Die personalisierte HBCI-Karte ist am Namen des/der Eigentümers/in auf der Vorderseite erkennbar. Im Gegensatz zur FInTS-fähigen Girocard ist sie aber nicht für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet. Dazu fehlt auch der Magnetstreifen.
Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.
Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird dann üblicherweise rechtzeitig verschickt.
PIN und PUK:
Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren.
Benutzerkennung, Kartennummer und VR-Kennung (GAD):
Bei Banken am Rechenzentrum GAD ist die Benutzerkennung und Kartennummer im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).
Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Die Karte wird (meist zentral durch einen Dienstleister) fertig programmiert verschickt, man erhält eine 6-stellige PIN und eine PUK in separaten Briefen. Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann „vermuten“ viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren. Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.
GAD-Banken: Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).
PIN&TAN:
Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.
Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.
Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.
Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese KArte nutzen (wie die unpersonalisierte VR-NetWorld card basic). Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.