Suchwort: #TVMAC

Banken setzten vielfach Fernwartungslösungen zum Support ihrer Kund*innen ein, z.B. Tools wie Teamviewer.

Die meisten setzen dabei auf die Quick-Support-Lösung, also ein Programm, dass nicht automatisch installiert und beim Starten automatisch aktiviert wird, sondern nur “on demand” arbeitet, also wenn man es bewusst startet. Das ist sehr wichtig, denn mit Fernwartungs-Programmen wurden und werden sehr viel erfolgreiche Betrugsversuche gestartet.

Besonderheit bei Mac:
Unter aktuellen MacOS ist es aber nun nicht mehr möglich, “einfach so” ältere Versionen der Fernwartung nach dem Download direkt zu starten.
Die Fehlermeldung lautet dann beispielsweise: Team Viewer QuickSupport kann nicht geöffnet werden, da Apple darin nicht nach Schadsoftware suchen kann.

Diesen sehr sinnvollen Schutz kann man für eine Datei gezielt aufheben. Selbstverständlich sollte man dies nur tun, wenn man 100%ig sicher ist, dass man wirklich mit dem Banksupport spricht.

Nur wenn Sie sich wg. der Quelle sicher sind:
Suchen Sie dazu in den “Systemeinstellungen” das Menü “Sicherheit”. Klicken Sie auf den Button “Dennoch öffnen”.

 

 

Starten Sie danach die Datei erneut.

Sie können die Rechte der Fernwartungssoftware einschränken. “Bildschirmaufnahme” ist natürlich absolut notwendig, bei allem anderen können Sie die Einschränkungen ruhig bestehen lassen.

 

Wenn die Fernwartungssitzung beendet ist und Sie den Support nicht mehr benötigen, sollten Sie die Fernwartungssoftware wieder löschen.

 

Offensichtlich exportierten die DATEV-Lösungen manchmal SEPA-Container-Dateien, die nicht einfach weiterverarbeitet werden können, weil dieses spezielle Format in erster Linie für die Buchung über eine Rechenzentrumsschnittstelle mit Begleitzettelfreigabe gedacht ist. Ich bin nicht sicher, ob wann dies für die Exporte aus DUO gilt, aber unter Umständen ist das die einfachste Methode zur Weiterverarbeitung im Onlinebanking einer Bank oder in einer Zahlungsverkehrssoftware.

Beim Hochladen im Onlinebanking erhält man dann die irreführende Fehlermeldung, dass es sich nicht um eine XML-Datei handeln würde.
Die Datei entspricht nicht dem SEPA-Format (SE081)
Es ist ein Fehler aufgetreten

Sobald diese Seite aktualisiert wird, stehen die Fehlerinformationen nicht mehr zur Verfügung
Nummer Hinweis
FEH_0390 Datei entspricht nicht dem XML-Schema: Dieser Dokumenttyp wird nicht unterstützt. XML Dokument kann nicht validiert werden. customer id: 4967

Man kann aber die Container-Informationen problemlos aus den Dateien entfernen, so dass eine Buchung möglich ist.

Wichtig dabei:
Die Dateien müssen mit einem “ordentlichen” Editor (z.B. dem Windows Editor oder Notepad++) bearbeitet werden, Office-Lösungen wie Word oder Excel sind ungeeignet.

Wenn Sie diese “überflüssigen” Tags löschen (vorher Backup anlegen), sollte die Datei weiterverarbeitet werden können.

hier ein Beispiel:

<?xml version="1.0" encoding="UTF-8"?>
<conxml xmlns="urn:conxml:xsd:container.nnn.003.02" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:conxml:xsd:container.nnn.003.02 container.nnn.003.02.xsd">
<ContainerId>
  <SenderId>SENDERID</SenderId>
  <IdType>EBIC</IdType>
  <TimeStamp>105154000</TimeStamp>
</ContainerId>
<CreDtTm>2021-07-16T10:51:54.000+02:00</CreDtTm>
<MsgPain008><HashValue>(...) </HashValue>
<HashAlgorithm>SHA256</HashAlgorithm>

und am Ende:

</MsgPain008></conxml>

Es müssen also die Document-Tags stehen, also <Document xmlns="urn:iso:std... am Anfang und </Document> am Ende. Wenn man nach "SHA" sucht, findet man dahinter das gesuchte Tag.
Um nicht überlange und unübersichtliche Zeilen bearbeiten zu müssen, aktiviere ich im Editor den Zeilenumbruch im Menü Format.
 

Der Schlüsselwechsel am EBICS-Server der Fiducia & GAD IT AG ist in Profi cash denkbar einfach.

Beim ersten Kontakt mit dem Bankserver meldet sich Profi cash mit dem Hinweistext wie angekündigt, hier hatte ich das Protokoll des EBICS-Servers angefordert:

Rückmeldung zu Auftragsart ‘Protokoll holen’ (BPD-Kürzel ‘GLS’):

>> [EBICS_BANK_PUBKEY_UPDATE_REQUIRED] Bankschlüssel ungültig

Die öffentlichen Bankschlüssel, über die der Teilnehmer verfügt, sind ungültig.
Bitte starten Sie die Übertragung erneut. Die öffentlichen Bankschlüssel werden dann aktualisiert.

Job 136 ‘Protokoll holen’ zu Konto ’00_GLS_Giro’ am 11.07.2021 nicht erfolgreich ausgeführt !!!

 

 

Wenn man die Datenübertragung erneut startet, fordert das Programm zur Bestätigung der Schlüssel auf:

Zuerst wird der Hash-Wert des Authenifikationsschlüssels angezeigt, den man bei Übereinstimmung mit “Ja” bestätigen muss.

Danach ist der Verschlüsselungsschlüssel an der Reihe.

Fertig.

Um Server im Internet über sprechende Namen wie gls.de zu erreichen gibt es eine Art Telefonbuch. Dort schlagen die Rechner regelmäßig automatisch nach, um einander zu finden. Das ist natürlich eine völlig vereinfachte Darstellung. (Für jüngere Menschen: wikipedia über Telefonbuch. 😉 Eine sehr gute Info zur Technik und generell viele Informationen findet man übrigens hier: https://www.elektronik-kompendium.de/sites/net/0901081.htm

Wenn der Internet-Provider Probleme bei der Namensauflösung hat, sind einige Server über die Namen nicht mehr erreichbar. Das ist so, als ob im Telefonbuch einige Seiten fehlen würden.

Aktuell (06/07.2021) scheint dies offensichtlich im Netz von Kabel Deutschland manchmal der Fall zu sein, eine genaue Ursache für diese Störungen kenne ich nicht. Aber auch Kund*innen der Telekom berichteten über Störungen.

Betroffen von der akuten Störungen sind die Erreichbarkeit des EBICS-Servers der genossenschaftlichen Banken (ebics.multivia-suite.de) und der Lizenz und Update-Server der VR-NetWorld Software und Profi cash).  Darüber hinaus können auch andere Fiducia-Seiten und gehostete Bankseiten betroffen sein.

Wie finden Sie heraus, dass Sie betroffen sind?
Nutzen Sie unter Windows die klassische Eingabeaufforderung (suche nach cmd ) und geben Sie dort den Befehl nslookup mit der gesuchten Adresse ein, also z.B. nslookup ebics.multivia-suite.de. Wenn die Adressauflösung funktioniert, zeigt Ihnen der Befehl die IP-Adresse des Servers an, wenn nicht, erhalten Sie eine Fehlermeldung.

Man könnte jetzt ein anderes Telefonbuch nehmen und z.B. im Router einstellen, sofern dieser das erlaubt. Es gibt genügend freie DNS-Server, das sollte aber wirklich nur jemand machen, der sich mit dem Thema auskennt (IT-Admin fragen). Suchen Sie im Internet nach freien Adress-Servern. Beachten Sie, dass diese Server wissen, welche Adressen Sie offensichtlich regelmäßig aufsuchen (Datenschutz).


Lösungsansatz : DNS-Zwischenspeicher per Befehl aktualisieren:
Starten Sie die “Dos-Konsole”, indem Sie im Suchenfenster nach CMD suchen und klicken Sie es an.

Geben Sie dann dort den Befehl ein:
ipconfig /flushdns
Testen Sie die problematische Anwendung.


Lösungsansatz: Hosts Datei bearbeiten

Mit Hausmitteln kann man auch im Betriebssystem, also z.B. Windows selbst das Telefonbuch ergänzen. Das entspricht quasi einem privaten Adressbuch und ist unter Umständen wesentlich weniger aufwändig als den Router oder den Server umzustellen.

Nachteil:

  • Das Telefonbuch wird automatisch erneuert, das private Adressbuch muss ich selbst pflegen, dafür habe ich aber auch volle Kontrolle darüber.
  • Die Bearbeitung ist sicherheitskritisch. Man kann mit der hosts-Datei ziemlichen Unsinn anstellen, denn wenn man z.B. eine beliebte Adresse auf einen anderen Server einstellt. Unter Umständen verhindert also auch die Sicherheitseinstellung des Rechners die Bearbeitung oder eine Sicherheitssoftware schlägt Alarm.
  • die korrekte IP Adresse muss man erstmal selbst herausfinden.

Für viele Fälle ist es aber die schnellste Lösung. Siehe auch: https://de.wikipedia.org/wiki/Hosts-Datei

Um die Datei ändern zu können, benötige ich an meinem Arbeitsplatz einen Editor mit Administrator-Rechte. Unter Windows reicht der eingebaute Editor aus.

Klicken Sie auf das Suchen-Fenster oder auf Windows und tippen Sie edit ein (1).

Der Editor wird angeboten und mit rechter Maustaste auf das Icon bietet sich der Start mit Admin-Rechten an. (3)

Unten rechts wählen Sie den Filter “Alle Dateien (*.*) aus oder geben in den Dateinamen einfach *.* ein.

Suchen Sie den Pfad Ihres Windows-Systems aus und klicken Sie sich durch System32, drivers, etc. zum Pfad durch.

 

Die Datei “hosts”  können Sie nun öffnen.

Ergänzen Sie die IP des Servers wie im folgenden Beispiel, Erläuterungen werden mit # auskommentiert.

#EBICS Server der Genossenschaftsbanken
194.149.255.178 ebics.multivia-suite.de

#Lizenzserver VR-NetWorld Software
195.200.35.203 vrnetworldsoftware.fiducia.de

Sobald Sie auf Speichern geklickt haben, sollte Windows die Änderungen nutzen.

Sind die Störungen beendet, können Sie mit # den Eintrag auskommentieren, die Änderungen sind dann sofort rückgängig.

Am 11.07.2021 aktualisiert das Rechenzentrum der genossenschaftlichen Banken das Zertifikat des EBICS-Servers und erhöht die nötige Verschlüsselung auf 2048 Bit. Betroffen ist die URL ebics.multivia-suite.de.

In SFIRM können Sie das Zertifikat des Multivia-Servers prüfen und ggf. installieren. (Vielen Dank an Frau M. aus HH für die Erlaubnis, die Screenshots für diese Hilfe zu nutzen).

Das Menü finden Sie unter “Stammdaten”…

 

… und dann oben unter “Bankzugänge”.

 

Wählen Sie im Fenster rechts den Bankzugang aus (ohne Screenshot) und beaerbeiten Sie diesen. Es kann sein, dass Sie dazu besondere Rechte benötigen,

 

 

Mit “Zertifikat installieren” sollten Sie den Zertifikatsbestand von SFIRM aktualisieren können. (ungetestet).

Die neuen Zertifikate die am 11.07. eingespielt werden:

Danach müsste die URL-Überprüfung erfolgreich durchlaufen.

 

 

Wenn dieser Fehler angezeigt wird, dann kann es sein, dass der EBICS-Server über die URL nicht erreicht werden kann.

Dieser Fehler tritt aktuell bei einigen Providern anscheinend sporadisch auf. In dem Fall hilft es, dass die Domäne in der hosts-Datei von Windows eingetragen wird.

Die IP-Adresse des Multivi-Servers der genossenschaftlichen Banken lautet: 194.149.255.178

letzte Änderungen: 25.05.2021

Ich kenne mich mit Starmoney nicht wirklich aus, stand aber kürzlich mit einer Kundin vor dem Problem, dass eine Starmoney Mac-Version nicht mehr weitergeführt werden sollte. Um zu sehen, welche Daten ohne großen Aufwand in eine andere Software importiert werden können, habe ich mir die Export-Möglichkeiten vom vorhandenen Starmoney  angesehen.

Die Bankverbindungsdaten der Zahlungsempfänger und Zahlungspflichtigen lassen sich aus Starmoney über den CSV-Export des Adressbuchs relativ einfach exportieren und dafür ist auch eine Importschnittstelle in Windata8/9 vorhanden.

Bei den SEPA-Mandaten sieht dies anders aus, weil übernehmenden Programme üblicherweise die Mandate mit IBAN (und teilweise mit BIC) der Zahlungspflichtigen übernehmen möchten. Die weiteren Pflichtelemente sind offensichtlich auch vorhanden, also Mandatsdatum, die Mandatsreferenz und es handelt sich eh um den Standard in Form von wiederkehrenden Basislastschriften (RCUR).

Das Windata CSV-Format für den Import von Zahlungen und  der Sonderfall für Lastschriften findet sich im Wiki bei windata hier:
https://wiki.windata.de/index.php?title=Datensatzbeschreibung_windata_Zahlungen.CSV

In dieses Format sollen die Starmoney-Daten schlussendlich vorerst konvertiert werden.

Die gesuchten Mandatsinformationen stecken im CSV-Export des Adressbuchs, werden aber beim Speichern in separaten Zeilen nach den Kontodaten exportiert. Damit man diese in andere Programme importieren kann, ist eine Verknüpfung der Inhalte notwendig, dazu kann man sich einer Tabellenkalkulation wie Excel bedienen.

Dazu öffne ich die CSV-Tabelle mit der Tabellenkalkulation und speichere sie unter einem neuen Namen im Format der Tabellenkalkulation. Um es übersichtlich zu gestalten, habe ich die die Inhalte der Mandatszeilen ausgeschnitten und in neues Tabellenblatt eingefügt. Die Spaltenüberschriften habe ich anschließend auch in die erste Zeile übernommen.

Man sieht die fehlenden Daten BIC und IBAN in den Tabellen sofort. Als eindeutigen Verknüpfungsnamen bieten sich die Kontodaten an, am Beispiel im Format “Nachname, Vorname”, wir suchen also in dem zweiten Blatt nach Übereinstimmungen der Namen und möchten diese in der Mandatstabelle ergänzen.

Dazu kann man den guten alten Excel-Befehl SVERWEIS nutzen. Dies wird also auch ein kleiner Exkurs in die schöne Welt der Tabellenkalkulation.

S steht für Senkrecht, hier wird von oben nach unten gesucht. Im ersten Feld hinter die Klammer des Suchbefehls kommt das hinein, was man sucht. In unserem Fall suche ich den Inhalt des Kontonamens im zweiten Tabellenblatt. Im zweiten Feld muss ich angeben, welchen Teil der Tabelle ich absuchen UND auswerten möchte. Naheliegend wäre es, als Suchmatrix nur die Spalte anzugeben, das führte aber zu Fehlern wie “#Bezug” und “#NV”. Offensichtlich muss ich auch die “Ergebnisspalten” mit in die Suchmatrix eingeben, obwohl ich das unlogisch finde. Im nächsten Feld schreibe ich hinein, wieviel Felder weiter das Ergebnis, also BIC oder IBAN stehen. Hier wird das Suchfeld mitgezählt. In meinem Fall ist die BIC drei Felder weiter, die IBAN 4. Damit das Suchfeld beim Kopieren nicht verschoben wird, müssen die absoluten=festen Zelladressen mit $ fixiert werden. Das letzte Feld gibt an, ob das Suchergebnis “unscharf” gesucht werden darf =WAHR (oder 1) oder ob es genau sein muss=FALSCH (oder 0). Die etwas überraschende Logik ist hier, dass man nicht genau sucht, wenn man das Feld weg lässt.

Der Befehl für die BIC sieht also bei mir in “Excelsprech” so aus:

=SVERWEIS (Suchname; absolute Adressen des Suchfeldes; gib mir das Ergebnis 3 Felder weiter rechts ;FALSCH weil es 100%ig stimmen muss).

Beispiele aus Libre Office:
Wir suchen in den Kontdaten die vorkommenden Mandate. Das Suchfeld (im Programm Matrix genannt ist grün markiert.

Die Kontodaten zum Mandat des Anton Mayer (Mayer mit A) stehen in der 5. Zeile, die BIC im zweiten Feld.
=SVERWEIS(B2;$Kontodaten.$B$1:$F$7;2;0)

 

Die IBAN steht ein Feld weiter, also kopiere ich den Inhalt der Zelle und ändere nur die vorletzte Zahl.
=SVERWEIS(B2;$Kontodaten.$B$1:$F$7;3;0)

Damit sich das Suchfeld durch das Kopieren der Zellinhalte nicht mitverschiebt, dürfen die $ nicht vergessen werden.

Schlussendlich sieht das Ergebnis nach dem Kopieren wie erwartet aus:

 

Etwas weitergehender Excel-Exkurs:
Da Berta Müller im Suchfeld nicht vorkommt, wird der “Fehler” #NV = “Nicht Vorhanden” angezeigt. Gut, in diesem Fall ist das Absicht gewesen, aber es kommt auch aus anderen Gründen vor. Ein Hauptproblem für diese Art der Suche ist, dass man unterschiedliche Zeichensätze oder Formatierungen der Zellen hat. Ist ein Feld als Text formatiert, findet es z.B. keine Zahlen, obwohl sie identisch aussehen. Auch echte Excel-Datumsfelder sind nicht mit dem Inhalt des Textes eines Datums identisch und werden deshalb nicht gefunden. Falls also Probleme auftreten, muss man die Daten umformatieren.

Ebenfalls wichtig: SVERWEIS sucht nur in der ersten Spalte des Suchfeldes. Passt es also nicht, verschiebt man einfach die komplette Names-Spalte.

Über FinTS/HBCI oder auch EBICS können bei unserem Rechenzentrum und bei den meisten dort angeschlossenen Banken keine Daten abgerufen werden, die älter als 90 Tage sind. Im neuen Onlinebanking ist dies aber möglich und hier können die Daten auch im Format MT940 exportiert werden, so dass ich eine aufgetretene Lücke wieder auffüllen kann. Es können maximal 2 Jahre rückwirkend exportiert werden.

Lücken treten beispielsweise auf, wenn ich Daten älter als 90 Tage gelöscht habe, z.B. aus Versehen oder weil einfach die Datenbank einen Fehler hatte.

Auch können Steuerbüros ältere Daten beispielsweise einfacher elektronisch verarbeiten als auf Papier oder als PDF-Auszug.

In einigen Fällen benötigen die User separate Freischaltungen (bei der GLS Bank aktuell zur Nutzung des “Neuen Erweiterten Onlinebankings”).

Nach der Anmeldung

 

Klicken Sie auf irgendein Konto.

 

 

Klicken Sie dann nach dem Aufbau der Anzeige die drei Punkte rechts über der Betragsspalte an und wählen Sie “Export” aus.

Klicken Sie danach auf das gewünschte Exportformat. CSV sollte in jedem Fall funktionieren.

MT940 ist das ältere Standardformat für Buchhaltungsdaten, dies kann auch die DATEV und die meisten Programme verarbeiten. CSV ist ein Tabellenformat und sollte in jeder Tabellenkalkulation (Excel/Libre Office Calc, etc.) gelesen werden können. Dies muss aber freigeschaltet gewesen sein.

Es öffnet sich ein neues Fenster. Die nächste Abfrage sollte weitestgehend selbsterklärend sein:

 

Wählen Sie das Konto an und wählen Sie “Eigener Zeitraum” an.

Achtung: Aktuell kann das System maximal drei Monate am Stück exportieren. Da die Daten älter sind als 90 Tage muss die Datenlieferung mit dem zweiten Faktor=TAN bestätigt werden.

 

 

Der Klick auf “TAN eingeben” fordert diese an.

Je nach möglichen TAN-Verfahren wird die TAN erzeugt.

 

Wählen Sie “Datei speichern” aus, nicht “Öffnen”.

Im nächsten Dialog können Sie einen eigenen Namen vergeben. Merken Sie sich den Dateipfad, wenn Sie die Datei weiterverarbeiten möchten.

Die Dateiendung “mta” ist voreingestellt, für MT940 ist aber auch “sta” üblich.

 

 

Bei mehreren Quartalen müssen Sie natürlich unterschiedliche Datei-Namen vergeben.

Nach dem Export können die Daten weiterverarbeitet werden.

Achtung Datenschutz: Es sind wahrscheinlich sensible Daten vorhanden. Achten Sie darauf, dass Sie diese nicht einfach unverschlüsselt per E-Mail versenden!

Es dürfte jedem klar sein: Je mehr offene Türen ein Haus hat, desto sicherer bekommt man unerwünschten Besuch. Selbst wenn die Haustür verrammelt ist, bringt das wenig, wenn die Balkontür offen bleibt. Und hat man simpelste Schlösser, dann kommen Einbrecher schon mit dem einfachsten Dietrich herein. Bei den Internetverbindungen ist das nicht anders, hier entsprechen die “offenen Türen” den “Ports” (-> wikipedia) und nur wenn die verwendeten Online-Geräte vor fremden Zugriff geschützt sind, kann man sie sicher benutzen.

Heise Security bietet zusammen mit Datenschutzbeauftragten des Landes Niedersachsen einen einfach zu bedienenden und kostenlosen Prüfdienst an, der von “außen” die eigene Internet-Adresse nach bekannten Löchern absucht. Den Scan sollte man als privater User mit eigener Internet-Verbindung unbedingt starten. Verwundbare=hackbare Router beispielsweise können so entdeckt werden.

https://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Wichtig: Solche Tests sollten nicht einfach leichtfertig gestartet werden, weil der Scan von außen als Angriff gewertet werden könnte. Z.B. ist dies aus Firmennetzwerken, die man nicht selbst administriert, tabu, Scans dieser Art sollten die zuständigen Administratoren durchführen.

Interessant ist, dass der Komplettscan bei mir viel weniger geschwätziger ist, als wenn ich den Scans separat durchführen lasse.

USB-Sticks wechseln schon mal den Laufwerksbuchstaben, z.B. wenn sich andere Laufwerke dazwischen drängeln, ein zweiter Stick beispielsweise. Stimmt der in Profi cash eingestellte Laufwerksbuchstabe nicht mehr, erhalten Sie die Fehlermeldung

Anforderung Sicherheitsmedium

Bitte sorgen Sie dafür, dass sich die Sicherheitsdatei…

Sie sollten zusätzlich überlegen, den Wechselspeicher mit einem Laufwerksbuchstaben zu versorgen, der genügend “Freiraum” bietet. Ich nutze beispielsweise P: für meinen Profi cash stick. Ggf. muss dies ein Admin vornehmen. Oder Sie wechseln gleich auf die Chipkarte als unkopierbarer Schlüssel.

Wie Sie den Laufwerksbuchstaben ändern und fester einstellen, habe ich hier beschrieben.

Den neuen Pfad für die EBICS-Unterschriftendatei legen Sie in Profi cash unter

Stammdaten/EBICS-Schlüsselverwaltung neu fest.

 

Sie können den aktuellen Laufwerksbuchstaben, den Sie bei eingestecktem Stick über den Windows Datei-Explorer erfahren, dort einfach per Tastatur eintragen (den Buchstabe vor dem Doppelpunkt austauschen) oder indem Sie rechts auf den Button mit den drei Punkten klicken.

Den Windows-Dateiexplorer starten Sie übrigens am schnellsten mit der Tastenkombi Windows-E, natürlich gehen auch die üblichen Wege, z.B. in der Suche mit dem Suchwort “Exp”.

Klicken Sie anschließend auf “Speichern” und testen Sie die Funktion.

in Arbeit, letzte Änderung 14.04.2021

Leider halten es offensichtlich viele Dienstleister nicht für nötig, ihre Kund*innen mit den nötigen Erläuterungen zu Fehlerhinweisen zu versorgen. Zum Teil können die Bankmitarbeiter*innen schon froh sein, wenn nicht ein simples “geht nicht, frag die Bank!” als Fehlermeldung auftaucht. Es scheint einigen Anbietern nicht klar zu sein, dass die Banken selbst gar keinen Zugriff auf die Server und die Anmeldeversuche hat und ohne Angaben die die Fehlersuche ein aussichtsloses Unterfangen werden kann.

Ich werde also hier mal anfangen, die häufigsten Fehlermeldungen aufzuschreiben oder zu verlinken. Ich tue das einfach in der Hoffnung, wenigstens etwas verständlichere Hilfestellung geben zu können und womöglich verbessert ja der eine oder andere Dienstleister die Fehlerinterpretation, denn dort gehört sie hin.

XS2A ist übrigens die geregelte Schnittstelle für Dienstleister. Diese bei der Fehlersuche bitte nicht mit FinTS verwechseln, auch wenn die Anmeldedaten prinzipiell die gleichen sind. Einige (z.B. DATEV) verwenden leider auch noch fälschlicherweise den Begriff HBCI, das wäre ein Signaturverfahren, was hier gar nicht zum Einsatz kommt.


Überweisung (Money-Transfer) schlägt fehl:

Für mich sind aktuell die Fehlerdialoge aus den Logs noch sehr kryptisch. Netterweise wurden mir von finapi Logausschnitte zur Verfügung gestellt, so dass ich diese hier mal aufschreiben kann. Im Laufe der Zeit werde ich hoffentlich die wichtigsten Zusammenhänge erkennbar darstellen können.

Nochmal wichtig: Die Bank sieht dieses hier nicht!

Apr 9, 2021 @ 10:38:02.504
The XS2A service has responded with an error code 401 BG Error Code: PSU_CREDENTIALS_INVALID
X-Request-ID: (…)
URL: POST https://www.gls-online-filiale.de/services_xs2a/v1/payments/pain.001-sepa-credit-transfers/(…..)

Im konkreten Fall scheint jemand ohne ausreichende Buchungsrechte (Vollmacht) die Buchung veranlasst zu haben, dann kommt es zu dieser Fehlermeldung.


 

Aus einem FinAPI Kommunikationsprotokoll (konkret DATEV Unternehmen Online):

PSU_CREDENTIALS_INVALID:
“payment_id”: xxxx,”account_id”:xxxx, “payments_type”: “MONEY_TRANSFER”, “payments_status”: “READY”, “BankMessage”: “Credentials are invalid (PSU_CREDENTIALS_INVALID)”

Reine Spekulation:
Die Überweisung schlägt hier eventuell auch fehl, weil die “Credentials” des Users ungültig sind. Unter “Credentials” versteht man in diesem Kontext die Identifikationsdaten, also Anmeldenamen, PIN/Passwort aber auch den zweiten Faktor, in unsereem Fall das TAN-Medium.

Ich gehe aufgrund der Bezeichnungen auch davon aus:

Trifft man also auf diese Fehlermeldung, würde ich die Anmeldedaten genau kontrollieren und es muss auch z.B. das richtige TAN-Verfahren eingestellt sein, damit die Buchung erfolgen kann. Bei uns genossenschaftlichen Banken ist es aktuell noch das TAN-Verfahren per SMS, oder per TANApp (SecureGo) und die Erzeugung per Chipkarte (Sm@rtTAN).

Lösungsversuche

Verwendet man statt des VR-NetKeys einen Alias, sollte man diesen auf Sonderzeichen kontrollieren. Bei der PIN sollte man ebenfalls überlegen, ob diese Sonderzeichen enthält, die der Anbieter nicht verarbeiten kann. All diese “Credentials” gehören zum angemeldeten User, also der Person, die gerade die Anwendung bedient. Sind Sonderzeichen in den Anmeldedaten, also im Alias oder in der PIN enthalten, kann man diese unter “Service” im Onlinebanking ändern, sie gelten sofort. Es könnten übrigens auch Umlaute und ß eine Rolle spielen.

Länge der PIN: Die PIN im Onlinebanking ist aktuell max. 20 Zeichen lang, der Rest wird abgeschnitten. Unter FinTS/HBCI und auch unter XS2A darf die PIN länger sein, führt dann aber zu einem Fehler. Wenn Ihre PIN länger ist, nutzen Sie nur die ersten 20 Zeichen. Meine Empfehlung, Ändern Sie die PIN auf merkbare 9 Zeichen ab: Eine lange PIN ist kein Sicherheitsvorteil, denn die Bank sperrt nach wenigen Versuchen den Zugang.

falsche TAN-Medien-Bezeichnung?
Darunter versteht man z.B. beim SMS-Verfahren die Bezeichnung unter der die Bank das Telefon eingetragen hat. Beim Sm@rtTAN-Verfahren (ChipTAN) wäre es die Kartennummer der Chipkarte.
Für uns gilt bei FinTS: Die TAN-Methode muss korrekt eingestellt sein, also das Verfahren, das Medium muss nicht eingetragen sein. Wenn es aber eingetragen wird, muss es stimmen. Ob dies für XS2A genauso gilt, muss ich noch herausfinden, aktuell gehe ich einfach davon aus, weil ich noch nie Anfragen in dieser Richtung hatte.
Das kann bedeuten, dass man z.B. bei einem Mediumwechsel (z.B. Karte verloren, Handy oder SIM-Kartentausch) den Zugang neu einrichten sollte.

Könnte ein Tastaturfehler vorliegen, z.B. falsche Ländereinstellungen? Je nach Anwendung (meist der Browser) können unterschiedliche Tastatureinstellungen dafür sorgen, dass bei den nicht sichtbaren Eingaben nicht die gewünschten Zeichen bei der Bank ankommen. Falls Sie im Programm die Zeichen nicht sichtbar machen können, versuchen Sie ein anderes Feld zu erreichen. Sie können z.B. beim Browser die Adresszeile nutzen. Testen Sie doch dort bitte einmal, ob wirklich die richtigen Zeichen der PIN angezeigt werden.

Auch auf der Bankseite:
Vollmacht prüfen/vergleichen. Reicht diese aus, reichen die Rechte, sind Überweisungen erlaubt?
Existiert eine (TAN-)Sperre oder Kontosperre?


Ergänzung (09.04.2021):
Es kann offensichtlich auch eine Störung des Dienstleisters vorliegen, im konkreten Fall war die Kommunikation bei FinAPI gestört, so eine Auskunft einer Kundin.