letzte Änderung 22.08.2025
Suchwort: #cardput
Aktuell tritt bei einigen unserer Kunden erneut der Fehler „Kundenschlüssel nicht mehr gültig“ erneut auf, der mir aus den letzten Jahren bekannt vorkommt. Zuletzt hatte Lexware das Problem.
Mit dem ChipcardMaster können Sie HBCI-Karten wieder korrekt einstellen – wenn es sich um eine Karte mit Seccos 6 Chip handelt. Seit ca. April/Mai 2025 werden neue Seccos 7 Karten ausgegeben, leider weigert sich der ChipcardMaster, mit der neuen Kartengeneration zu arbeiten. Es gibt zwar ein älteres Karten-Tool, das diese Probleme nicht hat, aber es ist leider nicht frei verfügbar.
Wichtig:
Prüfen und aktualisieren Sie den Lesertreiber, bevor Sie weiter machen. Starten Sie nach einem Update ggf. neu. Beachten Sie die Installationsanweisung des Herstellers (Install mit Adminrechten bei Reiner SCT-Lesern)
Häufig wurde der Bankzugang nicht neu eingerichtet, sondern die neue Karte wurde mit dem alten Zugang verwendet. Programme sollen am Status des Kartenchips erkennen, dass die Austauschkarte noch nicht initialisiert wurde und reagieren darauf automatisch mit der Einreichung der neuen Schlüssel. Leider machen dies nicht alle Programme richtig. Und schlimmer noch: Sie überschreiben den neuen Inhalt der Karte mit den alten Daten.
Auch ändern einige Programme die aktualisierten Daten nicht, sondern verwalten diese intern (Bankschlüssel und URL-Adresse). Bei einem Programmwechsel funktioniert die Karte dann nicht, obwohl sie noch funktionsfähig wäre.
aus dem Logfile:
Empfangene Nachricht auswerten
##### HIRMG:9050:Die Nachricht enthält Fehler.:
##### HIRMS:9010:Schlüsseleinreichung wurde abgelehnt.: (Seg:4)
##### HIRMS:9010:Schlüsseleinreichung wurde abgelehnt.: (Seg:5)
##### HIRMS:9010:Schlüsseleinreichung wurde abgelehnt.: (Seg:6)
HIRMS:0020:*Dialoginitialisierung erfolgreich: (Seg:3)
Die Fehlermeldung lautet "Kundenschlüssel nicht mehr gültig", als ob noch die alte Karte verwendet würde.
Die Karte hatte bereits den Status 04, also „Schlüssel eingereicht“, wie im Bild zu sehen (Chipcard Master, Bedienung siehe unten). Die Übertragung war im Banksystem aber mit RDH2 angezeigt, also eine falschen Version der Verschlüsselung. RDH2 stimmt übrigens nicht wirklich, das Banksystem trägt dies einfach als default-Wert ein weil die Verbindung nicht geklappt hat, aber die Benutzerkennung erkannt wurde.
Nach Änderung auf 01 und Einreichung der Schlüssel funktioniert die Initialisierung der Karte und dann auch der Kontozugriff.
Folgekarten, die abgelaufene HBCI-Karten ersetzen haben, werden erneut von einigen Programmen kaputtgeschrieben, wenn sie nicht neu angemeldet werden.
Die Fehlermeldung lautet meist:
„Die Synchronisierung mit dem Kreditinstititut ist fehlgeschlagen.“ (…)
„Kundenschlüssel nicht mehr gültig. Auftrag abgelehnt“.
Sicher bin ich aktuell nur, dass einige Versionen des b+s (Datadesign)-Kernel ddbac mit den Karten erneut ein Problem haben muss. Die Schlüsselnummer wird vermutlich daher in bestimmten Versionen unter anderem in Lexware, Quicken, MS-Money99, windata, Buhl (wiso..), GLS eBank etc. falsch gesetzt.
Die Fehlermeldung wird in anderen Programmen eventuell mit anderen Texten ausgegeben.
Reparieren kann man die Karte nicht mit den ddbac-Hausmitteln, wie das bei falschen RDH-Versionen funktionieren kann.
Eine mögliche Lösung ist der Chipcard Master vom wirklich genialen Chipkarten-Guru Dr. Olaf Jacobsen (auch von hier noch einmal den herzlichsten Dank für alles und den Chipcard Master!). Sinnvoll ist dies nur, wenn man danach eine Software einsetzen kann, die die Karte nicht sofort wieder unbrauchbar macht.
Das kostenlose Tool erhält man bei heise zum freien Download, trotzdem sollte man sich hier www.chipcardmaster.de über den Stand informieren.
Achtung:
Man sollte diese Änderungen nur durchführen, wenn die Karte wirklich nicht funktioniert (letzte Maßnahme). Ich kann keine Haftung für die Bearbeitung übernehmen. Ist die Karte aber eh unbrauchbar, kann man sie kaum kaputter machen.
Prüfen und aktualisieren Sie ggf. den Treiber des Kartenlesers und auch die Firmware des Lesers. Die neue Version beinhaltet auch ein Tool zum Prüfen des Zählerstands des Chips.
In vielen Fällen muss dazu der Gerätemanager (Reiner SCT) mit Adminrechten gestartet werden (Rechte Maustaste auf das Icon).
Ich bin so vorgegangen:
Unter „Kartenleser“, Einstellung des Kartenlesers muss der Leser auf die sichere PIN-Eingabe umgestellt werden. Bei meinem Leser kam es zu Abstürzen, ich habe dann einfach neu gestartet und dann ging es.
Die HBCI-Daten der Karte lese ich unter „Banking“ aus.
Erst nach der PIN-Abfrage erfolgt die Anzeige. Das gesuchte, offensichtliche fehlerhafte Feld finde ich im Chipcard Master unter „Schlüssel Info“.
Bei meiner Folgekarte muss ich alle „001“ in die „002“ abändern und speichern.
Die RDH-Version bleibt bei personalisierten Karten 007, bei Karten ohne Namensdruck 009. Manchmal ist dies auch verstellt, bei einem Lexware-Kunden war es 009001009001009001. Richtig war 007002007002007002 (personalisierte Karte, erste Folgekarte). Leider sieht man im Banksystem nicht auf Anhieb, ob es sich um eine Folgekarte handelt.
Beim ersten Mal habe ich direkt den „Speichern-Befehl“ übersehen, dieser befindet sich unten links.
Danach funktionierte die Karte bei mir wieder, allerdings nur in Profi cash und der VR-NetWorld Software, weil damals die ddbac diesen Fehler ständig wiederholte und die Karte reproduzierbar kaputtschrieb. Ich hatte die Karte in einer ddbac-Software testweise neu initialisiert, danach war die Karte wieder defekt. Eingesetzt wurde ein ddbac-Kernel der Version 5.8.80 und .85, letztere vom 10.01.2020, wenn ich das richtig gesehen habe. Der Fehler trat im März 2024 erneut auf!
Es spricht nichts dagegen, die Folgenummern einfach durchzuprobieren. Sie machen damit nichts kaputt, es ist lediglich etwas lästig, dass man immer den ChipcardMaster beenden muss, um nicht mit der Banksoftware in Konflikte zu kommen.
Ergänzung :
So sieht meine Karte der Generation 1 im Chipcardmaster aus. Die Karte wird im Laufe des Jahres ungültig werden.
Die URL der Karte unter Komm.Adresse ist hier seit 13.03.24 veraltet. Sie lautet für ex-GAD Banken und HBCI-Karten nun: fints1.atruvia.de (ehemalige Fiducia: fints2…). Einige Programme aktualisieren dieses Feld nicht.
GLS Bank Hash für die vorpersonalisierte Karte:
Der neue Eintrag für den 2048 Bit Schlüssel seit dem 07.05.2025 wäre dieser:
303037303032032617750408DC07C3A67ED1ACCB3FFE6A0719447AC05A66F19A8E98FF15708EBB
Vorne steht eine Art Header (30303730303203) steht mit der Schlüsselnummer, Schlüsselversion und dem Hashverfahren.
Der eigentliche Hash der GLS Bank ist dieser und steht auf der Webseite der Bank zum Vergleich.
2617750408DC07C3A67ED1ACCB3FFE6A0719447AC05A66F19A8E98FF15708EBB
Dem Bankschlüssel einfach glauben? Überlegung dazu:
Wenn Sie mit der Serveradresse und Ihrer Karte sich mit einem gefälschten Bankrechner verbinden würden – was könnte passieren? Betrüger könnten Ihren öffentlichen Schlüssel abgreifen und – theoretisch – Ihre Daten mitlesen. Aber es wäre nicht möglich, Zahlungsverkehr auslösen, dazu fehlt der geheime Schlüssel Ihrer Karte. Wer würde diesen Aufwand treiben? Und wäre es nicht für einen Betrüger einfacher, Ihren Rechner zu hacken und die Daten dort abzugreifen? Das wäre ja möglich, weil ja die Bank-Domänen schon umgeleitet werden müssten.
Die Gefahr ist meines Erachtens minimal. Ob Sie also der Hash-Anzeige einer Software vertrauen und den Bankschlüssel bestätigen, liegt bei Ihnen.
Sie können den Hashwert Ihrer Bank mit der ddbac aktualisieren (zu finden als 32 Bit-Anwendung in der Systemsteuerung bei windata, GLS eBank, Lexware und einigen anderen).
Der Hash für den alten 1984 Bit langen Schlüssel war dieser:
3030373030310369F2B5D0A664D52EF043A0354DBD658848891A1A2385A1B1AE55008A2FF4999D
Er liegt in alten Karten vorprogrammiert vor und muss ausgetauscht werden.
FinTS/HBCI: Die Sammlerausführung von Echtzeitüberweisungen (Instand-Payment) (HKIPM) ist erst ab dem 25.10.2025 verfügbar bei den Atruvia-Banken.
