SmartTAN optic: Leserversion

by 8 Comments

Falsche Version des Lesers: Es gibt verschiedene Versionen des TAN-Verfahrens bei den genossenschaftlichen Banken an der (ex)GAD. Die Versionen sind nur nach unten kompatibel, d.h. ein 1.4er Leser kann auch 1.3.2er TAN erzeugen.

Aber: Seit Umstellung auf das neue Banksystem funktionieren nur noch Leser der Version 1.4. Die alten Leser müssen ausgetauscht werden, uralte 1.3er Geräte aus der Schublade funktionieren also nicht mehr.

optische_Eingaenge

Die Version steht üblicherweise auf dem Leserrücken: eine irgendwo aufgedruckte „1.4“ gibt hier an, ob es der richtige Typ ist. Achtung: Nicht mit der Produktionswoche verwechseln!

Leser_Version
Einfacher ist der Versions-Test per Tastatur: Stecken Sie eine beliebige girocard mit Chip ein und drücken SIe die TAN-Taste, geben Sie 111 als Startcode ein und bestätigen mit OK. Zeigt die Anzeige „Daten“ ist der Leser ein 1.3er oder älter, bei „Auslandsauftrag“ ist es ein Leser der Version 1.4. (Thanx für die Idee an HonkXL).

Ergänzung: Alternativ finden Sie die Versions-Angabe im Herstellermenü (Euro Taste-drücken, dann durchs Menü hangeln). Das funktioniert aber nur mit/ab 1.4er Leser.

Wenn Sie einen älteren Lesertyp verwenden möchten, kann der Mitarbeiter Ihrer Bank als Sm@rtTAN-Version „O“ einstellen (Rechenzentrum GAD) oder Sie stellen die Version im Onlinebanking selbst ein. Mittelfristig muss das Gerät getauscht werden.

Kobil_TAN_Optimus_comfort_1.3.2_klein

älterer „O“-Leser von Kobil. Ein TAN Optimus comfort

Aus Sicherheitsgründen ist die Verwendung der neuesten Version zu empfehlen, weil hier mehr Informationen zur Prüfung angeboten werden. Z.B. kann die komplette IBAN eines Empfängerkontos abgeglichen werden (SEPA lässt grüßen…)

Zum Vergleich die Rückseite eine 1.3.2er Gerätes . Zum Lesen des Typenschildes brauch ich eine Lupe.

Kobil_Rueckseite

Hier Beispiele völlig veraltete Leser. Bitte Batterien weiter verwenden und umweltgerecht entsorgen – im Zweifelsfall zur Bank zurücksenden.

Kobil 1.2 (nicht mehr zu gebrauchen)

EIn Kobil 1.2 (nicht mehr zu gebrauchen)

Dieser Leser gehört zu der ersten Gerätegeneration. Hier reichte noch eine Taste, sicherheitstechnisch nur ein winziger Fortschritt gegenüber der TAN-Liste auf Papier.

 

Internet-Explorer: Veraltete Browserversion wird angezeigt?

by Leave a Comment

Wenn Sie auf der Anmeldeseite im Onlinebanking den Hinweis erhalten, dass SIe einen veralteten Browser verwenden, dann kann dies auch an einer Einstellung Ihres Internet-Explorers liegen.

Browserversion_pruefen

 

Prüfen Sie, ob ggf. der Kompatiblitätsmodus aktiviert wurde. Dieser schaltet den Internet-Explorer so um, dass er sich mit einer alten Browserkennung auf der Bankseite meldet. Klicken Sie auf „Extras“ und dort „Kompatibilitätsmodus“ und deaktiveren Sie die Funktion.

Wenn Sie noch Windows XP einsetzen:
Microsoft stellt in Zukunft keine Updates mehr für den alten Internet-Explorer zur Verfügung. Wechseln Sie kurzfristig den Browser (jetzt!) und mittelfristig dringend das Betriebssystem.

IE12: Entwicklertools
Ab dem IE11 gibt es für Entickler zusätzlich die Möglichkeit, gezielt einen anderen Browser dem Server vorzuspielen, aber man vergisst solche Einstellungen ja auch schnell wieder, wenn sonst alles läuft.

Drücken Sie F12 und dann STRG-8 (oder auf das Symbol unten links klicken). Stellen Sie alles wieder auf die Standard-Werte um.

IE12_Browser_umstellen

Die TAN ist immer falsch?

by Leave a Comment
Suchwort: #TANF

Falsche TAN bei der manuellen Erzeugung Sm@rtTAN (egal ob optic und Photo)
Versuchen Sie z.B. einen bestimmten Auftrag freizugeben und die TAN ist jedes Mal falsch, anderes funktioniert aber reibunglos? Es gibt aktuell ein Problem bei der Generierung der TAN bei ganz bestimmten IBAN und der Verwendung des Tastaturverfahrens. Bitte weichen Sie für diese eine Überweisung auf das optische Verfahren aus (F-Taste beim Flackerleser).

Das optische Verfahren macht Probleme? >> Hier weiterlesen

Ist es  die richtige Chipkarte?
Im Onlinebanking können Sie selbst prüfen, welche Karte freigeschaltet ist. Es kann immer nur eine einzige Karte pro Nutzer/in aktiv sein, die für alle Konten zuständig ist. Es muss nicht die auf der Karte aufgedruckte Kontonummer verwendet werden, diese hat mit der vom Chip erzeugten TAN eher weniger zu tun. Kontrollieren kann man die Endnummer der Karte im Onlinebanking oben rechts unter’m Namen und dann unter „Datenschutz & Sicherheit“. Im letzten Eintrag „Sicherheitsverfahren“ geht es um die TAN-Arten, klicken Sie auf „Verfügbare TAN-Verfahren“. Kontrollieren Sie ggf. die Einstellung dort.

 

 

Gültigkeit und Sperre der Karte
Ist in der letzten Zeit die Karte getauscht worden oder ist die Karte (das Konto zur Karte) gesperrt/gelöscht? Auch eine sogenannte allgemeine Sperre über die Karten-Sperrhotline (116116) verhindert die Akzeptanz der TAN.
Oder:
Ist womöglich das Konto aufgelöst worden, zu dem die Karte gehörte? Sofern Sie sich anmelden können, sehen im Onlinebanking, ob das Konto in der Übersicht auftaucht.

Karte abgelaufen?
Die Jahreszahl ist auf der Karte angegeben.

ATC angleichen (Application Transaction Counter)
Der Chip hat einen eigenen Zählerstand, der mit dem Zähler in der Bank synchron laufen muss. Weicht der Zählerstand des Chips zu weit von dem Stand des Bankzählers ab, ist jede TAN ebenfalls falsch. Dies kann im Onlinebanking der Bank angeglichen werden unter „Service“ und dort unter „TAN-Verwaltung“. Klicken Sie hier auf die Funktion „synchronisieren“. Wie man den ATC des Chips im Kartenleser angezeigt bekommt, finden Sie bei Sm@rtTAN-Photo-Lesern (QR-Code) im Menü. Bei älteren steht in der Anleitung des Gerätes oder auf der Webseite des Herstellers oder es wird im Onlinebanking erklärt.

Batterie fast leer?“
Wenn die Anzeige schwach scheint, ist vermutlich die Batterie am Ende, dies kann in seltenen Fällen vermutlich auch zu falschen TAN führen, weil z.B. der ATC (Counter) springt. Bei modernen Geräten, die einen Batteriewechsel erlauben, kann ein Austausch der Batterie lohnen, bei älteren sollten Sie über einen Wechsel auf ein neues Gerät nachdenken und bei der Bank die Version ändern lassen.

sehr selten: PIN-Schutz der TAN-Erzeugung
Immer falsche TAN durch PIN-Schutz: Man kann am Chip die TAN-Erzeugung durch eine vorherige PIN-Abfrage schützen. Dies halte ich zwar für übertrieben, denn wenn Passwort und Chipkarte in fremde Hände geraten, muss einiges schief gelaufen sein. Ich würde es lästig finden, aber im Büro kann ich mir vorstellen, dass dies sinnvoll sein könnte.

Die Bankeinstellungen sind üblicherweise bei genossenschaftlichen Banken inzwischen so, dass sowohl die PIN-geschützte TAN-Erzeugung als auch die „normale“ TAN-Erzeugung zu einer richtigen TAN führt. Ist aber die Bankeinstellung so, dass ein Verfahren erzwungen ist, dann führt die „falsche“ Einstellung am Chip zu immer falschen TAN.

Diagnose:
Achten Sie bei der TAN-Eingabe auf die Fehlermeldung „falsche PIN“. Sie sind ja im Onlinebanking, hier ist die Karten-PIN gemeint.
Sie können auch die PIN-Abfrage Ihres Chips aktivieren. Lesen Sie die Anleitung dazu oder beim Photo-Leser reicht auch das Menü. Schreiben Sie  aber Ihre PIN unbedingt auf! Mit aktivierter PIN-Eingabe werden andere TAN erzeugt und wenn dann die TAN richtig ist, sollten Sie mit der Bank sprechen und den Zugang umstellen lassen.

Nervig: Eine Schadsoftware ist womöglich aktiv?
Eine Schadsoftware (englisch: „malware“) manipuliert womöglich Ihre Eingaben und sendet dabei ständig eine falsche TAN, um die „richtige“ an die Betrüger zu senden. Keine Angst, sowas hat nur bei alten Verfahren funktioniert: Die Sm@rt- oder mobileTAN ist an den Auftrag gebunden und kann nicht für einen anderen Zweck missbraucht werden, zumindest nicht, wenn Sie immer aufmerksam die angezeigten Auftragsdaten kontrolliert haben. Aber es existieren immer noch Viren dieser Art und diese stören. Führen Sie einen Virenscan durch und zwar mit einem separaten Scanner.
Lesen Sie bitte hier weiter…

Zahlungsverkehrssoftware fragt nicht nach der TAN?
Haben Sie eine Software im Einsatz, die womöglich noch einen TAN-Speicher hat? Dieses war früher möglich, als noch TAN-Listen existierten – und es war natürlich nicht „erlaubt“ TAN auf Vorrat zu speichern. Löschen Sie dann diesen Speicher. Schauen Sie in die Anleitungen zu den einzelnen Programmen, evtl. finden Sie dort auch den einen oder anderen Tipp.

Zahlungsverkehrssoftware TAN-Medium
Wenn Sie verschiedene Karten/Telefonnummern freigeschaltet haben, kann die Software die TAN zu einem bestimmten TAN-Medium anfordern. Bei genossenschaftlichen Banken ist es eigentlich nicht nötig, ein TAN-Medium anzugeben, wenn es aber gemacht wird, muss der Eintrag stimmen. Vergleichen Sie ggf. die Einstellungen Ihrer Software mit den Angaben im Onlinebanking. Stellen Sie ggf. im Onlinebanking das von Ihnen bevorzugte TAN-Medium ein/um.

Unter anderer Identität unterwegs?
Es kommt vor: Menschen glauben, sie wären unter eigenem Namen angemeldet, verwenden aber irrtümlich die Zugangsdaten, also VR-NetKey/Alias und PIN einer anderen Person. Dann passt natürlich nicht die Identität zu der TAN des Chips. Prüfen Sie daher bitte, für wen die Bank Sie nach Ihrer Anmeldung „hält“. Auch wenn Sie eine Zahlungsverkehrssoftware nutzen, melden Sie sich bitte im Onlinebanking der Bank an und schauen Sie rechts oben nach, wie Sie angemeldet sind.
Falls Sie einen ähnlichen Alias, wie Ihr Partner/Ihre Partnerin verwenden: Das halte ich u.a. auch aus diesem Grund für keine gute Idee. Und die PIN sollte genauso wenig mit dem Lebenspartner „getauscht“ werden.

Kann die Bank das richtige Sm@rtTAN (Chiptan)-Verfahren einstellen?
Nein, die Banken an der Atruvia können das Verfahren, also Flacker oder Photo nicht einstellen, das muss im Kundensystem passieren.

GLS eBank (Windata): eine neue Signaturdatei erstellen

by Leave a Comment
letzte Änderung: 07.08.2019

Hier geht es um die Einrichtung einer neuen Signaturdatei.

Wichtig: Eine einmal verwendete Benutzerkennung kann nicht zurückgesetzt werden. Deshalb ist es wichtig, dass der Prozess der Einrichtung reibungslos durchlaufen wird. Legen Sie alles bereit (USB-Stick zum Speichern der Schlüssel, Informationen der Bank) und schalten Sie Ihren Drucker ein.

Bei einem neuen Zugang benötigen Sie folgende Informationen:

Die Benutzerkennung ist eine 16-stellige Zahlenkombination und beginnt mit 672….
Die VR-Kennung benötigen Sie nicht mehr, auch wenn das Feld noch auftauchen kann.

Der Start des Einrichtungs-Assistenten erfolgt automatisch, wenn Sie im Programm noch keine Bankkontakte angelegt haben.

windata_rdhneu_00_Assistent

Haben Sie bereits Bankzugänge, dann können Sie einen neuen Bankkontakt unter „Stammdaten/Administrator für FintTS“ anlegen.windata_rdhneu_01_Menue_Stammdaten Klicken Sie auf „Neuer Bankkontakt“.

windata_rdhneu_01b_ddbacDie Bankleitzahl wird abgefragt. Sollte die BLZ nicht erkannt und kein Name werden, prüfen Sie Ihre Eingaben.

Wählen Sie zur Sicherheit den Expertenmodus an, damit Sie die vom Programm eingestellten Daten kontrollieren können,

windata_rdhneu_02_experten_BLZ

Proxy-Daten benötigen Sie nur, wenn Sie wirklich einen Proxyserver einsetzen.

windata_rdhneu_02a_BPD_abrufWindata prüft die Bankdaten und bietet die möglichen Zugänge an. Wählen Sie „Schlüsseldatei“ und dann „Neue Schlüsseldatei anlegen“ aus.

 

windata_rdhneu_02b_Auswahl_Schluesseldatei

Wenn Sie eine alte Signaturdatei übernehmen wollen, nur dann wählen Sie „Bereits vorhandene Schlüsseldatei verwenden“ aus.

windata_rdhneu_02c_Sicherheitsdatei_neu

Die Voreinstellungen RDH-10 und 2048 Bit sollten automatisch voreingestellt werden und passen. Ältere Zugangsarten und schwächere Schlüssel werden vom Rechenzentrum nicht mehr akzeptiert.

windata_rdhneu_02d_Sicherheitsdatei_RDH

 

Tragen Sie Ihre von der Bank erhaltenen Daten ein, in das erste Feld die nur aus Ziffern bestehende Benutzerkennung (beginnend mit 672..), das zweite Feld muss nicht gefüllt werden. Sollte die Software darauf bestehen, tragen Sie einfach die Benutzerkennung dort ein. (Der Screenshot ist noch von der alten Version, als die VR-Kennung noch existierte.)

windata_rdhneu_03a_Daten

 

Wählen Sie FinTS 3.0.

windata_rdhneu_03b_FinTS

fints1.atruvia.de sollte richtig eingestellt sein, die alte Adresse ist seit 13.03.24 ungültig. (Für südliche Banken fints2.atruvia.de)

windata_rdhneu_03c_Serveradresse

Wenn Sie an dieser Stelle Fehlermeldungen erhalten. Die Adresse müssen Sie ggf. in Ihrer Firewall freigeben. Auch die Nutzung des Port 3000 muss erlaubt sein.

windata_rdhneu_04b

Der Hashwert des öffentlichen Schlüssels der Bank wird angezeigt. Prüfen Sie die Angaben mit dem von der Bank zu Verfügung gestellten Daten, damit Sie sicher sein können, dass wirklich die Bank „am anderen Ende“ des anonymen Internets ist.

windata_rdhneu_04e_Bankschluessel

Nun wird Ihre eigener öffentlicher Schlüssel an die Bank geschickt.

windata_rdhneu_04c_Schluesseluebertragung

Mit dem sogenannten INI-Brief kommt nun die elektronische Unterschrift mit der echten Unterschrift zusammen.

Wenn Sie möchten, können Sie das Feld Vor- und Nachname ausfüllen, klicken Sie dann auf den Button „Ini-Brief jetzt generieren“.

windata_rdhneu_05a_INI_Brief_generieren

Je nach Systemeinstellung fragt der Rechner nach dem für HTML-Dateien zuständigen Programm, es bietet sich natürlich an, hier einen Browser zu wählen.

windata_rdhneu_05b_Browserwahl

Spätestens jetzt sollten Sie Ihren Drucker einschalten.

windata_rdhneu_05c_Browser

Wählen Sie die Druckfunktion (Strg-P) oder über Datei/Drucken.

windata_rdhneu_05d_Browser_druck

Achtung: Wenn der Druck nicht funktioniert, dann speichern Sie die HTML-Datei unbedingt nun auf einem Datenträger oder Ihrer Festplatte ab. (Unter „Datei/Speichern unter“). Sie können die html-Datei später mit einem anderen Programm öffnen.

Schließen Sie das Browser-Fenster nur, wenn der Druck funktioniert hat.

Vergeben Sie nun Ihr Passwort zur Absicherung der Sicherheitsdatei. Wählen Sie dieses Passwort mit Bedacht, es wird bei jeder Bankübertragung abgefragt. (Kann aber später geändert werden).

windata_rdhneu_06a_Passwort

Wiederholen SIe die Eingabe und klicken Sie wieder auf „Weiter“.

windata_rdhneu_06b_PW-Aenderung

Die Sicherheitsdatei wird mit dem Passwort verschlüsselt.

Anschießend geht es zur Pfadangabe, bei dem Sie einen Wechseldatenträger, z.B. einen USB-Stick auswählen sollten.

windata_rdhneu_07a_Pfad

Klicken Sie auf „Durchsuchen“ und wählen Sie im Dateidialog den gewünschten Ort aus.

Eine Speicherung auf der Festplatte ist nicht zu empfehlen. Die Anzeige kann natürlich abweichen,.

windata_rdhneu_07b_Pfad

Wählen Sie links den PC oder Computer aus und scrollen Sie im Fenster zu den Datenträgern.

windata_rdhneu_07c_Pfad

Sie können auch einen neuen Ordner erzeugen und dort die Datei ablegen.

Vorschlag: Ändern Sie die Dateiendung: Klicken Sie unten den Dateityp an und stellen Sie auf „Alle Dateien *.*“ anzeigen um.

 windata_rdhneu_07d_Pfad

Sie können dann einen Dateinamen vergeben, der nicht die Endung „key“ verwendet. Warum? Key-Dateien sind z.B. Produktschlüssel und werden anscheinend von manchen Virenscannern überwacht. Ich schlage die Endung rdh vor, weil damit der Dateityp besser gekennzeichnet ist. Sie können aber auch .fints oder .schlüssel oder .Bankname nehmen. Key-Dateien werden häufiger „kaputtgeschrieben“ und ich vermute übereifrige Virenscanner als Ursache.

windata_rdhneu_07e_Pfad

Mit Klick auf „Speichern“ wird der Dateipfad und der Name übernommen,

windata_rdhneu_07f_Pfad

Klicken Sie auf „Weiter“, die Bank-Daten des neuen Zuganges werden nun angezeigt.

windata_rdhneu_08_Abschluss

Nach Klick auf „Fertig stellen“ landen Sie wieder im „Administrator für Homebanking Kontakte“.

Das gelbe Rufhzeichen ist normal – es verschwindet erst, wenn der öffentliche Schlüssel von der Bank durch Eingabe des Hashes freigeschaltet wird.

Jetzt sollten Sie also den ausgedruckten INI-Brief zur Bank senden oder faxen, sofern die Bank dies akzeptiert. Achten Sie auf Lesbarkeit des Hashwertes. Unterschrieben werden musss der Brief vom Inhaber/von der Inhaberin der Benutzerkennung. Eigenhändig, es ist eine persönliche elektronische Unterschrift.

Nach der Freischaltung durch die Bank (kann durchaus etwas dauern) geht es weiter:

windata_rdhneu_09_gelbes_Rufzeichen

Ist der Schlüssel freigeschaltet, können Sie den Kontakt synchronisieren.

windata_rdhneu_09b_synchron

Das Passwort wird abgefragt.

windata_rdhneu_09c_passwort

Nach Abschluss des Vorganges sollten neue Konten angezeigt werden, sofern diese noch nicht angelegt waren.

FinTS/HBCI Einstellungen allgemein

by Leave a Comment

Die Bezeichnungen der Felder in den verschiedenen Zahlungsverkehrsprodukten sind leider nicht eindeutig. z.B. wird das Feld Kunden-ID in der FinTS/HBCI-Software manchmal als „Kundennummer“ bezeichnet, obwohl der Begriff in der Genowelt schon anders besetzt ist, entsprechend schnell passieren Missverständnisse.

Ich beschreibe die Einstellungen und Felder möglichst allgemeingültig, obwohl es womöglich sogar „falsch“ ist und versuche ein paar Begriffe zu erklären.

Also, da wäre als erstes:

Benutzername, Zugangsname, Bankkontakt, etc.: Darunter verstehen die meisten Programme einen bezeichnenden Namen für den Bankzugang. Denn das Computerprogramm kann ja nicht wissen, wer am Rechner sitzt. Dieser Name kann üblicherweise frei vergeben werden. Er steht nicht unbedingt an erster Stelle, bei einigen Programmen wird dieses Feld auch nicht angeboten. Damit nach den richtigen Zugangsdaten gefragt werden kann, ist es sinnvoll, möglichst sprechende Namen zu vergeben, unterscheidbar nach Nutzer/in, ggf. Zugangsart und sogar Bankbezeichnung, wenn die Feldlänge dies hergibt.

Das erste Feld „Benutzerkennung“:
Häufig das erste Feld nach der BLZ. Hier scheinen sich die Programmierer weitestgehend einige zu sein. Das Feld wird gefüllt, je nach Bankzugang, mit:

  • PIN & TAN-Verfahren: VR-NetKey oder Alias
  • Signaturdatei: Benutzerkennung nach dem Muster 672…
  • Chipkarte: wird bei personalisierten Karten ausgelesen, sie enthält die Benutzerkennung auch nach dem Muster 672…
    (Bei den selten gewordenen unpersonalisierten Karten wird die Benutzerkennung von der Software in den Kartenspeicher programmiert. )

Das zweite Feld, „Kunden-ID“:
Es wird auch häufig fälschlich nach Kundennummer oder sogar nach dem alten Begriff „VR-Kennung“ oder ähnlichem gefragt. Es ist eigentlich immer das nächste Feld direkt nach der Benutzerkennung. Falls es nicht leer bleiben kann, einfach das erste Feld kopieren.

Zugangsdetails der exGAD-Banken (auch GLS-Bank)
Sicherheitsdatei: nur noch RDH-10
Chipkarte: RDH-7 (Karte mit Namensaufdruck), unpersonalisiert: RDH-9 (Ini-Briefe werden ausgetauscht)
Kommunikationsadresse: fints1.atruvia.de
(bei eher südlichen, also ehemaligen Fiducia Banken fints2.atruvia.de)
Port für FinTS/HBCI: 3000 (muss manchmal in Routern, Firewalls oder Proxys frei gegeben werden)

PIN&TAN-Zugang
Kommunikationsadresse: https://fints1.atruvia.de/cgi-bin/hbciservlet
(für ex-GAD-Banken wie die GLS Bank, für ex-Fiducia-Banken 1 durch 2 ersetzten)
FinTS Version 3.0
TLS 1.2 nötig seit Juli 2019
Base64 encoding (meist automatisch)
Port für FinTS/HBCI: 443 (meist automatisch richtig)

TAN-Medien/Verfahren
Um die Richtlinien zu erfüllen, ist seit 2019 die TAN-Eingabe Pflicht (zweiter Faktor) beim Abruf von Daten und bei der Transaktionsfreigabe. Die Banken mit „Erlaubnis“ dürfen auf die tägliche Eingabe verzichten, spätestens alle 180 Tage ist sie aber nötig. Auch bei Kleinstbetragsbuchungen darf die Bank die Buchung ohne zweiten Faktor durchwinken. Daher muss ein gültiges Verfahren ausgewählt werden, also die Art der TAN-Erzeugung oder Freigabe per App. In den allermeisten Programmen bekommt man die Art des TAN-Mediums angeboten, für die man freigeschaltet ist. Bei der chipbasierten TAN-Erzeugung kann das Sm@rtTAN manuell, optisch (Flackerbild), photo (farbiges Pixelbild) oder per USB-Leser sein und für die App SecureGo plus Direktfreigabe (decoupled) oder SecureGo (TAN-Erzeugung mit Eingabe).

Die TAN-Medienbezeichnung muss bei uns nicht ausgewählt werden, damit ist beim Sm@rtTAN-Verfahren die Karte gemeint. Am VR-NetKey kann bei Sm@rtTAN nur eine einzige Chipkarte aktiv sein, bei der SecureGo plus App können aber bis zu drei Geräte pro Kunde, nicht pro VR-NetKey gleichzeitig gültig sein.

AqFinance PIN und TAN einrichten

by 14 Comments
(letzte Änderung: 12.03.2020)

AqFinance
– die freie quelloffene Software vom Chipkartenleserguru Martin Preuß
für Linux, Mac und Windows –

Für Programmierer*innen und Befehlszeilen-Wizards könnte die CLI-Version ohne grafische Oberfläche interessant sein.

Lt. aquamaniac-Webseite funktionieren die „neueren“ HBCI- Chipkarten mit RDH-Technik (RDH 7 und 9, Betriebssystem seccos 5/6) inzwischen. Ein Test habe ich aber noch nicht durchführen können.

Die Einrichtung des Bankkontaktes finden Sie unter „Extra“, „Onlinebanking-Einrichtung“. Auch eine Änderung vorhandener Bankzugangsdaten können Sie dort vornehmen.

Aktivierung bei GnuCash: Werkzeuge->Onlinebanking-Einrichtung…

 

01 aqfinance onlinebanking

Klicken Sie auf „Benutzer anlegen“.
01b aqfinance hbci einrichten

Der Assistent startet.01c aqfinance hbci einrichten dialogstart

Wählen Sie „HBCI backend..“ aus. Weiter geht es mit „Weiter“ 😉01d aqfinance backend abfrage

Hier richte ich einen PIN & TAN Zugang ein, der Assistent startet mit „Ausführen“.01e aqfinance abfrage zugangsmedium

02 aqfinance dialog

AqFinance verfügt über eine Datenbank mit Zugangsdaten. Sparen Sie sich die Mühe, lange URLs abzutippen und wählen Sie den Button „Select“ an.

03 aqfinance Einrichtungsassistent BLZ

Geben Sie oben die BLZ an und wählen SIe die BLZ mit dem BIC Kontakt aus.

03c aqfinance FinTS Daten PIN und TAN

Kontrollieren Sie ggf. ddie vorgeschlagenen Einstellungen und überehmen Sie diese mit „Weiter“.

Tragen Sie den VR-NetKey in beide Felder ein. Nehmen Sie nicht Ihren Alias, wenn dieser Sonderzeichen enthält.

Im alten Screenshot ist noch die alte VR-Kennung zu sehen:

04 aqfinance VR-Kennung

04b aqfinance Einrichtungsassi

05 aqfinance holt BPD

AqFinance überträgt beim ersten Kontakt die Daten der BPD (Bankparameter: Das was die Bank kann) und zeigt ggf. ein unbekanntes Zertifikat an. Vergleichen Sie die Hashes ggf. mit den Infos auf der jew. Bankseiten (sofern angegeben) oder prüfen Sie das Zertifikat im Browser auf Gültigkeit.

06 aqbanking Zertifikat

Wie man an der Gültigkeit sieht, ist das Zertifikat veraltet (damals war es natürlich noch gültig). Prüfen Sie daher bitte über einen anderen Weg die Gültigkeit (s.o.)

Nach dem Bestätigen geht es mit Verschlüsselung weiter.

07 aqbanking weitere dfue

Die PIN wird abgefragt (Es ist die PIN des Onlinebanking per Browser).08 aqbanking PIN Abfrage 09b aqbanking Kontenliste dfue

Fertig09c aqbanking Benutzer fertig eingerichtet

Die über den Zugang erreichbaren Konten werden nach Klick auf Karteikarte „Konten“ angezeigt. Fehlen hier Konten in der Übersicht, dann müssen diese bankseitig freigeschaltet werden! Vergleichen Sie die Freigaben mit dem Onlinebanking. Ich kenne keine genossenschaftliche Bank, bei der die Daten nicht übereinstimmen.

09d aqbanking kontenliste

Alf banCo 5 Erstkontakt PIN und TAN

by Leave a Comment

Die Einrichtung eines Bankkontaktes ist in Alf BanCo durch den eingebauten Assistenten wirklich einfach.

Wählen Sie „Einen neuen Online-Zugang…“,

01 Alf banco PIN TAN

dann HBCI / FinTS Zugang,

01b Alf banco PIN TAN

 

und der Assistent startet.

 

02 Alf banco Willkommen und Assistent

Die Voreinstellungen werden nach Eingabe der BLZ automatisch korrekt eingestellt.

03a Alf banco Auswahl Bank

Das Verfahren HBCI-PIN/TAN ist der erste Eintrag.

03b Alf Auswahl Verfahren

Nach Klick auf „Weiter“ startet der Dialog zum Abruf der Bankparameter.

04 Alf banco holt BPD

Die Feldbezeichnungen sind vorbildlich und kaum missverständlich. Hier muss ich ein großes Lob an die Alf-Entwickler aussprechen.

Bei einem PIN&TAN-Zugang gehört die VR-Kennung in beide Felder. Komplett mit „VRK“ und allen 16 Ziffern eintragen.

05 Alf banco Eingabe Zugangsdaten VRK

Die PIN ist entweder genau 5 Stellen lang, wenn sie schon länger nicht geändert wurde oder inzwischen mindestens 8 Stellen lang. Beim PIN&TAN-Verfahren ist diese immer gleich zum Onlinebanking (Browserbanking). Das Tastaturfeld ermöglicht die Mausbedienung. Um Keylogger (Spionageprogramme) das Auslesen der Tastatur zu erschweren, kombiniert man idealerweise die Eingabe von Maus und Tastatur.

06 Alf banco PINabfrage

 

Nach der weiteren Datenübertragung werden die Konten zurückgemeldet.

07 ALF banco Kontenliste

Das gewünschte TAN-Verfahren muss ausgewählt werden, wenn man für mehrere TAN-Verfahren freigeschaltet ist, wie ich. Beim SmartTAN Verfahren muss man sich entscheiden, ob man die Tastatur des Kartenlesers nutzen möchte, dann ist „plus“ die richtige Wahl.

08 Alf banco TAN Verfahren

Und fertig.09 Alf banco Erfolgsmeldung

FinTS/HBCI Chipkarten der Genossenschaftsbanken

by Leave a Comment
letzte Änderung: 04.01.2021

Es gibt zwei Typen:
Die personalisierte und die unpersonalisierte Karten.

Eindeutiges Erkennungmerkmal:
Auf einer personalisierten Karte ist der Name des/der Karteninhabers/in aufgeprägt.

Die personalisierten Karten sind am aufgedruckten Namen des/der InhaberIn erkennbar. Die Karte ist bereits programmmiert und der Bankschlüssel ist signiert vorhanden. Viele Genobanken haben die girocard („ec-Karte“) um die FinTS-Funktion erweitert. Auf der Rückseite befindet sich dann das FinTS-Logo. Die Karten verwenden die Verschlüsselungstärke RDH-7.

Die Karten  müssen nur eingelesen und nicht mit einer Benutzerkennung programmiert werden. Die Benutzerkennung ist bereits auf dem Chip gespeichert. Die in einem separaten PIN-Brief mitgeteilte 6-stellige PIN (nicht die für den Geldautomaten!) muss nicht geändert werden (kann aber). Ein Vorteil der Karte ist eine sogenannte PUK, die ebenfalls per Sicherheits-Brief mitgeteilt wird. Mit der PUK kann die PIN auch nach einer Sperre durch drei PIN-Fehlversuche in Folge wieder geändert werden, die Karte ist also auch nach dreimaliger Falscheingabe in Folge nicht unbedingt „hinüber“.

Ein Ini-Brief und Prüfung der Schlüssel und Hashwerte ist nicht nötig, auch wenn einige Programme dies suggerieren.

Die unpersonalisierten Karten tragen im Genobranding die Bezeichnung VR-NetWorld card basic und sind zusätzlich erkennbar an der sehr langen, komplett eingedruckten Kartennummer mit 672…. Ein Name ist nicht eingeprägt.

Von „Werk“ aus sind die Karten mit einer 5-stelligen PIN, der sogenannten Transport-PIN, ausgestattet, die vor der Programmierung der Karte mit Zugangsdaten in eine 6 bis 8-stellige eigene PIN geändert werden muss. Die Änderung geschieht dabei am Kartenleser. Einige Institute belegen die Karte vor, um Bedienungsfehler zu minimieren. Die Karten-PIN wurde dann bereits in der Bank geändert. Für diese Karten ist keine PUK erhältlich.

Die Benutzerkennung wird bei der Programmierung der Karte von der Software eingetragen, der öffentliche Schlüssel der Bank und der der Karte müssen ausgetauscht werden. Am Ende des Vorganges wird ein INI-Brief ausgedruckt, der zur Bank geschickt werden muss.

Akzeptanz bei Genobanken und fremde Karten

Nicht alle genossenschaftliche Banken unterstützen diesen Kartentyp, also zur Sicherheit vorher erkundigen. Die Bank benötigt die komplette Kartenseriennummer zur Anlage einer passenden Benutzerkennung.

Die mir bekannten Karten unterstützen bis zu 5 verschiedene Bankkontakte auf einem Chip. Wichtig ist, dass die Karte mit RDH-9 benutzt werden muss. Die Karten werden bei den Genossenschaftsbanken nur noch mit Verschlüsselungsstärke RDH-9 akzeptiert. Karten, die nur RDH-5 schaffen, werden nicht mehr akzeptiert. Gleichwohl können RDH-9 Karten in RDH-5 verwendet werden.

HBCI-Chipkarten und Sm@rtTAN

Nur die personalisierte Karte kann für die TAN-Erzeugung genutzt werden. Damit ist der Kartentyp auch eine Option für Kundinnen und Kunden, die mit eingeschränkter Vollmacht (A, B-, N-Vollmacht) arbeiten und daher keine „normale“ Bankkarte bekommen oder für Menschen, die einfach keine Karte mit Zahlfunktion nutzen möchten. Für die Nutzung ist die Freischaltung zu HBCI nicht nötig, die Karte muss auch nicht initialisiert werden und ein Schlüsseltausch ist nicht nötig.

Rückmeldecode 3072

by 6 Comments
für Banken mit neuem System
(GLS Bank ab 22.07.19)

Den VR-NetKey über den Rückmeldecode erfahren

Der Rückmeldecode 3072 ermöglicht es einer Bank oder dem Rechenzentrum, einem FinTS/HBCI-Zahlungsverkehrsprogramm entsprechende Änderungen an den Bankzugangs-Daten mitzuteilen. Er wird besonders intensiv dazu eingesetzt, neue Zugangsdaten bei Systemumstellungen mitzuteilen. Bei Programmen, die dies automatisch verarbeiten, muss man die neuen Daten nicht  manuell aus dem Protokoll suchen, sondern nur bestätigen.

Hier ein typisches Beispielt:

HIRMG (3060) Bitte beachten Sie die enthaltenen 
Warnungen/Hinweise. (TRE) ()
HIRMS (20) Bankschlüssel sind aktuell. ()
HIRMS (20) Bankschlüssel sind aktuell. ()
HIRMS (3050) UPD nicht mehr aktuell, aktuelle Version
 enthalten. (TRE) ()
HIRMS (3072) Neue Anmeldedaten - bitte berücksichtigen
 (123456789)
INBZG Dialog MA4020817500354 Nachricht 0 Segment 0
HIRMG (10) Nachricht entgegengenommen. (TRE) (....)
Profi cash meldet neue Zugangsdaten

Profi cash meldet neue Zugangsdaten

Profi cash in der aktuellen Version reagiert vorbildlich, genauso die VR-NetWorld Software. Windata (GLS eBank) übernimmt bei der Umstellung der PIN&TAN die Daten automatisch.

Notieren Sie sich Ihren VR-NetKey für Ihre Unterlagen, damit Sie bei einem Programmwechsel darauf zugreifen können.

Das HBCI-Protokoll ist ein fester Bestandteil der Datenübertragung und einfach zugänglich sein, um bei Fehlern die Ursache ermitteln zu können. Meist wird das Protokoll nach Klick auf einen Button oder Link nach einer Datenübertragung automatisch angezeigt oder ist dort erreichbar.

Leider scheint es bei einigen Programmen zu Irritationen zu kommen, wobei es mir nicht klar ist, an welcher Stelle nun wirklich Schwierigkeiten auftreten und was die Ursache der Probleme ist.

Starmoney_Rueckmeldung_3072

Häufig scheinen die Programme die Änderung zwar richtig an den Konten einzutragen, aber nicht permanent im HBCI-Teil zu speichern, sondern nur bei den Kontodaten. Das ist auch soweit in Ordnung, sorgt aber womöglich an anderer Stelle für Schwierigkeiten.

Zusätzlich kommt es bei Software mit ddbac-Kernel häufig dazu, dass die neuen Daten angezeigt werden, aber nicht an die Software übertragen werden. Quicken z.B. hat eine separaten Verwaltungsbereich für die Ansteuerung/Kontenverwaltung.

Wenn die Software nicht aktiv darauf aufmerksam macht („Ihre Bank hat neue Bankverbindungsdaten zurückgemeldet“) und die neuen Daten anzeigt, kann man diese im Protokoll finden. Im Protokolltext findet sich ein Hinweis in Klammern (3072). Das einfachste ist meines Erachtens ein Durchsuchen des Protokolls mit dem Suchtext „3072“. Die Suche starten Sie üblicherweise mit der Tastenkombi STRG-F, wie „Finden“.

 

Umstellung: Quicken, Lexware

by 1 Comment
letzte Änderung: 01.08.2019

Achtung: Produkte mit Bezeichnung „Quicken“ dürfte keine Updates mehr erhalten, damit ist vermutlich der Betrieb über den 14.09.19 hinaus nicht mehr möglich.

Die VR-Kennung ist nur noch bei Banken mit Altsystem bank21 relevant, bei Banken, die bereits umgestellt haben, verwenden Sie bitte den VR-NetKey. ->Wie erkenne ich das?,

Umstellung vorhandener Quicken (Lexware) Kontakte auf den VR-NetKey / die VR-Kennung (im folgenden mit VRK abgekürzt).

Es sollte möglichst die aktuelle ddbac verwendet werden, aber es reicht NICHT (!), den VR-NetKey oder die VR-Kennung in den Homebanking-Kontakt in der Windows-Systemsteuerung einzutragen, die VR-Kennung muss ebenfalls in die Konteneinstellungen des Finanzmanager/Quicken eingetragen werden.

Leider habe ich noch keine Hardcopys , deshalb muss hier noch der Text ausreichen.

TAN-Medium: Es muss ein TAN-Medium und -Zugang korrekt eingetragen werden, um die neuen Richtlinien zu erfüllen. Dies muss ggf. am Konto separat erfolgen.

Nach der Systemumstellung:
Beim Sm@rtTAN-Verfahren per Chipkarte vorher das TAN-Medium im Onlinebanking richtig freischalten -> Hilfe

Werden Änderungen oder neue Einträge nötig, muss der Finanzmanager/Quicken geschlossen werden. Dann in den Homebanking Kontakten den Zugang neu einrichten (mit neuem Bankzugangs-Namen)/anpassen, wie in den Anleitungen beschrieben.

. PIN & TAN: Am Ende neu synchronisieren, der Zugang sollte direkt funktionieren.
. Bei Signaturdatei oder unpersonalisierte Chipkarte: Erst muss der INI-Brief durch die Bank geprüft und der Zugang muss freigeschaltet werden, bevor der Zugang weiter eingerichtet werden kann.

Im Finanzmanager / Quicken ebenfalls den VR-NetKey / die  VR-Kennung nachtragen:

  • Konto auswählen in der Kontoübersicht unter „Online-Konten“.
  • Rechte Maustaste öffnet das Kontextmenü, hier bitte „Konto ändern“ mit linker Maustaste auswählen
  • Den Karteireiter „Zugangsdaten“ anklicken
  • den Button „Ändern“ anklicken

Konto offline? Ändern Sie das Konto auf „online“ und der Einrichtungs-Dialog sollte sich öffnen.

Bei FinTS/HBCI mit Signaturdatei oder Chipkarte
Die Benutzerkennung nicht antasten, nur bei Banken mit Altsystem muss die VR-Kennung eingetragen werden in das zweite Feld (komplett mit VRK und allen Ziffern)

Bei FinTS/HBCI mit PIN&TAN:
VR-Kennung: In beide Felder eintragen (komplett mit VRK und allen Ziffern),
VR-NetKey: Das erste Feld reicht, es schadet aber nicht, das zweite Feld auch zu füllen. Wenn Sie einen Alias verwenden, sollte kein Sonderzeichen enthalten sein.

Führen Sie den Vorgang weiter aus und synchronisieren Sie den Bankzugang.

 

Hartnäckige Probleme, „unbekannte Fehler“ und Abstürze:
Unter Umständen scheinen Konflikte mit alten Datenbeständen aufzutreten, die mit Windows-Hausmitteln schwierig zu beheben sind, weil man nicht weiß, welche Daten zu löschen sind und wo diese liegen.

Hier stehen Links zu einem „Aufräumtool“, das nach einem Backup der Daten eingesetzt werden kann, um alte Überbleibsel zu löschen.
externer Link: https://forum.lexware.de/threads/19027/

Das Forum kann auch Ansprechpartner sein für die Eigenarten der Lexware Produkte.

Wer ein unabhängiges freies, privates Forum bevorzugt: www.kaiwu.de