TAN wann?

by 2 Comments

Mit der nächsten Phase der Umsetzung der PSD2 wird man als Homebanking-User mit einem PIN & TAN Zugang nun häufiger mit einer TAN-Abfrage an „ungewohnten Stellen“ konfrontiert werden. Gleichzeitig ermöglicht die Regelung aber auch den TAN-Verzicht bei risikoarmen Buchungen, also z.B. Umbuchungen auf die eigenen Sparkonten oder bei geringen Summen.

Man kann viel über Sicherheit und Vor- und Nachteile diskutieren, daran vorbei kommt man jedenfalls nicht.

Denn wer trotzig der TAN-Eingabeaufforderung nicht nachkommt, sperrt nach wenigen Abfragen ohne Antwort vorläufig den Zugang! Der Zugang muss wieder freigeschaltet werden, unter Umständen muss man sogar einen Freischaltbrief abwarten, der bei den meisten Genossenschaftsbanken erst in der Nachtverarbeitung erstellt wird und am nächsten Arbeitstag auf den Postweg gebracht werden kann.

Wann wird denn nun üblicherweise beim Abruf der Umsätze nach einer TAN gefragt?

In jedem Fall müssen alle Banken eine TAN abrufen, wenn Kontoumsätze >90 Tage abgerufen werden. Das gilt für Zahlungskonten, das sind also in der Regel Girokonten und Tagesgeldkonten.

Dann merkt sich aber die Bank die Autorisierung und fordert die nächste TAN wieder frühestens nach 90 Tagen an. Damit ist auch klar, dass dies nicht pro Softwareinstallation gilt, sondern pro Zugang. Eine signifikante Sicherheitsverbesserung ist dies also nicht.

Dieses Vorgehen dürfte für die meisten Banken und Zugänge zutreffen, denn kaum eine Bank wird die Nerven ihrer Kundschaft über Gebühr strapazieren wollen. Man kann diese Option aber abschalten lassen. Empfehlen würde ich dieses aber nur unter bestimmten Ausnahmen, bei echten Gründen zur Paranoia würde ich unbedingt empfehlen, das Verfahren zu wechseln.

 

Nerv – und Stolperstellen:

Die Abfrage „alles was da ist“ erfordert auch eine TAN-Bestätigung. Merkt sich z.B. eine App nicht den letzten erfolgreichen Abruf, dann wird bei jeder Nutzung oder auch automtischem Abruf eine TAN nötig werden.

Programme, die die FinTS/HBCI-Schnittstelle nutzen, erhalten beim Abrufen der Userparameterdaten (UPD) Informationen, ob neue Kontoumsätze vorliegen. Das kann helfen, unnötige Abrufe zu ersparen, sofern die Software/App diese Daten interpretieren kann.

Handlungsbedarf bei den Programmierern

Die früher hilfreiche Abfrage-Methode: „gibt mir die Umsatzdaten seit dem letzten Buchungstag“ ist nicht mehr „angenehm“. Jetzt ist es besser, wenn die Software in der eigenen Datenbank nach dem letzten erfolgreichen Abruftermin schaut, nach der Methode: Ich hab am 01. schon erfolglos nach Umsatzdaten gefragt, gibt es seitdem etwas neues?

Ersteinstieg mit VR-NetKey und mobileTAN

by Leave a Comment

Die Erstanmeldung mit einem „jungfräulichen“ VR-NetKey und neu freigeschaltetem mobileTAN erfolgt in Kurzform so:

  • Anmeldung im Onlinebanking mit VR-NetKey und Start-PIN
  • Freischaltung der Telefonnummer für das mobileTAN-Verfahren anhand des Freischaltcodes
  • Vergabe der eigenen PIN

Bitte starten Sie im „normalen“ Onlinebanking der Bank, also nicht im Erweiterten Onlinebanking („Business“). Wählen Sie dies am besten über die Bank-Hauptadresse an und gehen Sie nicht über google oder ein Lesezeichen („Google ist NICHT das Internet!“).

Geben Sie dort Ihren VR-NetKey ein, eine rein numerische Zahl.

Im folgenden habe ich die Texte in aubergine? eingefärbt, damit man die Bemerkungen besser von den Screenshots unterscheiden kann.

Der nächste Schritt ist im alten System mit VR-Kennung nicht vorgesehen gewesen: Die Freischaltung der Telefonnummer (bzw. bei der TAN-App SecureGo (Push-TAN). Durch den getrennten Versand per Brief wird die Sicherheit weiter erhöht.

Ist die Telefonnummer noch nicht freigeschaltet, muss man den Freischaltcodebrief allerdings abwarten. Einige Banken geben den Freischaltbrief direkt am Schalter aus.

Der Code steht zusammen mit dem dazugehörigen VR-NetKey im Schreiben der Bank.

Beachten Sie insbesodere Groß- und Kleinschrift des Codes. Übliche Stolperstellen sind „Oh“ und „Null“, „kleine L“ und „eins“.

Die Sonderbedingungen einfach anzuhaken, reicht nicht (!) aus, Sie müssen den dahinterliegenden Link anklicken und sollen die Sonderbedingungen wirklich lesen. Haken Sie das Feld nur an, erscheint oben diese Fehlermeldung.

Also bitte auf den Link klicken, sonst geht es nicht weiter.

Wählen Sie dann „Eingaben prüfen“ an.

 

Bitte prüfen Sie die angegebene Telefonnumer (steht auch im Schreiben). Wenn hier ein Erfassungsfehler passiert ist, erhält  jemand anders die SMS.

Die SMS mit der Transaktionsnummer (TAN) geben Sie zur Freischaltung ein. Bitte lesen Sie immer den Nachrichtentext. Die Sicherheit des Verfahrens hängt von dieser Kontrolle erheblich ab.

Die Freigabe wird bestätigt, jetzt kann es weiter gehen.

Vergeben Sie Ihre eigene PIN anhand der Regeln. Meine Empfehlung: Sie sollte einfach genug sein, dass man sich diese merken kann. Eine komplizierte PIN, wie sie für andere Zugänge empfohlen wird, ist nicht nötig, denn der Bankzugang wird nach drei Fehlerversuchen vorläufig und nach 9 Fehlversuchen endgültig gesperrt.

Beachten Sie die Regeln zu den Sonderzeichen. Wenn Sie später eine App oder ZV-Software verwenden möchten: Einige Programme haben Schwierigkeiten mit Sonderzeichen. Sollten hier Probleme auftreten, können Sie die PIN später noch ändern.

Geben Sie zuerst die PIN aus dem Brief ein und dann jeweils die gewünschte, selbst ausgedachte PIN. Es ist in Ordnung, wenn Sie diese PIN notieren, sofern niemand an die Notizen heran kommen kann. Sie sollte aber merkbar sein. Speichern Sie die PIN aber bitte nicht im Browser, die Daten können ausgelesen werden.

Mit der TAN aus der SMS bestätigen Sie die PIN-Vergabe.

 

Tipp: Vergeben Sie zuerst einen Alias, damit Sie sich nicht den VR-NetKey merken müssen.

 

Unter „Service“ finden Sie das Menü.

GLS eBank und windata: historische elektronische Kontoauszüge abholen

by Leave a Comment

Im Banksystem der Genossenschaftsbanken werden die elektronischen Kontoauszüge zumindest nach der Systemumstellung automatisch zu einem festen Zeitpunkt erstellt. Die Bestellung „auf Anforderung“ ist nicht mehr möglich.

Die Vorteile überwiegen deutlich die Nachteile: Das System kümmert sich selbst um die Anlieferung, niemand kann eine Auszugserstellung „verschlafen“, so dass es zu Zwangsauszügen kommt. Üblicherweise dienen die PDF-Belege der Archivierung  und Kontrolle. Arbeiten sollte man damit nicht mehr müssen.

Die Auszüge bleiben im Postfach / Archiv min. 10 Jahre erhalten und können von dazu Berechtigten auch später noch abgerufen werden.

Beim Abholen ändert sich das Vorgehen zum Tel etwas, weil der jeweilige Auszug ja bereits erstellt wurde. Für Zahlungsverkehrsprogramme sind die Auszüge daher nach der Systemumstellung (GLS Bank seit Juli 2019) historische Kontoauszüge.

Gehen Sie über „Kontoinformationen“ und „Elektronischer Kontoauszug“ in das Menü.

Sie sehen die Kontenliste ..

und über „Aktualisieren“ rufen Sie den Bestand ab.

Markieren Sie oben das gewünschte Konto.

Historischer Abruf:

Mit dem Haken am unteren Rand „Historischer Abruf“ und Eintragen der Auszugsnummer (und Jahr) wählen Sie ggf. den nächsten Auszug aus.

Mit „weiter“ holen Sie den Auszug ab.

Fehlt das Menü, dann schauen Sie unter „Extras“, „Optionen“ in die Karteikarte „Kontoumsätze“. Ist der Haken gesetzt, ist das Menü ausgeblendet.

VR-NetWorld Software – elektronische Kontoauszüge

by Leave a Comment

In der VR-NetWorld Software gibt es unterschiedliche Stellen, um elektronischen Kontoauszüge abzuholen und auch um diese Funktionen ein- und auszuschalten.

Sehr wichtig: Bei dem Begriff „Kontoauszüge“ geht es in diesem Zusammenhang um PDF-Dateien, die den klassischen und veralteten Papierauszug ersetzten, nicht um die Umsatzdaten, die man sowieso in der Software verwalten kann.

Grundeinstellungen:

Die Programmeinstellungen (als Supervisor anmelden) stellen Sie unter „Extras“ und „Einstellungen bearbeiten“ um.

Unter „Aufträge“, „Aktualisierung“ können Sie das Verhalten einstellen. Wenn Auszüge eh nur einmal am Tag von der Bank eingestellt werden, kostet die Aktivierung „bei jeder Transaktion“ nur unnötig Zeit.

Unter den „Geschäftsvorfällen“, „Kontoinformation“ und Haken bei „Kontoauszüge“ aktivieren Sie generell die Nutzung.

Bestätigen Sie mit OK.

Zu den jeweiligen Kontoeinstellungen (Aktivieren Sie ggf. die Baumansicht unter Extras) gelangen Sie am einfachsten über das Kontextmenü. Klicken Sie dazu mit der rechten Maustaste auf Ihr Konto (Ordnersymbol) ..

…und wählen Sie „Konto bearbeiten“ im Menü.

In der aktuellen Version können Sie das Abrufverhalten einstellen. Für Banken, die auf das neue System umgestellt wurden, die GLS Bank ist seit Juli dabei, bietet sich der automatische Abruf durchaus an. Denn die Kontoauszüge werden nicht mehr „auf Anforderung“ erstellt, sondern durch das Banksystem mit einem festen Zyklus, üblicherweise täglich, wöchentlich oder monatlich generiert. Sie können dadurch nicht mehr verloren gehen, sondern bleiben im Archiv im Onlinebanking (per Browser erreichbar) und sind „historisch abrufbar“ für alle Bevollmächtigten, die die nötige Berechtigung haben.

Unter „Geschäftsvorfälle“ aktivieren Sie die „Übersicht Kontoauszüge anfordern“ und ggf. die „Kontoauszug Empfangsquittung“. Dies ist bei einigen Banken nötig. Bei den meisten Banken gilt der Abruf bereits als quittiert.

In der Baumstruktur können Sie im Kontexmeü der „Kontoauszüge“ am jew. Konto noch zusätzliche Funktionen erreichen. So ist es z.B. möglich, alte Auszüge, die in der VR-NetWorld Software fehlen, nachträglich in die Datenbank zu integrieren (Kontoauszug importieren). Auch durch Scans kann man so die Daten komplettieren.

 

Fehlerquellen:

Fehlt Ihnen die Funktion nach allen Aktivierungen an einem Konto, synchronisieren Sie bitte den Bankzugang. Achtung: Hat die Bank Änderungen durchgeführt, kann es bis zu 30 Minuten dauern, bis diese über die Berechtigungssteuerung (UserParameterDaten=UPD) verfügbar sind.

So synchronisieren Sie den Bankzugang

Alte, nicht mehr erreichbare Auszüge können das Abholen aller neuen Auszüge blockieren.

Kontrollieren Sie die Liste im Postausgang und prüfen Sie dort, ob der Eintrag nicht mehr verfügbar ist. Ist ein „kaputter“ Abholauftrag im Ausgang, blockiert dieser den Prozess.

Löschen Sie (nach einer Datensicherung) in der Liste der Auszüge diesen defekten Kontoauszug und versuchen Sie es dann erneut. Markieren Sie dazu die Zeile mit der rechten Maustaste und klicken Sie auf „löschen“.

 

Speicherprobleme

VR-NetWorld Software: PDF-Kontoauszüge können nicht gespeichert werden

Weitere Tipps:

VR-NetWorld Software: elektronische Kontoauszüge (pdf) monatlich erstellen

Fehlermeldung: 9370 Herausgebersignatur für bezogenen Benutzer fehlt

by 8 Comments

Für den TAN-Zugang müssen im Banksystem und in der verwendeten Software die gleiche TAN-Bezeichnung eingegeben werden. Im Banksystem muss aber dazu auch eine Bezeichnung eingetragen sein, sonst kommt es zum Fehler:

9999 Fehler: LIST_NO_CHALLENGE_CREATED
9370 Herausgebersignatur für für bezogenen Benutzer fehlt

Hier ist also eine Eingabe ins Banksystem nötig.

Die TAN-Medienbezeichnung kann nach der Erfassug mit gültigen Zugangsdaten (VR-NetKey oder Alias und PIN) abgerufen werden. Ob diese Funktion allerdings von allen Programmen unterstützt wird, bezweifel ich gerade.

GLS eBank und windata Secoderfunktion deaktivieren und aktivieren

by Leave a Comment

Wer viele Buchungen mit der Signaturfunktion eines Chipkartenlesers macht, möchte wommöglich nicht jede Buchung und jede Empfänger-IBAN einzeln am Kartenleser kontrollieren und mit OK bestätigen. Ich halte das Verfahren zwar für das sicherste und auch noch komfortabler als die TAN-Techniken, aber in Firmen mit gut abgesicherter IT wird das schon sehr lästig. Die Sicherheit wird dann auch nicht besser, wenn man sich das OK-Durchklicken einfach angewöhnt.

Mit Umstellung des Systems der Genossenschaftsbanken wird die Secoderfunktion automatisch aktiv (siehe hier).

In windata und sicherlich auch in allen Programmen, die auf der ddbac Lösung von b+s basieren, das düften Quicken/Lexware und buhl-Produkte (Wiso) sein,  lässt sich das Verfahren über die homebanking-Kontakte (de)-aktivieren.

In GLS eBank / windata gehen Sie bitte so vor:

Starten Sie den Administrator für FinTS/HBCI über Stammdaten:

Markieren Sie den Chipkarteneintrag und wählen Sie „Bearbeiten“.

Klicken Sie auf „Sicherheitsverfahren auswählen“ …

 

 

… und stellen Sie dort auf das gewünscht Verfahren um. „Secoder“ kennzeichnet die aufwändigere, aber sicherere Kontrollmöglichkeit im Display des Chipkartenlesers.

Bestätigen Sie mit „Weiter“.

Der Zugang wird synchronisiert.

 

Schließen Sie mit „Fertig stellen“ ab.

 

Beenden Sie anschießend die Homebanking-Kontakte.

 

Starmoney – Bankzugang aktualisieren (synchronisieren)

by 2 Comments

Beim „Aktualisieren“ bzw. „Synchronisieren“ wird der Bankzugang mit dem Banksystem abgeglichen. Die Software lernt dadurch neue Berechtigungen und Freigaben kennen.

Löschen Sie am besten vorher alle Aufträge aus dem Ausgang, damit die Umstellung nicht blockiert wird. Ich würde zusätzlich eine Datensicherung empfehlen.

Klicken Sie in der Kontenliste auf ein Konto mit der rechten Maustaste (für Rechtshänder) (1). Wählen Sie im neuen Menü (Kontextmenü) „Details“ an.

 

 

Es sollte sich eine Karteikarte mit HBCI oder HBCI mit PIN/TAN anbieten.

Wählen Sie oben den Button „Aktualisieren“ an.

Danach sollte die Software die neuen Berechtigungen gelernt haben.

Wenn Sie Probleme erleben, können Sie auch über die Konto-Neueinrichtung gehen, dies funktionert seit Urzeiten in Starmoney auch mit widerspenstigen Kontozugängen.

VR_NetWorld Software synchronisieren

by 4 Comments
Suchwort: #VRNWsync

Beim „Synchronisieren“ wird der Bankzugang mit dem Banksystem abgeglichen. Die Software lernt dadurch neue Berechtigungen und Freigaben kennen.

Klicken Sie auf „Stammdaten“ (1), dann auf „Bankverbindungen“ (2).

Klicken Sie mit der rechten Maustaste (für Rechtshänder) auf den Bankkontakt, den Sie aktualisieren wollen.

Es öffnet sich das sogenannte „Kontextmenü“. Wählen Sie hier „Synchronisieren“ aus und lassen Sie sich durch den Assistenten führen.

Hilft das nicht beim aktuellen Problem?

Wir probieren dann die Aktualisierung der Bankparameterdaten.

Sichern Sie zuerst die Daten

Wählen Sie dann  „Extras“, „Bankparameterdaten“ an.

Klicken Sie die „BPD löschen“ an. Markieren Sie Ihren Bankzugang.

Prüfen Sie genau, welchen Zugang Sie löschen und wählen Sie dann „BPD löschen“ an.

Bestätigen Sie dann mit „OK“ und führen Sie den Sync-Vorgang komplett neu durch (s.o.)

Immer noch keine Kontoberechtigungen?

Der Supervisor kann die Berechtigungen der User manuell anpassen und sollte dies prüfen. Menü über „Stammdaten“, „Benutzer“ erreichbar. Unter Umständen repariert auch ein Durchklicken einen Berechtigungsfehler in der Datenbank.

Geschäftsvorfälle: Bestimmte Aufträge können nicht gebucht werden, z.B. Kontoauszüge sind ausgegraut, Lastschriften können nicht verarbeitet werden.

Eventuell ist der sogenannte Geschäftsvorfall am Konto nicht richtig eingestellt: Mit der rechten Maustaste auf das betreffene Konto klicken und dann „Bearbeiten“ auswählen. In den Geschäftsvorfällen dann nachschauen, ob die Berechtigung nicht einfach deaktiviert wurde.

Diese Berechtigungen kann man auch nachprüfen, nach der Sync. (s.o.) sollte das korrekt eingestellt sein.

PSD2 – Zugriffe von Dritten steuern

by Leave a Comment

Mit der PSD2 (Payment Services Directive 2) müssen Banken anderen Dienstleistern Zugriff auf die Kunden- und Kontendaten geben, sofern ihre Kunden*innen dies erlauben. Im Gegenzug werden diese Dienstleister ebenfalls reguliert, sie dürfen nicht einfach mehr die geheimen Zugangsdaten und die vorhandenen Schnittstellen (FinTS oder Webbanking) nutzen, bzw. aus der Sicht der Banken: missbrauchen. Wer sich für die Problemfeld interessiert, kann ja mal „Sofortüberweisung“ und „Kritik“ in den Lieblingssuchdienst eingeben.

Möglich ist dies natürlich nur mit einer entsprechenden Steuerung die sich bei Genossenschaftsbanken im Onlinebanking findet. Hier am Beispiel GLS Bank:

Klicken Sie auf „Service“ …

.. und dann auf Zugriffsverwaltung.

Es öffnet sich ein neues Menü mit mehreren Auswahlmöglichkeiten, hier im Design der GLS Bank.

 

Bei den Verfügbarkeits- und Kontoinformationsabfragen handelt es sich um Dienstleister, die mit den Kontodaten und Kontoständen z.B. Online-Shops versorgen oder einfach auch Dienstleistungen rund ums Geld anbieten. Am häufigsten dürften meiner Einschätzung nach hier Firmen anzutreffen sein, die z.B. regelmäßige Buchungen verwalten und optimieren, z.B. Versicherungen, Strom- und Gasverträge, Abo-Verwaltungen und ähnliches.

Dazu kann die Bonität beim Online-Einkauf einfacher geprüft werden, z.B. ob für den Shopbetreiber das Lastschriftverfahren ein großes Risiko darstellt (Verfügbarkeit) und auch ob die Versandadresse stimmt (Kontoinformation).

Bei Zahlungsauslösungen kann man im Nachinein die erteilten Freigaben kontrolieren, wo hat man über welchen Zahlungsdienstleister gezahlt. Hier sind dann Firmen wie klarna („Sofortüberweisung“) zu finden.

Leider kann ich kein Beispiel zeigen – als Berufsparanoiker versuche ich, genau solche Dienstleister zu vermeiden. Ich nutze Paydirekt und Giropay als Bankangebot selbst.

Übrigens: Paypal wird man hier nicht oder zumindest – noch nicht – finden, Paypal nutzt keine von der PSD2 regulierte Verbindung zum Bankkonto, sondern verwendet Lastschrift und Kreditkarte.

TAN-Abfragen

Bei der Abfrage von Daten und auch beim Auslösen einer Zahlung muss die Authorisierung mittels einer TAN erfolgen. Die Banken dürfen aber unter bestimmten Voraussetzungen darauf verzichten, also z.B. bei der Kontoabfrage den Zeitraum auf 90 Tage ausdehnen, bis wieder eine TAN nötig wird. Für Zahlungn in geringer Höhe gilt das genauso, die genauen Zahlen suche ich noch raus.

PSD2 – TAN Abfrage auch bei Umsatzabruf

by Leave a Comment

Wir sind ja „bereits“ in der Einführungsphase zur PSD2-Aktivierung und der Live-Test am offenen Konto hat schon begonnen. Das ermöglicht insbesondere den Dritt-Dienstleistern den Test mit Echtdaten. Bis zum 14.09. wird ja die Nutzung der FinTS/HBCI-Schnittstelle noch geduldet und nicht bestraft.

Das bedeutet aktuell:
Je nach Art des Abrufs von Kontoumsätzen wird nun eine TAN-Abfrage erzeugt. Eigentlich akut ab 11. September kann die Abfrage aber auch schon jetzt bei der Nutzung von App, ZV-Software und DIenstleister mit dem PIN&TAN-Zugang kommen.

Bei HBCI mit Signaturdatei oder -Chipkarte kommt das natürlich nicht. Die Software muss allerdings aktuell sein, siehe hier.