Es gibt offensichtlich Programme oder Programmversionen, die mit dem aktuellen Schlüsselwechsel  der Genossenschaftsbanken nicht klar kommen. Dazu kommt noch das Dilemma, dass selbstverständlich Karten mit altem Schlüssel ausgeliefert wurden, die nicht initialisiert sind und dann gibt es auch noch Karten, bei denen die Software nie die Server-Adresse der Bank auf der Karte angepasst hat, weil sie dies in ihrer Verwaltung selbst tut.

Mit dem Chipcardmaster von Dr. Olaf Jacobsen kommt man den meisten dieser Probleme aber problemlos, schnell und sicher bei.

Das kostenlose Tool erhält man bei heise.de zum freien Download, trotzdem sollte man sich hier www.chipcardmaster.de über den Stand informieren.

Achtung:
Man sollte diese Änderungen nur durchführen, wenn die Karte wirklich nicht funktioniert (letzte Maßnahme). Ich kann keine Haftung für die Bearbeitung übernehmen. Ist die Karte aber eh unbrauchbar, kann man sie kaum kaputter machen. Sie tun als der Umwelt etwas gutes, wenn Sie Ihre Karte retten.

Prüfen und aktualisieren Sie ggf. den Treiber des Kartenlesers und auch die Firmware des Lesers und schauen Sie auf die Karte, ob diese nicht aus Versehen die falsche ist und ob sie noch gültig ist.

Wenn Sie ein Gerät von Reiner SCT nutzen: Prüfen Sie auf Updates von Software und Firmware. Beachten Sie die Anleitung des Herstellers und installieren Sie die aktuelle Version.

Zum Chipcardmaster

Unter „Kartenleser“, Einstellung des Kartenlesers muss der Leser auf die sichere PIN-Eingabe umgestellt werden. Bei meinem Leser kam es zu Abstürzen, ich habe dann einfach neu gestartet und dann ging es.

Die HBCI-Daten der Karte lese ich unter „Banking“ aus.

 

Wenn Sie die Inhalte mit Ihrem Electronic Banking Fachmenschen zusammen abklären, sollten Sie eine noch nutzbare Karte problemlos retten können.

Ich habe mir diese Infos Bug um Bug, also mit Trial and Error erarbeitet, eine Dokumentation habe ich nur bei den wenigsten Feldern gefunden.

Die Einträge kann man mit Doppelklick zum Bearbeiten öffnen.

Sofern man nicht irrtümlich speichert, wird nichts auf dem Chip geändert.

Die für die „Rettung“ relevanten Felder sind:

Bei der personalisierten Karte mit Namensdruck: Es sind nur die Felder der ersten Banking-Verbindung, also „HBCI Bankingverbindung 1“ relevant. Wird die Karte falsch angemeldet, speichern die Programme die Daten in andere Speicherbereiche. Das funktioniert nicht, die Bank erwartet die Daten der personalisierten Karte.

Inst.Code: Die Bankleitzahl der Bank. Ich weiß nicht, wie dieses Feld bei fusionierten Banken aussehen muss, aber vermutlich kann man es hier auch nicht schlimmer machen.

Komm.Dienst: Das Feld kenne ich nicht – keine Ahnung wofür das steht. Bei unseren Karten steht  hier immer eine 02.

Komm.Adresse:
hier muss eine atruvia.de Adresse stehen. Die alten Fiducia und GAD-Adressen sind deaktiviert.
Für ex-GAD Banken wie die GLS muss hier fints1.atruvia.de eingetragen sein, eher südliche Banken haben fints2.atruvia.de
Es ist in jedem Fall sinnvoll, hier die korrekte Adresse einzutragen.

Schlüssel Status:
04 bedeutet: Die Karte wurde bereits initialisiert, also verwendet – die Bank kennt die öffentlichen Schlüssel bereits. Im Zweifelsfall, also bei einer neuen Karte stellen Sie hier eine 01=noch nicht initialisiert ein und schauen Sie, wie bei einer erneuten Einreichung die Bank antwortet. Erhalten Sie einen „Schlüssel bereits eingereicht“ Fehler, dann muss hier 04 stehen.

Benutzerkennung:
Kann irrtümlich von der Software geändert worden sein. Sie können die Benutzerkennung mit der Bank vergleichen. Sie beginnt mit 672, allerdings beginnt auch die Kartennummer mit 672… Die Benutzerkennung ist auf der Karte aufgedruckt. In der Bank kann danach gesucht werden (Funktion 2079).

Feld Schlüssel Info:
Es gibt mehrere Schlüssel, die hier gesteuert werden können. Ich gehe von einer HBCI-Karte aus, da wird der Eintrag dreimal hintereinander wiederholt.
Personalisierte Karte sind RDH7-Karten. Hier muss also alles mit 007 sein, unpersonalisierte Karten (ohne Namenseindruck) sind RDH9, also 009.
Danach kommt die Folgenummer zur Benutzerkennung. Diese kann in der Bank geprüft werden. Dummerweise gibt es fehlerhafte Programmversionen, die schreiben hier fälschlich zum Beispiel beim Kartenwechsel eine 001 rein, dann nimmt die Bank die Karte nicht an.

Feld Schlüssel Hash:
Hier steht der Hashwert zum öffentlichen Schlüssel der Bank. Ein Hash ist eine Art Prüfmethode (man sagt auch Fingerabdruck), damit nicht der ganze Schlüssel geprüft werden muss. Der Hash ist  bei personalisierten Karten vorprogrammiert, kann aber veraltet sein (der 1984 Bit-Schlüssel wird im Mai-Juli 2025 bei den Banken an der Atruvia getauscht und kann erst dann bei der Auslieferung verwendet werden.) Ihre Bank kann den Hash nachsehen, das Rechenzentrum stellte rechtzeitig Listen mit den Hashwerten zur Verfügung. Oder jemand schaut in der eigenen Karte nach, der Schlüssel ist für alle Kund*innen einer Bank gleich.
Vorne steht eine Art Header  steht mit der Schlüsselnummer, Schlüsselversion und dem Hashverfahren.
Für die GLS Bank ist dies: 30303730303203 seit dem Schlüsseltausch, ich würde vermuten, dass dies bei den meisten genossenschaftlichen Banken so sein müsste.
Danach folgt der eigentliche Hash des Bankschlüssels. Den hat die Atruvia den Banken ebenfalls zur Verfügung gestellt.

Für die GLS Bank und die personalisierte Karte lautet der Feldeintrag dementsprechend:
303037303032032617750408DC07C3A67ED1ACCB3FFE6A0719447AC05A66F19A8E98FF15708EBB

Wichtig:
Nachdem man die Daten geändert hat, muss der Inhalt im Chip gespeichert werden. Der Button links unten ist daher wichtig, sonst arbeitet die Software weiterhin mit falschen Daten.

 

Ich würde dann immer empfehlen, den Bankzugang neu einzurichten. Achtung: Es gibt Programme, die beim Löschen eines Bankzugangs die Konten gleich mit löschen.
Also vor jedem Ändern immer eine Datensicherung (Backup) durchführen!

Ist im Zahlungsverkehrsprogramm die Secoderfunktion aktiviert (Freigabe per PIN am Kartenleser, Kontrolle der Aufträge im Display), dann kann der Schlüsselwechsel nicht „eben so“ vorgenommen werden.

Die Fehlermeldung lautet komplett:

INERR (9999) Es liegt ein Fehler im Aufbau der Antwort vor. ()

Um den Wechsel durchführen zu können muss die Secoderfunktion deaktiviert werden, dann kann der Zugang einmal synchronisiert werden, um den neuen Bankschlüssel zu bestätigen.

Danach kann die Secoderfunktion wieder aktiviert werden.

 

---

Deaktivieren der Secoderfunktion in GLS eBank / windata

---

in der VR-NetWorld Software:

Umstellung: Die Einstellung kann über das Kontextmenü des Bankzuganges (de)aktiviert werden. Klicken Sie auf „Stammdaten“, „Bankzugänge“ mit der rechten Maustaste auf den Chipkarteneintrag.

Entfernen oder setzen Sie dort den Haken bei  „Sichere Anzeige im Kartenleser“.

---

 

in Profi cash 12:

Einstellungen/HBCI-Verwaltung

 

den Haken entfernen

 

---

Starmoney (von mir ungeprüft, Quelle für SM Version 10):
Konto in der Kontenliste öffnen, Reiter Chipkarte, unter „Auftragsdaten“ den Haken auf „nur am Bildschirm bestätigen“.

 

---

SFIRM (lt. Anleitung):
In der Verwaltung zum HBCI-Benutzer gibt es unter der Karteikarte „Sicherheitsmedium“ einen Secoder-Button, dort sollte sich die Funktion deaktiveren lassen.

 

Einige Programme führen den Schlüsselwechsel beim Dateiverfahren nicht automatisch durch, sondern benötigen eine Bestätigung durch den Benutzer. Der Hashwert ist für jede Bank unterschiedlich, exemplarisch der Hash über den neuen  GLS Bank HBCI-Schlüssel:

RDH-10 (Signaturdatei):
4F E6 89 17 E7 34 67 1F AA 0E E2 B0 66 64 4B F3

E4 2B 29 CA 86 D8 5C E3 3C E0 D5 59 92 3C 1C F4

 

Mir bekannte Programme:

MoneyMoney (Mac)

Hibiscus (Windows, Mac, Linux):

 

 

 

Am Server der Atruvia werden ab dem 26.04.2025 die alten EBICS-Schlüssel mit 1984 Bit Schlüsselstärke nicht mehr akzeptiert, damit läuft  die „Sonderlocke“ für alte Chipkarten aus. Gleichzeitig ist die EBICS-Version 2.4 Geschichte. Wer also eine Chipkarte nutzt, benötigt unter Umständen eine neue Karte. Auf Bankseite ist es unerheblich, ob von einem EBICS-User eine Chipkarte oder eine Signaturdatei eingesetzt wird, dies „merkt“ die Bank in der Regel gar nicht.

Keine neue Karte vorhanden?
Als Zwischenlösung können Sie den Zugang zurücksetzen lassen und eine Signaturdatei einrichten. Wenn Sie weiterhin mit einer Chipkarte arbeiten möchten, besorgen Sie sich eine Karte der neuen Generation, Ihre Bank sollte diese besorgen können. Zur Not kann man offensichtlich auch EBICS-Karten bei der Commerzbank im Shop bestellen, diese sind in der Lage mit 2048 Bit zu arbeiten. Ihre Bank „merkt“ nicht, welches Label die Karte besitzt. Den genossenschaftlichen Banken stehen die neuen Karten erst seit wenigen Wochen zur Verfügung. Die meisten Banken setzen ausschließlich sogenannte personalisierte Karte ein, diese müssen bestellt werden und das dauert einige Tage.

Einstellen der EBICS-Version 2.5?

Die Version 2.5 ist seit Jahren Standard und wurde in der Regel vor Jahren bereits eingestellt. Auf der Bankseite „sieht“ man nur die Version des Teilnehmers, der sendet und nicht die Version der Unterschrift für die Aufträge. Es kann also sein, dass bankseitig noch eine Version 2.4 bei diversen Usern vermerkt ist, weil diese seit der Initialisierung vor Jahren nie Daten übertragen haben, sondern lediglich unterschreiben.

Alle mir bekannten Programme können auf die Version 2.5 (H0004) umgestellt werden, wie dies aber geht, ist je nach Software sehr unterschiedlich.

Bei den meisten Lösungen ist es ein einfacher Klick in der Versionseinstellung an der Bankparameter-Einstellung (das ist in der Regel eine Admin-Aufgabe), bei anderen müssen die Teilnehmer*innen offensichtlich die Umstellung durch eine Aktion selbst einleiten.

Für Profi cash habe ich die Anleitung hier veröffentlicht:
https://vrkennung.de/profi-cash-ebics-version-einstellen/

 

Update:
Einige Programme benötigen auch beim Dateiverfahren eine Bestätigung durch den User, die mir bekannten Programme werde ich ->hier veröffentlichen.

Update2:
Fehlermeldung: INERR (9999) Es liegt ein Fehler im Aufbau der Antwort vor. () –
Tritt bei Verwendung der Secoderfunktion mit HBCI-Chipkarte auf. Klicken Sie >>hier<<

---

Seit Mitte April informieren die ersten Banken über den anstehenden Schlüsselwechsel im HBCI-Verfahren per Banknachricht. FinTS mit PIN und TAN ist nicht betroffen, es geht rein um das RDH-Verfahren der an der Atruvia hängenden Banken.

In Profi cash sieht die Banknachricht der GLS Bank so aus:

 

 

Die Nachricht in GLS eBank / windata ist dezenter. Nach dem Abruf des Umsatzes erfolgt der Hinweis als „Neue Institutsmeldungen“

Lesbar wird es mit Erhöhung der Zeilenzahl.

 

Ein Tool zum Lösen der Problematik: Eine bereits hochgeladene Zahlungs-Datei wird im Onlinebanking nicht akzeptiert… Lesen Sie hier.

und ein kleiner Nebeneffekt:
Falls nicht erlaubte Zeichen in der Message ID-stecken, dann kann man diese mit der Automatik auf einfache Weise los werden. Der Bankserver akzeptiert nur die erlaubten Zeichen.

>> Zum Message-ID-Tool <<

Funktion:
Die Webseite liefert ein Javascript, um in XML-Dateien das Feld Message-ID auf einfachste Weise änderbar zu machen. Ziel war es, das „Problem“ mit der Dubletten-Erkennung Onlinebankings auf simpelste Weise zu umgehen.

Es passiert dabei alles in Ihrem eigenen Browser, also auf Ihrem Rechner, es werden dabei keinerlei Daten auf meinen Server oder ins Internet geladen!

Wichtig:
Ich habe das Tool nach bestem Wissen getestet und geprüft, kann aber keine Haftung oder irgendeine Garantie übernehmen. Aufgrund der wirklich einfachen Aufgabenstellung gehe ich von einem Funktionieren ohne Fehler aus, aber bitte prüfen Sie immer das Ergebnis, bevor Sie Buchungen freigeben.

Wieso?
Das oben verlinkte Browser-Tool ist das Ergebnis meines Experimentes mit dem kostenlosen Sprachmodell von perplexity Ai, also einer „künstlichen Intelligenz“, die u.a. auch das Programmieren unterstützen kann. Für die Entwicklung der recht einfachen Aufgabe haben die KI und ich 6 Anläufe im Dialog und ca. eine Stunde zum Testen und Ausprobieren gebraucht, um das gewünschte zu generieren. Es war für mich sehr interessant und sogar lustig, wie der Dialog erfolgte und auch welche Fehler mehrfach von der KI erzeugt und kommentiert wurden.

So gab es im Generierungsprozess Sätze sinngemäß wie:
Moment mal, der User hat gesagt, dass das Rückgängig-Machen nicht richtig funktioniert. …
Warte, hier könnte ein Fehler sein….
Es ist besser, wenn wir die Variable…

Ziel war es also für mich nicht unbedingt ein an sich überflüssiges Tool zu basteln, sondern das Beschäftigen mit dem Thema KI als solches. Allerdings hatte ich Anfang des Monats eine Kundin am Telefon, die mit der an sich simplen Änderungs-Aufgabe trotz wirklich einfacher Anleitung überfordert war. Grund war einfach die große, aber eigentlich nicht gerechtfertige Angst davor, Fehler zu machen. Dazu kam allerdings der Kommentar eines Kollegen, dass das Thema sicher schon einige Menschen überfordere und voila…

Update 30.01.25:
Die Deutsche Bank hat die Einstellungen geändert, aktuell klappt es wieder.

Früher oder später wird das allerdings wahrscheinlich wieder zum Thema, ältere Versionen sind dann nicht mehr in der Lage, die Verbindung aufzubauen.

Seitdem die Deutsche Bank am 27.01.25 für die FinTS-Adressen Server Name Indication (SNI) aktiviert hat (ein Zertifikat für mehrere Adressen), kann sich Profi cash nicht mehr mit dem Bankserver verbinden.

Über die bkcemu.ini kann man per Editor (ich empfehle gerne das freie Notepad ++) SNI für die Adresse einstellen. Dieser Abschnitt sollte z.B. am Ende eingefügt werden.
Die BLZ muss entsprechend angepasst werden.
[SNI] 20070000=fints.deutsche-bank.de

für die Norisbank:
[SNI] 20070000=fints.norisbank.de

Voraussetzung ist eine aktuelle Version 12.xx, weil der Kernel dies unterstützen muss

Es scheint mit dem Zertifikatswechsel nicht getan zu sein. Hier der Thread im Homebanking-Hilfe.de Forum zum Thema VR-NetWorld Software und DKB:
https://homebanking-hilfe.de/forum/topic.php?t=26893

Update (04.12.2024) mit Info aus dem Forum:
Die DKB scheint Änderungen am Server durchgeführt zu haben: Wenn man das neue Zertifikat hat, soll es helfen, die BPD zu löschen und dann den Bankzugang neu zu synchronisieren.

---

Zertifikatswechsel

Die genossenschaftlichen Programme verwenden eigene Zertifikatsspeicher, die in der Regel über Updates mit den aktuellen Daten versorgt werden. Leider hat es die DKB versäumt, die Zertifikate rechtzeitig vor dem Server-Wechsel an die Softwarehersteller zu verteilen, so dass in dringenden Fällen die nötigen Dateien manuell installiert werden müssen.

Die fehlende Datei müssen Sie bei Ihrer lizenzgebenden Bank anfragen.

 

Installation:

Laden Sie die Zertifikats-Datei aus dem von der Bank kommunizierten Downloadbereich.

In den Programmen werden die Zertifkatsdateien in einem Unterordner der Installation /certs vorgehalten. Finden Sie den Installationspfad heraus:
Klicken Sie mit der rechten Maustaste auf das jeweilige Programmicon. Wählen Sie im Kontextmenü „Eigenschaften“ aus. Den Programmpfad merken Sie sich oder kopieren Sie aus „Ausführen in“.

 

Starten Sie den Datei-Explorer und wechseln Sie in den Installationspfad.

VR-NetWorld Software:
Suchen Sie im Programmpfad den Ordner „hbkernel“ und dort „certs“.

Profi cash:
Suchen Sie „im Programmordner „hbci“ und dort nach „certs“. Sollten Sie den Pfad nicht finden, öffnen Sie die „bkcemu.ini“ und schauen Sie dort nach dem Dateipfad für „certs“. Den Ordner suchen Sie auf.

Kopieren Sie die Zertifikatsdatei in diesen Ordner und testen Sie den Zugang, z.B. indem Sie die Umsatzdaten abrufen.

 

---

 

Am 20.11.24 aktualisiert die Atruvia die SSL-Zertifikate für die Dienste FinTS /HBCI mit PIN und TAN und EBICS.

Bei den meisten Programmen und Apps ist keine Aktualisierung notwendig, weil sich die root-Zertifikate der Server nicht ändern werden.

Update:
Meines Wissens sind lediglich ältere Starmoney-Versionen 13.x betroffen, hier hat Starmoney Updates angekündigt.

Die betroffenen URL:
https://ebics.multivia-suite.de/
https://fints1.atruvia.de/cgi-bin/hbciservlet
https://fints2.atruvia.de/cgi-bin/hbciservlet

Der Fehler tritt selten auf, ist aber meist schnell geklärt, wenn man weiß, was damit gemeint ist.

Mit „Key“ ist eine Taste gemeint („Keyboard“) und die steckt fest („stuck“).
Der Fehler meist auf, wenn sich eine Taste einfach verklemmt hat, das kommt meiner Erfahrung nach schon mal vor, wenn z.B. eine der Gummi-Tasten des Vasco-Lesers mit einer Ecke unter das Gehäuse gerät und dann dort festhängt. Das kann man dann mit etwas „Gefummel“ leicht selbst lösen.

Denkbar und kaum lösbar sind natürlich auch Fehler an einem der Kontakte selbst, wenn z.B. eine leitende Flüssigkeit (z.B. leitende Schmiermittel) einen Kurzschluss verursacht hat oder die Gummitasten einem Lösungsmittel ausgesetzt waren (Aceton, Benzin, Verdünnung…) und sie dadurch beschädigt sind. Dann hilft eigentlich nur ein Austausch des Gerätes.

Wer Spaß am Basteln hat, kann natürlich online Videos finden, wie ähnlich aufgebaute Tastaturen (Fernbedienungen z.B.) repariert werden können. Ein Sicherheitsrisiko gibt es nicht bei den Geräten der Genossenschaftsbanken oder Sparkassen mit Kartenslot, weil die „eigentliche Intelligenz“ nicht im Gerät selbst sitzt, sondern im Chip der Karte. In dem Fall also beherzt ran an die Hardware:  und „Mach flott den Schrott!“