letzte Änderung 28.03.2024
Suchwort: #cardput

Aktuell tritt bei einigen unserer Kunden der Fehler „Kundenschlüssel nicht mehr gültig“ erneut auf, der mir aus den letzten Jahren bekannt vorkommt. Zuletzt hatte Lexware das Problem.

Wichtig:
Prüfen und aktualisieren Sie den Kartentreiber, bevor Sie weiter machen. Starten Sie nach einem Update ggf. neu.

Wie es häufig ist, wurde der Bankzugang nicht neu eingerichtet, sondern die neue Karte wurde mit dem alten Zugang verwendet. Andere Programme erkennen am Status des Kartenchips, dass die Austauschkarte noch nicht initialisiert wurde und reagieren darauf automatisch mit der Einreichung der neuen Schlüssel.

 

aus dem Logfile:

Empfangene Nachricht auswerten
##### HIRMG:9050:Die Nachricht enthält Fehler.:
##### HIRMS:9010:Schlüsseleinreichung wurde abgelehnt.: (Seg:4)
##### HIRMS:9010:Schlüsseleinreichung wurde abgelehnt.: (Seg:5)
##### HIRMS:9010:Schlüsseleinreichung wurde abgelehnt.: (Seg:6)
HIRMS:0020:*Dialoginitialisierung erfolgreich: (Seg:3)

 

[/su_spoiler]
Die Fehlermeldung lautet "Kundenschlüssel nicht mehr gültig", als ob noch die alte Karte verwendet würde.

Die Karte hatte bereits den Status 04, also „Schlüssel eingereicht“, wie im Bild zu sehen (Chipcard Master, Bedienung siehe unten). Die Übertragung war im Banksystem aber mit RDH2 angezeigt, also eine falschen Version der Verschlüsselung. RDH2 muss übrigens nicht stimmen, womöglich trägt das Banksystem dies einfach nur ein, weil die Verbindung nicht geklappt hat.

Nach Änderung auf 01 und Einreichung der Schlüssel funktioniert die Initialisierung der Karte und dann auch der Kontozugriff.


Folgekarten, die abgelaufene HBCI-Karten ersetzen haben, werden erneut von einigen Programmen kaputtgeschrieben, wenn Sie nicht neu angemeldet werden.

Die Fehlermeldung lautet meist:

„Die Synchronisierung mit dem Kreditinstititut ist fehlgeschlagen.“ (…)

„Kundenschlüssel nicht mehr gültig. Auftrag abgelehnt“.

Sicher bin ich aktuell nur, dass einige Versionen des b+s (Datadesign)-Kernel ddbac mit den Karten erneut ein Problem haben muss. Die Schlüsselnummer wird vermutlich daher in bestimmten Versionen unter anderem in Lexware, Quicken, MS-Money99, windata, Buhl (wiso..), GLS eBank etc. falsch gesetzt.


Die Fehlermeldung wird in anderen Programmen eventuell mit anderen Texten ausgegeben.

Reparieren kann man die Karte nicht mit den ddbac-Hausmitteln, wie das bei falschen RDH-Versionen funktionieren kann.

Eine mögliche Lösung ist der Chipcard Master vom wirklich genialen Chipkarten-Guru Dr. Olaf Jacobsen (auch von hier noch einmal den herzlichsten Dank für alles und den Chipcardmaster!). Sinnvoll ist dies nur, wenn man danach eine Software einsetzen kann, die die Karte nicht sofort wieder unbrauchbar macht.

Das kostenlose Tool erhält man schlussendlich bei heise zum freien Download, trotzdem sollte man sich hier www.chipcardmaster.de über den Stand informieren.

Achtung:
Man sollte diese Änderungen nur durchführen, wenn die Karte wirklich defekt ist (letzte Maßnahme). Ich kann keine Haftung für die Bearbeitung übernehmen. Ist die Karte aber eh unbrauchbar, kann man sie auch kaum kaputter machen.

Prüfen und aktualisieren Sie ggf. den Treiber des Kartenlesers und auch die Firmware des Lesers.

In vielen Fällen muss dazu der Gerätemanager (Reiner SCT) mit Adminrechten gestartet werden (Rechte Maustaste auf das Icon). Das gilt auch für den Chipcardmaster.

Ich bin so vorgegangen:

Unter „Kartenleser“, Einstellung des Kartenlesers muss der Leser auf die sichere PIN-Eingabe umgestellt werden. Bei meinem Leser kam es zu Abstürzen, ich habe dann einfach neu gestartet und dann ging es.

Die HBCI-Daten der Karte lese ich unter „Banking“ aus.

Erst nach der PIN-Abfrage erfolgt die Anzeige. Das gesuchte, offensichtliche fehlerhafte Feld finde ich im Chipcardmaster unter „Schlüssel Info“.

Bei meiner Folgekarte muss ich alle „001“ in die „002“ abändern und speichern.
Die RDH-Version bleibt bei personaliserten Karten 007, bei Karten ohne Namensdruck 009. Manchmal ist dies auch verstellt, bei einem Lexware-Kunden war es 009001009001009001. Richtig war 007002007002007002. Leider sieht man im Banksystem nicht auf Anhieb, ob es sich um eine Folgekarte handelt.

 

Beim ersten Mal habe ich direkt den „Speichern-Befehl“ übersehen, dieser befindet sich unten links.

 

Danach funktionierte die Karte bei mir wieder, allerdings nur in Profi cash und der VR-NetWorld Software, weil damals die ddbac diesen Fehler ständig wiederholte und die Karte reproduzierbar kaputtschrieb. Ich hatte die Karte in einer ddbac-Software testweise neu initialisiert, danach war die Karte wieder defekt. Eingesetzt wurde ein ddbac-Kernel der Version 5.8.80 und .85, letztere vom 10.01.2020, wenn ich das richtig gesehen habe. Der Fehler trat im März 2024 erneut auf!


Ergänzung :
So sieht meine Karte der Generation 1 im Chipcardmaster aus. Die Karte wird im Laufe des Jahres ungültig werden.

Die URL der Karte ist hier seit 13.03.24 veraltet. Sie lautet für ex-GAD Banken und HBCI-Karten nun: fints1.atruvia.de

Der Schlüssel Hash  auf der Karte ist dieser:
3030373030310369F2B5D0A664D52EF043A0354DBD658848891A1A2385A1B1AE55008A2FF4999D
Da er unter „Kreditinstitut“ steht, vermute ich, dass es der öffentliche Schlüssel der Bank ist.
letzte Änderung: 28.03.2024

Gibt WISO mein Geld (getestet mit Version 2015) bei der Einrichtung einer neuen Chipkarte, beim Tausch oder einer neuen Bankverbindung trotz richtiger Daten (Benutzerkennung) den folgenden Fehler aus:

9050::Die Nachricht enthält Fehler. (TRE) 9800::Dialog abgebrochen (TRE)
9010::Benutzerkennung unbekannt – Signaturprüfung nicht möglich. (SCA)
9340::Auftrag abgelehnt. (TRE)Fehlermeldung

dann initialisiert WISO MG die neue Karte nicht richtig am Bankserver, sondern versucht sofort mit den neuen Schlüsseln zu arbeiten. Der Fehler liegt meines Wissens in der ddbac.net, denn Wiso mein Verein ist nicht betroffen.

Eine neue Karte Ihrer Bank hilft nicht, die Karte ist nicht defekt.

Jede Karte sollten Sie als neuen Kontakt anlegen und nicht einfach verwenden. Lesen Sie die Karte neu aus und tragen Sie die VR-Kennung nach.


Tipp 1:

Initialisieren Sie die neue Karte mit der ddbac.exe.  Sie finden das Programm in der Systemsteuerung von Windows als „Homebanking-Kontakte“ und folgen Sie dann der Anleitung.. Sollte eine alte Version installiert sein, installieren Sie unbedingt vorher ein Update!


Tipp 2:

In einigen Fällen konnte der Fehler behoben werden, in dem die Benutzerkennung aus dem Chip gelöscht werden und wieder neu eingetragen werden.

Erreichbar ist dies auch über die Kontoeinrichtung und dort im Fenster über den Button „Bankkontakt“ (?) oben rechts über den Eingabefeldern. Mir fehlt leider die Hardcopy dazu.

Sie können aber auch die HBCI-Kontaktverwaltung über das Menü „Online-Verwaltung“, „Administration“ und „HBCI Kontaktübersicht“ erreichen.

01b Menü Wiso Mein Geld Kontoadministration

Folgen Sie anschließend dieser Anleitung, mit etwas Glück kann die Karte dann direkt eingesetzt werden. Der Download der ddbac kann entfallen.


Tipp 3:

Einige Versionen der ddbac beschreiben den Kartenspeicher falsch.
Lesen Sie hier weiter:

HBCI Chipkarte falsch eingestellt: reparieren

 

Sie erhalten einen Hinweis auf ein angeblich abgelaufenes Zertifikat, bzw. diese Fehlermeldungen?

Es sind keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar

und/oder

Der HBCI Dialog wurde wegen eines Übertragungsfehlers abgebrochen.

Internetverbindung: https://hbci-pintan.gad.de/cgi-bin/hbciservlet
Encoding: base64

Fehlercode von WinHttp: ‚Send Failed‘ (0x80072f19, 12057).

Fehlertext von Windows: ‚Es konnte keine Verbindung mit dem Revokationsserver hergestellt werden, oder es konnte keine definitive Antwort abgerufen werden.‘

Prüfen Sie als erstes Uhrzeit und Systemdatum Ihres Rechners.

Wenn Sie die obige Fehlermeldungen erhalten, sind Server nicht erreichbar, die Windows anspricht, um Zertifikate auf Sperren etc. zu prüfen. Betroffen können dann auch Zahlungsverkehrsprogramme sein, die sich auf die Windows-Verschlüsselung verlassen, also Windata/ GLS eBank, Lexware (Quicken, etc.) Wiso etc. Es gibt einen einfachen Workaround, den man aber tunlichst nach den Übertragungen wieder zurückschalten sollte.

Deaktivieren Sie die Überprüfung auf zurückgezogene oder gesperrte Zertifikate in jedem Fall nur temporär!

Suchen Sie die Windows-Systemsteuerung auf und wählen Sie „Internetoptionen“ aus.

Revokationsserver02_Internetoptionen

 

Unter „Erweitert“ finden Sie unten die „Sicherheitseinstellungen“. Deaktivieren Sie „Auf gesperrte Zertifikate von Herausgebern prüfen“, klicken Sie auf „Übernehmen“ und „OK“ und übertragen Sie Ihre Daten. Anschließend aktivieren Sie bitte wieder diese Sicherheitseinstellung.

Die Verschlüsselung zur Bank selbst wird dadurch übrigens nicht beeinträchtigt (und war in älteren Windows-Versionen gar nicht aktiv).

Revokationsserver04_Pruefung_Deaktivierung

letzte Änderung: 06.05.2022

Die Fehlermeldung tritt in folgenden Situationen auf: Eine HBCI Chipkarte wird/wurde durch die Bank ausgetauscht durch den zyklischen Wechsel (eine sogenannte Folgekarte), z.B. weil die alte Karte abläuft. Oder es wurde bei der Initialisierung eine Kunden-ID angegeben, die nicht korrekt ist, z.B. die Kundennummer.

Ein Kartentausch seitens der Bank ist hier in der Regel nicht nötig!

In beiden Fällen wurde/wird die Karte nicht richtig initalisiert. Das Banksystem kennt also die Benutzerkennung und Schlüssel der Karte noch nicht, die Software hat aber auf der Karte vermerkt, dass die Karte bereits initialisiert wurde und versucht daher nicht mehr, die Karte neu zu initialisieren, auch wenn man z.B. die Daten korrigiert hat.

Es kann dabei zu folgender Fehlermeldung kommen:

9050::Die Nachricht enthält Fehler. (TRE) 9800::Dialog abgebrochen (TRE)

9010::Benutzerkennung unbekannt – Signaturprüfung nicht möglich. (SCA)

9340::Auftrag abgelehnt. (TRE)Fehlermeldung

Über den Chipcard Master kann der Status der Karte zurückgeändert werden. Diese kostenlose Software finden Sie auf www.heise.de im Download-Sevice. nutzen Sie das virengeprüfte Angebot vom Heise-Verlag, der Link zur Herstellerseite führt wieder zurück.

Die sichere PIN-Eingabe am Kartenleser muss bei den allermeisten Lesern zuerst aktiviert werden im Menü „Kartenleser“, „Einstellen…“

 

Setzen Sie den Haken bei „Pin-Eingabe“ am Kartenleser.

 

 

 

Prüfen Sie den Schlüsselstatus:
04 bedeutet, dass die Initialisierung durchgeführt wurde. Ändern Sie dies Feld auf 01 ab, das sagt der Software, dass der Schlüssel noch nicht eingereicht war.

Passen Sie auch die Kunden-ID an, falls dies die Ursache sein sollte. Bewährt hat sich das Eintragen (kopieren) der Benutzerkennung.

 

 

Wichtig: Nach dem Ändern der Daten muss gespeichert werden, links unten über „Sichere Änderungen“.

 

Über den Chipcard Master kann der Status der Karte zurückgeändert werden.

Prüfen Sie einmal den Schlüsselstatus:
04 bedeutet, dass die Initialisierung durchgeführt wurde. Ändern Sie dies Feld auf 01 ab.

Passen Sie auch die Kunden-ID an, falls dies die Ursache sein sollte. Bewährt hat sich das Eintragen (kopieren) der Benutzerkennung.

 

Beispiel VR-NetWorld Software:

Nach dem neuen Einlesen der Karte ändert sich auch der Schlüsselstatus. Mit „Synchronisieren“ wird die Initialisierung nachgeholt, die Karte ist „gerettet“.

 

 

Sie haben den Verdacht, Ihre Schlüsseldatei könnte in fremde Hände geraten sein, z.B. durch einen Trojaner oder durch Veruntreuung? Sie können die Schlüssel selbst für ungültig erklären und bei der Bank sperren lassen, eine Nutzung auch einer Kopie ist danach nicht mehr möglich.

Diese Anleitung sollte für alle Programme stimmen, die auf die ddbac aufsetzen, also eBank, Windata, Wiso, Quicken, Lexware u.a.. In Windata-Programmen finden Sie die Homebanking-Kontakte unter Stammdaten, Administrator für HBCI (FniTS). Wenn Sie das Menü nicht finden, suchen Sie bitte in der Windows-Systemsteuerung nach „Homebanking-Kontakte“.

ddbac_startenKlicken Sie doppelt auf den Kontakt mit dem Diskettensymbol
ddbac_Homebanking_Kontakte

 

ddbac_Schluessel_sperren

eBank/windata und die meisten ddbac Programme, wie Quicken/Lexware etc. bieten den Schlüsseltausch nicht an. Sie können aber die Signaturdatei sperren.

Wählen Sie „Zugang sperren“ aus.

Das Programm fragt in einem weiteren Sicherheitsdialog, ob Ihnen der Schlüssel noch zur Verfügung steht und klärt Sie über die Folgen auf.

ddbac_Schluessel_sperren_01Das es wirklilch ernst ist, zeigt der erneute Hinweis.

Danach geht wirklich nichts mehr!

ddbac_Schluessel_sperren_02Achne, doch nicht. Es öffnet sich der gewohnte Dateidialog, selbst jetzt könnte man noch abbrechen. Folgen Sie dem Dialog bis zum Ende.ddbac_Schluessel_sperren_03Der Schlüssel wird bei der Bank gesperrt und kann nicht mehr zurückgesetzt werden. Sie benötigen eine neue Benutzerkennung von der Bank, um eine neue Datei erzeugen zu können. Eine neue VR-Kennung ist dagegen nicht nötig, wenn diese von der Bank Ihrer neuen Benutzerkennung zugeordnet wird.