Fehlermeldung: 9370 Herausgebersignatur für bezogenen Benutzer fehlt

by 8 Comments

Für den TAN-Zugang müssen im Banksystem und in der verwendeten Software die gleiche TAN-Bezeichnung eingegeben werden. Im Banksystem muss aber dazu auch eine Bezeichnung eingetragen sein, sonst kommt es zum Fehler:

9999 Fehler: LIST_NO_CHALLENGE_CREATED
9370 Herausgebersignatur für für bezogenen Benutzer fehlt

Hier ist also eine Eingabe ins Banksystem nötig.

Die TAN-Medienbezeichnung kann nach der Erfassug mit gültigen Zugangsdaten (VR-NetKey oder Alias und PIN) abgerufen werden. Ob diese Funktion allerdings von allen Programmen unterstützt wird, bezweifel ich gerade.

GLS eBank und windata Secoderfunktion deaktivieren und aktivieren

by Leave a Comment

Wer viele Buchungen mit der Signaturfunktion eines Chipkartenlesers macht, möchte wommöglich nicht jede Buchung und jede Empfänger-IBAN einzeln am Kartenleser kontrollieren und mit OK bestätigen. Ich halte das Verfahren zwar für das sicherste und auch noch komfortabler als die TAN-Techniken, aber in Firmen mit gut abgesicherter IT wird das schon sehr lästig. Die Sicherheit wird dann auch nicht besser, wenn man sich das OK-Durchklicken einfach angewöhnt.

Mit Umstellung des Systems der Genossenschaftsbanken wird die Secoderfunktion automatisch aktiv (siehe hier).

In windata und sicherlich auch in allen Programmen, die auf der ddbac Lösung von b+s basieren, das düften Quicken/Lexware und buhl-Produkte (Wiso) sein,  lässt sich das Verfahren über die homebanking-Kontakte (de)-aktivieren.

In GLS eBank / windata gehen Sie bitte so vor:

Starten Sie den Administrator für FinTS/HBCI über Stammdaten:

Markieren Sie den Chipkarteneintrag und wählen Sie „Bearbeiten“.

Klicken Sie auf „Sicherheitsverfahren auswählen“ …

 

 

… und stellen Sie dort auf das gewünscht Verfahren um. „Secoder“ kennzeichnet die aufwändigere, aber sicherere Kontrollmöglichkeit im Display des Chipkartenlesers.

Bestätigen Sie mit „Weiter“.

Der Zugang wird synchronisiert.

 

Schließen Sie mit „Fertig stellen“ ab.

 

Beenden Sie anschießend die Homebanking-Kontakte.

 

Starmoney – Bankzugang aktualisieren (synchronisieren)

by 3 Comments

Beim „Aktualisieren“ bzw. „Synchronisieren“ wird der Bankzugang mit dem Banksystem abgeglichen. Die Software lernt dadurch neue Berechtigungen und Freigaben kennen.

Löschen Sie am besten vorher alle Aufträge aus dem Ausgang, damit die Umstellung nicht blockiert wird. Ich würde zusätzlich eine Datensicherung empfehlen.

Klicken Sie in der Kontenliste auf ein Konto mit der rechten Maustaste (für Rechtshänder) (1). Wählen Sie im neuen Menü (Kontextmenü) „Details“ an.

 

 

Es sollte sich eine Karteikarte mit HBCI oder HBCI mit PIN/TAN anbieten.

Wählen Sie oben den Button „Aktualisieren“ an.

Danach sollte die Software die neuen Berechtigungen gelernt haben.

Wenn Sie Probleme erleben, können Sie auch über die Konto-Neueinrichtung gehen, dies funktionert seit Urzeiten in Starmoney auch mit widerspenstigen Kontozugängen.

VR_NetWorld Software synchronisieren

by 4 Comments
Suchwort: #VRNWsync

Beim „Synchronisieren“ wird der Bankzugang mit dem Banksystem abgeglichen. Die Software lernt dadurch neue Berechtigungen und Freigaben kennen.

Klicken Sie auf „Stammdaten“ (1), dann auf „Bankverbindungen“ (2).

Klicken Sie mit der rechten Maustaste (für Rechtshänder) auf den Bankkontakt, den Sie aktualisieren wollen.

Es öffnet sich das sogenannte „Kontextmenü“. Wählen Sie hier „Synchronisieren“ aus und lassen Sie sich durch den Assistenten führen.

Konten kontrollieren

Synchronisieren Sie Ihren Bankzugang, wie oben beschrieben. Achtung: Je nach Auslastung der Bankrechner können Änderungen und Freischaltungen durchaus einige Zeit dauern.

Welche Konten mit dem Zugang erreichbar sind, können Sie so kontrollieren: Klicken Sie den Bankzugang doppelt an oder wählen Sie „Bearbeiten“ im Kontextmenü aus.

Die Userparameter zeigen Ihnen, welche Konten und welche Rechte Sie haben.

 

Ggf. müssen Sie sich durch die Liste scrollen.

Hilft das nicht beim aktuellen Problem?

Wir probieren dann die Aktualisierung der Bankparameterdaten.

Sichern Sie zuerst die Daten

Wählen Sie dann  „Extras“, „Bankparameterdaten“ an.

Klicken Sie die „BPD löschen“ an. Markieren Sie Ihren Bankzugang.

Prüfen Sie genau, welchen Zugang Sie löschen und wählen Sie dann „BPD löschen“ an.

Bestätigen Sie dann mit „OK“ und führen Sie den Sync-Vorgang komplett neu durch (s.o.)

Immer noch keine Kontoberechtigungen?

Der Supervisor kann die Berechtigungen der User manuell anpassen und sollte dies prüfen. Menü über „Stammdaten“, „Benutzer“ erreichbar. Unter Umständen repariert auch ein Durchklicken einen Berechtigungsfehler in der Datenbank.

Geschäftsvorfälle: Bestimmte Aufträge können nicht gebucht werden, z.B. Kontoauszüge sind ausgegraut, Lastschriften können nicht verarbeitet werden.

Eventuell ist der sogenannte Geschäftsvorfall am Konto nicht richtig eingestellt: Mit der rechten Maustaste auf das betreffene Konto klicken und dann „Bearbeiten“ auswählen. In den Geschäftsvorfällen dann nachschauen, ob die Berechtigung nicht einfach deaktiviert wurde.

Diese Berechtigungen kann man auch nachprüfen, nach der Sync. (s.o.) sollte das korrekt eingestellt sein.

 

PSD2 – Zugriffe von Dritten steuern

by Leave a Comment

Mit der PSD2 (Payment Services Directive 2) müssen Banken anderen Dienstleistern Zugriff auf die Kunden- und Kontendaten geben, sofern ihre Kunden*innen dies erlauben. Im Gegenzug werden diese Dienstleister ebenfalls reguliert, sie dürfen nicht einfach mehr die geheimen Zugangsdaten und die vorhandenen Schnittstellen (FinTS oder Webbanking) nutzen, bzw. aus der Sicht der Banken: missbrauchen. Wer sich für die Problemfeld interessiert, kann ja mal „Sofortüberweisung“ und „Kritik“ in den Lieblingssuchdienst eingeben.

Möglich ist dies natürlich nur mit einer entsprechenden Steuerung die sich bei Genossenschaftsbanken im Onlinebanking findet. Hier am Beispiel GLS Bank:

Klicken Sie auf „Service“ …

.. und dann auf Zugriffsverwaltung.

Es öffnet sich ein neues Menü mit mehreren Auswahlmöglichkeiten, hier im Design der GLS Bank.

 

Bei den Verfügbarkeits- und Kontoinformationsabfragen handelt es sich um Dienstleister, die mit den Kontodaten und Kontoständen z.B. Online-Shops versorgen oder einfach auch Dienstleistungen rund ums Geld anbieten. Am häufigsten dürften meiner Einschätzung nach hier Firmen anzutreffen sein, die z.B. regelmäßige Buchungen verwalten und optimieren, z.B. Versicherungen, Strom- und Gasverträge, Abo-Verwaltungen und ähnliches.

Dazu kann die Bonität beim Online-Einkauf einfacher geprüft werden, z.B. ob für den Shopbetreiber das Lastschriftverfahren ein großes Risiko darstellt (Verfügbarkeit) und auch ob die Versandadresse stimmt (Kontoinformation).

Bei Zahlungsauslösungen kann man im Nachinein die erteilten Freigaben kontrolieren, wo hat man über welchen Zahlungsdienstleister gezahlt. Hier sind dann Firmen wie klarna („Sofortüberweisung“) zu finden.

Leider kann ich kein Beispiel zeigen – als Berufsparanoiker versuche ich, genau solche Dienstleister zu vermeiden. Ich nutze Paydirekt und Giropay als Bankangebot selbst.

Übrigens: Paypal wird man hier nicht oder zumindest – noch nicht – finden, Paypal nutzt keine von der PSD2 regulierte Verbindung zum Bankkonto, sondern verwendet Lastschrift und Kreditkarte.

TAN-Abfragen

Bei der Abfrage von Daten und auch beim Auslösen einer Zahlung muss die Authorisierung mittels einer TAN erfolgen. Die Banken dürfen aber unter bestimmten Voraussetzungen darauf verzichten, also z.B. bei der Kontoabfrage den Zeitraum auf 90 Tage ausdehnen, bis wieder eine TAN nötig wird. Für Zahlungn in geringer Höhe gilt das genauso, die genauen Zahlen suche ich noch raus.

PSD2 – TAN Abfrage auch bei Umsatzabruf

by Leave a Comment

Wir sind ja „bereits“ in der Einführungsphase zur PSD2-Aktivierung und der Live-Test am offenen Konto hat schon begonnen. Das ermöglicht insbesondere den Dritt-Dienstleistern den Test mit Echtdaten. Bis zum 14.09. wird ja die Nutzung der FinTS/HBCI-Schnittstelle noch geduldet und nicht bestraft.

Das bedeutet aktuell:
Je nach Art des Abrufs von Kontoumsätzen wird nun eine TAN-Abfrage erzeugt. Eigentlich akut ab 11. September kann die Abfrage aber auch schon jetzt bei der Nutzung von App, ZV-Software und DIenstleister mit dem PIN&TAN-Zugang kommen.

Bei HBCI mit Signaturdatei oder -Chipkarte kommt das natürlich nicht. Die Software muss allerdings aktuell sein, siehe hier.

 

Die PSD2-Richtlinie erfordert Registrierung und Aktualität der Zahlungsverkehrsprogramme

by Leave a Comment

Dass sich u.a. auch für Zahlungsverkehrssoftware mit FinTS/HBCI-Schnittstelle eine Verpflichtung zur Registrierung ergibt, scheint konsequent aus der Forderung nach Transparenz für den/die Bankkunden*innen hervorzugehen. Nur so kann seitens der Banken sichergestellt werden, dass die User den Einsatz ihrer Zugangsdaten nachprüfen können.

Seit kurzem erhalten daher veraltete ZV-Programme und Apps den folgenden Hinweis:

„3078 Software nicht als FinTS-Produkt registriert. Bitte an Hersteller wenden“

3xxx sind Hinweise, keine Fehler, die einen Abbruch anzeigen. Die Verarbeitung geht durchaus weiter. Programme, die nicht mit Hinweisen sauber umgehen können, kommen womöglich ins Stolpern. Hier sehe ich auch an anderer Stelle dringendsten Handlungsbedarf, denn wenn das schon nicht funktioniert, wird es mit dem zweiten Faktor zum Abholen von Umsatzdaten womöglich auch nicht umgesetzt sein.

Die Deutsche Kreditwirtschaft (www.die-dk.de) hat eine Registrierungsmöglichkeit geschaffen, damit Entwickler sich die für ihre Programme nötigen Produktkeys besorgen können.

Infoseite und Formulare dazu: https://www.hbci-zka.de/register/prod_register.htm

So wie es aussieht, werden  unregistrierte Programme – also auch ältere Programmversionen – irgendwann nicht mehr genutzt werden können.

Man darf gespannt sein, ob dies in aller Konsequenz durchgesetzt wird. Der auf der Webseite 01.08. ist als Termin schon mal verstrichen.

Sm@rtTAN Verfahren freischalten nach Systemumstellung

by Leave a Comment

So schalten Sie das gewünschte Sm@rtTAN Verfahren (auch Chip-TAN genannt) ein und aktivieren den richtigen Lesertyp.

Diese Anleitung gilt für genossenschaftliche Banken mit Folgesystem (agree21). >>> wie kann man herausfinden, welches System die Bank nutzt?

Hier am Beispiel der GLS Bank:

Starten Sie im „normalen“ Onlinebanking.

Wählen Sie Service, TAN-Verwaltung aus.

 

Stellen Sie einmal die Karte ein, wenn Sie mehrere Bankkarten oder Onlinebanking-Karten besitzen.

Den Lesertyp stellen Sie über die Funktion am Leser ein, siehe Beschreibung.

Wenn Sie einen Photo-Leser einer Genossenschaftsbank besitzen, können Sie auch die Nummer 1A440882214B eintragen, das sollte passen.

 

Lesen Sie die Sonderbedingungen (1) und setzen Sie den Bestätigungshaken (2) und klicken Sie den Button „Eingaben prüfen“ an (3).

Das Verfahren muss mit einer TAN bestätigt werden.

„Zahlungspflichtig“ ist für Banken gedacht, die für diesen Zugang Geld berechnen. Ich kenne keine.

Am Ende sollten Sie eine Bestätigungsseite sehen.

Meine Empfehlung: Das bevorzugte Verfahren einstellen: Wählen Sie Service, My eBanking an…

…und dort können Sie das gewünschte Sm@rtTAN Verfahren voreinstellen.

Bei der manuellen Erfassung muss die Tastatur verwendet werden.

Wenn Sie mit einer Software arbeiten, sollten Sie dort Ihren Bankkontakt aktualisieren/synchronisieren.

Javascript blocken beim Banking? Warum?

by Leave a Comment

Javascript hat – zu Recht! – den Ruf, gefährlich zu sein und der Missbrauch der Sprache gehört zu den häufigsten Techniken, um Schadsoftware einzuschleusen.

Die Programmiersprache ist aber inzwischen so immens wichtig für die Gestaltung moderner Webseiten geworden, dass nichtmal Mozilla in der Standardversion die Deaktivierung in der „normalen“ Userkonfiguration ermöglicht. Das Onlinebanking der Genossenschaftsbanken kann inzwischen nicht mehr ohne Javascript genutzt werden.

Möglich und meines Erachtens auch sinnvoll ist das gezielte Nachladen von Javascript von unsicheren oder ungewollten Servern durch Javascript-Blocker, z.B. Plugins wie Noscript. Plugins dieser Art können gezielt das Nachladen von Scripten von Servern steuern.

Es ergibt meines Erachtens keinen Sinn, Javascript bei den Seiten zu deaktivieren, denen man eh vertrauen muss, also z.B. den Bankseiten oder beim E-Mail Portal. Denn woher soll hier ein Schadscript kommen? Sollte der unwahrscheinliche Fall eintreten, dass der Bankrechner gehackt wurde, dann wäre mir auch mit einem Scriptblocker schon nicht mehr geholfen. Ist mein Browser oder Betriebssystem unterwandert, nützt mir auch ein Scriptblocker nichts mehr, dann ist es eh zu spät.

Wichtig bei der Betrachtung ist: Man muss sich vergewissern, dass man mit dem richtigen Server verbunden ist, also die Zertifikate prüfen. Dazu finden sich Unmengen an Anleitungen im Internet.

Browserbanking: Keine freigeschalteten Konten

by 2 Comments
zuletzt geändert 08.08.2019

Wenn die Anmeldung im Browserbanking als solche funktioniert, also VR-NetKey oder VR-Kennung bzw. Alias und PIN korrekt sind, dann fehlt eine Freischaltung oder Sie sind in der falschen Anmeldung Portal gelandet.

Für das spezielle „Erweiterte Onlinebanking“, vom Rechenzentrum eBanking Business Edition ist eine zusätzliche Freischaltung des Bankzuganges notwendig.

Am Beispiel der GLS Bank: Onlinebanking entspricht dem „normalen Onlinebanking“ mit Überweisungen etc. Für Firmen mit z.B. Gehaltsbuchungen über Service-Rechenzentren (DATEV) oder Datei-Upload benötigt das Konto eine spezielle Berechtigung, die im Banksystem gesetzt werden muss. Das kann aber jede Bank individuell einstellen.