zuletzt geändet:
19.11.2018

Bei der Fehlermeldung “FGW zur Zeit nicht verfügbar” ist – vermutlich – das hinter dem FinTS/HBCI-Server liegende Banksystem nicht erreichbar. Diese Fehlermeldung ist selten und wird vom Rechenzentrum mit höchster Priorität behandelt.

Es kann z.B. auch während eines Serverausfalls oder einer geplanten Notfallsimulation auftreten, weil die Sekundärsysteme Zeit benötigen, um die Aufgaben zu übernehmen.

Meine Empfehlung: Probieren Sie es in einer Stunde einfach noch einmal.

Wenn Sie feststellen, dass Sie sich erst beim zweiten Loginversuch beim Onlinebanking anmelden können, kann ich im Moment leider nur Vermutungen anbieten.

Erlauben Sie mir zuerst die direkte Frage: Melden Sie sich immer ordnungsgemäß ab (Logout) wie es aus Sicherheitsgründen empfohlen ist oder schließen Sie nur das Fenster?

Ein Volksbank Kollege hat mitgeteilt, dass vor allen Dingen Safari-Browser und Tablets betroffen seien, also vermutlich in erster Linie Apple Hardware. Der Fehler tritt vermehrt auf, wenn beim Aufruf der Seite zwei Anmeldefenster gleichzeitig geöffnet sind/werden.

Das könnte vorkommen, wenn der Browser nicht richtig geschlossen wird, bei Rechnern, die nicht heruntergefahren werden, ist das ja durchaus wahrscheinlich. Die Seite im Speicher ist dann veraltet, die Zeit des sogenannten Session-Cookie aus der alten Sitzung ist dann bereits abgelaufen.

Da mir die Details fehlen, bitte ich um weitere Angaben, falls Sie betroffen sind:

  • Können Sie zwei geöffnete Fenster/Tabs im Browser feststellen, also stimmt der Hinweis oben?
  • Läuft die Systemuhr korrekt?
  • Ist das Problem noch da, wenn Sie sich ordnungsgemäß ausloggen?
  • Welchen Browser nutzen Sie?
  • Welches Betriebssystem mit welcher Version?
  • Nutzen Sie ein Lesezeichen zum Starten?
  • Haben Sie spezielle Sicherungstools oder -Erweiterungen für den Browser oder Ihr Computersystem? (siehe Kommentar zur Sicherheitssoftware)

Bitte helfen Sie uns, die Ursache zu finden und nutzen Sie die Kommentarfunktion, Danke!

Speziell für Macianer/innen:
Safari: Haben Sie schon Cookies und Cache gelöscht? Und das gleiche für Firefox.

Bitte berichten Sie uns, ob der Tipp geholfen hat.

 

So ändern Sie die Zeiteinstellungen unter Windows 10:

Wählen Sie unten links das Suchfenster an und tippen Sie in das Feld mit der Lupe “Zeit” als Suchwort ein.

Klicken Sie auf einen der Treffer, um die Einstellungen zu ändern. Vergleichen Sie im Konfigurationsfenster ebenfalls die Einträge, insbesondere die automatische Zeiteinstellung. In Deutschland ist die Zeit richtig auf UTC+1 eingestellt, kontrollieren Sie dies ebenfalls. Auch Winter/Sommerzeit-Einstellungen sollten passen.

Windows_10_Uhrzeiteinstellungen_02


Kontrollieren Sie die unten angezeigte Zeit.

In einigen Fällen mussten Kunden noch einmal auf die Zeitzone klicken, damit sich das richtig einstellte.

sundialZiemlich genaue Uhrzeit gesucht?  (Javascript nötig):

uhr.ptb.de

Lesetipp: Welche Bedeutung eine wirklich genaue Zeitmessung hat, kann man hier bei der Physikalisch-Technische Bundesanstalt (PTB) nachlesen.

gilt für xGAD mit bank21 System

errorDer PIN&TAN-Zugang wurde vorläufig gesperrt, weil eine falsche PIN erkannt wurde. Nach zu vielen Fehlversuchen wird der Zugang dieser Person vorläufig gesperrt.

Sie müssen mit Ihrer Bank Kontakt aufnehmen.


Wenn Sie die PIN noch kennen:

Die Bank kann den Zähler zurücksetzen, der Zugang ist sofort wieder nutzbar.


Wenn die PIN vergessen ist, muss die Bank den Zähler zurücksetzen und die betroffene Person eine neue Start-PIN per Post erhalten.
Erst nach einer neuen PIN-Vergabe kann dieser Zugang wieder genutzt werden. Wenn es brennt, können die meisten Zahlungsverkehrs-Programme mit einem Datei-Signaturverfahren arbeiten. Sofern Ihre Bank dies Verfahren noch anbietet und ein schneller Austausch der INI-Briefe (Fax) möglich ist, können Sie mit dem alternativen Zugang schnell wieder arbeitsfähig sein.


DebuggingPrüfen Sie die möglichen Ursachen:

  • Verwechselt jemand den Zugang, nutzt eventuell irrtümlich die Anmeldung eines anderen Bevollmächtigten?
  • Gibt es einen alten Zugang, der eventuell noch in einem anderen Programm, einer App oder von anderen verwendet wurde?
  • Enthält die PIN Sonderzeichen oder ist länger als 20 Zeichen? FinTS/HBCI ist “empfindlicher” als das Browserbanking. Verzichten Sie ggf. auf Sonderzeichen und bleiben Sie unter 20 Zeichen, da mehr im Standard nicht vorgeseheen sind. Sehr lange und komplizierte Passwörter sind nur bei Zugängen sinnvoll, die sich nicht sperren und daher vor “Brute-Force-Angriffen” geschützt werden müssen.
  • Extrem selten:
    Wenn das Problem wiederholt auftritt, könnte die Sperre theoretisch ein Hinweis auf einen auf lange Zeit angelegter Hacking-Versuch sein. Viel wahrscheinlicher ist aber, dass jemand irrtümlich die gleichen Zugangsdaten verwendet, wahrscheinlich den Alias. Ändern Sie als erstes aus Sicherheitsgründen Ihre PIN und vergeben Sie im Browserbanking einen neuen Alias oder lassen Sie diesen durch die Bank löschen. Prüfen Sie nochmal die Zugangsdaten und achten Sie darauf, dass in Ihrer Anwendung die VR-Kennung statt eines Alias eingetragen ist.Hilft das nichts: Führen Sie eine Nutzungstagebuch sämtlicher Anwendungen privat und ggf. geschäftlich (ggf. auch Buchhaltung/Steuerberater nach den verwendeten Zugängen fragen). Finden Sie hier auch den Verursacher nicht, lassen Sie sich von Ihrer Bank eine neue Haupt-VR-Kennung geben, die beim Rechenzentrum beantrag werden muss, spätestens dann muss der Spuk vorbei sein.

Erhalten Sie bei der Anmeldung folgende Fehlermeldung:

Ihrer Kennung sind keine Konten zugeordnet. Bitte wenden Sie sich an Ihren Berater.

Sie müssen Kontakt mit Ihrer Bank aufnehmen: Bei der Freischaltung Ihres Zuganges wurde vermtulich vergessen, die Konten zu Ihrer VR-Kennung freizuschalten oder Ihre Vollmachten sind noch nicht vollständig eingerichtet . Das sollte Ihre  Beraterin/Ihr Berater regeln können.

Die VR-Kennung regelt u.a. welche Konten jeweils erreichbar sind.

Ein Kunde berichtete darüber, konnte die besagte Datei aber im Quarantäne Ordner von G-Data finden. Wie ich gerade lese, haben unterschiedliche Virenscanner (auch Kaspersky und F-Secure) gerade diese Datei auf dem Schirm und stufen diese irrtümlich als schädlich ein.

Hier handelt es sich mit großer Wahrscheinlichkeit um eine Falschmeldung (“false positive”), was durchaus häufiger vorkommt bei Programmen, die eine Internetverbindng aufbauen. Sollten Sie verunsichert sein, vergleichen Sie die Datei mit Ihrer Bank.

Wenn Sie also eine Meldung erhalten, diese Datei würde fehlen: Schauen Sie im Quarantäne-Ordner mal nach…

Stand: 13.11.2017

Fehlermeldung 9390:Signatur-ID ist ungültig

9210:Signature Id xxx was already used

Erläuterung: Mit Signatur-ID ist – vereinfacht dargestellt – eine Art Zähler der elektronischen Unterschrift gemeint. Es handelt sich um eine Sicherheitsfunktion, die verhindern soll dass eine Unterschrift doppelt verwendet werden kann. Bei der HBCI-Sicherheitsdatei wird der Zählerstand bei den meisten Programmen in der Sicherheitsdatei oder im Programm selbst mitgezählt, es ist deshalb auch nötig, dass die Datei beschreibbar ist. Daher ist es mit den meisten Programmen auch nicht möglich, zwei USB-Sticks mit dem gleichen Bankzugang ohne Störungen zu nutzen.

Jeder online Übertragungs- und Signiervorgang, das können auch Umsatzabrufe sein, zählen diesen Zähler weiter, der Stand muss mit dem Stand des Bankrechners übereinstimmen oder neuer sein.

Ausrufezeichen_Schild

Aufgepasst: In den allermeisten Fällen, in meiner Tätigkeit waren das bisher 100%,  ist und war der Hinweis harmlos. Haben Sie jedoch den dringenden Verdacht, die Datei und Ihr Passwort könnte unberechtigt kopiert worden sein, dann müssen Sie reagieren und die Sicherheitsdatei und Passwort austauschen.

Ist der Zähler der Datei zu sehr veraltet, muss der Stand mit dem Bankserver synchronisiert werden. Bei den meisten Programmen liegt die Funktion dazu in der Bankverwaltung.

GLS e Bank, Windata: Stammdaten/Administrator für FinTS/HBCI, Kontakt markieren und den Button “synchronisieren” auswählen. Bei Lexware und Buhl/Wiso dürfte das in der gleichen Weise in den Bankkontakten geschehen. Bei vielen Programmen ist die Verwaltung auch über die Windows-Systemsteuerung über “Homebanking-Kontakte” erreichbar.

Profi cash: Stammdaten, HBCI-Verwaltung. Oben das Kürzel auswählen und “Benutzerdaten aktualisieren” anklicken.

VR-NetWorld Software: Stammdaten, Bankverbindungen. Dann mit rechter Maustaste den Bankkontakt markieren und im Kontextmenü “Synchronisieren” auswählen (oder oben über den Button gehen).


Die Protokollmeldung sieht dann folgendermaßen aus (hier aus Profi cash 10.8b):

(Dialog)    INERR (3999) Die Signatur-ID ist mit dem Kreditinstitut synchronisiert worden. ()


Gemeinschaftsvollmachten
Diese typische Situation ergibt sich manchmal, wenn z.B. folgendes bei A- und B-Vollmachten passiert:

Person A unterschreibt vorab einen Buchungsauftrag, das geschieht offline. Der Bankserver bleibt also auf dem alten Stand. A arbeitet dann mit der Signatur weiter, holt z.B. Kontoumsätze ab, der Bankserver synchronisiert sich mit der Signatur.

Person B setzt die zweite Unterschrift unter den vorab von A unterschriebenen Buchungsauftrag und überträgt die Buchung.
Da die Unterschrift von A inzwischen veraltet ist, wird die Buchung nicht durchgeführt.

Oder auch:

Person B unterschreibt statt bei der Datenübertragung ebenfalls vorab offline die Aufträge – anstatt die Unterschrift bei der Übertragung “unter” den Auftrag zu setzen und erledigt dann womöglich noch andere Aufträge online.
Wird dann der Buchungsauftrag gesendet, ist womöglich der Zähler der vorherigen Unterschrift bereits veraltet. Die  elektronische Signatur sollte vom Übertragenden also nicht vorab geleistet werden.

Abhilfe: Zeitnah sollten alle Bev. unterschreiben und der Übertragende sollte nicht vorab signieren.


Andere Ursache: Ein altes Backup einer alten Signaturdatei wird verwendet

Ist dies der Fall, hat die Kopie der Sicherheitsdatei noch den veralteten Zählerstand zum Zeitpunkt der Kopie behalten. Es muss neu synchronisiert werden (siehe oben).


Signaturzähler “übergelaufen”:

Die Formulierung hört sich etwas “blöd” an, ist aber ein technischer Begriff aus der IT: Überlauf. Das ist möglich, denn wurde zu häufig mit der Signatur unterschrieben, kann der Zählerstand den vorgesehenen Speicherplatz überschreiten und ist nicht mehr nutzbar. Ich vermute, es sind nur 16 Bit als “Speicherplatz” für den Zähler vorgesehen. Dies sollte natürlich nur bei absoluten “Power-Usern” geschehen. Wer die Umsätze seiner Konten im Minutentakt abruft bzw. z.B. von einem Automaten abrufen lässt, schafft das aber spielend. Hier empfehle ich dringend, auf PIN&TAN zurückzugreifen, bei dem kein Zähler eine Rolle spielt. Das ist auch aus Sicherheitsgründen zu empfehlen, und eine Trennung zwischen TAN-pflichtigen Aufträgen und Umsatzabrufen wird möglich. Das Sicherheitsdatei-Verfahren wird wahrscheinlich abgeschaltet werden..

mein alter Infostand: Um mit der Signatur oder Chipkarte weiter arbeiten zu können, hilft dann nur eine frische Benutzerkennung oder neue Karte von der Bank und eine neue Initialisierung.

Das obige scheint nur für Chipkarten gelten, bei Hibiscus hat es geholfen, die Bankparameter zu löschen. Wie Sie dies bei anderen Programmen tun können, finden Sie dort im Handbuch.

Suchlink:
#pdfkennwort

Verlangt Ihr PDF-Reader beim Öffnen oder Speichern der PDF-Kontoauszüge ein Passwort oder ein Eigentümerkennwort, dann versucht der Reader womöglich an der Datei etwas zu verändern, z.B. ein Lesezeichen zu setzen oder ähnliches. Ich kenne dies von Mac-Programmen oder PDF-Readern, die direkt im Browser integriert wurden, z.B. der integrierte Firefox Browser.

Aus naheliegenden Gründen dürfen Auszugsdateien natürlich nicht geändert werden und sind deshalb durch Kennwörter geschützt, die auch die Bankmitarbeiter nicht kennen.

Man kann dem Problem aus zwei Richtungen begegnen: Eine Option wäre es, einen anderen Leser zu installieren und zuzuordnen, ich verwende unter Windows z.B. den freien Sumatra Leser. Wenn man das Programm zum Öffnen der PDF einstellt, gibt es weniger Probleme. Ein einfacher Workaround wäre auch das vorherige Abspeichern der Datei und zwar aus der Listenfunktion.

Öffnen Sie dann die Datei aus dem Ablageordner, beim Firefox z.B., indem Sie die Downloadliste öffnen (STRG-J) und dort das Ordnersymbol anklicken oder mit der rechten Maustaste auf den Dateinamen gehen und Ordner öffnen auswählen.

Lesetipp für Macianer (externer Link):

https://www.apfeltalk.de/community/threads/speichern-von-pdf-ueber-safari.285355/

 

Einige FinTS/HBCI-Programme nutzen keine eigenen Zertifikatsspeicher, sondern verwenden die Zertifikatsverwaltung des Betriebssystems oder, wie im Fall von Hibiscus, in der Standardeinstellung die Verwaltung von Java. Im Zweifel lassen sie den User das Zertifikat selbst prüfen. Wenn dann das Serverzertifikat erneuert wird, muss das Programm (z.B. Hibiscus) den Fingerprint zur Prüfung anzeigen, damit ein Angriff ausgeschlossen werden kann.

Die wenigsten Banken veröffentlichen diese Fingerprints auf Papier und eine Online-Veröffentlichung ist eigentlich nicht sinnvoll, den die Seite könnte ja bereits durch die gleiche Attacke manipuliert worden sein.

Die Gültigkeit kann man selbst mit einem aktuellen Browser prüfen. Mozilla-Firefox verwendet unter Windows eine eigene Zertifikatsverwaltung (unter Linux die des Betriebssystems, das dürfte beim Mac ähnlich sein). Der MS-Internet-Explorer verwendet die des Windows-Systems. Ich vermute daher, dass man mit dem Internet-Explorer prüfen kann, ob dies Windows-Zertifikatsverwaltung durch Updates aktualisiert wurden. In Fehlerfall muss also dringend das Betriebssystem auf fehlende Updates geprüft werden.

Am 06.01.2016 ist das Zertifikat der (ehemaligen) GAD für den PIN&TAN-Zugang erneuert worden und die betroffenen Programme lassen die User daher die Korrektkeit prüfen. Von Hibiscus (Jamaica Framework auf Java Basis, u.a. in jverein) ist mir das bekannt, ob andere Programme auch zur Bestätigung auffordern, weiß ich leider nicht. Ein Java-Update würde vermutlich helfen, da dies aber andere, womöglich negative Auswirkungen haben kann, sollte man unbedingt sicherstellen, dass alles harmoniert. Mehr zur Verwaltung der Zertifikate bei Hibiscus steht in den  >>>FAQ-Seiten<<< ganz unten.

So kann man das Zertifikat mit Hausmitteln prüfen:

Geben Sie in die Adresse des Servers in die Browserzeile ein (kopieren) oder klicken Sie hier auf den Link:
https://hbci-pintan.gad.de/cgi-bin/hbciservlet

Der Browser öffnet eine Seite mit dem Hinweis:

Dieser Server ist nur mit einem Kundenprodukt erreichbar!

Dass dort keine Webseite zu finden ist, erwartet man ja, und wir wollen ja über diese Seite kein Banking durchführen, sondern nur den Browser nutzen, um das neue Zertifikat zu prüfen. Oben in der Browserzeile (je nach Browser) kann man sich das Zertifikat ansehen. So sieht der Vorgang beim Mozilla-Browser aus.    Zertifikat_Browserpruefung_01

Suchen Sie ggf. das Schloss-Symbol. Der Browser zeigt an, ob er das Zertifikat für gültig hält.

Zertifikat_Browserpruefung_02

Zertifikat_Browserpruefung_03Vergleichen Sie den Fingerabduck mit den von Ihrem Programm angezeigten Daten, z.B. dem SHA1-Fingerabdruck des neuen Zertifikats und achten Sie darauf, dass der Browser auch den richtigen Besitzer anzeigt (Fiducia & GAD IT AG). Letzteres ist besonders wichtig, da im Angriffsfall ja auch der Browser/das Betriebssystem betroffen wäre.Zertifikat_Browserpruefung_04

SHA 255, Stand Dez. 2015:

44:A2:EE:0A:D7:15:27:B6:ED:31:4E:B0:76:4B:39:E8
11:0F:93:67:81:2A:6B:BE:33:59:60:76:8B:91:1A:A2

 


Ergänzung dazu: Ich weiß, wie die Fachleute darüber denken, DNS-Spoofing kenne ich auch. Allerdings halte ich hier die Gefahr für sehr gering, da man beim PIN & TAN-Verfahren zusätzlich auch ziemlich sicher über einen Auftrag und die Inhalte prüfen kann, mit wem man verbunden ist. Die Geno-Banken setzen kein altes TAN-Verfahren mehr ein, beim dem Aufträge abgeändert werden könnten.

gilt nur für xGAD Banken mit b21 System

Bei dieser Fehlermeldung funktioniert nicht einmal die Initialisierung eines neuen Zuganges, weil generell der SB-Zugang durch eine SB-Sperre blockiert ist.

Initialisierung fehlgeschlagen Auftrag nicht bearbeitet (TRE) (9010)
B21:0123 (9370)

Sie müssen mit der Bank sprechen.

Zur Info an die KollegInnen: Die Einstellung ist am Kundenstamm der Nutzer zu finden in der Spalte SB-Sperre