Deutsche Bank erneuert PIN&TAN-Zertifikat für FinTS PIN&TAN, Updates VR-NetWorld Software und Profi cash sind nötig

by 3 Comments
letzte Änderung: 17.11.2016

Die Deutsche Bank hat nach sehr kurzer Vorwarnzeit das Verschlüsselungs-Zertifikat zu ihrem FinTS-PIN&TAN-Server geändert, HBCI mit Signaturdatei oder mit Signatur-Chipkarte sind nicht betroffen.

Programme, die die Zertifikate selbst verwalten, benötigen eine Update, bzw. die neue Zertifikatsdatei, dazu gehören auch Starmoney und SFirm.

Das sind bei den genossenschaftlichen Programmen:

  • VR-NetWorld Software
  • Profi cash

Für die aktuelle VR-NetWorld Software steht seit dem 15.11. das Update 6.20 Build 21 zur Verfügung. Die Version 5 ist abgekündigt und erhält keine Updates mehr.

Bei älteren Programmen muss die Zertifikatsdatei manuell ausgetauscht werden, die nötige Datei kann über die lizenzgebende Bank und muss manuell eingespielt werden.

Programme, z.B. Hibiscus, GLS eBank (windata), Lexware, Wiso, etc., die das Betriebssystem für die Verschlüsselung und Zertifikatsverwaltung nutzen, benötigen ein Betriebssystem auf dem aktuellen Stand und mit korrekter Uhrzeit und Datum.

Hibiscus HBCI Protokoll exportieren

by Leave a Comment
#Hiblog

Das vollständige Protokoll kann für die Fehlerdiagnose der Bankzugangsdaten und Buchungen sehr hilfreich sein und ist sogar essentiell, um Rückmeldungen vom Server richtig interpretieren zu können.
Lesen Sie hier:
FinTS/HBCI-Fehlermeldungen interpretieren

Hibiscus speichert das Protokoll verschlüssselt in seiner Datenbank. Um es lesen zu können, müssen Sie das Protokoll erst als Datei exportieren: Klicken Sie in Jameica auf das Pluginmenü „Hibiscus“, dort unter „Erweitert“.

hibiscus_hbci_protokoll

Das Log kann nun gespeichert werden. Weil es kritische Daten enthält ist es sehr wichtig, die exportierte Datei sicher, z.B. in einem geschützten Ordner abzulegen und nach der Diagnose zu löschen.

Der rot gedruckte Sicherheitshinweis ist also ernst zu nehmen.

hibiscus_hbci_protokoll_export

Rufzeichen_60Stellen Sie das Protokoll jemanden zur Diagnose zur Verfügung, entschärfen Sie die enthaltenen Daten! Auch Ihre Bank benötigt nicht die PIN, kein(e) MitarbeiterIn könnte diese prüfen. Löschen Sie auch alles, was zeitlich nicht mit dem Problem zusammenhängt. Durchsuchen Sie das Protokoll nach vertraulichen Daten, das wäre bei der GLS Bank z.B. die VR-Kennung, aber auch Alias, Kundennummer, Kontonummer. Beim Upload in die Öffentlichkeit, also z.B. dem Onlinebanking-Forum gehören zu den vertraulichen Daten auch die Kontonamen/Bezeichnungen und die Daten aus dem Zahlungsverkehr, z.B. die Empfängerdaten einer Buchung.

Kompetente Hilfe zu Problemen rund um Jameica/Hibiscus finden Sie hier im onlinebanking-forum.de

Je nach Editor können beim Öffnen des Logs Probleme auftreten. Bei mir wurde unter xubuntu bei Mousepad ein Fehler „Ungültige Bytfolge in Konvertierungseingabe.“ ausgegeben, mit einem anderen Editor oder libreoffice war es aber kein Problem, die Datei direkt zu lesen.

hibiscus_hbci_protokoll_fehler_mousepad

Sparkassen DKB auf FinTS Umstellen – alte Versionen VR-NetWorld Software und Profi cash

by 7 Comments
zuletzt ergänzt: 05.11.2016

Die veralteten Versionen der VR-NetWorld Software 5.x und Profi cash 10.x erhalten keine Updates mehr, kennen deshalb auch die neue URL der Sparkassen und DKB nicht und können sich nicht automatisch umstellen. Die Sparkassen warnen seit Monaten vor der Abschaltung des alten Zuganges, haben es aber leider versäumt, die Änderungsfunktionen des HBCI-Standards am Server zu programmieren.

Eine Fehlermeldung seit dem 03. November sieht womöglich so aus (Quelle)

HNHBK:1:3+000000000144+220+unbekannt+1+unbekannt:1′
HIRMG:2:2+9050::PinTanJ2EE HBCI-System nicht erreichbar+9800::Dialog abgebrochen‘
HNHBS:3:1+1′
HIRMG;9800;“Dialog abgebrochen“
Für andere Programme empfehle ich den Thread hier im Onlinebanking-Forum und das jeweilige Unterforum.
Was muss geändert werden?
Die FinTS/HBCI-Version muss auf 3.0 eingestellt werden und die URL muss angepasst werden. Die alten Berechtigungen (aus BPD und UPD) müssen gelöscht werden oder aktualisiert werden.

Ich empfehle den Wechsel auf eine aktuelle Programm-Version, die alten Versionen erhalten keinen Support mehr seitens der Hersteller. In den neuen Versionen sollte ein manueller Wechsel nicht nötig sein, ggf. muss der  Datenbestand nur mehrfach aktualisiert und das Programm neu gestartet werden. Da allerdings bei einigen Banken ein Lizenzwechsel nötig ist, ist dies nicht für alle eine Option. Kundinnen und Kunden der GLS Bank erhalten die neuen Lizenzen hier.

In jedem Fall: Erstellen Sie vor dem Umstellen ein frisches Backup und zwar in jeder Firma/Mandanten, falls Sie mehrere aktiv nutzen.

Wie wird dies in der VR-World Software 5.22 eingestellt?
  1. Die alte BPD muss gelöscht werden, dies finden Sie unter „Extras“ (siehe unten). Wählen Sie das betroffene Kreditinstitut aus und bestätigen Sie die Sicherheitsabfrage.
  2. Im nächsten Schritt muss die URL des Bankzuganges geändert werden. Wählen Sie Stammdaten/Bankverbindung und klicken Sie den Eintrag mit der rechten Maustaste an. Wählen Sie im Kontextmenü „Bearbeiten“ aus und stellen Sie die Adresse um. Die Datenbank in der Bankenliste auf hbci-zka.de sollte die richtige URL enthalten.
  3. Abschließend muss der Zugang synchronisiert werden, als HBCI-Version ist dann FinTS 3.0 anzuwählen.

vrnws_bankparameterdaten_anzeigen

vrnws_bankparameterdaten_loeschen

Read More →

HBCI mit Signaturdatei: Schlüsseldatei tauschen oder sperren

by 2 Comments
letzte Änderung 19.10.2016

Haben Sie den Verdacht, Ihre HBCI-Sicherheitsdatei könnte unberechtigt kopiert worden sein, dann müssen Sie die Sicherheitsdatei austauschen. Dazu ist bei Banken an der exGAD keine neue Benutzerkennung und kein neuer Brief notwendig, Sie erzeugen die neue Verschlüsselung und unterschreiben diese mit ihrer alten Datei.
Bei Programmen, die dies nicht beherrschen, bleibt nur die Neueinrichtung. Ein Passwortwechsel reicht nicht aus, die Kopie behält ja das alte Passwort!

Informationen zum Fehlerhinweis: Signatur-ID ist ungültig oder was already used

So erzeugen Sie eine neue Sicherheitsdatei und reichen diese online ein

Lesen Sie hier weiter für:
Profi cash: Schlüssel austauschen und neues Passwort vergeben

Wenn Ihr Programm nicht mehr läuft, rufen Sie die Bank an. Erreichen Sie diese nicht, nutzen Sie die Sperrhotline, z.B. die Rufnummer 116 116.

VR-NetWorld Software: Schlüsselwechsel und Passwort tauschen
  1. Wählen Sie Stammdaten/Bankverbindungen an und klicken Sie doppelt auf den zu ändernden Bankkontakt.
  2. Wählen Sie links im Baum Sicherheitsmedium
  3. Wählen Sie Schlüsselwechsel aus und folgen Sie dem Assistenten
  4. Ändern Sie noch das Passwort
Schlüssel sperren mit ddbac-Programmen (windata, Quicken, Lexware…)

ddbac_Schluessel_sperreneBank/windata und die meisten ddbac Programme, wie Quicken/Lexware etc. bieten den Schlüsseltausch nicht an. Sie können aber die Signaturdatei sperren. Klicken Sie in der ddbac (bei eBank / Windata erreichbar über Stammdaten, Administrator für HBCI) doppelt auf den Bankkontakt und wählen Sie „Zugang sperren“ aus.

Das Programm fragt in einem weiteren Sicherheitsdialog, ob Ihnen der Schlüssel noch zur Verfügung steht und klärt Sie über die Folgen auf.

ddbac_Schluessel_sperren_01

Das es wirklich ernst ist, zeigt der erneute Hinweis.

Danach geht wirklich nichts mehr mit einer alten Kopie!

ddbac_Schluessel_sperren_02

Es öffnet sich der gewohnte Dateidialog, selbst jetzt könnte man noch abbrechen. Folgen Sie dem Dialog bis zum Ende.

ddbac_Schluessel_sperren_03

Browsererweiterung Skype stört Umbuchungen und andere Funktionen im Onlinebanking

by Leave a Comment

Die Skype-Browsererweiterung  untersucht permanent die geladenen Seiteninhalte und versucht offensichtlich, Zahlenreihen mit bekannten Skype-Adressen, Telefonnummer oder ähnliches abzugleichen, um direkte Kontaktaufnahme per Mausklick zu ermöglichen. Dazu wird dann innerhalb des Seiteninhaltes ein Skypesymbol mit einem Link eingeblendet.

Dadurch wurde im konkreten Fall die Umbuchungsfunktion gestört, weil die zur Auswahl stehenden Kontonummern nicht mehr korrekt angezeigt wurden. Ich habe auch bereits eine Veränderung von Auftragsdaten erlebt, bei der die Empfänger-IBAN als Telefonnummer umgestellt wurde. Die Skype Erweiterung verhält sich damit wie eine Browserinhalte manipulierende Software (siehe auch: falsches Sicherheitsverständnis). Auch wenn Skype seriöse Absichten hat, halte ich dieses Verhalten für sehr kritisch, ich hätte generell ein schlechtes Gefühl, wenn eine Erweiterung Inhalte ändert.

Wenn Sie den Firefox mit gedrückter Großschreibetaste (Shift) starten, dann wird der Browser ohne Erweiterungen gestartet. Dies würde ich als Test empfehlen.

Skype-Addon deaktivieren:

Im Firefox erreicht man die Addon-Konfiguration über das Einstellungsmenü des Browsers. Am schnellsten geht dies mit der Tastenkombination STRG-Shift-A. Alternativ ist das Menü über die das Einstellungsmenü und dort über Erweiterung zu finden.

firefox_addons

Das Symbol sieht so aus:

skype_addon

Deaktivieren Sie das Programm oder wählen Sie die Einstellungen so, dass es das Onlinebanking nicht mehr behelligt.  skype_addon_deaktivieren

Der Browser muss dazu neu gestartet werden.

Anmeldung im Browser: Sprechen Sie mit Ihrer BeraterIn

by Leave a Comment

Wenn Sie in der Anmeldemaske, egal ob bei der PIN-Vergabe oder bei der „normalen“ Anmeldung diesen Hinweis erhalten, kann die Ursache schwieriger zu finden sein.

Lassen Sie durch Ihr Kreditinstitut prüfen, ob eventuell eine Onlinebanking-Sperre die Anmeldung verhindert.

gluehbirneTipp: Da diese Sperre sehr sehr selten ist, weisen Sie Ihre Ansprechpartner besser ausdrücklich darauf hin. Die Sperre ist bei xGAD-Banken im banksystem unter dem Onlinebanking am sogenannten Kundenstamm zu finden. In der Spalte steht ein J und beim Bearbeiten kann erkannt werden, auf welchem Weg die Sperre eingerichtet wurde.

Eine Sperre kann durch den Anruf an der Sperrhotline (112112 (auch Kartensperre), oder andere telefonische Hotline), sowie durch eine Sperre im Onlinebanking selbst gesetzt worden sein. Auch Zahlungsverkehrsprogramme und Apps können per FinTS/HBCI diese Sperre setzen. Die Sperre wird auch eventuell von der Polizei empfohlen nach einem Phishing- oder Betrugsversuch.

Ist die Sperre entfernt worden, melden Sie sich bitte erst wieder im Browser ab und dann wieder neu an.

APP: Wo legt GLS mBank / Banking4 die juristischen PDF-Kontoauszüge ab?

by Leave a Comment

Die PDF-Kontoauszüge werden von GLS mBank bzw. Subsembly Banking4A oder Banking4i automatisch abgelegt.

Wo finden Sie die PDF-Dateien?

Öffnen Sie das jeweilige Konto in der Kontoübersicht.

Sie sehen die Ablage, wenn Sie am unteren unten auf die beiden Ordner tippen.

 

app_pdf-auszuege_ordner

Die Aktualisierung geschieht wahlweise je nach voreingestelltem Abrufzeitraum automatisch oder auf Abruf.

Auch interessant:

App „stiehlt“ Kontoauszüge: Wenn die monatlichen Postkorb-Auszüge nicht komplett sind

 

Apps: Kontostand aktualisiert sich nicht oder weicht ab?

by Leave a Comment
GLS mBank Aktualisierung
#mBank

gls_mbank_aktualisierung_02

GLS mBank Aktualisierung

Die meisten aktuellen Apps, insbesondere GLS mBank und Banking4 nutzen üblicherweise die FinTS/HBCI-Schnittstelle zur Datenübertragung. Kontoumsätze und Daten werden dabei aus dem auf dem Gerät vorhandenen Datenbestand angezeigt, vergleichbar einem Aktenschrank, in dem die Kontoauszugsordner stehen.

Damit der aktuelle Kontostand angezeigt werden kann, muss also eine Aktualisierung des Datenbestandes stattfinden:
In GLS mBank: Wischen Sie dazu in der Kontoübersicht einfach vom oberen Geräterand nach unten.

Tipp automatischer Rundruf:
Aktivieren Sie die automatische Aktualisierung direkt nach der Anmeldung.

Weicht die Anzeige  im Onlinebanking auch nach der Aktualisierung immer noch vom Datenbestand ab, kann es noch weitere Ursachen geben.

  • selten aber kritisch: Eine Schadsoftware manipuliert ihre Onlinebanking-Umsätze: Gleichen Sie die Umsatzdaten telefonisch mit der Bank ab, ziehen Sie ggf. Kontoauszüge am Auszugs-Drucker mit Ihrer Karte
  • Sehr selten: Ein Fehler in der Software, in den Umsatzdaten oder Datenbank bringt das Programm oder die Datenlieferung durch das Rechenzentrum durcheinander.
  • Filterung bei der Auswertung: Womöglich wird nur ein bestimmter Zeitraum, z.B. der vorletzte Monat angezeigt?

APP: GLS mBank automatische Aktualisierung beim Start aktivieren

by Leave a Comment
(getestet mit der Android Version von GLS mBank)

Sie können bei den meisten Apps die Aktualisierung der Umsatzdaten direkt nach der Anmeldung durchführen lassen. Dies finden Sie bei Banking4 / GLS mBank in den Programm-Einstellungen.

gls_mbank_hauptmenue

Die Aktivierung verbirgt sich hinter dem „Hamburger-Symbol“, scrollen Sie nach unten zu den „Einstellungen“.

Hier heißt die Funktion „Rundruf beim Start“.

gls_mbank_banking4a_aktualisierung-umsaetze_klein

Aktivieren Sie diese Funktion und speichern Sie die Änderung.

Juhu, meine Mailadresse hat beim Lotto gewonnen

by Leave a Comment

Da es bald selbstfahrende Autos und Selfiedrohnen gibt, scheint es logisch, dass meine Mailadressen auch an Gewinnspielen teilnehmen 😉

Immerhin ist klar, woher die Daten stammen

Sehr geehrter Herr Sichmann,

Wir freuen uns Ihnen heute mitteilen zu dürfen, dass Ihre E-Mail-Adresse: info@onlinebanking-forum.de  Euro 4.330,000 gewonnen hat. Das ergaben die Ergebnisse vom 07. September 2016 des annual EUROMILLIONES INTERNATIONAL LOTTERIE Fordern Programm Gewinn Förderprogramm von 10. September 2016, kostenlose Teilnahme  gefördert durch Förderprogramm Konsortium und Software-Unternehmen, was bedeutet, Lottoscheine wurden nicht verkauft sondern gesponsert.
Für weitere Informationen Ihres Gewinnanspruchs kontaktieren Sie direkt unsere Lotto Zentrale und nennen uns einfach Ihre Ihrer Gewinnerdaten und Ihre gewinnende E-Mail Adresse.

Ihre Gewinnerdaten Einzelheiten.
Ref Nº: DBS/VE/0999/171
Batch Nº: ESP/2016-19EU
E-Mail Adresse: info@onlinebanking-forum.de

INTERNATIONAL LOTTERY COMMISSION
C\ San Vicente Paul 11 EOD
28007 Madrid España
Tel: +34 632 375 562
Email:  laroyalseguros@gmx.es

Bitte denken sie daran jeder gewinnanspruch muss bis zum 30.09.2016 Angemeldete sein. Jeder nicht angemeldet Gewinnanspruch verfallt und geht zuruck an das MINISTERIO DE ECONOMIA Y HACIENDA. Bitte denken sie auch daran das 5% ihres gewinnes an die sicherheitsfirma LA ROYAL SEGUROS S.A geht. Der 5% sind erst nach erhalt des gewinnes fallig da der gewinn in ihren namen versichert ist.

Mit freundlichen Gruessen
Juan Gomez Vaquero

©2016 Euromillion Incorporation HEAD, ONLINE LOTTERY DEPARTMENT Der Euro Millions LOTTERY PROMOTION