FinTS/HBCI: Nach Updates plötzlich falsches Passwort bei der Software-Anmeldung

by Leave a Comment

Auch die Softwarehersteller folgen dem Aufruf nach stärkeren Passwörtern. Vorbei sind die Zeiten, als ein Programm noch „123“ oder „test“ aktzeptierte.

Das führt nach Updates häufig zu merkwürdigem Verhalten und die Anmeldung schlägt fehl, obwohl man jahrelang doch immer das gleiche Passwort verwendet hatte.

Achtung: Einige Programme sperren die User nach einigen Fehlversuchen selbst aus oder akzeptieren längere Zeit keine Anmeldung mehr, frieren also ein. Man sollte in diesem Fall unbedingt eine Datensicherung gespeichert haben, die man tunlichst VOR dem Update erstellt hat.

Zum Teil funktioniert die gewohnte Anmeldung nicht mehr, weil man immer glaubte, dass man ein längeres Passwort gehabt habe. Dabei war das Anmeldefenster er alten Version womöglich nur mit einer begrenzten Länge ausgestattet und hat damit die Eingabe auf x Felder abgeschnitten, sprich der unrelevante Rest wurde einfach ignoriert. Man hätte sich also in der alten Version mit einem kürzeren Passwort anmelden können. Nach dem Update ist das nun anders und damit ist das längere Passwort ungleich dem alten Passwort und führt zu einem Fehler.

Wenn Sie mutig sind, probieren Sie einmal die ersten 8, 16 Stellen des alten Passwortes. Programmierer haben naturgemäß irgendwie ein Faible für diese Zahlen… Danach mit 10 oder 12  Stellen.

Oder die Sonderzeichen wurden bisher ignoriert. Versuchen Sie es einmal ohne.

Oder Groß- und Kleinschrift werden nun beachtet. Versuchen Sie es einmal nur mit den kleinen Buchstaben.

Phishing: Was ist eine verbesserte Online-Banking-Schutzanlage?

by Leave a Comment

Die aktuellen Trojaner fordern mit bekannten Texten zum verhängnissvollen TAN-Test auf (Beispiel siehe unten), sind aber selbst mit aktuellen Virenscannern nicht zu erkennen. Konkret hatte ein Kunde heute morgen mit einem Boot-Linux auf USB-Stick (desinfec’t) keine Schadmeldung erhalten. Der Scan mit malwarebytes ergab inzwischen die Diagnose auf Trojanerbefall. Das zeigt, wie gut sich die Schadsoftware inzwischen vor gängiger Antivirus-Software verstecken kann.

Aktuell besonders beliebt: DHL-Mails und bei mir heute eingetroffen: UPS-Nachrichten.

Thema: UPS Delivery Notification, Tracking Number 146B3289500146

Wichtige Zustellinformationen
Kontrollnummer:
2W44U26949187244
Zustelldatum/-zeit:
09. March 2015 / 09:51:36 vormittags
Sendungsdetails : 2W44U26949187244Phishingmail

Also: Alles, was irgendwie zu Tests mit irgendwelchen TAN aufruft, ist ein Betrugsversuch!

So sieht dann beispielsweise die Aufforderung zum TAN-Test auf. Bei der Fehlermenge muss man von Absicht ausgehen. Auf diese Aufforderung werden sicherlich nur unaufmerksame Menschen reagieren – die sich besonders gut als Opfer eignen. Der Text selbst ist alt, scheint aber noch gut zu funktionieren.

Der untere Text wird bei nach Anmeldung in die normale Banking-Seite „eingeschleust“. Die Inhalte werden also im normalen Design der Bank dargestellt, ein typisches Verhalten für eine Schadsoftware, die innerhalb des Browsers arbeitet.

Aktuell klappt die Infektion nur gut mit genossenschaftlichen Bankkonten – die Sparkassenverbindung ließ sich nicht stabil und schnell aufbauen.

Sehr geehrte Kundin/sehr geehrter Kunde,

Eine neue, verbesserte Online-Banking-Schutzanlage wird in unserer Bank implementiert. Sie umfasst die folgenden Funktionen:

– SMS und TAN-Generation-Systeme Prüfung;
– Schutz vor unbefugtem Zugriff (Phishing);
– Prüfung Ihres Browsers auf Sicherheitslücken.

Zu Ihrer eigenen Sicherheit, wird der Zugriff auf Ihr Konto per Online-Banking für Sie begrenzt werden, bis Sie eine kurze Schulung auf einem Demokonto zu vervollständigen.

Bitte lesen Sie die folgenden Kurzanleitung:

Die erste Testphase wird durch Drücken der Taste „Login Demokonto“ beginnen: Sie werden auf eine neue Seite weitergeleitet, wo Sie ein Demokonto zugreifen können. Die Informationen um das Demokonto eingeben wird automatisch ausgefüllt werden.
Sie werden auf die zweite Testphase beim Eintritt ins Demokonto umgeleitet werden (bitte drücken „Login Demokonto“ um fortzufahren).
Der Testprozess erfordert einen Testüberweisung. Sobald die Prüfung Ihres Browsers abgeschlossen ist, werden Sie eine Testseite zu sehen.
Alle notwendigen Daten werden nach dem Zufallsprinzip generiert und dort ausgefüllt werden.
Sie werden benötigt, um Ihre TAN-Generator (Chip TAN) oder Ihr Telefon Prüfung (SMS TAN) je nach Ihrer Konfiguration zu verwenden.
Sie müssen die korrekte TAN gewähren, ohne Fehler!
Wenn Sie einen Fehler machen, wird die Schutzanlage eine Warnung angezeigt, und Sie werden auf Ihrem Internet-Banking-Konto zurückgegeben werden.
Im Fehlerfall er wird automatisch analysiert werden; Sie erhalten ein neues Testverfahren nächstes Mal, wenn Sie Online-Banking eingeben angeboten werden.
Wenn Sie Ihre SMS-Benachrichtigungsdienst aktiviert haben, werden Sie eine erfolgreiche Prüfung gemeldet werden.

Login Demokonto

Onlinebanking per Browser: Plugin wird abgefragt?

by Leave a Comment

Sie sehen folgende Fehlermeldung?

Ein Plugin wird benötigt, um diese Inhalte darzustellen.

Plugin_00

Plugin_01

Für das „normale“ Onlinebanking per PIN & TAN wird kein Plugin benötigt.  Ein Plugin ist für die Verwendung des Secoders nötig, bei der Sie einen USB-Kartenleser mit Chipkarte zur Anmeldung nutzen können. Dieses Verfahren gilt zwar auch als sehr sicher, ist aber wesentlich aufwändiger.

Haben Sie den falschen Button aktiviert und auf „Signaturkarte geklickt“?

Werden Sie nur nach dem Alias/der VR-Kennung gefragt, wie im unteren Bild, sind Sie im falschen Anmeldemenü gelandet. Klicken Sie bitte oben wieder auf VR-Kennung“, geben Sie Ihre Anmeldedaten neu an und dann klicken Sie unten auf Login.

Wenn Sie wie oben beschrieben vorgehen und der Browser trotzdem nach einem Plugin fragt, dann müssen Sie weiter forschen. Führen Sie unbedingt einen Virenscan durch (hier: Sicherheitstipps) und prüfen Sie ggf. auch Ihre eigene Sicherheitssoftware.
Die Ursache könnte z.B. ein Defekt Ihres Virenscanners sein, aber auch eine Schadsoftware. Sprechen Sie bitte mit einem Fachmenschen und auch mit Ihrer Bank.

Plugin_02b

HBCI: Signatur noch nicht freigeschaltet oder nicht hinterlegt

by Leave a Comment

9050::Die Nachricht enthält Fehler. (TRE)
9800::Dialog abgebrochen (TRE)
9320::Signatur noch nicht freigeschaltet oder nicht hinterlegt. (SCA)
9340::Auftrag abgelehnt. (TRE)

Eine klassische Fehlermeldung beim HBCI-Verfahren mit Signaturdatei (seltener mit unpersonalisierter Chipkarte (RDH9). Meist hat die Bank den öffentlichen Schlüssel noch nicht freigeschaltet – oder kann nicht freischalten, weil nicht der zur Einreichung passende INI-Brief geschickt wurde (die erste erfolgreiche Einreichung zählt, danach darf die Sicherheitsdatei keinesfalls mehr neu erzeugt werden).

Wenn Sie den unterschriebenen INI-Brief zur Bank geschickt haben und genügend Wartezeit vergangen ist – ein Bankmitarbeiter prüft die Unterschrift und muss den kompletten Hash abtippen –  dann sollten Sie einmal schauen, ob der Schlüssel überhaupt dort angekommen ist, ich meine also die zweite Option, das “ ….nicht hinterlegt“ in der Fehlermeldung. Das selbst zu prüfen ist etwas schwierig, wenn man nicht gerade das zur Einreichung passende Protokoll hat. Bitten Sie jemanden in der Bank, den Schlüsselstatus zu kontrollieren (unter KSB, öffentliche Schlüssel). Idealerweise sollte man hier die Benutzerkennung angeben, damit Fehler entdeckt werden können, nicht die des Kontos).

Ist der öffentliche Schlüssel im Bankrechner eingereicht aber nicht freigeschaltet, dann kann man dies hier sehen.

Ist der öffentliche Schlüssel nicht vorhanden, kann die Bank mit dem INI-Brief (noch) nichts anfangen, weil die elektronische Schlüsseleinreichung nicht geklappt hat. Dann haben Sie nicht aufgepasst, denn Ihr Programm hat sicherlich bei der versuchten Einreichung  eine Fehlermeldung produziert. Sie können aber nun unbesorgt die ganze Prozedur noch einmal machen, sollten aber akribisch die Daten prüfen und genau die Fehlerhinweise lesen. Wenn z.B. die VR-Kennung nicht stimmt oder nicht zugeordnet ist, können Sie auch bei richtiger Benutzerkennung keine Schlüssel einreichen.

Ist der öffentliche Schlüssel vorhanden, kann aber nicht freigeschaltet werden, dann stimmt womöglich der Hashwert nicht. Haben Sie mehrere Versuche gestartet, womöglich erstmal getestet oder den Versuch zwischendurch abgebrochen? Dann war eventuell der erste Versuch erfolgreich. Sie benötigen den Hashwert zu der beim ersten mal erfolgreich erzeugten Datei – oder eine neue Benutzerkennung (die Bank muss die VR-Kennung neu zuordnen).

in Kürze:
FinTS/HBCI-Version: 3.0
bei Signaturdatei/Chipkarte: VRK… ins zweite Feld, ins erste die Benutzerkennung mit 672
VR-Kennung immer komplett eintragen (VRK und 16 Ziffern, keinen Alias, kein Space)

Das zweite Feld ist oft falsch benannt, z.B. mit Kundennummer oder sogar Kontonummer. Das ist leider falsch, das Feld sollte Kunden-ID heißen. Die Kundennummer wird schon lange nirgends mehr eingetragen und auch eine Kontonummer wäre nur als Alias in Ordnung und wird nicht empfohlen.

Fehlermeldung: Der Vertriebsweg ist nicht freigeschaltet

by Leave a Comment
gilt nur für xGAD-Banken
letzte Änderungen: 17.09.2016

Der sogenannte „Vertriebsweg“ ist eine Eigenbezeichnung des genossenschaftlichen Rechenzentrums für die Zugangsart. PIN & TAN, mobiles Banking, HBCI mit Signatur sind z.B. jew. unterschiedliche Vertriebswege.

Fehlermeldung:
Initialisierung fehlgeschlagen, Auftrag nicht bearbeitet. (TRE)
Der Vertriebsweg ist nicht freigeschaltet. (BB3:KSBD13F KKD1127 00000 F)

Haben Sie bei der Einrichtung des FinTS/HBCI-Zugangs die richtige Zugangsart gewählt? Hier können Sie bei den meisten genossenschaftlichen Banken zwischen PIN&TAN, Signaturdatei oder Chipkarte wählen.
dann:
Bitte genau hinsehen: Stimmen die Zugangsdaten wirklich? Sind Benutzerkennung und/oder VR-Kennung richtig eingetragen? Ich habe erlebt, dass eine Initialisierung nur mit der Kontonummer versucht wurde und damit diese Fehlermeldung produziert wurde. Lesen Sie hier mehr zu den Einstellungen bei Zahlungsverkehrs-Programmen.

Wenn die Zugangsdaten wirklich stimmen, muss meistens die Bank helfen: Der Zugangsweg an der Kundennummer des Users=Bevollmächtigten ist womöglich nicht freigegeben worden. Bitten Sie die Bankerin/den Banker Ihres Vertrauens, genau die Vertriebswege zu kontrollieren.

Beispiele für Vertriebswege:

Vertriebsweg 15: PIN&TAN-Verfahren allgemein (also Browser und FinTS/HBCI mit PIN & TAN). Mir ist keine Bank bekannt, die hier separat freischaltet, wer Browserbanking per PIN&TAN machen kann, kann auch FinTS mit PIN&TAN nutzen.
Vertriebsweg 21: mobiles Banking für mobile Browser oder Apps. (Die Nutzung der SMS-TAN ist hier nicht möglich)
Vertriebsweg 29: Giropay
Vertriebsweg 17: FinTS/HBCI mit Signaturdatei oder Signatur-Chipkarte

Ein sehr neuer Vertriebsweg ist z.B. paydirekt, das die Genobanken mit als erste Bankengruppe eingeführt haben.

VR-NetWorld Software Online Updateprobleme

by 10 Comments

letzte Änderung 14.08.24
Suchwort #VRNUP

Klappt das Onlineupdate nicht, können Sie die Trialversion „drüberinstallieren“. Sie sollten aber die Fehlerursache beseitigen. Prüfen Sie die Rechte an den Ordnern.

Schauen Sie auch einmal in der Softwareliste unter Windows nach, ob eventuell das Programm mehrfach installiert ist. Ist das der Fall: Datensicherung erstellen, Lizenz notieren und alle Versionen deinstallieren. Dann neu installieren und Datenrücksicherung.

Wird kein Onlineupdate angeboten, könnte es an einer falschen Einstellung liegen. Prüfen Sie, ob unter Online-Update die Option „Gemeinsames Verzeichnis für Online Update nutzen“ richtig eingestellt ist  oder deaktivieren Sie die Einstellung.

Firewalls und Security-Suiten blockieren manchmal die vrupdate.exe: Nach jedem Update müssen die neu aktualisierten Programme freigegeben werden. Prüfen Sie

  • fehlende Berechtigungen an Ordnern oder ausführbaren Dateien. Es ist Vollzugriff nötig auf den Ordner „onload“. Dieser befindet sich im öffentlichen Dokumente Ordner „vrnetworld“, im Programmpfad oder dem bei der Netzwerkinstallationen ausgewählten Pfad.
  • Probleme beim Zugriff auf Temp Ordner

Windows XP, 7/8 und Serverinstallation Server 2003/2008 sind veraltet. Wechseln Sie unbedingt das Betriebssystem, es fehlen wahrscheinlich Zertifikate und Funktionen zur Verschlüsselung. Der Betrieb ist  unsicher.

Der Update-Server muss selbstverständlich erreichbar sein: https://www.vr-updates.de

Sicherheitseinstellung in den „Internetoptionen“,  in der Windows-Systemsteuerung können das Ablegen der Updateinformationen verhindern.

Zur Windows-Systemsteuerung gelangen Sie mit Klick auf das Windows Logo am linken unteren Bildrand. 2016-03-31 07_28_55-Program Manager

Geben Sie in das Suchfenster „Systemsteuerung“ ein und klicken Sie oben das gefundene Programm an.

Wählen Sie ggf. in der Anzeige rechts oben „kleine Symbole“ aus. Die Anzeige sollte alphabetisch sortiert sein. Starten Sie mit Doppelklick „Internetoptionen“.

Revokationsserver02_Internetoptionen

Bitte den Haken bei „Verschlüsselte Seiten nicht auf dem Datenträger speichern“ kontrollieren und ggf. entfernen.

Achten Sie auch darauf, dass TLS erlaubt ist, sonst klappt der Verbindungsaufbau zum Server ebenfalls nicht. Das gilt im Übrigen auch für Lizenzierungsprobleme. SSL 2.0 und 3.0 sollten deaktiviert bleiben.

Internet-Optionen_verschluesselte_Seiten_nicht_speichern

Das Programm ist eigentlich aktuell, weist aber ständig auf Updates hin?
Es kann an zwei Dingen liegen: Die lizenzgebende Bank stellt z.B. neue Grafiken oder andere Informationen zur Verfügung oder die Updatedateien konnte nicht richtig aufgeräumt werden:

http://www.onlinebanking-forum.de/forum/topic.php?t=18652

 

 

Browserbanking SEPA: Fehlerhinweis und Empfehlung Auslandsauftrag

by Leave a Comment
Sie wollen eine SEPA-Überweisung anlegen und erhalten oben einen Hinweis in rot?
Der Auftrag kann nicht ausgeführt werden.
und darunter:
Eine SEPA-Überweisung kann für Zahlungen in Euro in Deutschland, die EU-Länder, die EWR-Länder Island, Liechtenstein und Norwegen sowie in die Schweiz, Monaco und San Marino verwendet werden.
In anderen Fällen wählen Sie bitte das Formular „Auslands-Überweisung“.
Der hinterlegte Hinweis kommt unabhängig von der Ausführung – vermutlich haben Sie ihn einfach vorher nicht wahrgenommen, er war bereits vor dem Ausführungsversuch da. Der Hinweis auf den Auslandsauftrag hat eher nichts mit dem Auftrag zu tun, sondern vermutlich liegt es an einer Sperre des Kontos oder ähnlichem.
vermeintlicher_Auslandsauftrag

Fehler bei neuen HBCI Chipkarten

by Leave a Comment

(in Arbeit, zuletzt aktualisiert 30.03.2015)

Es kann bei neuen HBCI Karten zu Fehlern bei der Einrichtung kommen, wenn z.B. die VR-Kennung nicht verwendet wird. Betroffen sind sowohl neue Karten als auch Austauschkarten (sogenannte „Folgekarten“).
Fehlermeldung:

Elektronische Signatur falsch. (SCA)+9340::Auftrag abgelehnt. (TRE)‘

Betroffen sind vemutlich alle Programme, die einen älteren ddbac Kernel verwenden, u.a. Quicken, Wiso mein Geld, Lexware, windata, GLS eBank, etc.

Vermutung:

Bei neuen Karten muss der öffentliche Schlüssel bei der Bank „angemeldet“ werden. Bei Folgekarten erkennt dies das HBCI-Programm eigentlich und reicht den Schlüssel einfach bei der Benutzung ein.

Bei neuen Karten/Zugängen wird aber bei GAD-Banken die VR-Kennung nötig. Die Karte wird deshalb nicht mit den richtigen Zugangsdaten initialisiert und die Karte erhält trotzdem vom FinTS/HBCI-Programm den Eintrag, „Schlüssel bereits eingereicht“.  Dies wird im Notepad des Chips, eine Art Speicher zur Ablage von Daten abgelegt.

Empfehlung:
Installieren Sie alle Updates und löschen Sie nach einem Backup Ihre Bankdaten. Richten Sie den Bankkontakt neu ein und vergleichen Sie im Dialog mit der Bank die Daten (Benutzerkennung mit 672.. und VRK im zweiten Feld).

Geht das auch nicht?
Testen Sie die Verbindung und Ihre Karte mit der Testversion der VR-NetWorld Software 5, die Sie bei vielen Genobanken herunterladen können (oder bei www.gad.de unter service).

Auch das klappt nicht?
Es gibt bei genossenschaftlichen Banken ein Spezial-Tool, dass die Karte womöglich reparieren kann. Aber vermutlich ist ein Kartentausch günstiger und weniger aufwändig.

Jahreswechsel: Kartentausch

by Leave a Comment

Personalisierte FinTS/HBCI-Chipkarten der genossenschaftlichen Banken, also Karten mit Namenseindruck, haben ein Ablaufdatum (siehe Aufdruck). Eigentlich läuft bei HBCI nicht die Karte, sondern das Zertifikat ab, das aber nur am Rande. Meist reicht es aus, die neue Karte statt der alten zu verwenden, sie wird durch die Software automatisch aktiviert.

Einige Programme haben aber anscheinend mit dem Kartenwechsel Probleme und können die Initialisierung nicht durchführen.

Folgendes hat meiner Erfahrung nach geholfen:

  • Erstellen einer frischen Datensicherung
  • Löschen des alten Bankkontaktes (Achtung bei der VR-NetWorld Software: „Sicherheitsmedium wechseln“ auswählen)
  • Einlesen der neuen Karte (Falls danach gefragt wird: RDH-7, FinTS/HBCI-Version 3.0)
  • ggf. Nachpflegen der VR-Kennung in das zweite Feld (Benutzerkennung mit 672… nicht ändern!)

Die VR-Kennung wird je nach Bankeinstellung über den Rückmeldecode 3072 angezeigt oder muss eventuell bei der Bank erfragt werden.

Ist die Benutzerkennung gelöscht worden, dann muss man diese auch von der Bank erfragen. Sie ändert sich aber eigentlich bei sogenannten „Folgekarten“ nicht.

Ein INI-Brief muss nicht ausgedruckt werden, die Karte ist bereits signiert und kann direkt verwendet werden.

In seltenen Fällen (Fehlermeldung „Benutzerkennung falsch“) muss die Karte komplett neu programmiert werden. Folgen Sie dieser Anleitung.

FinTS/HBCI Chipkartenwechsel Benutzerkennung unbekannt

by Leave a Comment
letzte Änderung: 06.05.2022

Die Fehlermeldung tritt in folgenden Situationen auf: Eine HBCI Chipkarte wird/wurde durch die Bank ausgetauscht durch den zyklischen Wechsel (eine sogenannte Folgekarte), z.B. weil die alte Karte abläuft. Oder es wurde bei der Initialisierung eine Kunden-ID angegeben, die nicht korrekt ist, z.B. die Kundennummer.

Ein Kartentausch seitens der Bank ist hier in der Regel nicht nötig!

In beiden Fällen wurde/wird die Karte nicht richtig initalisiert. Das Banksystem kennt also die Benutzerkennung und Schlüssel der Karte noch nicht, die Software hat aber auf der Karte vermerkt, dass die Karte bereits initialisiert wurde und versucht daher nicht mehr, die Karte neu zu initialisieren, auch wenn man z.B. die Daten korrigiert hat.

Es kann dabei zu folgender Fehlermeldung kommen:

9050::Die Nachricht enthält Fehler. (TRE) 9800::Dialog abgebrochen (TRE)

9010::Benutzerkennung unbekannt – Signaturprüfung nicht möglich. (SCA)

9340::Auftrag abgelehnt. (TRE)Fehlermeldung

Über den Chipcard Master kann der Status der Karte zurückgeändert werden. Diese kostenlose Software finden Sie auf www.heise.de im Download-Sevice. nutzen Sie das virengeprüfte Angebot vom Heise-Verlag, der Link zur Herstellerseite führt wieder zurück.

Die sichere PIN-Eingabe am Kartenleser muss bei den allermeisten Lesern zuerst aktiviert werden im Menü „Kartenleser“, „Einstellen…“

 

Setzen Sie den Haken bei „Pin-Eingabe“ am Kartenleser.

 

 

 

Prüfen Sie den Schlüsselstatus:
04 bedeutet, dass die Initialisierung durchgeführt wurde. Ändern Sie dies Feld auf 01 ab, das sagt der Software, dass der Schlüssel noch nicht eingereicht war.

Passen Sie auch die Kunden-ID an, falls dies die Ursache sein sollte. Bewährt hat sich das Eintragen (kopieren) der Benutzerkennung.

 

 

Wichtig: Nach dem Ändern der Daten muss gespeichert werden, links unten über „Sichere Änderungen“.

 

Über den Chipcard Master kann der Status der Karte zurückgeändert werden.

Prüfen Sie einmal den Schlüsselstatus:
04 bedeutet, dass die Initialisierung durchgeführt wurde. Ändern Sie dies Feld auf 01 ab.

Passen Sie auch die Kunden-ID an, falls dies die Ursache sein sollte. Bewährt hat sich das Eintragen (kopieren) der Benutzerkennung.

 

Beispiel VR-NetWorld Software:

Nach dem neuen Einlesen der Karte ändert sich auch der Schlüsselstatus. Mit „Synchronisieren“ wird die Initialisierung nachgeholt, die Karte ist „gerettet“.