Javascript blocken beim Banking? Warum?

by Leave a Comment

Javascript hat – zu Recht! – den Ruf, gefährlich zu sein und der Missbrauch der Sprache gehört zu den häufigsten Techniken, um Schadsoftware einzuschleusen.

Die Programmiersprache ist aber inzwischen so immens wichtig für die Gestaltung moderner Webseiten geworden, dass nichtmal Mozilla in der Standardversion die Deaktivierung in der „normalen“ Userkonfiguration ermöglicht. Das Onlinebanking der Genossenschaftsbanken kann inzwischen nicht mehr ohne Javascript genutzt werden.

Möglich und meines Erachtens auch sinnvoll ist das gezielte Nachladen von Javascript von unsicheren oder ungewollten Servern durch Javascript-Blocker, z.B. Plugins wie Noscript. Plugins dieser Art können gezielt das Nachladen von Scripten von Servern steuern.

Es ergibt meines Erachtens keinen Sinn, Javascript bei den Seiten zu deaktivieren, denen man eh vertrauen muss, also z.B. den Bankseiten oder beim E-Mail Portal. Denn woher soll hier ein Schadscript kommen? Sollte der unwahrscheinliche Fall eintreten, dass der Bankrechner gehackt wurde, dann wäre mir auch mit einem Scriptblocker schon nicht mehr geholfen. Ist mein Browser oder Betriebssystem unterwandert, nützt mir auch ein Scriptblocker nichts mehr, dann ist es eh zu spät.

Wichtig bei der Betrachtung ist: Man muss sich vergewissern, dass man mit dem richtigen Server verbunden ist, also die Zertifikate prüfen. Dazu finden sich Unmengen an Anleitungen im Internet.

Browserbanking: Keine freigeschalteten Konten

by 2 Comments
zuletzt geändert 08.08.2019

Wenn die Anmeldung im Browserbanking als solche funktioniert, also VR-NetKey oder VR-Kennung bzw. Alias und PIN korrekt sind, dann fehlt eine Freischaltung oder Sie sind in der falschen Anmeldung Portal gelandet.

Für das spezielle „Erweiterte Onlinebanking“, vom Rechenzentrum eBanking Business Edition ist eine zusätzliche Freischaltung des Bankzuganges notwendig.

Am Beispiel der GLS Bank: Onlinebanking entspricht dem „normalen Onlinebanking“ mit Überweisungen etc. Für Firmen mit z.B. Gehaltsbuchungen über Service-Rechenzentren (DATEV) oder Datei-Upload benötigt das Konto eine spezielle Berechtigung, die im Banksystem gesetzt werden muss. Das kann aber jede Bank individuell einstellen.

 

Systemwechsel bei der GLS Bank und anderen Genossenschaftsbanken

by Leave a Comment
letzte Änderung 11.03.2020

Inzwischen ist bei der GLS Bank die Übergangsfrist abgelaufen, die VR-Kennung ist gelöscht worden. Erhält man die Fehlermeldung „Anmeldedaten ungültig“, dann hat die Software leider die Änderung nicht mitgenommen und den VR-Netkey eingetragen. Man muss manuell ran und die für das Onlinebanking gültigen Daten eintragen. Die PIN bleibt die gleiche, alle mir bekannen Banken haben vor dem Wechsel ihre Kund*innen angeschrieben und die neuen Zugangsdaten mitgeteilt. Findet man den Brief nicht und hat die Daten nicht notiert, dann muss man mit der Bank sprechen. Der VR-NetKey ist bestenfalls vertraulich (die PIN ist geheim, auch die Bank kennt diese nicht!)  und kann auch am Telefon erfragt werden.

Bei den genossenschaftlichen Banken werden die Banksysteme vereinheitlicht und die Umstellung erfordert unter Umständen eine kleine Änderung der Zugangsdaten zum Onlinebanking. Das Banksystem heißt dann nicht mehr „bank21“ sondern „agree21“.

Die HBCI-Einrichtung (FinTS mit Signaturverfahren wie HBCI-Chipkarte oder -Datei) wird wieder einfacher, weil die VR-Kennung wegfällt. Beim PIN & TAN-Verfahren wird die VR-Kennung durch den VR-NetKey ersetzt, der Alias kann in den meisten Fällen bleiben. (Wie erkenne ich, womit die Bank arbeitet?)

Ich werde die unterschiedlichen Aspekte hier der Reihe nach ergänzen und die Anleitungen verlinken.

Was Sie nach der Umstellung Ihres PIN und TAN-Zugangs sofort tun sollten:
  • Wenn Sie mit FinTS/HBCI über Software/App arbeiten: Aktualisieren Sie mit Ihrer Software oder App die Umsätze. Erhalten Sie einen Hinweis auf neue Zugangsdaten, dann bestätigen Sie die Datenübernahme. Der Rückmeldecode zeigt den VR-NetKey
  • Browser: Lesezeichen prüfen. Ich empfehle die Bankseite als Lesezeichen zu setzen, statt das Onlinebanking direkt. So hat man keinen Stress, sollte sich der Link einmal ändern und die Bank kann auch über Störungen besser informieren.
  • Der VR-NetKey ersetzt die VR-Kennung und wird nach der Umstellung angezeigt: Notieren Sie sich den VR-NetKey. Im Onlinebanking finden Sie diesen auch unter „System“, linke Spalte „Alias“.
  • Benachrichtigungen per E-Mail über Nachrichten im ehemaligen Postkorb (der heisst Postfach) müssen neu eingetragen werden.
  • Kontrollieren und stellen Sie ggf. Ihr TAN-Verfahren und das Medium dazu ein: Unter „System“, „TAN-Verwaltung“ können Sie das tun. Insbesondere bei Sm@rtTAN Photo: Der Zugang kann als bevorzugtes Verfahren aktiviert werden (unter my EBanking). siehe Anleitung
  • Aliase, die nicht erlaubt sind, z.b. weil sie doppelt vergeben oder weil Schimpfwörter (nana!) enthalten sind, müssen umgestellt werden. Der Alias ist im Banksystem weiterhin sichtbar – er ist genauso wenig geheim, wie Kontonummer, IBAN oder VR-NetKey. Die PIN/das Passwort aber ist geheim!

Erweitertes Browserbanking („Business“ Zugang):
Für Firmen und Vereine wird eine Anmeldung mit erweiterten Funktionen angeboten, die separat freigeschaltet werden muss, bei vielen Banken wird dies „Business Portal“ oder „Business Banking“ genannt.

  • gemeinschaftliche Unterschriftsberechtigungen (A, B,- Vollmachten)
  • Lastschrifteinzüge
  • Export MT940 Umsatzdaten und CAMT Tagesumsätze
  • Freigabe von Rechenzentrums-Buchungen wie Gehaltsläufe der DATEV
  • Upload von Buchungsdateien

Terminierte XML-Dateien werden abgelehnt, wenn der Termin überschritten ist. Notlösung/Trick: Mit einem geeigneten Editor die Terminsteuerung entfernen, indem das Datum auf den 01.01.1999 gesetzt wird. siehe auch  Tipp aus dem hbh-Forum

HBCI mit Chipkarte: Secoderfunktion wird generell in Zahlungsverkehrsprogrammen unterstützt, eine Freischaltung ist nicht mehr nötig. Dafür wird die HBCI-Signatur auf der Bankkarte nicht mehr unterstützt und die Secoderanmeldung im Onlinebanking per Browserplugin entfällt.

Firmen Postfach: Es ist nun möglich, Nachrichten und Kontoauszüge gemeinschaftlich einzusehen. Voraussetzungen sind Kundenverträge und eine Freischaltung des Verfahrens.

Sm@rtTAN optic und Sm@rtTAN Photo
    • Veränderungen im Onlinebanking beim Sm@rtTAN-Verfahren (TAN-Erzeugung per Chipkarte): alte Leser (HHD 1.3.2) funktionieren nicht mehr
    • im Browserbanking wird die Flackergröße und Geschwindigkeit nicht mehr durch einen Cookie am lokalen Rechner gespeichert, sondern im Bankzugang. Nachteil: Die lokalen Gegebenheiten lassen sich nicht mehr pro Browser ablegen, dafür gehen die Einstellungen bei Cookies-Löschen nicht verloren
    • bei Verwendung der Tastatur müssen die Zahlen der unkenntlichen Stellen eingegeben werden.
    • Auslandszahlungsverkehr kann nicht mehr mit Sm@rtTAN  genutzt werden
    • HBCI-Basic Karten werden nicht mehr unterstützt ->mehr zu Chipkarten
    • für Paranoiker: Die PIN-Abfrage der Karte zur TAN-Erzeugung kann aktiviert werden (ggf. muss die Bank das freischalten)

Die TAN App SecureSign wird durch SecureGo ersetzt

mobileTAN (SMS):

  • ausländische Handynummer sind nicht mehr möglich, dafür aber SecureGo
  • Freischaltung durch Brief

Neue Funktionen werden durch das „neuere“ Banksystem möglich

  • Instant-Payment
  • Kwitt

Elektronische Kontoauszüge (die Papier-ersetzenden PDF-Dokumente) können nicht mehr „on demand“, also auf Anforderung (oder irrtümlich) erstellt werden, sondern werden nach einem festen Zyklus automatisch zugestellt, also z.B. wöchentlich. Das Format ändert sich dadurch auch durchweg auf A4.

Lastschriften

Bisher wurden die Lastschriften „bis auf dem letzten Drücker“ auf einer Art Parkplatz vorgehalten, dies ändert sich nun. Liegt der Fälligkeitstermin innerhalb der nächsten 14 Tage, dann wird die Buchung an die anderen Banken verschickt.

Nachteil: Der Buchungslauf kann nicht mehr aufgehalten werden

Vorteil: Die Zahlungspflichtigen erfahren unter Umständen früher von der Belastung und können sich darauf einstellen.

Sammelbuchungen über FinTS/HBCI ist begrenzt auf 500 Stück, dafür können im erweiterten Onlinebanking (Business)  Dateien mit bis zu 100.000 Datensätze hochgeladen werden.

Batchbooking wird nicht mehr unterstützt -> externer Link www.gls.de/batchbooking

 

 

Nach Systemumstellung: HBCI mit Chipkarte Secoderfunktion generell aktiviert

by Leave a Comment

Die genossenschaftlichen Banken am Rechenzentrum Fiducia & GAD IT AG unterstützen seit langem das Secoderverfahren mit den modernen Kartenlesern am USB-Anschluss. Mit der Systemumstellung der Banken, die bei der ehemaligen GAD rechnen ließen, wird generell  HBCI mit Chipkarte (FinTS mit Chipkarten-PIN am USB-Leser) angeboten. „Früher“ konnte und musste dies am jeweiligen Zugang durch die Bank individuell aktiviert werden, dafür konnte die Funktion sogar über eine Browser-Erweiterung ohne Zahlungsverkehrssoftware genutzt werden.

Einige ZV-Programme, die diese Technik beherrschen, reagieren auf die neuen Informationen automatisch und aktivieren die Secoderfunktion nach einer einfachen Bestätigung. Und es passiert natürlich, dass man schnell nach einer Abfrage auf „Ja“ klickt. Das muss nicht schlecht sein, meiner Meinung nach ist dies durch die Auftragskontrolle im Display des abgesicherten Kartenlesers eins der weltweit sichersten Onlinebanking-Techniken überhaupt – aber es kann natürlich lästig werden, jeden Auftrag separat mit „OK“ zu bestätigen. Testen Sie es doch einfach ein paar Tage.

Links dazu:
www.wikibanking.net
Wikipedia über den Secoder-Standard

Wie die Funktion bei den einzelnen Programmen deaktiviert werden kann, werde ich hier demnächst ergänzen.

VR-NetWorld Software

So sieht/sah die Abfrage aus:

Umstellung: Die Einstellung kann über das Kontextmenü des Bankzuganges (de)aktiviert werden. Klicken Sie auf „Stammdaten“, „Bankzugänge“ mit der rechten Maustaste auf den Chipkarteneintrag. Entfernen oder setzen Sie dort den Haken bei  „Sichere Anzeige im Kartenleser“.

Browser und FinTS (HBCI plus) – Verschlüsselung TLS 1.0 wird am 22.07.19 abgeschaltet

by Leave a Comment

Am 22.07.2019 wird im genossenschaftlichen Rechenzentrum das unsichere und veraltete TLS 1.0 Protokoll abgeschaltet, damit können einige veraltete Systeme mit PIN & TAN nicht mehr genutzt werden.

Gleichzeitig sind bei Zahlungsverkehrsprogrammen die Update- und Benachrichtungsfunktionen nicht mehr nutzbar.

Betroffen sind u.a.:

  • alte Betriebssysteme (z.B. Windows XP, Android bis meist V4.4.4,…)
  • alte Browservarianten
  • Profi Cash 10.x
  • alte Versionen von Starmoney, SFIRM

Von Tricks, mit denen man z.B. ein XP-System noch auf ein POS-System (z.B. für Geldautomaten) umrüstet und damit noch in den Genuss von TLS 1.1 und 1.2 kommen kann, rate ich dringend ab. Erstens ist das nicht legal und zweitens fehlen andere Sicherheitsupdates, dazu kommt noch der Zeitaufwand. Auf einem für Bankgeschäfte genutzten Rechner hat sowas nichts zu suchen und ist grob fahrlässig. Wer seine alte Hardware retten möchte, könnte Linux nutzen. Sehr günstige gebrauchte Computer mit aktuellem System gibt es denn  auch z.B. hier afbshop.de. Für Banking und normale Büroaufgaben reichen diese allemal und man unterstützt ein tolles soziales Projekt.
Eine größere Umgewöhnung, aber noch besser für die Umwelt, wäre der Wechsel auf Linux, zumindest sofern der alte Rechner kein Stromfresser ist. Im Internet gibt es haufenweise Seiten und viele Tipps dazu:
https://www.chip.de/news/Wenn-Windows-zu-dick-ist-5-schlanke-Betriebssysteme-fuer-aeltere-Hardware_134954735.html
https://www.heise.de/select/ct/2018/21/1539312557450435

 

Instant Payment Auftrag wird angenommen und sofort storniert?

by Leave a Comment

Das kann daran liegen, dass das Banksystem erst einmal prüft, ob die Empfängerbank am Instant-Payment-System überhaupt grundsätzlich teilnimmt. Der Auftrag wird erstmal entgegengenommen, ohne dass die Empfängerdaten geprüft werden können.

Wenn die Empfängerbank die Überweisung am Empfängerkonto aber nicht verarbeiten kann, z.B. weil ein ungeeignetes Konto verwendet wird oder eine Sperre die Gutschrift verhindert, etc., wird der Auftrag in kurzer Zeit wieder storniert. Das Geld kann nach wenigen Sekunden wieder auf dem Konto sein.

Die Gründe wird der absendende Dienstleister aus Datenschutzgründen nicht erfahren.

VR-NetWorld Software: Kontoauszüge

by Leave a Comment

Seit dem letzten Update bietet die VR-NetWorld Software die Möglichkeit, elektronische Kontoauszüge im PDF-Format für alle Konten auf einen Rutsch abzuholen, sofern dies für die Konten aktiviert ist.

Gewünscht sind aber häufig Kontoumsätze, geklickt wird häufig Elektronische Kontoauszüge. Wählen Sie bitte „Kontoumsätze“, wenn Sie eine Fehlermeldung erhalten, das Konto/die Konten sei nicht für den elektronischen Kontoauszug freigeschaltet.

Oder: Da es Papier spart und gut für die Umwelt ist, können Sie sich natürlich auch für die elektronischen Auszüge freischalten lassen. Beachten Sie aber die Regeln für die Buchhaltung, Firmen benötigen meist ein elektronisches, revisionssicheres Archiv für die Ablage. Es wäre falsch, die Auszüge auszudrucken.

 

Die Funktion „Elektronischer Kontoauszug für alle Konten“ ist bei Banken mit dem Banksystem bank21 (bei GLS Bank bis zum 20.07.) dann häufig unerwünscht, wenn parallel der Postkorb genutzt wird. Die Auszüge landen dann nicht vollständig im Postkorb, die Software „stiehlt“ dem Postkorb ja die bis dahin vorhandene Umsätze. Problemerklärung siehe hier.

 

So schalten Sie die Abfrage ab oder ein:

Wählen Sie im Menüband „Einstellungen bearbeiten“ an und im Fenster unter „Aufträge“, „Aktualisierung“. (De)aktivieren Sie die „Übersicht der Kontoauszüge“.

Haben Sie die elektronischen Kontoauszüge bestellt und die Bank auf das neue System umgestellt (agree21) und wünschen Sie die Verarbeitung, dann ist dies hingegen eine durchaus für viele Menschen und Betriebe eine sinnvolle Funktion.

Onlinebanking Login mit Safari: technischer Fehler?

by 2 Comments
zuletzt geändert am:
20.11.2019
Nutzen Sie den Safari-Browser (Apple – mac) kommt es unter Umständen nach der Anmeldung im Onlinebanking zu der folgenen Fehlermeldung:
Technischer Fehler
Die von Ihnen aufgerufene Seite ist entweder nicht vorhanden oder vorübergehend nicht verfügbar. Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut.Sollte der Fehler wiederholt auftreten, wenden Sie sich bitte an Ihre Bank.
Klicken Sie bitte nach der Eingabe Ihrer Zugangsdaten nicht doppelt oder mehrfach auf den Loginbutton.
Liegt es nicht daran: Verwenden Sie bitte nicht Ihren Passwort-Manager.
Hilft das auch nichts:
Safari-Funktion: privates Surfen
Meldung Javascript müsse aktiviert werden?
Falls der Zwischenspeicher (Cache) zickt:
Haken enfernen, Cache löschen, Haken setzen
Altes Betriebssystem? Seit dem 22.07. ist die alte Verschlüsselung TLS 1.0 abgeschaltet. Wenn das Betriebssystem nicht diesen Mindest-Standart erfüllt, wird es mit Safari vermutlich auch nicht klappen.
Notlösung: Firefox nutzt eigene Netzwerkverbindungen und dürfte noch funktionieren. Da das OS aber sicherlich noch andere Sicherheitslücken hat, ist der Online-Betrieb riskant.

VR-NetWorld Software Menü: Kartenleser

by Leave a Comment

Das Menü zur Einrichtung der Leserhardware in der VR-NetWorld Software findet sich unter
„Stammdaten“, „Chipkartenleser“

Dies ist im Beispiel eine ältere Einrichtung.

Es kann bei Störungen helfen, einfach den Leser auf das andere Verfahren umzustellen.

Reiner SCT Cyberjack Geräte:
Die Firmware oder der Gerätetreiber könnten veraltet sein. Dann sollte man den Gerätemanager schauen lassen, ob Updates vorliegen.

Weitere Informationen vom Hersteller selbst:
https://www.reiner-sct.com/leserupdate.html

Meine Erfahrung nach kann es mit einigen Virenscannern bei der Aktualisierung Probleme geben.
Hier hat schon mal folgendes umständliche Vorgehensweise geholfen:

  • Gerät abstöpseln
  • Windows neustarten (nicht herunterfahren, sondern einen echten Neustart)
  • Gerätemanager deinstallieren
  • Neustarten
  • Virenscanner deaktivieren
  • Gerätetreiber installieren
  • Neustarten
  • Gerät anschließen, Hardwareerkennung abwarten
  • Neustarten
  • Onlinebanking-Software testen