Die Bezeichnungen der Felder in den verschiedenen Zahlungsverkehrsprodukten sind leider nicht eindeutig. z.B. wird das Feld Kunden-ID in der FinTS/HBCI-Software manchmal als „Kundennummer“ bezeichnet, obwohl der Begriff in der Genowelt schon anders besetzt ist, entsprechend schnell passieren Missverständnisse.
Ich beschreibe die Einstellungen und Felder möglichst allgemeingültig, obwohl es womöglich sogar „falsch“ ist und versuche ein paar Begriffe zu erklären.
Also, da wäre als erstes:
Benutzername, Zugangsname, Bankkontakt, etc.: Darunter verstehen die meisten Programme einen bezeichnenden Namen für den Bankzugang. Denn das Computerprogramm kann ja nicht wissen, wer am Rechner sitzt. Dieser Name kann üblicherweise frei vergeben werden. Er steht nicht unbedingt an erster Stelle, bei einigen Programmen wird dieses Feld auch nicht angeboten. Damit nach den richtigen Zugangsdaten gefragt werden kann, ist es sinnvoll, möglichst sprechende Namen zu vergeben, unterscheidbar nach Nutzer/in, ggf. Zugangsart und sogar Bankbezeichnung, wenn die Feldlänge dies hergibt.
Das erste Feld „Benutzerkennung“:
Häufig das erste Feld nach der BLZ. Hier scheinen sich die Programmierer weitestgehend einige zu sein. Das Feld wird gefüllt, je nach Bankzugang, mit:
- PIN & TAN-Verfahren: VR-NetKey oder Alias
- Signaturdatei: Benutzerkennung nach dem Muster 672…
- Chipkarte: wird bei personalisierten Karten ausgelesen, sie enthält die Benutzerkennung auch nach dem Muster 672…
(Bei den selten gewordenen unpersonalisierten Karten wird die Benutzerkennung von der Software in den Kartenspeicher programmiert. )
Das zweite Feld, „Kunden-ID“:
Es wird auch häufig fälschlich nach Kundennummer oder sogar nach dem alten Begriff „VR-Kennung“ oder ähnlichem gefragt. Es ist eigentlich immer das nächste Feld direkt nach der Benutzerkennung. Falls es nicht leer bleiben kann, einfach das erste Feld kopieren.
Zugangsdetails der exGAD-Banken (auch GLS-Bank)
Sicherheitsdatei: nur noch RDH-10
Chipkarte: RDH-7 (Karte mit Namensaufdruck), unpersonalisiert: RDH-9 (Ini-Briefe werden ausgetauscht)
Kommunikationsadresse: fints1.atruvia.de
(bei eher südlichen, also ehemaligen Fiducia Banken fints2.atruvia.de)
Port für FinTS/HBCI: 3000 (muss manchmal in Routern, Firewalls oder Proxys frei gegeben werden)
PIN&TAN-Zugang
Kommunikationsadresse: https://fints1.atruvia.de/cgi-bin/hbciservlet
(für ex-GAD-Banken wie die GLS Bank, für ex-Fiducia-Banken 1 durch 2 ersetzten)
FinTS Version 3.0
TLS 1.2 nötig seit Juli 2019
Base64 encoding (meist automatisch)
Port für FinTS/HBCI: 443 (meist automatisch richtig)
TAN-Medien/Verfahren
Um die Richtlinien zu erfüllen, ist seit 2019 die TAN-Eingabe Pflicht (zweiter Faktor) beim Abruf von Daten und bei der Transaktionsfreigabe. Die Banken mit „Erlaubnis“ dürfen auf die tägliche Eingabe verzichten, spätestens alle 180 Tage ist sie aber nötig. Auch bei Kleinstbetragsbuchungen darf die Bank die Buchung ohne zweiten Faktor durchwinken. Daher muss ein gültiges Verfahren ausgewählt werden, also die Art der TAN-Erzeugung oder Freigabe per App. In den allermeisten Programmen bekommt man die Art des TAN-Mediums angeboten, für die man freigeschaltet ist. Bei der chipbasierten TAN-Erzeugung kann das Sm@rtTAN manuell, optisch (Flackerbild), photo (farbiges Pixelbild) oder per USB-Leser sein und für die App SecureGo plus Direktfreigabe (decoupled) oder SecureGo (TAN-Erzeugung mit Eingabe).
Die TAN-Medienbezeichnung muss bei uns nicht ausgewählt werden, damit ist beim Sm@rtTAN-Verfahren die Karte gemeint. Am VR-NetKey kann bei Sm@rtTAN nur eine einzige Chipkarte aktiv sein, bei der SecureGo plus App können aber bis zu drei Geräte pro Kunde, nicht pro VR-NetKey gleichzeitig gültig sein.