Suchwort: #EBICSW
letzte Änderung: 12.07.2021

Das Rechenzentrum der genossenschaftlichen Banken erhöht an ihrem EBICS-Server (MULTIVIA) am Sonntag, 11.07.2021 die Verschlüsselung auf 2048 Bit. Damit verbunden ist eine Veränderung der Schlüssel, die zur sicheren Datenübertragung benötigt werden. Alle EBICS-Programme müssen die neuen Schlüssel verwenden und deshalb die neuen Schlüssel „kennenlernen“. FinTS/HBCI und das „normale“ Onlinebanking per Browser sind nicht betroffen.

Wichtig:
Eine Aktualisierung der eigenen Schlüssel und ein Austausch per INI-Brief ist nicht nötig, es geht nur um den Bankschlüssel, also wie der Rechner des Rechenzentrums signiert und verschlüsselt. Diese Schlüssel gelten auch für alle angeschlossenen Banken gleichermaßen und entsprechend gelten die Hashwerte auch für alle EBICS-Zugänge gleich.

Diese neuen Schlüssel müssen bei den meisten Programmen über eine Hashwert bestätigt werden, damit sich „nicht irgendein“ gehackter Server mit den Programmen verbinden kann (mehr zur Kryptographie hier: wikipedia)

Bei den meisten Programmen reicht die einfache Bestätigung, ein „Abnicken“ der neuen Schlüssel bei der ersten Benutzung aus. Sollte es zu Auffälligkeiten und Problemen kommen, werde ich die hier aufschreiben.


Wie lauten die neuen Hashwerte?
Authentifizierung (X0002):
88 74 C8 0B 8C 15 F3 B8
36 B2 2A 6B A6 71 73 61
7D ED 21 54 BC EE 33 36
10 27 08 29 E1 A8 29 8B

Verschlüsselung (E002):
C4 03 6E 7D 17 31 7B 8F
8C DE 3C D2 C8 1E ED 3C
4E 3F BD 92 4D A3 F3 C0
B4 24 E5 16 0A 27 FE 48

ältere EBICS-Versionen:
Authentifizierung / Hashwert X001
26 E2 EA 83 B4 8C 4F 9C
26 9A B9 17 4B 2E D3 DF
AE BA 83 A5

Verschlüsselung / Hashwert E001
27 0E 43 32 0C 2A 54 FF
CD 10 AD D8 DB 7E E9 56
E9 B4 2A 14

 


Wie wird die Fehlermeldung üblicherweise lauten, wenn der Schlüssel nicht stimmt?

in GLS eBank – windata: [EBICS_BANK_PUPKEY_UPDATE_REQUIRED]


Schlüsselübernahme diverser Programme

Windata / GLS eBank Profi

Profi cash: einfach beim Abruf z.B. der Umsatzdaten oder des Protokolls. Vergleichen und Bestätigen Sie den neuen Hash und arbeiten Sie wie gewohnt weiter. (Siehe hier)
SFIRM: Bestätigung des Hashes (externer Link SFIRM), Beschreibung manueller Schlüsselabruf >hier
DATEV-Zahlungsverkehr und DATEV Bank Online (DUO): Bestätigung (Quelle mit Dank an die DATEV Mitarbeiterin)

Multicash / Genocash
Der Abruf des Bankschlüssels muss über den Befehl „HPB“ erfolgen, Dauer zwei Minuten.

  1. Menü: Kommunikation unter „Assistenten“ das Menü „EBICS Authentifikationsschlüssel ändern“ auswählen
  2. Alle Haken entfernen bis auf „Aktuellen Bankschlüssel (HPB) abholen“
  3. Passwort eingeben und „Weiter“ anklicken
  4. Alle (Geno)Banken an diesem Server auswählen
  5. Assistenten bis zum Ende durchführen
  6. Hashwert kontrollieren: Unter „Kommunikation“ zu „Bankzugängen“ wechseln Doppelklick
  7. und „Hashwerte der Bank“ vergleichen und kontrollieren
  8. Unten mit „Freigabe der Hashwerte bestätigen“.

(Quelle: Anleitung der DZ-Bank zum angekündigten Serverwechsel)

Starmoney Business: Klärung noch offen
Ich gehe davon aus, dass sich die Software ähnlich wie SFIRM verhält. Falls das nicht der Fall sein sollte: Hier ist eine Anleitung zu finden, wie man den Bankzugang unter EBICS synchronisiert, es wäre offensichtlich möglich im Expertenmodus nur das Abholen der Bankschlüssel zu aktivieren. https://hilfe.starmoney.de/hc/de/articles/360015988534-Erstellung-einer-EBICS-Schl%C3%BCsseldatei-in-StarMoney-Business

Bitte fragen Sie den Starmoney-Support.

Subsembly-Produkte
(Banking4 mit EBICS Modul, GLS mBank App, Banking ZV, Simba Banking, JTL Warenwirtschaft…)
Führen Sie eine Synchronisierung Ihres Bankzuganges durch. Der Bankzugang sollte – sofern die App und Desktop-Versionen sich ähneln – über die Online-Banking Einstellungen (Burgermenü in der App) erreichbar sein.

Sollte es das Menü nicht geben, sprechen Sie mit dem Support Ihrer Software.

Aktuell (12.07.2021) JTL Warenwirtschaft scheint im Moment ein „Sorgenkind“ zu sein, der Wechsel konnte nicht durchgeführt werden und auch die Neueinrichtung eines neuen EBICS-Zuganges wurde nicht angeboten. Wenn ich etwas neueres erfahre, melde ich mich hier wieder.

Multivia Web:
Unter Benutzereinstellungen kann man in der Karteikarte „Bankzugänge“ mit dem Stiftsymbol den Bankzugang bearbeiten.
Unter „Initialisierung neu starten“ findet man den Button „Bankschlüssel abholen“.

Andere Programme:

Ich würde als erstes immer probieren, das Protokoll abzurufen. Wenn die Software den Server-Hinweis richtig interpretiert, wird sie auf die Aktualisierung des Bankschlüssels reagieren und den richrtigen Prozess selbst starten. Beim zweiten Versuch kann dann schon alles fertig sein. Ich würde in jedem Fall einen Sicherheitshinweis erwarten, das gehört zum Abgleich der Verschlüsselung dazu.

Der EBICS-Befehl zum Aktualisieren der Bankschlüssel heißt „HPB“.  In den meisten Fällen sollte auch ein ähnlicher Menüpunkt vorhanden sein, eventuell unter dem Begriff „Synchronisieren“, „Bankschlüssel abgleichen“ oder ähnlichem.

in Arbeit
letzte Änderung 25.09.2017

Die von vielen Genossenschaftsbanken herausgegebenen HBCI-Karten können auch für EBICS genutzt werden.

Eine Basic Karte im Design der GLS Bank

Technisch handelt es sich dabei um „RDH-Karten“, deren Signaturen Sie unter EBICS bei jeder Bank nutzen können, sofern Ihre Software die Einrichtung unter EBICS unterstützt. Sie können also eine einzige Karte bei allen Banken verwenden.

Wenn sie wissen möchten, ob Ihre vorhandene Karte „EBICS kann“, schauen Sie auf die Rückseite. Dort sollte der EBICS-Schriftzug zu finden sein.

Ein Zugang - eine Karte für alle Banken
Die Karte wird erst durch die Zuordnung der Signatur auf den EBICS-Teilnehmer bezogen. Im Gegensatz zum HBCI-Verfahren muss die Bank die Karte vorher nicht kennen, Sie können sich also durchaus eine geeignete Karte besorgen und bei einer völlig „fremden“ Bank initialisieren. Genauso können Sie umgekehrt eine „fremde“ Karte bei Ihrer Genossenschaftsbank verwenden. Die Banken dürften es nicht einmal bemerken…

Für die Nutzung in EBICS gibt es zwei PIN, die Karten-PIN und die Signatur-PIN, die Sie beide ändern können. Meines Wissens dürfen die 6-8 Stellen haben.

Für das PIN-Handling ist es wichtig, die beiden „Kartenarten“ zu unterscheiden:

Die personalisierte Karte ist am Namensdruck erkennbar und am Ablaufdatum des HBCI-Zertifikats. Das Ablaufdatum spielt für EBICS keine Rolle, Sie können auch eine längst abgelaufene und sogar im Banksystem gelöschte Karte für EBICS verwenden, sofern Sie die nötigen PINs haben oder die PUK. PIN und PUK erhalten Sie per Post, wichtig ist die PUK, da meist die  Signatur-PIN nicht mit verschickt wird. Mit der PUK können Sie die Signatur-PIN ändern.

Die sogenannte Basic-Karte (VR-NetWorld card basic) trägt keinen Namensdruck, sie hat nur eine Seriennummer, die Kartennummer vorne aufgedruckt (Beginnend mit 672…). Bei einer Karte, die noch unbenutzt ist, also noch nie für HBCI oder die Signaturanmeldung genutzt wurde, gilt noch die sogenannte Transport-PIN für Karten-PIN und Signatur-PIN. Dies sind die letzten 5 Stellen der Seriennummer. Bei einer Karte, deren PIN schon geändert wurde, ist also meist die Signatur-PIN noch nicht vergeben worden. Für diese PIN gilt noch die Transport-PIN. Es gibt keine PUK. Sie können also eine Karte, die gesperrt wurde, nicht mehr retten und müssen eine neue bestellen.


Neue oder vorhandene EBICS Zugänge einrichten

Für einen neuen Zugang richten Sie die Karte wie einen üblichen EBICS-Zugang ein, wählen als Medium dann aber nicht die Sicherheitsdatei, sondern die Chipkarte.

Wer dies einstellen muss, ist abhängig von der Software, lesen Sie dies ggf. im Handbuch nach.

Der Zugang muss seitens der Bank freigegeben bzw. zurückgesetzt sein.

Bilderstrecke (in Arbeit) zur Einrichtung in Profi cash.