Tausch der FinTS/HBCI Chipkarte mit Signatur

by Leave a Comment
zuletzt aktualisiert: 07.01.2022
Suchwort #kartentausch

Aktuell Anfang 2022:
Die Fehlermeldung „Sperrung aufgrund zu vieler Falschsignaturen“ tritt auf, wenn nach dem Jahres- und Kartenwechsel noch mit einer alten Karte gearbeitet wird. Da die alte und neue Karte die gleiche Benutzerkennung, aber einen anderen Schlüssel haben, wird die neue Karte gesperrt. Die Karte ist nicht defekt, aber hier muss die Bank den Fehlerstatus löschen (Tipp für Kolleg*innen: FE 2070). Die Banksysteme erfüllen damit eine gesetzliche Anforderung (PSD2-Regulierung).

Mit dem genialen Chipcardmaster-Tool können Sie die Karte retten, wenn die Karte vorläufig gesperrt ist (3x falsche PIN) oder die Schlüsseleinreichung nicht funktioniert oder die Folgenummer der Karte fehlerhaft programmiert wurde.

https://vrkennung.de/?s=chipcardmaster&submit=Search

Die Fehlermeldung kann durchaus unterschiedlich sein. Es kann z.B. auch die Meldung: „Fehler bei der Authentifizierung der Chipkarte“ ausgegeben werden (hier im Beispiel Banking4).

 

Diese Anleitung ist für Karten mit Nutzung der Signatur gedacht (USB-Leser, kein TAN-Verfahren, Aufträge werden mit PIN-Eingabe am USB-Leser freigegeben).

Kartenleser_120Beim Tausch der FinTS/HBCI-Kartengeneration muss die Software erkennen, dass die Karte neu ist und den neuen Schlüssel bei der Bank anmelden.

In den meisten Programmen ist es daher am sichersten, die Karte neu einzulesen oder einen sogenannten Medienwechsel durchzuführen.

gluehbirneSie machen keinen Fehler, wenn Sie die Karte erst neu in Ihrer Software anmelden, die Bankzuordnung zu den Konten vornehmen und den Zugang der alten Karte löschen. Erstellen Sie vorher immer ein Backup.

Einige detailliertere Anleitungen finden Sie am Ende dieser Seite.

 

Achtung, ein Fehler in einigen Programmen macht die Karten unbrauchbar!

Sie sind eventuell betroffen, wenn Sie die Fehlermeldung „Kundenschlüssel nicht mehr gültig“ erhalten. Lesen Sie hier.

 

Wichtig
Erstellen Sie aber immer eine Datensicherung Ihrer Datenbestände vor Änderungen an Ihren Zugängen.
In jedem Fall ist die PIN neu, behalten Sie also unbedingt Ihren PIN (bis zur Änderung) und erst Recht Ihren PUK-Brief!

Die Einreichung eines INI-Briefes ist nicht nötig bei Karten, die Ihren Namen tragen (RDH7-Karten), auch wenn Ihre Software dies anbietet. (Info zur basic-Karte, Info zur personalisierten Karte)
Wenn die Karte in der Bank freigeschaltet wurde, ist die Karte sofort einsatzfähig.

Die Eintragung und Ergänzung einer Kunden-ID (VR-NetKey/VR-Kennung) ist nicht nötig, sollte Ihre Software auf dem Inhalt eines zweiten Feldes bestehen, dann tragen Sie einfach die Benutzerkennung ein.

Die schnelle Hilfe zur Neueinrichtung:

  1. erledigen Sie rechtzeitig vor dem Umstellungstermin noch offene Aufträge
  2. Datensicherung (Backup) erstellen
  3. Je nach Software: Anmelden mit den richtigen Berechtigungen (Profi cash Benutzer)
  4. Menü zur Bankzugangseinrichtung: Neuen Bankkontakt anlegen oder Zugangswechsel/Medienwechsel
  5. Chipkarte auslesen (falls gefragt wird: Die Karte hat RDH-7, HBCI-Version FinTS 3.0)
  6. ggf. Kontozuordnung und Funktion prüfen
  7. alten Bankzugang ggf. löschen
  8. PIN der neuen Karte ändern

Bei Fehlern:

Bei PIN-Fehlern: Sie können nicht Ihre alte PIN verwenden, die Karte hat eine neue. Sie erhalten einen PIN-Brief und einen PUK-Brief, um die Karte wieder reparieren zu können.

Fehlen Konten, gibt es z.B. Berechtigungsfehler, dann prüfen Sie zuerst, ob die neue Karte bei allen Ihren Konten richtig eingetragen ist. Das Feld Benutzerkennung (672..) darf nicht geändert sein. Vergleichen Sie auch die BLZ etc.

Stimmt hier alles, müssen Sie mit Ihrer Bank sprechen. Notieren Sie sich den Fehlertext (die Nummern reichen nicht!) aus dem Protokoll und bitten Sie den/die Ansprechpartner*in, die Karte auf Freigabe zu prüfen und ob SB-Verträge richtig mit der Karte verbunden ist und keine Kontenausschlüsse die Nutzung blockieren.
„Kundenschlüssel ist nicht mehr gültig (SCA 9330)“: Diese Fehlermeldung deutet darauf hin, dass die Benutzerkennung der alten Karte verwendet wurde oder dass Ihre Software einen Fehler hat. Lesen Sie bitte die Hinweise und Anleitungen durch. (siehe oben).

Alf Banco: In einer key.ini wird anscheinend die Benutzerkennung gespeichert. Benennen Sie die key.ini um, sie wird neu angelegt. Sprechen Sie mit dem Support.

detailliertere Anleitungen für den Kartentausch:

Änderungen bei SEPA Lastschriften ab 21. November 2016

by Leave a Comment

kalender_21_3dZum 21.November 2016 entfällt die bisher in Deutschland und Österreich genutzte Euro-Eil-Lastschrift (COR1) im Interbankenverkehr, weil die Vorlagefrist einer „normalen“ CORE Lastschrift für alle Sequenzen im ganzen SEPA-Raum nur noch 1 Tag (D-1) beträgt. Auch die Sequenzen (erstmalig, wiederholter Einzug..) entfallen in den Übertragungen zwischen den Zahlungsdienstleistern. Bei nahezu allen Banken ändern sich dadurch auch die Einreichungsfristen und verkürzen sich entsprechend.

Die Verarbeitung wird dadurch für alle Beteiligten einfacher, die komplexen Berechnungen und die Aufsplittung in diverse „sortenreine“ Pakete kann entfallen.

Da vermutlich nicht alle Programme direkt zum Starttermin umgestellt und aktualisiert sein werden, wird zumindest bei den genossenschaftlichen Banken eine Konvertierung der überflüssig gewordenen COR1-Aufträge erfolgen, d.h. die Aufträge können vorerst noch in den alten Formaten erfolgen.

Das heißt aber nicht, dass die Fälligkeiten in den Banksystemen verändert werden – diese sind mit den Zahlungspflichtigen vereinbart worden. Der beauftragte Termin bleibt bestehen, nur das Format der Datenübertragung und der Termin der spätest möglichen Einreichung wird geändert.

Updates?

Es ist trotz allem sinnvoll, sich zu vergewissern, ob die eingesetzte Software mit den neuen Möglichkeiten umgehen kann, weil z.B. Termine anders verwaltet und kommuniziert werden können/müssen oder Einzüge aus dem Ausland nicht mit verkürzter Einreichungszeit möglich sind.

Da auch die Aufsplittung in unterschiedliche Pakete entfallen kann, können mehr Buchungen in Sammelbuchungen zusammengefasst werden, was Kontokosten sparen kann. Manuell kann man dies durch Umstellen auch der erstmaligen Buchungen auf „wiederkehrend“ (RCUR) erreichen.

In Kurzform:

  • Vorlagefrist generell nur noch 1 Tag im ganzen SEPA-Raum
  • Der Unterschied zwischen erstmaligem (FRST) und wiederholtem Einzug (RCUR) entfällt
  • Euro-Eil-Lastschriften (COR1) entfallen
  • Genobanken und die meisten Sparkassen konvertieren
  • Fälligkeit bleibt erhalten
  • ggf. alle Aufträge auf wiederkehrend/RCUR einstellen.

Fehlermeldung: Erstlegitimation ist über mobileTAN-Verfahren nicht möglich

by 2 Comments

veraltet, da mobileTAN per SMS längst abgeschaltet ist.

Wenn Sie bei der Erstanmeldung folgende Fehlermeldung erhalten:

Eine Erstlegitimation ist über das mobile TAN-Verfahren nicht möglich, bitte wenden Sie sich an Ihre Bank.

müssen Sie sich an einem Desktop-System oder mit einem anderen Browser anmelden. Der Bankrechner identifiziert Ihren Computer als mobiles System, also z.B. als  Smartphone, und deshalb darf kein MobileTAN genutzt werden und die TAN ist für die Änderung der Start-PIN notwendig.

Diese Vorsichtsmaßnahme ist keine Schikane, sondern eine notwendige Sicherheitsmaßnahme. Sie ist vorgeschrieben, um die Trennung vom SMS-Medium zum verwendeten Gerät sicherzustellen. Der Bankrechner kann aber leider nicht erkennen, wohin die SMS verschickt wird, deshalb bringt es auch nichts auf ein anderes Mobilgerät auszuweichen, um die Trennung zu ermöglichen.

Sollten Sie sich nicht mit einem mobilen Browser anmelden, wird Ihr Browser als mobiler Browser erkannt. Starten Sie den Browser mit den Standard-Einstellungen und ohne Erweiterungen.

Wenn Sie kein mobiles Gerät verwenden:
Browser können sich als mobile Versionen „ausgeben“. Das hilft z.B. Webentwicklern beim Optimieren ihrer Webseiten für mobile Geräte. Prüfen Sie, ob Ihr Browser eventuell als Mobilbrowser konfiguriert ist und setzen Sie ihn ggf. auf die Standardeinstellungen zurück.

 

Falsches Sicherheitsverständnis – Seiteninhalte sind manipulierbar

by Leave a Comment

Ich staune regelmäßig darüber, das offensichtlich sehr viele Menschen glauben, Internetseiten seien automatisch authentisch, nur weil die Inhalte von einer Bank stammen oder weil die Verbindungen verschlüsselt sind.sven222-mechanic-pirate

Das ist nun mal nicht so, die Inhalte werden von einem Computerprogramm, dem Browser, angezeigt. Und was der Browser anzeigt, kann auch einfach manipuliert werden. Ist der Browser einmal „gehackt“, ist nichts darin mehr sicher.

Ich zeige das mal an einem kleinen Beispiel, löse damit ein „Problem“, das mich schon länger ärgert und demonstriere damit, was ich meine.

Unser Rechenzentrum kriegt es seit Jahren nicht hin, geschlechtsneutrale Bezeichnungen in den (Online-)Formularen und im Internet zu verwenden. Nun, dem kann einfach abgeholfen werden.

Ich möchte z.B. im Postkorb nicht mehr „Absender“ stehen haben, weil mir durchaus auch Kolleginnen Nachrichten zusenden.

Ich besorge mir ein geeignetes Plugin für den Browser Firefox: FoxReplace und installiere es.

addon_page

Die Bedienung ist kinderleicht, ich trage die URL ein, also die Adresse unseres Onlinebankings und erstelle eine Tabelle der zu ersetzenden Wörter.

fox_replace

Theoretisch könnte ich nicht nur die Textausgabe verändern, sondern sogar die Eingabe. Also z.B. aus  10,00 Euro 1000,00 Euro machen.

Voila, nach einem Neustart der Seite ist aus männlichen „Absender“ das gewünschte „AbsenderIn“ geworden. Ich könnte natürlich auch „Absender /-in“ wählen, das wäre mir zu lästig oder „gesendet von“.

Natürlich lässt sich damit viel Schabernack treiben, aber ich denke, das Fazit des alten Credos ist klar geworden:

Trau, schau, wem!

Also: Prüfe, wem du glauben kannst! Der Browser gehört nicht dazu – im Zweifelsfall, bevor ein Vertrag eingegangen wird, bevor Geld überwiesen wird oder Kreditkartendaten geprüft werden, muss man 100%ig sichergehen, dass die Informationsbasis wirklich stimmt. Nur weil es im Web steht, ist es nicht automatisch wahr.

Konkret zum Onlinebanking:
Wenn der Browser zum einem Test auffordert: Das stammt nicht von der Bank! Diese Aufforderung stammt mit Sicherheit von einer Betrugssoftware! So eine kann monatelang im Hintergrund auf dem Rechner inaktiv schlummer, bevor sie aktiv wird. Es gibt viele Programme, die auch der aktuellste Virenscanner nicht entdeckt!

Ergänzung 18.10.2016: Skype-Erweiterung ändert Inhalte und stört Funktionen im Onlinebanking.

 

Browser-Banking: Security Programme mit Zertifikatsprüfung

by Leave a Comment

Schloss-goldDie Zertifikate einer verschlüsselten Internetseite sind wie elektronische Ausweise – sie ermöglichen uns Menschen die Prüfung, ob wir auch mit der gewünschten Internetseite verbunden sind. Denn die Zeiten, dass Betrüger selbst nur unverschlüsselt arbeiten, sind schon lange vorbei.

Genaugenommen muss man sich also bei jedem Besuch einer Webseite den „Ausweis“ und den Fingerprint der Seite zeigen lassen – das wäre ganz schön lästig (eine Zahlungsverkehrssoftware macht dies automatisch).

Ein Sicherheitsprogramm kann diese Aufgabe übernehmen, sie kennt die meisten Zertifikate bereits und prüft diese auf Korrektheit. Dumm nur, wenn die Zertifikate aktualisiert werden, die Datenbank in der Sicherheitssoftware aber nicht auf dem aktuellen Stand ist und dann Warnmeldungen fürVerwirrung und Verunsicherung sorgen.

Für Panik gibt es – meistens – keinen Grund, man muss aber genau hinsehen. Die Verschlüsselung ist ja nicht gefährdet, sie ist genausogut abgesichert, wie vorher. Nur der Ausweis des Servers oder der Seite ist so neu, dass der „Türsteher“, die Sicherheitssoftware, hier etwas Hilfe benötigt.

fingerprintIn diesem Fall muss man das Zertifikat manuell prüfen: Stimmt der Aussteller und der Fingerprint mit dem Unternehmen überein? Hat man dies erledigt, kann man das Zertifikat auch der Security-Software als „in Ordnung“ kennzeichnen, damit man dies nicht permanent machen muss.

Wie man dies im Browser macht, habe ich hier beschrieben. Die Zertifikatsinformationen sollte man bei einer Bank in den Sicherheitsinformationen nachlesen können.

Einige Security-Suiten bieten die Möglichkeit, über eine Ausnahmeregel das bisher unbekannte Zertifikat zu bestätigen, andere möchten das kollektive Wissen der User anzapfen und freuen sich über eine Bestätigung über die Webseite. Leider sind die Möglichkeiten zu unterschiedlich und die Varianten zu vielfältig, als dass ich diese hier alle auflisten könnte.

Wichtig! Ein korrektes Zertifikat schützt nicht vor durch Schadsoftware manipulierte Inhalte. Wenn sich beispielsweise ein Schadprogramm bereits im Browser eingenistet hat, stammt der Inhalt des Browsers nicht mehr unbedingt von der Bank oder dem Server, sondern der Inhalt könnte komplett von Betrügern manipuliert sein. Security-Programme sollen die Manipulation zwar verhindern, einen 100%igen Schutz gibt es aber auch bei den besten Schutzprogrammen nicht. Aufmerksam zu sein ist also auch hier nötig. Ein Airbag schafft zwar mehr Sicherheit, kann aber keine Unfälle verhindern.

Profi cash Fehler bei Move

by Leave a Comment

Quelle: EBL-Forum 21.12.2011

Mögliche Ursache #1:
Absturz während der Datenübertragung

Nach einem Absturz kann  ein bereits verarbeiteter ZV-Job noch in der Datenübertragung stehen und muss gelöscht werden. Das funktioniert nicht und Profi cash bringt die Meldung „Fehler bei move“.

0) alle anderen Benutzer sollen das Programm verlassen

1) frische Datensicherung erzeugen (Datei, Datensicherung).

2) Das Datenverzeichnis finden (steht in der wpc.ini, die man als master unter Stammdaten/Firmenkonfiguration bearbeiten kann).

3) per Windows-Datei Explorer im Datenverzeichnis nach Dateien mit der Endung *.SEL suchen und diese löschen

4) Firma reorganisieren  (Datei, Firma reorganisieren).

Mögliche Ursache #2:
Sonder- oder Leerzeichen im Kontokürzel:

Im Kontokürzel darf kein Sonderzeichen stehen und kein Leerzeichen am Anfang. Mit entsprechenden Rechten, ggf. als „master“ anmelden, dann „Stammdaten“, „Konten Auftraggeber“ aufsuchen. Rechts auf „Ändern“ klicken und die Bezeichnung anpassen.

 

GLS eBank und EBICS: Auftrag eines Service-Rechenzentrums unterschreiben

by Leave a Comment

So können Sie Buchungen eines Service-Rechenzentrums (SRZ) mit der EBICS-Schnittstelle freigeben. Dieses Verfahren wird häufig für Gehaltsbuchungen oder zentrale Abrechnungen genutzt, z.B. von der DATEV, Landdata, etc.

Voraussetzungen ist eine Freigabe Ihres Zugangs für die sogenannte „Verteilte elektronische Unterschrift“, abgekürzt VEU.

Es kann damit die mittelalterliche Freigabe per Begleitzettel ersetzen. Die Freigabe von Buchungen bei gemeinschaftlicher Verfügung (A, B-Vollmachten) ist damit genauso möglich.

GLS_eBank_EBICS_VEU_01_Menue GLS_eBank_EBICS_VEU_02a_Bestandsdaten_abrufen GLS_eBank_EBICS_VEU_02b_Bestandsdaten_abrufen GLS_eBank_EBICS_VEU_02c_Bestandsdaten_EBICS_PW GLS_eBank_EBICS_VEU_02d_Bestandsdaten_EBICS_Dagtenuebertragung GLS_eBank_EBICS_VEU_03a_Datenbestand GLS_eBank_EBICS_VEU_03b_Datenbestand GLS_eBank_EBICS_VEU_04_Datenbestand _anzeige GLS_eBank_EBICS_VEU_04b_Datenbestand _menue GLS_eBank_EBICS_VEU_05_Datenbestand _Einzelinfo GLS_eBank_EBICS_VEU_06a_Unterschrift GLS_eBank_EBICS_VEU_06b_Unterschrift_DFUE GLS_eBank_EBICS_VEU_06c_Unterschrift_erfolgreich GLS_eBank_EBICS_VEU_06d_Unterschrift_Druck

App stiehlt PDF-Kontoauszüge? Postkorb vs Abholung GLS mBank und Banking4

by 6 Comments
Suchabkürzung: #AppPDF
xGAD Banken, zuletzt geändert: 11.12.2019

Mit Umstellung auf das neue System ist dieser Artikel eigentlich obsolet, weil die Kontoauszugserstellung nicht mehr „außer der Reihe“ erfolgen kann. Der Auszug kann im Postfach bleiben, die Software holt sich die Datei lediglich. Trotzdem kann es als Erklärung wichtig sein, die Zusammenhänge zu kennen und ggf. die Dokumente zu sichern.

Hier geht es mit dem alten Artikel weiter

Natürlich ist der Titel Unsinn, von „stehlen“ kann keine Rede sein, denn die Auszüge sind ja nicht wirklich weg. Aber der erste Eindruck ist halt genauso, wie mir eine Kundin lachend im Gespräch mitteilte, nachdem wir die Umstände geklärt hatten. Wo Sie die fehlenden Daten finden können, lesen Sie übrigens ganz unten.

Tatsächlich scheinen Kontoauszüge aus dem Postkorb zu verschwinden, weil es bei den Banken mit Rechenzentrum exGAD möglich ist, „außer der Reihe“ Kontoauszüge anzufordern. Das ist eigentlich ein gut gemeintes Feature, weil es einem ermöglicht, trotz Postkorbnutzung einen womöglich dringend benötigten Zwischenauszug anzufordern. Leider erkennen auch Apps und Programme die Freischaltung elektronischer Auszüge und schalten dieses Feature manchmal ohne Rückfrage aktiv und holen sich je nach Einstellung die Auszüge bei jedem Abruf ab. Die App „weiß“ ja nichts von der automatischen Zustellung.

Da es nur einen Originalauszug geben kann, kann der Postkorbdienst am Monatsende nur noch den Rest der Umsatzdaten in die PDF einstellen. So scheinen dort nur unvollständige Auszüge vorhanden zu sein und die Auszugs-Nummern haben Lücken.

Die „Zwischenauszüge“ findet man also in der App oder Anwendung oder man kann sie auch als Ersatz-PDF im Onlinebanking abrufen, aber Achtung: Im Onlinebanking sind sie nur 3-6 Monate vorhanden im Gegensatz zu den Postkorbauszügen.

So schaltet man die Funktion in GLS mBank (entsprechend subsembly Banking4i bzw. Banking4A) ab. Die Anleitung für iOS, also Banking4i und die entsprechende GLS mBank iPhone App steht unten im Kommentar).

Der Prozess hat sich seit dem Update geändert.

Wählen Sie in der Kontoübersicht das gewünschte Konto mit einem laaaaangen Fingerdruck an oder tippen Sie auf das Kontoinfo-Symbol rechts.

Im nächsten Bild sehen Sie sehr präsent den QR-Code Ihres Kontos und weitere Kontoinformationen.

Wählen Sie unten über das „Zahnradsymbol“ die Kontoeinstellungen.

Wählen Sie „Rundruf“.

Deaktivieren Sie die elektronische Auszüge, wenn Sie die Funktion abschalten wollen, bei der Postkorbnutzung halte ich das für sinnvoller.

Wenn Sie den Abruf-Zyklus umstellen wollen:

Prüfen Sie die Einträge zu E-Kontoauszüge, vermutlich steht die Einstellung auf immer.

Wählen Sie hier die gewünschte Einstellung für E-Kontoauszüge, für Postkorb-Konten halte ich die Abschaltung für die einzig vernünftige Option (siehe oben) und wählen Sie oben „Speichern“.

Die Steuerung können Sie nur beeinflussen, wenn E-Kontoauszüge aktiviert sind (siehe oben).

Lesen Sie hier: Wo legt GLS mBank/Banking4i oder Banking4A die PDF-Dateien ab?

FinTS/HBCI mit Chipkarte: Kartenleser wird nicht erkannt oder abgemeldet

by Leave a Comment

Dieser Beitrag ist eher eine Gedächtnisstütze für mich selbst, aber womöglich hilft er anderen ja auch.

Es geht um die Probleme von Chipkartenlesern, die per USB an den Rechner angeschlossen werden.

„Früher“ wurden diese Leser meist per CTAPI-Schnittstelle angesprochen, diese hat sich aber inzwischen geändert.

Aktuelle Kartenleser laufen wohl nun nicht mehr direkt mit CTAPI-Treibern, sondern die Befehle werden meines Wissens seit einigen Jahren über den Treiber der PC/SC-Schnittstelle simuliert. Viele ZV-Programme (z.B. Profi cash und die VR-NetWorld Software) bieten den Wechsel auf PC/SC inzwischen an.
Anscheinend haben die letzten  von Microsoft verteilten Updates bei einigen Usern für neue Schwierigkeiten gesorgt.

Kartenleser integrieren sich häufig in die Anmeldung am Rechner und in Netzwerke. Offensichtlich versuchen auch einige Programme (DATEV?, Signatursorftware?, Fahrtenschreiber?) eine Art Alleinherrscheranspruch auf die Hardware auszuüben.

Banken können entsprechend bei der Einrichtung und Wartung kaum helfen und ich übernehme auch keine Haftung für die Richtigkeit und „Folgeschäden“.

Ich empfehle daher jedem, der sich hier überfordert fühlt und auf größere Probleme stößt, mit einem Fachmenschen zu sprechen, der Ahnung von Hardware und Treibern hat. Ich werde hier an eine Art Link- und Tippliste arbeiten, um Material für Recherchen und Diagnosen zusammenzustellen. Alle Angaben ohne Gewähr und Anwendung auf eigene Gefahr:

http://www.onlinebanking-forum.de/forum/topic.php?t=20296

Das folgende funktioniert nicht bei allen Systemen und sollte nur durchgeführt werden, wenn keine Geräte für die Anmeldung verwendet werden:

Startsymbol meist unten links:
Ausführen gpedit.msc eingeben und bestätigen
Computerkonfiguation
Administrative Vorlagen
Windows-Komponenten
Smartcard
Smartcard-Plug & Play Dienst deaktivieren.

Quelle und den weiteren Tipp, dies als Admin durchzuführen:

http://www.onlinebanking-forum.de/forum/topic.php?t=20296