#Hiblog

Das vollständige Protokoll kann für die Fehlerdiagnose der Bankzugangsdaten und Buchungen sehr hilfreich sein und ist sogar essentiell, um Rückmeldungen vom Server richtig interpretieren zu können.
Lesen Sie hier:
FinTS/HBCI-Fehlermeldungen interpretieren

Hibiscus speichert das Protokoll verschlüssselt in seiner Datenbank. Um es lesen zu können, müssen Sie das Protokoll erst als Datei exportieren: Klicken Sie in Jameica auf das Pluginmenü “Hibiscus”, dort unter “Erweitert”.

hibiscus_hbci_protokoll

Das Log kann nun gespeichert werden. Weil es kritische Daten enthält ist es sehr wichtig, die exportierte Datei sicher, z.B. in einem geschützten Ordner abzulegen und nach der Diagnose zu löschen.

Der rot gedruckte Sicherheitshinweis ist also ernst zu nehmen.

hibiscus_hbci_protokoll_export

Rufzeichen_60Stellen Sie das Protokoll jemanden zur Diagnose zur Verfügung, entschärfen Sie die enthaltenen Daten! Auch Ihre Bank benötigt nicht die PIN, kein(e) MitarbeiterIn könnte diese prüfen. Löschen Sie auch alles, was zeitlich nicht mit dem Problem zusammenhängt. Durchsuchen Sie das Protokoll nach vertraulichen Daten, das wäre bei der GLS Bank z.B. die VR-Kennung, aber auch Alias, Kundennummer, Kontonummer. Beim Upload in die Öffentlichkeit, also z.B. dem Onlinebanking-Forum gehören zu den vertraulichen Daten auch die Kontonamen/Bezeichnungen und die Daten aus dem Zahlungsverkehr, z.B. die Empfängerdaten einer Buchung.

Kompetente Hilfe zu Problemen rund um Jameica/Hibiscus finden Sie hier im onlinebanking-forum.de


Je nach Editor können beim Öffnen des Logs Probleme auftreten. Bei mir wurde unter xubuntu bei Mousepad ein Fehler “Ungültige Bytfolge in Konvertierungseingabe.” ausgegeben, mit einem anderen Editor oder libreoffice war es aber kein Problem, die Datei direkt zu lesen.

hibiscus_hbci_protokoll_fehler_mousepad

Einige FinTS/HBCI-Programme nutzen keine eigenen Zertifikatsspeicher, sondern verwenden die Zertifikatsverwaltung des Betriebssystems oder, wie im Fall von Hibiscus, in der Standardeinstellung die Verwaltung von Java. Im Zweifel lassen sie den User das Zertifikat selbst prüfen. Wenn dann das Serverzertifikat erneuert wird, muss das Programm (z.B. Hibiscus) den Fingerprint zur Prüfung anzeigen, damit ein Angriff ausgeschlossen werden kann.

Die wenigsten Banken veröffentlichen diese Fingerprints auf Papier und eine Online-Veröffentlichung ist eigentlich nicht sinnvoll, den die Seite könnte ja bereits durch die gleiche Attacke manipuliert worden sein.

Die Gültigkeit kann man selbst mit einem aktuellen Browser prüfen. Mozilla-Firefox verwendet unter Windows eine eigene Zertifikatsverwaltung (unter Linux die des Betriebssystems, das dürfte beim Mac ähnlich sein). Der MS-Internet-Explorer verwendet die des Windows-Systems. Ich vermute daher, dass man mit dem Internet-Explorer prüfen kann, ob dies Windows-Zertifikatsverwaltung durch Updates aktualisiert wurden. In Fehlerfall muss also dringend das Betriebssystem auf fehlende Updates geprüft werden.

Am 06.01.2016 ist das Zertifikat der (ehemaligen) GAD für den PIN&TAN-Zugang erneuert worden und die betroffenen Programme lassen die User daher die Korrektkeit prüfen. Von Hibiscus (Jamaica Framework auf Java Basis, u.a. in jverein) ist mir das bekannt, ob andere Programme auch zur Bestätigung auffordern, weiß ich leider nicht. Ein Java-Update würde vermutlich helfen, da dies aber andere, womöglich negative Auswirkungen haben kann, sollte man unbedingt sicherstellen, dass alles harmoniert. Mehr zur Verwaltung der Zertifikate bei Hibiscus steht in den  >>>FAQ-Seiten<<< ganz unten.

So kann man das Zertifikat mit Hausmitteln prüfen:

Geben Sie in die Adresse des Servers in die Browserzeile ein (kopieren) oder klicken Sie hier auf den Link:
https://hbci-pintan.gad.de/cgi-bin/hbciservlet

Der Browser öffnet eine Seite mit dem Hinweis:

Dieser Server ist nur mit einem Kundenprodukt erreichbar!

Dass dort keine Webseite zu finden ist, erwartet man ja, und wir wollen ja über diese Seite kein Banking durchführen, sondern nur den Browser nutzen, um das neue Zertifikat zu prüfen. Oben in der Browserzeile (je nach Browser) kann man sich das Zertifikat ansehen. So sieht der Vorgang beim Mozilla-Browser aus.    Zertifikat_Browserpruefung_01

Suchen Sie ggf. das Schloss-Symbol. Der Browser zeigt an, ob er das Zertifikat für gültig hält.

Zertifikat_Browserpruefung_02

Zertifikat_Browserpruefung_03Vergleichen Sie den Fingerabduck mit den von Ihrem Programm angezeigten Daten, z.B. dem SHA1-Fingerabdruck des neuen Zertifikats und achten Sie darauf, dass der Browser auch den richtigen Besitzer anzeigt (Fiducia & GAD IT AG). Letzteres ist besonders wichtig, da im Angriffsfall ja auch der Browser/das Betriebssystem betroffen wäre.Zertifikat_Browserpruefung_04

SHA 255, Stand Dez. 2015:

44:A2:EE:0A:D7:15:27:B6:ED:31:4E:B0:76:4B:39:E8
11:0F:93:67:81:2A:6B:BE:33:59:60:76:8B:91:1A:A2

 


Ergänzung dazu: Ich weiß, wie die Fachleute darüber denken, DNS-Spoofing kenne ich auch. Allerdings halte ich hier die Gefahr für sehr gering, da man beim PIN & TAN-Verfahren zusätzlich auch ziemlich sicher über einen Auftrag und die Inhalte prüfen kann, mit wem man verbunden ist. Die Geno-Banken setzen kein altes TAN-Verfahren mehr ein, beim dem Aufträge abgeändert werden könnten.

letzte Änderung 27.11.2019
#Hibini

So erstellen Sie mit Hibiscus eine neuen Schlüsseldatei (“HBCI classic”).

Wichtig
Beachten Sie bitte: Die Einreichung des öffentlichen Schlüssels ist pro Benutzerkennung bei (ex)GAD-Banken nur ein einziges Mal möglich. Es gibt hier keine Experimentiermöglichkeiten, wird der Schlüssel erfolgreich bei der Bank eingereicht, dann benötigt die Bank auch genau den zu diesem Schlüssel passenden unterschriebenen Ini-Brief. Wenn es also mit dem Druck z.B. nicht klappt: Den Schlüssel/die Datei nicht löschen, sondern wegsichern und den Druck später wiederholen.

Zuerst: Prüfen Sie die Version im Menü Hibiscus und “Über” und vergleichen Sie die Version mit den Versionsangaben auf willuhn.de.
Die Nightly-Builds sind Beta-Versionen, allerdings mit einer sehr guten Qualität. Achten Sie auch auf die Version von Jameica.

Hinweis zur Servervariante: Die Erzeugung der Signaturdatei kann nicht in der Serverkonsole erfolgen. Erzeugen Sie die Datei mit dem “normalen” Hibiscus. Da die Schlüsselübernahme aus anderen Programmen regelmäßig schief läuft, empfehle ich, das eigene Hibiscus-Format zu verwenden.

Hibiscus_willkommensschirm

Hibiscus_01a_Version

Die Einrichtung der Bank erfolgt unter “Bank-Zugänge”.

Hibiscus_01b_Navigation

Wählen Sie “Schlüsseldiskette” als Medium aus.

Hibiscus_02_Auswahl_VerfahrenHibiscus_willkommensschirm

Wählen Sie “Neuen Schlüssel erstellen” aus.

Hibiscus_03_Neuer_Schlüssel

Legen Sie Ihren Schlüssel auf einem Wechseldatenträger ab (USB-Stick). Ein CDR/DVD ist nicht geeignet, da der Schlüsselzähler permanent aktualisiert wird.

Hibiscus_04_Pfad_und_Dateiname

Wählen Sie das Datei-Format aus. Die Auswahl des Formates wird meines Wissens in neuen Hibiscus-Versionen nicht mehr angeboten. Wählen Sie das Hibiscus-Format aus.

Hibiscus_05_Format

Die genossenschaftlichen Bankrechenzentralen fusionierten gerade in technischer Hinsicht, inzwischen sollte das Verfahren gleich sein.

Für Kunden der exGAD-Banken: Die Benutzerkennung reicht inzwischen ebenfalls für die Freischaltung, die VR-Kennung stört aber nicht.

Für genossenschaftliche Banken an der exFiducia ist die Serveradresse eine andere, mit “fiducia” in der Domäne.

Das Feld 2 muss also nicht mehr gefüllt werden, wenn Hibiscus das nicht mag – der Screenshot hier stammt aus 2016 – dann einfach die Benutzerkennung dort eintragen.

Hibiscus_06_Bankzugangsdaten Das Passwort schützt die Datei und Ihre Bank kennt das Passwort nicht. Es sollte sorgfältig gewählt werden, da ein Durchprobieren aller Zeichen-Kombinationen keine Sperre verursacht. Es darf von niemanden erraten werden können und muss trotzdem gut merkbar sein. Es wird bei jeder Datenübertragung zur Bank benötigt, also auch z.B. zur Abfrage der Kontoumsätze. Nichts spricht dagegen, wenn Sie sich das Passwort notieren (auf Zettel, nicht auf dem Rechner), wenn niemand an diese Notizen geraten kann.

Hibiscus_07_Passwort

Die HBCI-Version ist FinTS 3.0.

Hibiscus_08_FinTS_3

Hibiscus holt sich online den öffentlichen Schlüssel der Bank und errechnet den Hash, den “Fingerabdruck” dieses Schlüssels. Vergleichen Sie die Hexzahlen mit den Angaben auf dem INI-Brief Ihrer Bank (Hash 2).

Hibiscus_09_HashvergleichUnd bestätigen Sie die Korrektheit mit OK. Stimmt der Hash nicht, haben Sie wahrscheinlich eine falsche BLZ oder eine falsche Verschlüsselung ausgewählt.

Hibiscus_09b_Hashvergleich

Folgen Sie nun dem weitern Assistenten und drucken Sie den INI-Brief aus. Diesen Brief senden Sie eigenhändig unterschrieben zu Bank. Erstellen Sie anschließend eine Sicherheitskopie Ihrer Schlüsseldatei.

Fehlermeldungen finden Sie im Protokoll der Datenübertragung.

(zuletzt geändert am 28.11.2019)

 

Diese Anleitung sollte bei keiner Bank mehr notwendig sein, weil sämtliche  Systeme meines Wissens inzwischen auf den VR-NetKey umgestellt wurden. Ich lasse sie hier noch stehen, damit die Links nicht ins Leere laufen. Die Versionsangaben sind ebenfalls veraltet.

Hibiscus sollte seit der neuesten Version 2.6.6 auch um die VR-Kennung erweitert werden können. Bisher war bei Signaturdateien eine Änderung nicht möglich, bei älteren Versionenen musste der komplette Initialisierungsvorgang (neue Benutzerkennung, INI-Brief, Freischaltung…) durchgeführt werden.

Es lohnt sich also, den Aufwand zu vermeiden und die aktuellste Version zu installieren, selbstverständlich mit vorherigem Backup, falls Unvorhergesehenes geschieht. Die Update-Installation hat Olaf Willuhn hier vorbildlich beschrieben:
http://www.willuhn.de/wiki/doku.php?id=support:update


Sollte die Änderung nicht möglich sein, könnte ein Update auf die neueste nightly-Version helfen. Diese Versionen sind zwar im Beta-Status, haben aber eine gute Qualität (zumindest zum Zeitpunkt der letzten Änderung dieser Seite). Beachten Sie aber unbedingt die Hinweise zu den “Nightlys” im Wiki und halten Sie sich über das onlinebanking-forum.de (bzw. jverein.de für die Vereinsverwaltung) auf dem Laufenden.

http://www.willuhn.de/wiki/doku.php?id=support:faq#faq


 

Außerdem unterstützt Hibiscus nun den Rückmeldecode 3072 aktiv, heißt, dass im Idealfall die VR-Kennung automatisch nachgepflegt wird.

Hibiscus Versionscheck

Hibiscus: Version prüfen

Wenn Sie also eine Meldung im Protokoll auf neue Anmeldedaten gefunden haben, aktualisieren Sie auf die neueste Version und aktualisieren Sie das Feld Kundenkennung.

Wählen Sie in der Navigation “Bank-Zugänge” an.

Hibiscus Bankvverbindung anwaehlenWählen Sie den zu ändernden Eintrag mit Doppelklick aus.

Hibsicsus SicherheitsdisketteÄndern Sie ausschließlich das Feld “Kundenkennung” auf die VR-Kennung ab. Diese bitte vollständig eintragen, kein Alias und VRK gefolgt mir allen Ziffern.

Hibiscus VR-Kennung eintragen

Unten rechts anschließend auf “Speichern” klicken und die Übertragung testen.

siehe auch:
http://www.willuhn.de/products/hibiscus/
http://www.onlinebanking-forum.de/forum/topic.php?t=16263