Author Archives: Raimund

Beim „Aktualisieren“ bzw. „Synchronisieren“ wird der Bankzugang mit dem Banksystem abgeglichen. Die Software lernt dadurch neue Berechtigungen und Freigaben kennen.

Löschen Sie am besten vorher alle Aufträge aus dem Ausgang, damit die Umstellung nicht blockiert wird. Ich würde zusätzlich eine Datensicherung empfehlen.

Klicken Sie in der Kontenliste auf ein Konto mit der rechten Maustaste (für Rechtshänder) (1). Wählen Sie im neuen Menü (Kontextmenü) „Details“ an.

Es sollte sich eine Karteikarte mit HBCI oder HBCI mit PIN/TAN anbieten.

Wählen Sie oben den Button „Aktualisieren“ an.

Danach sollte die Software die neuen Berechtigungen gelernt haben.

Wenn Sie Probleme erleben, können Sie auch über die Konto-Neueinrichtung gehen, dies funktionert seit Urzeiten in Starmoney auch mit widerspenstigen Kontozugängen.

Mit der PSD2 (Payment Services Directive 2) müssen Banken anderen Dienstleistern Zugriff auf die Kunden- und Kontendaten geben, sofern ihre Kunden*innen dies erlauben. Im Gegenzug werden diese Dienstleister ebenfalls reguliert, sie dürfen nicht einfach mehr die geheimen Zugangsdaten und die vorhandenen Schnittstellen (FinTS oder Webbanking) nutzen, bzw. aus der Sicht der Banken: missbrauchen. Wer sich für die Problemfeld interessiert, kann ja mal „Sofortüberweisung“ und „Kritik“ in den Lieblingssuchdienst eingeben.

Möglich ist dies natürlich nur mit einer entsprechenden Steuerung die sich bei Genossenschaftsbanken im Onlinebanking findet. Hier am Beispiel GLS Bank:

Klicken Sie auf „Service“ …

.. und dann auf Zugriffsverwaltung.

Es öffnet sich ein neues Menü mit mehreren Auswahlmöglichkeiten, hier im Design der GLS Bank.

Bei den Verfügbarkeits- und Kontoinformationsabfragen handelt es sich um Dienstleister, die mit den Kontodaten und Kontoständen z.B. Online-Shops versorgen oder einfach auch Dienstleistungen rund ums Geld anbieten. Am häufigsten dürften meiner Einschätzung nach hier Firmen anzutreffen sein, die z.B. regelmäßige Buchungen verwalten und optimieren, z.B. Versicherungen, Strom- und Gasverträge, Abo-Verwaltungen und ähnliches.

Dazu kann die Bonität beim Online-Einkauf einfacher geprüft werden, z.B. ob für den Shopbetreiber das Lastschriftverfahren ein großes Risiko darstellt (Verfügbarkeit) und auch ob die Versandadresse stimmt (Kontoinformation).

Bei Zahlungsauslösungen kann man im Nachinein die erteilten Freigaben kontrolieren, wo hat man über welchen Zahlungsdienstleister gezahlt. Hier sind dann Firmen wie klarna („Sofortüberweisung“) zu finden.

Leider kann ich kein Beispiel zeigen – als Berufsparanoiker versuche ich, genau solche Dienstleister zu vermeiden. Ich nutze Paydirekt und Giropay als Bankangebot selbst.

Wir sind ja „bereits“ in der Einführungsphase zur PSD2-Aktivierung und der Live-Test am offenen Konto hat schon begonnen. Das ermöglicht insbesondere den Dritt-Dienstleistern den Test mit Echtdaten. Bis zum 14.09. wird ja die Nutzung der FinTS/HBCI-Schnittstelle noch geduldet und nicht bestraft.

Das bedeutet aktuell:
Je nach Art des Abrufs von Kontoumsätzen wird nun eine TAN-Abfrage erzeugt. Eigentlich akut ab 11. September kann die Abfrage aber auch schon jetzt bei der Nutzung von App, ZV-Software und DIenstleister mit dem PIN&TAN-Zugang kommen.

Bei HBCI mit Signaturdatei oder -Chipkarte kommt das natürlich nicht. Die Software muss allerdings aktuell sein, siehe hier.

So schalten Sie das gewünschte Sm@rtTAN Verfahren (auch Chip-TAN genannt) ein und aktivieren den richtigen Lesertyp.

Diese Anleitung gilt für genossenschaftliche Banken mit Folgesystem (agree21). >>> wie kann man herausfinden, welches System die Bank nutzt?

Hier am Beispiel der GLS Bank:

Starten Sie im „normalen“ Onlinebanking.

Wählen Sie Service, TAN-Verwaltung aus.

Stellen Sie einmal die Karte ein, wenn Sie mehrere Bankkarten oder Onlinebanking-Karten besitzen.

Den Lesertyp stellen Sie über die Funktion am Leser ein, siehe Beschreibung.

Wenn Sie einen Photo-Leser einer Genossenschaftsbank besitzen, können Sie auch die Nummer 1A440882214B eintragen, das sollte passen.

Lesen Sie die Sonderbedingungen (1) und setzen Sie den Bestätigungshaken (2) und klicken Sie den Button „Eingaben prüfen“ an (3).

Das Verfahren muss mit einer TAN bestätigt werden.

„Zahlungspflichtig“ ist für Banken gedacht, die für diesen Zugang Geld berechnen. Ich kenne keine.

Am Ende sollten Sie eine Bestätigungsseite sehen.

Meine Empfehlung: Das bevorzugte Verfahren einstellen: Wählen Sie Service, My eBanking an…

…und dort können Sie das gewünschte Sm@rtTAN Verfahren voreinstellen.

Bei der manuellen Erfassung muss die Tastatur verwendet werden.

Wenn Sie mit einer Software arbeiten, sollten Sie dort Ihren Bankkontakt aktualisieren/synchronisieren.

Javascript hat – zu Recht! – den Ruf, gefährlich zu sein und der Missbrauch der Sprache gehört zu den häufigsten Techniken, um Schadsoftware einzuschleusen.

Die Programmiersprache ist aber inzwischen so immens wichtig für die Gestaltung moderner Webseiten geworden, dass nichtmal Mozilla in der Standardversion die Deaktivierung in der „normalen“ Userkonfiguration ermöglicht. Das Onlinebanking der Genossenschaftsbanken kann inzwischen nicht mehr ohne Javascript genutzt werden.

Möglich und meines Erachtens auch sinnvoll ist das gezielte Nachladen von Javascript von unsicheren oder ungewollten Servern durch Javascript-Blocker, z.B. Plugins wie Noscript. Plugins dieser Art können gezielt das Nachladen von Scripten von Servern steuern.

Es ergibt meines Erachtens keinen Sinn, Javascript bei den Seiten zu deaktivieren, denen man eh vertrauen muss, also z.B. den Bankseiten oder beim E-Mail Portal. Denn woher soll hier ein Schadscript kommen? Sollte der unwahrscheinliche Fall eintreten, dass der Bankrechner gehackt wurde, dann wäre mir auch mit einem Scriptblocker schon nicht mehr geholfen. Ist mein Browser oder Betriebssystem unterwandert, nützt mir auch ein Scriptblocker nichts mehr, dann ist es eh zu spät.

Wichtig bei der Betrachtung ist: Man muss sich vergewissern, dass man mit dem richtigen Server verbunden ist, also die Zertifikate prüfen. Dazu finden sich Unmengen an Anleitungen im Internet.

zuletzt geändert 08.08.2019

Wenn die Anmeldung im Browserbanking als solche funktioniert, also VR-NetKey oder VR-Kennung bzw. Alias und PIN korrekt sind, dann fehlt eine Freischaltung oder Sie sind in der falschen Anmeldung Portal gelandet.

Für das spezielle „Erweiterte Onlinebanking“, vom Rechenzentrum eBanking Business Edition ist eine zusätzliche Freischaltung des Bankzuganges notwendig.

Am Beispiel der GLS Bank: Onlinebanking entspricht dem „normalen Onlinebanking“ mit Überweisungen etc. Für Firmen mit z.B. Gehaltsbuchungen über Service-Rechenzentren (DATEV) oder Datei-Upload benötigt das Konto eine spezielle Berechtigung, die im Banksystem gesetzt werden muss. Das kann aber jede Bank individuell einstellen.

letzte Änderung 11.03.2020

Inzwischen ist bei der GLS Bank die Übergangsfrist abgelaufen, die VR-Kennung ist gelöscht worden. Erhält man die Fehlermeldung „Anmeldedaten ungültig“, dann hat die Software leider die Änderung nicht mitgenommen und den VR-Netkey eingetragen. Man muss manuell ran und die für das Onlinebanking gültigen Daten eintragen. Die PIN bleibt die gleiche, alle mir bekannen Banken haben vor dem Wechsel ihre Kund*innen angeschrieben und die neuen Zugangsdaten mitgeteilt. Findet man den Brief nicht und hat die Daten nicht notiert, dann muss man mit der Bank sprechen. Der VR-NetKey ist bestenfalls vertraulich (die PIN ist geheim, auch die Bank kennt diese nicht!)  und kann auch am Telefon erfragt werden.

Bei den genossenschaftlichen Banken werden die Banksysteme vereinheitlicht und die Umstellung erfordert unter Umständen eine kleine Änderung der Zugangsdaten zum Onlinebanking. Das Banksystem heißt dann nicht mehr „bank21“ sondern „agree21“.

Die HBCI-Einrichtung (FinTS mit Signaturverfahren wie HBCI-Chipkarte oder -Datei) wird wieder einfacher, weil die VR-Kennung wegfällt. Beim PIN & TAN-Verfahren wird die VR-Kennung durch den VR-NetKey ersetzt, der Alias kann in den meisten Fällen bleiben. (Wie erkenne ich, womit die Bank arbeitet?)

Ich werde die unterschiedlichen Aspekte hier der Reihe nach ergänzen und die Anleitungen verlinken.

Erweitertes Browserbanking („Business“ Zugang):
Für Firmen und Vereine wird eine Anmeldung mit erweiterten Funktionen angeboten, die separat freigeschaltet werden muss, bei vielen Banken wird dies „Business Portal“ oder „Business Banking“ genannt.

• gemeinschaftliche Unterschriftsberechtigungen (A, B,- Vollmachten)
• Lastschrifteinzüge
• Export MT940 Umsatzdaten und CAMT Tagesumsätze
• Freigabe von Rechenzentrums-Buchungen wie Gehaltsläufe der DATEV
• Upload von Buchungsdateien

Terminierte XML-Dateien werden abgelehnt, wenn der Termin überschritten ist. Notlösung/Trick: Mit einem geeigneten Editor die Terminsteuerung entfernen, indem das Datum auf den 01.01.1999 gesetzt wird. siehe auch  Tipp aus dem hbh-Forum

HBCI mit Chipkarte: Secoderfunktion wird generell in Zahlungsverkehrsprogrammen unterstützt, eine Freischaltung ist nicht mehr nötig. Dafür wird die HBCI-Signatur auf der Bankkarte nicht mehr unterstützt und die Secoderanmeldung im Onlinebanking per Browserplugin entfällt.

Firmen Postfach: Es ist nun möglich, Nachrichten und Kontoauszüge gemeinschaftlich einzusehen. Voraussetzungen sind Kundenverträge und eine Freischaltung des Verfahrens.

Die TAN App SecureSign wird durch SecureGo ersetzt

mobileTAN (SMS):

• ausländische Handynummer sind nicht mehr möglich, dafür aber SecureGo
• Freischaltung durch Brief

Neue Funktionen werden durch das „neuere“ Banksystem möglich

• Instant-Payment
• Kwitt

Elektronische Kontoauszüge (die Papier-ersetzenden PDF-Dokumente) können nicht mehr „on demand“, also auf Anforderung (oder irrtümlich) erstellt werden, sondern werden nach einem festen Zyklus automatisch zugestellt, also z.B. wöchentlich. Das Format ändert sich dadurch auch durchweg auf A4.

Lastschriften

Bisher wurden die Lastschriften „bis auf dem letzten Drücker“ auf einer Art Parkplatz vorgehalten, dies ändert sich nun. Liegt der Fälligkeitstermin innerhalb der nächsten 14 Tage, dann wird die Buchung an die anderen Banken verschickt.

Nachteil: Der Buchungslauf kann nicht mehr aufgehalten werden

Vorteil: Die Zahlungspflichtigen erfahren unter Umständen früher von der Belastung und können sich darauf einstellen.

Sammelbuchungen über FinTS/HBCI ist begrenzt auf 500 Stück, dafür können im erweiterten Onlinebanking (Business)  Dateien mit bis zu 100.000 Datensätze hochgeladen werden.

Batchbooking wird nicht mehr unterstützt -> externer Link www.gls.de/batchbooking

Die genossenschaftlichen Banken am Rechenzentrum Fiducia & GAD IT AG unterstützen seit langem das Secoderverfahren mit den modernen Kartenlesern am USB-Anschluss. Mit der Systemumstellung der Banken, die bei der ehemaligen GAD rechnen ließen, wird generell  HBCI mit Chipkarte (FinTS mit Chipkarten-PIN am USB-Leser) angeboten. „Früher“ konnte und musste dies am jeweiligen Zugang durch die Bank individuell aktiviert werden, dafür konnte die Funktion sogar über eine Browser-Erweiterung ohne Zahlungsverkehrssoftware genutzt werden.

Einige ZV-Programme, die diese Technik beherrschen, reagieren auf die neuen Informationen automatisch und aktivieren die Secoderfunktion nach einer einfachen Bestätigung. Und es passiert natürlich, dass man schnell nach einer Abfrage auf „Ja“ klickt. Das muss nicht schlecht sein, meiner Meinung nach ist dies durch die Auftragskontrolle im Display des abgesicherten Kartenlesers eins der weltweit sichersten Onlinebanking-Techniken überhaupt – aber es kann natürlich lästig werden, jeden Auftrag separat mit „OK“ zu bestätigen. Testen Sie es doch einfach ein paar Tage.

Links dazu:
www.wikibanking.net
Wikipedia über den Secoder-Standard

Wie die Funktion bei den einzelnen Programmen deaktiviert werden kann, werde ich hier demnächst ergänzen.

VR-NetWorld Software

So sieht/sah die Abfrage aus:

Umstellung: Die Einstellung kann über das Kontextmenü des Bankzuganges (de)aktiviert werden. Klicken Sie auf „Stammdaten“, „Bankzugänge“ mit der rechten Maustaste auf den Chipkarteneintrag. Entfernen oder setzen Sie dort den Haken bei  „Sichere Anzeige im Kartenleser“.