Onlinebanking per Browser: terminierte ZV-Dateien ändern und löschen

by Leave a Comment

Terminierte Überweisungen-Zahlungsverkehrsdateien können Sie im gleichnamigen Menü unter „Zahlungen“ kontrollieren und auch löschen, hochgeladene und noch nicht übertragene Lastschrift-Dateien sehen Sie unter ZV-Upload.

Das Menü finden Sie unter „Zahlungen“ und „Terminierte ZV-Dateien“. Wie Sie Dateien vorher im Browser zu einer GAD-Bank hochladen können, lesen Sie hier.

Begriffklärung bei Lastschriften: Unter Ausführungsdatum versteht man in diesem Zusammenhang das Fälligkeitsdatum der Lastschrift, also das Belastungsdatum beim Zahlungspflichtigen!

BOF_SEPA-Terminlastschrift_und_ZV-Upload_Menue

Die unterschiedlichen Dateien können Sie in der Übersicht über den Dateinamen auseinanderhalten.

Onlinebanking_Terminierte_ZV-Datei_02_Auswahl

 

Wenn Sie etwas ändern oder löschen wollen oder mehr Informationen benötigen, klicken Sie auf den Dateinamen links.

Onlinebanking_Terminierte_ZV-Datei_03_Auswahl

Sie können das Ausführungsdatum ändern oder die Datei löschen. Mit Klick auf Detailinformationen erfahren Sie mehr über den Inhalt der Buchung.

Onlinebanking_Terminierte_ZV-Datei_04_Auswahl

Das Ausführungsdatum ist bei Lastschriften der Fälligkeitstermin, also der Belastungstermin bei den Zahlungspflichtigen. Denken Sie daran: Dieser Fälligkeitstermin muss nach den SEPA-Regularien als Zahltermin rechtzeitig den Zahlungspflichtigen bekannt gemacht sein. Wenn Sie das nicht einhalten, haben Sie keinen Anspruch auf Kostenerstattung, sollte die Lastschrift nicht eingelöst werden.

Der Übertragungstermin wird durch die Art der Lastschrift und die Sequenz (einmalig, erstmalig, Folgelastschrift) bedingt.

Lastschrift-Datei_06_terminierte_ZV-Datei_loeschen_aendern_Button

Häufige Fragen zur VR-Kennung, Alias und VR-NetKey (FAQ)

by 4 Comments
zuletzt geändert: 06.07.2019
Ist der VR-NetKey, die VR-Kennung, der Alias geheim?
Nein, diese sind  nicht geheim, sondern vertraulich, sie kann auch von Mitarbeiterinnen und Mitarbeitern Ihrer Bank eingesehen werden. Sie sollte aber nicht an Dritte weitergegeben werden. Wirklich geheim sind PIN und Passwörter.
Warum sind sie vertraulich?
Mit bösem Willen kann der der VR-NetKey/ dieVR-Kennung bei der PIN&TAN-Nutzung z.B. dazu missbraucht werden, den jeweiligen Zugang zu sperren, z.B. durch fehlerhafte PIN-Eingaben. Daher sollte man sie vertraulich behandeln und vor allen Dingen einen Alias verwenden, den man zur Not selbst ändern kann.
Warum kann ich keinen Alias mit VRK am Anfang vergeben?
Anhand der Anfangszeichen „VRK“ erkennt der Bankserver, dass es sich um einen Alias handelt oder eben um die VR-Kennung.
Warum soll ich nicht meinen Alias bei der Einrichtung meines FinTS/HBCI-Zugangs verwenden?
Tatsächlich funktioniert die Verwendung Ihres Alias durchaus auch in FinTS/HBCI, aber Sonderzeichen können die Verbindungen stören. Der Alias kann auch leicht geändert werden, während man in der Zahlungsverkehrssoftware/App so gut wie nie Einstellungen ändern muss.
Meine Benutzerkennungen reichten bisher, warum soll ich die VR-Kennung verwenden?
Bei allen neuen Zugängen, neuen Konten oder Signaturen benötigt der Zugang die zusätzliche Steuerung über die VR-Kennung. Das ist durch das Rechenzentrum vorgegeben. Dies entfällt bei der Umstellung der Bank auf das neuere System 

Sollten weitere Fragen auftreten:

Bitte nutzen Sie die Kommentar-Funktion oder melden Sie sich im onlinebanking-Forum an.

Lastschriftbestände in SFIRM über FinTS/HBCI einsehen, ändern, löschen

by Leave a Comment
nur (ex)GAD-Banken
zuletzt geändert: 24.01.2016

RufzeichenWichtige Grund-Informationen zur Verwaltung von Lastschriftbeständen per FinTS/HBCI finden Sie hier.

Sfirm steht mir aktuell nur in der Testversion 3.1 zur Verfügung, sollten Sie eine andere Version verwenden, weicht die Anzeige womöglich ab.  Außerdem gibt es sicherlich auch andere Wege zum Ziel, so dass meine Screenshots bitte nur als Beispiele zur verstehen sind. Diese Anleitung gilt auch nur für die FinTS/HBCI-Schnittstelle, EBICS kennt keine Bestände.

Sie finden den Auftragsbestand über „Kontoinformationen“ (Menü links unten).

Lastschriftbestand_SFIRM_00_Menue

Wählen Sie Ihr Konto aus (1) und klicken Sie auf die Karteikarte „Terminaufträge“.

Lastschriftbestand_SFIRM_01_Terminbestand

Das Programm zeigt die zuletzt gespeicherten Bestände an. Entweder sehen Sie das obige Bild oder den Hinweis auf die veralteten Bestände.

Lastschriftbestand_SFIRM_01b_Terminbestand

Die Bestandsliste zeigt die aktuell bei der Bank terminierten Aufträge. Sie sollten in jedem Fall die Bestände aktualisieren.

Sie können die Aufträge jeweils einzeln löschen, allerdings können nur Einzelaufträge bearbeitet werden, das Bearbeiten einzelner Posten eines Sammlers ist nicht möglich.

Lastschriftbestand_SFIRM_03_Kontextmenue_Loeschen

Der Dialog entspricht dem normalen FinTS/HBCI Dialog.Lastschriftbestand_SFIRM_04_loeschen_Abfrage

etc.Lastschriftbestand_SFIRM_05_Terminaufträge_löschen_Dialog

Lastschriftbestand GLS eBank/windata abrufen, ändern, löschen

by Leave a Comment
zuletzt geändert: 24.01.2016

RufzeichenWichtige Grund-Informationen zur Verwaltung von Lastschriftbeständen per FinTS/HBCI finden Sie hier.

Windata /GLS eBank kann – im Gegensatz zu einigen anderen Programmen – sowohl Einzel- als auch Sammellastschriften in einer übersichtlichen Liste verwalten. Das Menü finden Sie unter „Statistik“ (1) und dort unter „Terminbestand (HBCI)“ (2).

 

Lastschriftbestand_windata_01_Menue

Es wird der zuletzt gespeicherte Terminbestand angezeigt.

Lastschriftbestand_windata_02_alter_Bestand

Aktualisieren Sie diesen unten mit dem Button „Aktualisieren“.

Lastschriftbestand_windata_03_Aktualisieren

Sie können Konten gezielt auswählen. Da die Software automatisch „alle markieren“ auswählt, wenn kein Konto markiert wurde, kann man auch „Ausführen“ den gesamten Bestand aktualisieren. Wenn Sie mehrere Banken für die Lastschriftverarbeitung nutzen, sollten Sie diese gezielt auswählen.

Lastschriftbestand_windata_03a_Ausfuehren

Es folgt der übliche Übertragungsdialog für FinTS/HBCI.Lastschriftbestand_windata_03b_Dialog

 

Mit Klick auf „Bestand anzeigen“ können Sie die einzelnen Posten sehen.

Lastschriftbestand_windata_04_Bestand_Anzeigen

 

Nur beim Typ Einzellastschrift können die Aufträge eingesehen und geändert werden. Lastschriftbestand_windata_06_EinzelbestandLöschen können Sie immer nur den gesamten Auftrag, es ist nicht möglich, einzelne Posten einer Sammelbuchung zu ändern oder zu löschen. Das gilt für sämtliche FinTS/HBCI Programme und auch für das Onlinebanking. Lastschriftbestand_windata_05_Loeschen_oder_Einzelbestand

Markieren Sie den Auftrag und wählen Sie Löschen an. Der übliche Dialog folgt.

Starmoney: SEPA Lastschriftbestand abrufen und löschen (FinTS/HBCI)

by 2 Comments
(ex)GAD-Banken

RufzeichenWichtige Grund-Informationen zu Lastschriftbeständen finden Sie hier.

So lassen Sie sich die Lastschrift Bank-Bestände in Starmoney anzeigen:

Wählen Sie im „Zahlungsverkehr“, „Lastschrift“ und dort den Button „Bestand“ an.

Die Karteikarten  (4) unterscheiden zwischen Lastschriften und Sammellastschriften.

2016-01-10 15_00_10-StarMoney 10

So lange dieser Bestand noch nicht von der Bank an die anderen Banken übertragen wurde, kann er gelöscht werden. Am einfachsten geht dies im Kontextmenü (rechte Maustaste) auf den Auftrag.

2016-01-10 15_06_14-StarMoney loeschen

Der Löschauftrag muss an die Bank übertragen und freigegeben werden.

PIN&TAN Zertifikat der GAD erneuert: User müssen Fingerprint und Besitzer prüfen

by 2 Comments

Einige FinTS/HBCI-Programme nutzen keine eigenen Zertifikatsspeicher, sondern verwenden die Zertifikatsverwaltung des Betriebssystems oder, wie im Fall von Hibiscus, in der Standardeinstellung die Verwaltung von Java. Im Zweifel lassen sie den User das Zertifikat selbst prüfen. Wenn dann das Serverzertifikat erneuert wird, muss das Programm (z.B. Hibiscus) den Fingerprint zur Prüfung anzeigen, damit ein Angriff ausgeschlossen werden kann.

Die wenigsten Banken veröffentlichen diese Fingerprints auf Papier und eine Online-Veröffentlichung ist eigentlich nicht sinnvoll, den die Seite könnte ja bereits durch die gleiche Attacke manipuliert worden sein.

Die Gültigkeit kann man selbst mit einem aktuellen Browser prüfen. Mozilla-Firefox verwendet unter Windows eine eigene Zertifikatsverwaltung (unter Linux die des Betriebssystems, das dürfte beim Mac ähnlich sein). Der Edge-Browser verwendet die des Windows-Systems. Ich vermute daher, dass man mit dem Edge prüfen kann, ob dies Windows-Zertifikatsverwaltung durch Updates aktualisiert wurden. In Fehlerfall muss also dringend das Betriebssystem auf fehlende Updates geprüft werden.

Betroffenen Programme lassen die User daher die Korrektkeit prüfen. Von Hibiscus (Jamaica Framework auf Java Basis, u.a. in jverein) ist mir das bekannt, ob andere Programme auch zur Bestätigung auffordern, weiß ich leider nicht. Ein Java-Update würde vermutlich helfen, da dies aber andere, womöglich negative Auswirkungen haben kann, sollte man unbedingt sicherstellen, dass alles harmoniert. Mehr zur Verwaltung der Zertifikate bei Hibiscus steht in den  >>>FAQ-Seiten<<< ganz unten.

So kann man das Zertifikat der ehemaligen GAD-Banken mit Hausmitteln prüfen:

Geben Sie in die Adresse des Servers in die Browserzeile ein (kopieren) oder klicken Sie hier auf den Link:
https://fints1.atruvia.de/cgi-bin/hbciservlet

Der Browser öffnet eine Seite mit dem Hinweis:

Dieser Server ist nur mit einem Kundenprodukt erreichbar!

Dass dort keine Webseite zu finden ist, erwartet man ja, und wir wollen ja über diese Seite kein Banking durchführen, sondern nur den Browser nutzen, um das neue Zertifikat zu prüfen. Oben in der Browserzeile (je nach Browser) kann man sich das Zertifikat ansehen. So sieht der Vorgang beim Mozilla-Browser aus.  (In den Screenshots sind es noch die alten gad.de Adressen.)Zertifikat_Browserpruefung_01

Suchen Sie ggf. das Schloss-Symbol. Der Browser zeigt an, ob er das Zertifikat für gültig hält.

Zertifikat_Browserpruefung_02

Zertifikat_Browserpruefung_03Vergleichen Sie den Fingerabduck mit den von Ihrem Programm angezeigten Daten, z.B. dem SHA1-Fingerabdruck des neuen Zertifikats und achten Sie darauf, dass der Browser auch den richtigen Besitzer anzeigt (früher Fiducia & GAD IT AG). Letzteres ist besonders wichtig, da im Angriffsfall ja auch der Browser/das Betriebssystem betroffen wäre.Zertifikat_Browserpruefung_04



 




Ergänzung dazu: Ich weiß, wie die Fachleute darüber denken, DNS-Spoofing kenne ich auch. Allerdings halte ich hier die Gefahr für sehr gering, da man beim PIN & TAN-Verfahren zusätzlich auch ziemlich sicher über einen Auftrag und die Inhalte prüfen kann, mit wem man verbunden ist. Die Geno-Banken setzen kein altes TAN-Verfahren mehr ein, beim dem Aufträge abgeändert werden könnten.

  
 
  
    


            
                        
              

  
  

    

          

    

      
Gute Wünsche

      
    
        by Leave a Comment      

    

  

  
  
	
	  	  
Zum neuen Jahr danke ich allen Besucherinnen und Besuchern, Euch lieben Helferinnen und Helfern dieses Projektes (speziell natürlich meinen Kolleginnen und Kollegen der GLS Bank) für das vergangene Jahr und freue mich mit euch auf ein spannendes Jahr 2016!


Frohes_Neues_Jahr


 

  
 
  
    


            
                        
              

  
  

    

          

    

      
Suchabkürzung eingeführt

      
    
        by Leave a Comment      

    

  

  
  
	
	  	  
Damit man sich gegenseitig telefonisch helfen konnte, musste man bisher immer mühselig den Weg zur passenden Hilfeseite oder Anleitung beschreiben: „Geben Sie vrkennung.de ein in die Adresszeile. Nein, google ist nicht die Adresszeile. Dann oben über FinTS….“


Ich fange nun an, die einzelnen Seiten rechts oben mit einer eindeutigen Suchabkürzung zu versehen, die mit einem  Gatterzeichen  „#“ eingeläutet werden. Dann reicht es, für eine schnelle Hilfe diese Abkürzung zu kommunizieren. Das kann auch am Telefon klappen, ohne dass man dann Mails etc. austauschen müsste.


Ich hoffe, dass dieser „Trick“ den Helfenden und Hilfesuchenden etwas Zeit spart. Auch Suchdienste sollten mit etwas Glück und natürlich bei korrekter Eingabe der Bezeichnungen und z.B „vrkennung.de“ zu einem schnelleren Sucherfolg führen.

  
 
  
    


            
                        
              

  
  

    

          

    

      
Erpressung/Ransomware: Lasst, die ihr kein Backup macht, alle Hoffnung fahren!

      
    
        by Leave a Comment      

    

  

  
  
	
	  	  
Lasst, die ihr eintretet, alle Hoffnung fahren!


Frei nach Dante Allighieri kann man das vermutlich allen Opfern der neuesten Variante der Teslacrypt Ransomware raten, die keine Backups haben oder sonstige Datensicherung betreiben. Wenn die Programmierer nichts falsch gemacht haben, ist diese Verschlüsselung nicht zu knacken. Die Verschlüsselungsstärke RSA 2048 spielt dabei auf einem ähnlichen Niveau wie die aktuelle FinTS/HBCI-Signatur Verschlüsselung, das aber nur am Rande.


Was ist Ransomware? Erpressersoftware. Die mir hier am Wochenende präsentierte Variante verschlüsselt sämtliche Dateien des Ordners „Eigene Dateien“ mit einer fast perfekten, nach heutigem Stand meines Wissens nicht dechiffrierbaren Verschlüsselung. Die Opfer erhalten die Dateien vermutlich nur zurück, wenn sie das Lösegeld bezahlen – wenn überhaupt. Die wichtigsten Dateien werden dabei mit dem geheimen Schlüssel der Erpresser chiffriert, die Dateien anschließend mit der Endung vvv (in diesem Fall) umbenannt, dazu gibt es für jede Datei eine ausführliche Erläuterung, was passiert ist und eine Anleitung, wie man zu bezahlen hat.


Dies Beispiel aus dem echten Leben zeigt, wie essentiell Datensicherungen und ein passendes Backup-Konzept sind, wenn einem die eigenen Daten lieb sind. Sofern man nicht plant, die Erpresser mit virtuellem Geld (Bitcoins) zu versorgen, sofern diese überhaupt das Versprechen einlösen, die Dateien nach Zahlung wieder zu rekonstruieren, sollte man vorher für Backups gesorgt haben. Die Dateikopien dürfen dabei auch nicht auf einem permanent mit dem Rechner verbundenen Datenträger abgelegt sein, auch ein Dropbox oder sonstiger Cloud-Speicher ist nicht ausreichend sicher. In diesem konkreten Fall ist hier nämlich geschehen, dass sämtliche Dateien der Datensicherung auf der externen Festplatte mit verschlüsselt worden. Und das Opfer hatte eine aktuelle Antiviren-Software installiert…


Also mein dringender Rat: Regelmäßig die Datensicherungsmedien wechseln. Diese getrennt von Ort und Zeit aufbewahren. Mehr als ein, zwei Backups machen! Datenrücksicherungen testen und das Was-wäre-wenn-Spiel durchspielen! Denken Sie bei der Auswahl der Mittel an die Faulheit – an die eigene und an die der anderen in Ihrem Umfeld…


Die Datei Kassenbericht 2007 – 2015.xls zum Beispiel wurde hierzu:


how_recover+aog.html

how_recover+aog.txt

Kassenbericht 2007 – 2015.xls.vvv


Ransomware


Diese Leute wissen genau, was sie tun, ich zitiere hier die how_recover-Textdatei.

++++++==============================================================================================================+++++++======


NOT YOUR LANGUAGE? USE https://translate.google.com


What happened to your files ?

All of your files were protected by a strong encryption with RSA-2048.

More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)


What does this mean ?

This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,

it is the same thing as losing them forever, but with our help, you can restore them.


How did this happen ?

Specially for your PC was generated personal RSA2048 KEY, both public and private.

All your files were encrypted with the public key, which has been transferred to your computer via the Internet.

++++++==============================================================================================================+++++++======

Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.


What do I do ?

So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.

If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.


For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

1. http://alcov44uvcwkrend.softpay4562.com/…

2. http://alcov44uvcwkrend.paybtc798.com/…

3. http://alcov44uvcwkrend.btcpay435.com/…

4. https://alcov44uvcwkrend.onion.to/…


If for some reasons the addresses are not available, follow these steps:

1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en

2. After a successful installation, run the browser and wait for initialization.

3. Type in the address bar: alcov44uvcwkrend.onion/…

4. Follow the instructions on the site.


IMPORTANT INFORMATION:

Your personal pages:

http://alcov44uvcwkrend.softpay4562.com/…

http://alcov44uvcwkrend.paybtc798.com/…

http://alcov44uvcwkrend.btcpay435.com/…

https://alcov44uvcwkrend.onion.to/…

Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/…

Your personal identification number (if you open the site (or TOR-Browser’s) directly): […ersetzt…]
++++++==============================================================================================================+++++++======




Ergänzung (05.02.16):


Die Verschlüsselung mag beinahe perfekt sein, wenn der Schlüssel aber im System steckt, ist es so, als ob man ein Super-Sicherheitsschließsystem am Haus installiert – und den Zentralschlüssel dort im Schloss stecken lässt:


http://www.heise.de/security/artikel/TeslaCrypt-2-0-entschluesselt-3094987.html


Glück gehabt, heißt es da für die Betroffenen.

  
 
  
    


            
                        
              

  
  

    

          

    

      
FinTS/HBCI mit PIN & TAN: Hashwert Datei ist nicht gültig

      
    
        by Leave a Comment      

    

  

  
  
	
	  	  
Meldet Ihr Programm, dass die Hashwertdatei nicht mehr gültig sei, so fehlen nötige Updates innerhalb der Software oder das Programm selbst ist veraltet.


Konkret können seit dem 22.11. Kunden betroffen sein, die das PIN&TAN-Verfahren einsetzen und folgende Programme einsetzen:


    

  • VR-NetWorld Software

      

    • Version 4.x: Diese Version wird seit längerem nicht mehr gepflegt, ein Update auf die neue Version 6 ist dringend angeraten
      • 

    • Version 5.x: Updates sind noch min. bis Anfang 2016 verfügbar
      • 

    

    • 

  • Profi cash

      

    • Version 9.x ist seit mehr als 6 Jahren veraltet und kann nicht mehr eingesetzt werden
      • 

    • Version 10: Aktualisieren Sie auf Version 10.8
      • 

    

    • 

  • SFirm

      

    • 2.5: Aktualisieren Sie auf Patchlevel 25 und führen Sie alle Updates durch. Starten Sie ggf. mehrfach neu. Meines Wissens werden in Kürze keine Updates mehr angeboten, der Wechsel auf 3.x wird empfohlen
      • 

    • 3.x: Aktualisieren Sie auf den neuesten Stand, starten Sie ggf. mehrfach neu.
      • 

    

    • 



Die Hashtabellen sind teilweise innerhalb des Kernels „fest verdrahtet“ und es reicht dann nicht, die Zertifikate auszutauschen. Diese Hashwerttabellen sind nötig, um die Verschlüsselung der Bankserver prüfen zu können, sie dienen quasi als eine Art Personalausweis, der ja auch eine begrenzte Gültigkeit hat.