FinTS/HBCI mit Chipkarte: Zähler abgelaufen: RetCode:[6984]

by Leave a Comment

Fehlermeldung bei der Nutzung der FinTS/HBCI-Chipkarte:

Signieren fehlgeschlagen.

RetCode:[6984] :Command not allowed (further qualification in SW2, see table 17) ::Referenced data invalidated

Die FinTS-HBCI-Chipkarte hat einen Zähler, der jeden Auftrag unterschreibt und der im Rechenzentrum geprüft wird. Die Zahl der Aufträge ist begrenzt und damit die Lebensdauer der Karte. Meiner Vermutung nach können 2¹⁶ Aufträge (16 Bit) signiert werden.

Bitte Aufträge nicht mit Buchungen verwechseln – Aufträge sind alle Transaktionen – das kann auch das Abholen von Umsatzdaten oder das Aktualisieren von Daueraufträgen, etc. sein. Bei mehreren Konten können schnell zig Aufträge pro Aktualisierungsvorgang zusammen kommen.

Meines Wissens kann der Chip in diesem Fall nicht zurückgesetzt werden und die Karte muss ausgewechselt werden.

Sollte jemand wissen, wie der Zählerstand des Chips ausgelesen werden kann, würde ich mich über eine Nachricht oder einen Kommentar freuen. Ein denkbares Tool dafür wäre der Chipcard master vom Chipkarten- und Sicherheitspapst Dr. Olaf Jacobsen.

Alf Banco: Chipkarte austauschen

by 2 Comments
(Stand, 04.01.2021)
Suchwort: #ALFKartentausch

 

Alf-BanCo: Wie Sie die Chipkarte wechseln (für GenoBanken an der Fiducia-GAD IT AG).

Das Menü zur Verwaltung der Bankzugangsdaten finden Sie oben unter „Verwalten“, „Konten“ und dort unter „Zugänge / Medien“.

01 Alf Banco Zugang aendern Menue

 

Wählen Sie in der Liste das zu ändernde Medium aus und klicken Sie in die Menüzeile ganz am unteren Bildrand auf „Ändern“.

02 Alf Banco unten Zugang aendern

 

Das Feld „Benutzerkennung“ darf nicht geändert werden. Wählen Sie oben rechts den Button „Medium ändern“ aus und lassen Sie sich durch den Assistenten führen.

An dieser Stelle fehlen mir leider die Hardcopys. Die VR-Kennung muss nicht mehr ergänzt werden.

Speichern Sie die Änderungen mit Klick auf OK.

 

Wählen Sie anschließend unten am Bildrand unter „Mehr“ im aufklappenden Menü die Synchronisierung Ihres Zuganges.

04 Alf Banco synchronisieren

Alf Banco fragt SIe nach Chipkarte und nach PIN oder Signaturdatei bzw. Chipkarte. Lassen Sie sich durch den Assistenten führen.

 

ddbac-Programme: neue Chipkarten einrichten oder tauschen

by 8 Comments
Suchwort: #ddbacKartenw
letzte Änderung: 07.12.2020

KartenleserAuf dieser Seite geht es um die Neu-Einrichtung oder den Tausch auf eine vorpersonalisierte FinTS/HBCI-Chipkarte in Zahlungsverkehrs-Programmen, die auf einem ddbac-Kernel basieren. Vorpersonalisierte Chipkarten erkennen Sie am aufgedruckten Namen der/des KarteninhaberIn. Auf ddbac basierende Programme sind u.a. GLS eBank, windata, Lexware, Wiso

Wie die Einrichtung/Umstellung funktioniert, zeige ich am Windata-Programm exemplarisch, dies ist aber bei allen Programmen mit ddbac-Schnittstelle (b+s, ehemals Datadesign) ähnlich.

Lassen Sie sich durch die lange Anleitung nicht erschrecken: Die Einrichtung dauert nur wenige Minuten.

Wichtig: Datensicherung
Bevor Sie etwas ändern, sichern Sie Ihre Daten. In GLS eBank/windata finden Sie die Datensicherung im linken Menü unter „Datenbanken“.

Zur Nutzung einer neuen personalisierten Chipkarte, egal ob Sie eine alte Karte austauschen oder einen komplett neuen FinTS/HBCI-Zugang einrichten möchten, benötigen Sie immer folgendes:

  • Ihre neue Chipkarte
  • PIN- und PUK-Brief (ganz oben ist mittig aufgedruckt, was im Brief steckt)
  • aktuellen Kartenleser (vergleichen Sie die Version mit der Herstellerangabe)
  • aktuelle Zahlungsverkehrssoftware

Besonderheit: Komplette Neuinstallation GLS eBank - Assistent
Der Start des Einrichtungs-Assistenten erfolgt bei einer kompletten Neuinstallation automatisch, wenn Sie im Programm noch keine Bankkontakte angelegt haben.

windata_rdhneu_00_Assistent

Menue_StammdatenGLS eBank/windata:

Das Menü zur Verwaltung der Bankkontakte finden Sie im linken Menüstreifen unter „Stammdaten / Administrator für HBCI (FinTS).

Bei anderen Programmen suchen Sie bitte die Einrichtung über die Bankkontakte oder HBCI-Zugangsverwaltung.

In Quicken/Lexware finden Sie das Menü in der Kontoübersicht unter „Online-Konten“. Klicken Sie mit der rechten Maustaste öffnet das Kontextmenü, hier bitte „Konto ändern“ mit linker Maustaste auswählen. Wählen Sie den Karteireiter „Zugangsdaten“ an und klicken Sie auf den Button „ändern“.

In Wiso mein Geld klicken Sie links im Menü auf „Konten“ und wählen das Konto an und anschließend das Icon Online-Verwaltung im oberen Menüband. Klicken Sie dann auf „Administration“ und rechts dann auf „HBCI Kontaktübersicht.“ (Wie der Weg zu finden ist, sehen Sie >>>hier<<<). In Wiso mein Verein finden Sie die Verwaltung in der Windows-Systemsteuerung unter „Homebanking-Kontakte“.

Austausch, Umstellung eines alten Zugangs
Haben Sie einen alten Bankzugang eingerichtet, dann sollten Sie diesen zuerst löschen, weil Sie dann den gleichen Bank-Kontaktnamen vergeben und die gleiche Kennung nutzen können. Kontodaten gehen nicht verloren, die Verwaltung ist unabhängig von den Kontodaten.

Markieren Sie den Eintrag  (1) und klicken Sie anschließend unten auf den Button „Entfernen“.

ddbac_chipkartentausch_Kontakt_loeschen

Klicken Sie anschließend im Menü auf den Button „Neu“.

windata_rdhneu_01b_ddbac

windata_rdhneu_02_experten_BLZ

Der Expertenmodus ist bei neuen Karten nicht nötig.

Die Bankleitzahl wird im nächsten Dialog abgefragt. Tragen Sie diese ein und klicken Sie anschließend auf „Weiter“, es wird der Name des Kreditinstitutes ergänzt. Sollte die BLZ nicht erkannt und kein Bankname ergänzt werden, prüfen Sie Ihre Eingabe.

Der Expertenmodus ist selten nötig. Sie müssen diesen Zugang nur auswählen, wenn Sie keinen Erfolg bei der Einrichtung hatten und bei einem vorherigen Versuch etwas schiefgegangen ist. Beim Expertenmodus werden mehr Daten abgefragt. Setzen Sie auch den Haken bei Proxy-Server nur, wenn Sie wirklich einen Proxy-Server einsetzen. Dies können Sie in den Internet-Optionen in der Systemsteuerung sehen. Klicken Sie auf „Weiter“ um mit der Einrichtung fortzufahren.

 

windata_rdhneu_02a_BPD_abruf
Das Programm prüft die Bankdaten und bietet die möglichen Zugänge an. Funktioniert der Abruf nicht, liegt es meist an einer fehlerhaften Verschlüsselung des Windows-Systems. Ddbac-Programme verlassen sich auf die Verschlüsselung des Betriebssystems, dieses muss aktuell sein. Klicken Sie nach der Prüfung auf „Weiter“.

ddbac_chipkartentausch_03_Auswahl

Wählen Sie „Chipkarte“ aus, stecken Sie die Chipkarte ein und klicken Sie auf „Weiter“. Die personalisierten Karten haben keine Transport-PIN, sondern eine sogenannte „Wirk-PIN“, die nicht sofort geändert werden muss (PIN-Änderung am Ende dieser Seite). Sie können hier direkt auf „Weiter“ klicken. Achten Sie darauf, dass die „Sichere PIN-Eingabe“ aktiviert ist, damit die Tastatur des Kartenlesers benutzt wird. Die PIN entnehmen Sie dem PIN-Brief, das Feld sollten Sie spätestens jetzt aufgerubbelt haben.

ddbac_chipkartentausch_04b_Dialog_Kartenleser

Der Dialog mit dem Kartenleser wird geführt. Stecken Sie jetzt die neue Karte ein.

Reiner_Kartenleser_PIN-Abfrage

Nur im Expertenmodus:
Die FinTS-Version (3.0) und die Serveradresse (fints1.atruvia.de oder fints2.atruvia.de) sollten richtig voreingestellt sein. Die personalisierte Chipkarte mit eingelasertem Namen nutzt die RDH-7 Verschlüsselung.

Wenn Sie während der Datenübertragung Fehlermeldungen erhalten: Die Adresse fints1.atruvia.de (Südliche Banken fints2.atruvia.de) und den Port 3000 müssen Sie ggf. in Ihrer Firewall oder Router freigeben.

Markieren Sie den mit der Benutzerkennung vorausgefüllten ersten Platz der Karte.

ddbac_chipkartentausch_05_Auswahl-Kennung

und klicken Sie auf „Weiter“.

Die Erfassung der VR-Kennung oder eines VR-NetKeys ist nicht (mehr) nötig, die Benutzerkennung reicht aus.

Die Kontaktbezeichnung können Sie frei vergeben. Sie sollte selbsterklärend sein, wenn Sie mit mehreren Zugängen oder Personen im Programm arbeiten. Je nach Version kann dies auch nach dem Abschluss kommen.

Hashwert bei unpersonalisierten Karten
Der Hashwert des öffentlichen Schlüssels der Bank wird nur bei unpersonalisierten Karten, den sogenannten „basic-Karten“ ohne Namensaufdruck angezeigt. Prüfen Sie in diesem Fall die Angaben mit dem von der Bank zu Verfügung gestellten Daten.

Nun wird der öffentlicher Schlüssel Ihrer Karte an die Bank geschickt, die Karte wird aktiviert.

ddbac_chipkartentausch_08_fertig

Nach Abschluss des Vorganges sollten neue Konten angezeigt werden, sofern diese noch nicht angelegt waren.

Zuordnung des Bankkontaktes

Je nach Software kann oder muss der neue Bankkontakt den Konten oder den Bankzugängen fest zugeordnet werden.

Menue_BankkontakteIn GLS eBank/windata finden Sie das Menü ebenfalls unter Stammdaten, Bankkontakte und auch in den Auftraggeberkonten.

Sie können hier festlegen, welche Bankzugänge zu einem Konto bevorzugt abgefragt werden sollen, damit die Abfrage nicht bei jedem Dialog erfolgen muss.

Ändern der Karten-PIN

Menue_StammdatenDie Änderung der Karten-PIN erfolgt im gleichen Menü wie die Kartenanlage.

In GLS eBank / windata wählen Sie dazu erneut „Stammdaten /Administrator für HBCI (FinTS)“ aus, wählen Sie den Bankkontakt aus und wählen Sie „Bearbeiten“. Die Menüs der anderen Programme finden Sie wie oben am Anfang der Anleitung beschrieben.

Wählen Sie im Menü rechts „PIN ändern“ aus.

Es muss der sichere PIN-Modus aktiviert sein. Brechen Sie andernfalls ab und stellen Sie unter „Extras“ den Kartenleser auf den sicheren Modus.

 

ddbac_Karten_PIN_aendern

Lassen Sie sich durch den Assistenten führen.

Beachten Sie dabei unbedingt die Anzeige im Display Ihres Kartenlesers. Sie müssen 1x die alte PIN eingeben und 2x die neue, 6 bis 8 Stellen lange PIN jeweils mit „OK“ bestätigen.

FinTS/HBCI: Keine Druckberechtigung bei elektronischen Kontoauszügen

by Leave a Comment

Die in der Überschrift genannte Fehlermeldung tritt auf, wenn der/die Bevollmächtigte keine ausreichende Berechtigung hat, die elektronischen Kontoauszüge (PDF) zu quittieren.

Die Quittierung wird von vielen Banken automatisch im Hintergrund beim Abholen generiert, trotzdem wird dazu aktuell mindestens eine Vollmacht der Berechtigung E, A, oder B benötigt.

Die N-Vollmacht, also die „Nur-Auskunfts-Berechtigung“ reicht nicht aus.

Neue Programmversionen: GLS eBank / Windata

by Leave a Comment

Die aktuelle Version von Windata bringt das Programm auf die Versionsnummer 8.0.7.42.

Hinweise und Änderungen im externen Link: wiki.windata-banking.de

genossenschaftliche Programme:
Profi cash: Version 10.7b
manuelle Updates für alle 10er Versionen (externer Link): https://www.fiduciagad.de

VR-NetWorld Software: Version 5.21 Build 12
manuelle Updates für 5.x Versionen (externer Link): https://www.fiduciagad.de

Teamviewer: Ältere Versionen

by Leave a Comment
Shortlink: #TV

Ältere Teamviewerversionen finden Sie hier

https://www.teamviewer.com/de/download/previous-versions/

 

Direkter Link zu Teamviewer 10 Quick Support

Die Quicksupport-Variante trägt sich nicht als Programm in die Startfunktionen des Systems ein, sie läuft auch von USB-Stick und ist nicht im Hintergrund aktiv.

Warum schreibe ich das hierhin?
Weil die Teamviewerwebseite sich häufiger geändert hat und ich einen einfachen Weg gesucht habe.

Sicherheit: FinTS/HBCI mit Signaturdatei

by Leave a Comment

FinTS/HBCI mit Signaturdatei ist sehr sicher und bequem, wenn eine ausreichend starke Verschlüsselung eingesetzt wird. Genossenschaftliche Banken verwenden nur noch RDH10 mit langen Schlüsseln. Die verwendete Verschlüsselungstechnik ist dokumentiert und veröffentlicht, es gibt auch einige open-Source Programme, die diese Technik unterstützen. Das ist nicht bei allen Banken so.

Alternativen
Die Chipkarte: Kann nicht kopiert werden und sperrt sich nach 3 maliger falscher PIN-Eingabe in Folge
PIN und TAN: Auftragskontrolle bei SmartTAN und mobileTAN und auch im Browser nutzbar

Potentielle Angreifer werden – so vermute ich –
a) entweder versuchen, die Onlinebanking-Software selbst zu unterwandern, also z.B. gefälschte Aufträge in das System hineinzubringen oder
b) in den Besitz der Signaturdatei und des dazugehörigen Passwortes zu kommen, um auf einem eigenen System zu arbeiten. Das verwendete Computersystem muss also gut abgesichert sein.
c) ein durchprobieren sämtlicher Passwörter halte ich bei guten Passwörtern für aussichtslos.

Ersteres würde sämtliche andere Verfahren im gleichen Maße treffen, weshalb dies von einigen Experten als das wahrscheinlichere angesehen wird. Mir erscheint das zweite Szenario aber als „einfacher“ zu programmieren. Zur Beruhigung: Bislang ist mir aber noch nie ein Angriff „von außen“ bekannt geworden. Betrugsversuche von Insidern sind allerdings vorgekommen.

Folgende Sicherheitsmaßnahmen sind unumgänglich:

  • die Signaturatei darf niemals in fremde Hände geraten
  • das dazugehörige Passwort darf ebenfalls niemals Dritten zugänglich werden

Viele denken bei ersterem Punkt an den USB-Stick oder an die Sicherheitsdatei und verwahren diese besonders sicher. Das ist richtig und gut so, aber womöglich zu kurz gedacht, die Sicherheitsdatei könnte ja auch unbemerkt kopiert werden. Auch der zweite Teil der Sicherheit, nämlich das zur Datei gehörige Passwort, muss vertraulich bleiben.

Die Gefahr: Passwörter könnten von sogenannten Keyloggern direkt bei der Tastatureingabe ausgelesen werden.

Lesen Sie hier weiter, was im Fall der Fälle zu tun ist

Microsoft SmartScreen Filter

by Leave a Comment

Was können Sie tun, wenn der SmartScreen-Filter vor einer aufgerufenen Website warnt, diese aber nicht unsicher ist?

Vorab: Sie sollten auf keinen Fall den Filter deaktivieren, wenn Sie den Microsoft Internet-Explorer oder Edge (Windows 10) benutzen.
Die Warnmeldung taucht bei unbekannten Seiten auf. Auf der Seite mit der Warnung können Sie diese Website als sichere Seite melden, wenn Sie sicher sind, dass die Adresse seriös ist. Tippen oder klicken Sie auf „Weitere Informationen“ und anschließend auf den Link „Melden“. Sie werden zur Microsoft-Feedback-Website weitergeleitet.

Folgen Sie dort den Anweisungen und teilen Sie hier Microsoft und der Welt mit, dass diese Website keine Bedrohungen enthält.

Mehr dazu bei Microsoft

Sie können auch den Betreiber der Seite darauf hinweisen, dass offensichtlich eine Falschmeldung existiert.

optische TAN ohne Optik: Softwareleser

by Leave a Comment

Die frustrierenden Leseprobleme sind auch bei den Herstellern nicht ungehört worden. Dort hat man sich gedacht: Warum den Umweg über unzuverlässige Optik und umständliche Tastatur gehen, wenn auch eine Software das Geflackere auslesen und an den Chip senden könnte?

Das ist das Konzept hinter der Software Tan Jack easy von Reiner SCT:

Die Software tanJack easy greift die beim Onlinebanking generierte Balkengrafik schon direkt im Rechner ab und sendet die anzuzeigenden und zu bestätigenden Transaktionsdaten via USB-Kabel an den angeschlossen Chipkartenleser. Dort werden die Daten wie zum Bespiel Empfängerkonto und Betrag im unabhängigen Display des Lesers angezeigt, nach der visuellen Prüfung durch den Benutzer, bestätigt dieser die Daten mit der OK-Taste am Leser. Danach wird in der Bank- bzw. SparkassenCard eine TAN erzeugt, die nur zur diesen Transaktionsdaten passt und verwendet werden kann. Nach einer weiteren Bestätigung wird die TAN automatisch zum Rechner gesendet, wo die TAN in das TAN-Feld Ihrer Onlinebanking-Anwendung kopiert werden kann. Das lästige Eintippen der TAN ist somit nicht mehr notwendig.<span class="su-quote-cite"><a href="http://www.reiner-sct.com/produkte/software/tanJackeasy" target="_blank">Reiner SCT über TAN Jack Easy</a></span>

Bisher war dieser Lösungsweg nur für zwei Secoder möglich und als GAD-Banker fragt man sich dann natürlich, warum man diesen Umweg beschreiten sollte, wo es doch seit Jahren die Secoderlösung mit Chip direkt für den Browser gibt. Die Lösung ist also eher was für Banken, die keine Chipkarte für HBCI oder Secoder anbieten wollen (z.B: Postbank, einige Sparkassen). Dabei vergisst man aber, dass die neue Welt mobil unterwegs ist, ein Secoder ist also für Smartphone und Co. auch für KundInnen von Genobanken nicht nutzbar.

Jetzt gibt es aber auch die >>Bluetooth-Lösung von Reiner SCT. Ein hochwertiger Leser verbindet sich per Bluetooth (mit Smartphone oder Tablett) oder USB-Kabel mit dem Computer und liest über die o.a. Optik problemlos und schnell das Flackerfeld aus. Das funktioniert im Browser genauso, wie im Zahlungsverkehrsprogramm.

Die obigen Texte mögen sich wie Werbung anhören – ich habe aber schon sehr lange auf diese Lösung für Power-User und Menschen mit exotischer Hardware gewartet und werde weder dafür bezahlt, noch wurde ich dazu angehalten hier etwas dazu zu schreiben. (Ich habe noch nicht einmal ein Testgerät von Reiner SCT bekommen…).

Der Nachteil: Es muss eine zusätzliche Software installiert werden. Auf Smartphone und Tablett eine geeignete App, für den PC eine Software zum Auslesen.

SmartTAN optic – sonstige Tipps

by Leave a Comment

Firefox testweise ohne evtl. störende Plugins starten
Wenn man Firefox startet, während die Shift-Taste („Umschalt-“ bzw. „Großschreib-Taste“) gedrückt ist, dann werden Plugins nicht aktiviert.

Verwenden Sie testweise einen anderen Browser
Sie nutzen Windows, verwenden aber nicht den Internet-Explorer? Diesen können Sie meist direkt in der Suchzeile mit dem Tastaturbefehl „iexplore“ ohne großen Suchaufwand starten. Sie müssen die Einstellungen des Flackerfeldes prüfen und ggf. anpassen.

optische TAN in Terminalserver-Sitzungen (Remote Desktop) oder Fernwartung:
Funktioniert wenig bis gar nicht, da die Videoübertragung vom Server zum Client zu langsam ist. Besser eine Browsersitzung auf dem Client nutzen. Testweise kann die Geschwindigkeit des Flackerfeldes sehr weit runter geregelt werden. Ansonsten bleibt die Tastaturerfassung.

Tremor (zitternde Hände)
Es ist an manchen Arbeitsplätzen ziemlich schwierig, die Hand lange still in der Luft zu halten. Wenn es möglich ist, kann man das Fenster soweit nach unten scrollen, dass es möglich ist, die Hand irgendwo abzustützen. Bei meinem Notebook z.B. kann ich den Leser direkt auf die Tastatur abstellen und dabei an den Bildschirm anzulehnen und scrolle einfach den Bildschirm unter den Leser…

Virenscan durchführen! Ein durch Viren verlangsamter oder manipulierter Rechner kann die Grafiken evtl. nicht mehr stabil erzeugen. Meine Empfehlung: das Scan-Tool von Malwarebytes.org runterladen und zusätzlich zum vorhandenen Virenscanner durchlaufen lassen und/oder den Safety Scanner von Microsoft verwenden. Malwarebytes.org wird insbesondere auch von T-Online zur Diagnose empfohlen, wenn vorhandene Virenscanner bereits von Schadsoftware unterwandert wurden. Leider kommt dies in letzter Zeit durchaus häufiger vor.

Kobil-Leser können manuell auf einen anderen Modus umgestellt werden, der empfindlicher auf den Flackercode reagiert (verbraucht aber etwas mehr Batterie-Strom). Wie das geht, steht unten, und in der Anleitung oder auf der Webseite von Kobil. Andere Hersteller haben angegeben, dass die Leser sich automatisch einstellen, bzw. dies zumindest versuchen.

Umstellung auf Lesermodus 2:
– Karte stecken, „MENU-Taste 2x drücken
„8“ „OK“
„2“ „OK“
zwei mal „6“ und mit „OK“ bestätigen.

Links zu einigen Hersteller-Seiten:
reiner-sct.de
Kobil
Vasco