&TAN:
Selbstverständlich kann die Karte auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.

Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Ein Nachteil im Vergleich zur personalisierten und unpersonalisierten Girocard: Personen mit eingeschränkten Vollmachten (A, B, N-Vollmacht) erhalten diese Karte üblicherweise nicht. Auch können keine „fremden“ Banken gespeichert werden.

Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.


mehr Infos: Kartentausch

 

Die unpersonalisierte HBCI-Karte trägt keinen Namen des/der Eigentümers/in. Die Karte wird bei Genossenschaftsbanken häufig als „basic-Karte“ bezeichnet. Vollständig lautet der Name  „VR-NetWorld card basic“ mit kursivem basic. Diese Karte gibt es in ähnlicher Form auch von anderen Banken und kann, bzw. konnte auch „am freien Markt“ gekauft werden, z.B. bei matrica.

Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-9 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-5 und kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Da keine zeitbegrenzten Bankzertifikate gespeichert sind, ist die Laufzeit nur durch das Verfahren begrenzt. Sind Zeitangaben aufgedruckt, so sollte man diese als „Mindestlaufzeit“ verstehen.

PIN:
Im Auslieferungszustand ist die Karte noch nicht mit einer Benutzerkennung versehen und hat auch noch keine nutzbare PIN. Stattdessen besitzt sie eine 5-stellige Transport-PIN, die vor der ersten Nutzung in eine mindestens 6-stellige PIN geändert werden muss. Die Transport-PIN besteht aus den letzten 5 Stellen der Kartennummer. Dadurch ist gewährleistet, dass die Karten-PIN direkt mit der gescützten Tastatur des Kartenlesers geändert werden kann. Bei den Vorläufern musste die Karte noch per normaler Computertastatur programmiert werden. Eine dreimalige Fehleingabe der PIN in Folge sperrt den Kartenchip, eine neue Karte muss verwendet werden. Die personalisierten Karten haben eine PUK zum Entsperren.

Kartennummer:
Bei Banken am Rechenzentrum GAD muss die Kartennummer im System hinterlegt sein, ich geh davon aus, dass dies auch bei Fiducia-Banken der Fall ist. Die Kartennummer wurde als Seriennummer auf die Karte aufgelasert.

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe:
Die Karte wird mit einer Benutzerkennung und der Transport-PIN (Brief) ausgeliefert. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen und „vermutet“ nach korrekter PIN-Eingabe, dass es sich um eine unpersonalisierte Karte handelt, da keine Benutzerkennung zu lesen ist. Sie fordert zur PIN-Vergabe auf, die am Kartenleser erfolgen sollte (Display genau lesen!). Durch Eingabe der Transport-PIN und 2-maliger PIN-Eingabe der selbstgewählten PIN (mindestens 6-Stellen, höchstens 8) wird die Karten-PIN vergeben. Im nächsten Schritt fragt das Programm nach Benutzerkennung und VR-Kennung (GAD). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen. Damit die Bank den Schlüssel auf Unversehrtheit prüfen kann, muss der INI-Brief ausgedruckt und unterschrieben werden (vom Inhaber des Zugangs, Vollmachtsinhaber, der nicht der Kontoinhaber sein muss) und zur Bank geschickt. Die Bank prüft den Hashwert durch Eingabe in die eigenen Systeme und danach ist die Karte aktiv und kann verwendet werden.

PIN&TAN:
Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden. Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens.

Sicherheit
Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Da einige Programme den Befehl zur PIN-Änderung der Transport-PIN nicht beherrschen, liefern einige Banken die Karte bereits mit einer geänderten PIN aus und/oder programmieren die Karte vollständig.

Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 9, möglich ist, weiß ich allerdings leider nicht.

Für die Einrichtung bei einer Genobank wird die vollständige Kartennummer benötigt. Wenn die Feldlänge nicht ausreicht, weil die Kartenprüfziffer fehlt, kann diese mit einem geeigneten Tool, z.B. dem Chipcartmaster ausgelesen werden. www.chipcardmaster.de

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und sie ist schnell verfügbar, wenn die Bank diese auf Vorrat liegen hat. Sie hat Platz für 5 verschiedene Banken.

Die Einrichtung benötigt aber einen aufwändigen Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese Karte nutzen (wie die personalisierte VR-NetWorld card).

weiterer Nachteil: Es gibt keine PUK zur PIN-Neuvergabe. Nach 3x falscher PIN ist die Karte unbrauchbar.


weitere Themen: Kartentausch

Ich finde es immer noch schade, dass der GAD hier keine geschlechtsneutrale Bezeichnung einfällt. Nun zum Thema:

9010 Bitte wenden Sie sich an Ihren Berater (BB3:KSBD13F KDA0815 00000 F)

Hier kann nur die Bankberaterin helfen. Die Benutzerkennung hat vermutlich keine VR-Kennung zugeordnet oder eine falsche VR-Kennung ist der Benutzerkennung zugeordnet oder umgekehrt: eine vorhandene VR-Kennung steuert die falsche Benutzerkennung.

Achtung: Wenn mehrere Benutzerkennungen, also z.B. mehrere USB-Sticks oder Chipkarten in Verwendung sind und bleiben sollen, dann müssen auch mehrere VR-Kennungen vorhanden sein.

Diese steuern dann die Bankberechtigungen der Benutzerkennung.

Fehlermeldung sinngemäß: Dieser Auftrag wurde bereits verarbeitet. Buchung wurde bereits durchgeführt.

„9010 – Die Überweisung wurde bereits ausgeführt“

Bei den meisten GAD-Banken wird überprüft, ob die gleiche Buchung heute oder gestern bereits einmal verarbeitet wurde. Entscheidend ist dabei die Summe des Auftrags, die Empfängerdaten IBAN und ggf. BIC und die IBAN/Kontonummer des Auftrags.

Die gleiche Buchung kann im FinTS/HBCI aus Sicherheitsgründen nicht zweimal übertragen werden – im Browserbanking kann man dies mit einer Bestätigung übergehen.

Glauben Sie mir, dieses Sicherheitsfeature hat schon vielen BuchhalterInnen den Hals gerettet.

Wie können Sie die Buchung trotzdem durchführen?
– buchen Sie einen Sammler in einer anderen Zusammenstellung
– nutzen Sie das Onlinebanking per Browser
– warten Sie ab, bis die Buchung wieder funktioniert oder nutzen Sie die Terminbuchung

letzte Änderung 07.07.2016
#Hibini

So erstellen Sie mit Hibiscus eine neuen Schlüsseldatei („HBCI classic“).

Wichtig
Beachten Sie bitte: Die Einreichung des öffentlichen Schlüssels ist pro Benutzerkennung bei (ex)GAD-Banken nur ein einziges Mal möglich. Es gibt hier keine Experimentiermöglichkeiten, wird der Schlüssel erfolgreich bei der Bank eingereicht, dann benötigt die Bank auch genau den zu diesem Schlüssel passenden unterschriebenen Ini-Brief. Wenn es also mit dem Druck z.B. nicht klappt: Den Schlüssel/die Datei nicht löschen, sondern wegsichern und den Druck später wiederholen.

Zuerst: Prüfen Sie die Version im Menü Hibiscus und „Über“ und vergleichen Sie die Version mit den Versionsangaben auf willuhn.de.
Die Nightly-Builds sind Beta-Versionen, allerdings mit einer sehr guten Qualität. Achten Sie auch auf die Version von Jameica.

Hinweis zur Servervariante: Die Erzeugung der Signaturdatei kann nicht in der Serverkonsole erfolgen. Erzeugen Sie die Datei mit dem „normalen“ Hibiscus. Da die Schlüsselübernahme aus anderen Programmen regelmäßig schief läuft, empfehle ich, das eigene Hibiscus-Format zu verwenden.

Hibiscus_willkommensschirm

Hibiscus_01a_Version

Die Einrichtung der Bank erfolgt unter „Bank-Zugänge“

Hibiscus_01b_Navigation

Wählen Sie „Schlüsseldiskette“ als Medium aus.

Hibiscus_02_Auswahl_Verfahren

Wählen Sie „Neuen Schlüssel erstellen“ aus.

Hibiscus_03_Neuer_Schlüssel

Legen Sie Ihren Schlüssel auf einem Wechseldatenträger ab (USB-Stick). Ein CDR/DVD ist nicht geeignet, da der Schlüsselzähler permanent aktualisiert wird.

Hibiscus_04_Pfad_und_Dateiname

Wählen Sie das Datei-Format aus. Die Auswahl des Formates wird meines Wissens in neuen Hibiscus-Versionen nicht mehr angeboten. Wählen Sie das Hibiscus-Format aus.

Hibiscus_05_Format

Für xGAD-Banken: Benutzerkennung und VR-Kennung sollten Sie auf einem Brief Ihrer Bank finden. Tragen Sie die Benutzerkennung in das passende Feld, die VR-Kennung vollständig – also mit großem VRK und allen Ziffern ohne Leerzeichen – in das Feld Kundenkennung ein. Über die BLZ findet Hibiscus die Serverdaten: hbci.gad.de.

Hinweis: Die genossenschaftlichen Bankrechenzentralen fusionieren gerade auch in technischer Hinsicht. Für genossenschaftliche Banken an der xFiducia ist die Serveradresse eine andere, mit „fiducia“ in der Domäne, hier darf  nur die Benutzerkennung angegeben werden, das Feld Kundenkennung muss meines Wissens leer bleiben.Hibiscus_06_Bankzugangsdaten Das Passwort schützt die Datei (die Bank kennt das Passwort nicht) und es muss sorgfältig gewählt werden, da ein Durchprobieren aller Zeichen-Kombinationen keine Sperre verursacht. Es darf von niemanden erraten werden können und muss trotzdem gut merkbar sein. Es wird bei jeder Datenübertragung zur Bank benötigt, also auch z.B. zur Abfrage der Kontoumsätze. Nichts spricht dagegen, wenn Sie sich das Passwort notieren (auf Zettel, nicht auf dem Rechner), wenn niemand an diese Notizen geraten kann.

Hibiscus_07_PasswortDie HBCI-Version ist FinTS 3.0.

Hibiscus_08_FinTS_3

Hibiscus holt sich online den öffentlichen Schlüssel der Bank und errechnet den Hash, den „Fingerabdruck“ dieses Schlüssels. Vergleichen Sie die Hexzahlen mit den Angaben auf dem INI-Brief Ihrer Bank (Hash 2).

Hibiscus_09_HashvergleichUnd bestätigen Sie die Korrektheit mit OK. Stimmt der Hash nicht, haben Sie wahrscheinlich eine falsche BLZ oder eine falsche Verschlüsselung ausgewählt.

Hibiscus_09b_Hashvergleich

Folgen Sie nun dem weitern Assistenten und drucken Sie den INI-Brief aus. Diesen Brief senden Sie eigenhändig unterschrieben zu Bank. Erstellen Sie anschließend eine Sicherheitskopie Ihrer Schlüsseldatei.

Fehlermeldungen finden Sie im Protokoll der Datenübertragung.

zuletzt aktualisiert: 19.04.2017
Suchcodes: #BPD #UPD

Wenn es im Protokoll heißt, die UPD oder BPD sei nicht aktuell, was heißt das?

UPD steht für Userparameterdaten, BPD für Bankparameterdaten (oft auch -Datei). Diese dienen der Programmsteuerung der Zahlungsverkehrs-Software. Sehr vereinfacht gesagt, besagen die BPD, „was die Bank kann oder für sich freigeschaltet hat“ und UPD, was der „User darf“, also wofür ihn die Bank freigegeben hat oder ob für Konten neue Daten vorliegen. Die Meldungen sehen bei allen Banken ähnlich aus:

3050: BPD nicht mehr aktuell. Aktuelle Version folgt.

3050: UPD nicht mehr aktuell, aktuelle Version enthalten

Eine Prüfung auf Aktualisierungsbedarf der Informationen findet bei jeder Änderung statt, das ist also keine Fehlermeldung, sondern ein Hinweis und nicht problematisch. Diese Meldung im Protokoll ist völlig „normal“, die Daten werden vom Programm dann aktualisiert.

Schwierig wird es, wenn diese Parameterdateien in der Software nicht aktualisiert werden können und deshalb z.B. eigentlich vorhandene und freigeschaltete Funktionen nicht angeboten werden, neue Konten z.B. nicht angezeigt werden oder neue Auftragsarten.

Ein häufiger Grund dafür sind fehlende Rechte im Dateisystem von Windows. Daten können dann nicht verändert werden und Programme, die sich sehr stark an diesen Dateien orientieren (z.B. die VR-NetWorld Software), blockieren dann womöglich eigentlich bereits freigeschaltete Berechtigungen.

Dazu kommt bei Banken an der ex-GAD, dass bei allem, was neu ist, nun die VR-Kennung dazu kommen muss (dem Hauptthema dieser Seiten). Fehlt sie, fehlen auch oft die User-Parameter-Daten und damit Konten oder Berechtigungen. Wenn Sie diesen Verdacht haben, lesen Sie bitte hier weiter:

Was ist die VR-Kennung?