Fehlermeldung bei der Nutzung der FinTS/HBCI-Chipkarte:

Signieren fehlgeschlagen.

RetCode:[6984] :Command not allowed (further qualification in SW2, see table 17) ::Referenced data invalidated

Die FinTS-HBCI-Chipkarte hat einen Zähler, der jeden Auftrag unterschreibt und der im Rechenzentrum geprüft wird. Die Zahl der Aufträge ist begrenzt und damit die Lebensdauer der Karte. Meiner Vermutung nach können 2¹⁶ Aufträge (16 Bit) signiert werden.

Bitte Aufträge nicht mit Buchungen verwechseln – Aufträge sind alle Transaktionen – das kann auch das Abholen von Umsatzdaten oder das Aktualisieren von Daueraufträgen, etc. sein. Bei mehreren Konten können schnell zig Aufträge pro Aktualisierungsvorgang zusammen kommen.

Meines Wissens kann der Chip in diesem Fall nicht zurückgesetzt werden und die Karte muss ausgewechselt werden.

Sollte jemand wissen, wie der Zählerstand des Chips ausgelesen werden kann, würde ich mich über eine Nachricht oder einen Kommentar freuen. Ein denkbares Tool dafür wäre der Chipcard master vom Chipkarten- und Sicherheitspapst Dr. Olaf Jacobsen.

letzte Änderung: 24.01.2016

Gibt WISO mein Geld (getestet mit Version 2015) bei der Einrichtung einer neuen Chipkarte, beim Tausch oder einer neuen Bankverbindung trotz richtiger Daten (Benutzer- und VR-Kennung) den folgenden Fehler aus:

9050::Die Nachricht enthält Fehler. (TRE) 9800::Dialog abgebrochen (TRE)
9010::Benutzerkennung unbekannt – Signaturprüfung nicht möglich. (SCA)
9340::Auftrag abgelehnt. (TRE)Fehlermeldung

dann initialisiert WISO MG die neue Karte nicht richtig am Bankserver, sondern versucht sofort mit den neuen Schlüsseln zu arbeiten. Der Fehler liegt meines Wissens in der ddbac.net, denn Wiso mein Verein ist nicht betroffen.

Eine neue Karte Ihrer Bank hilft nicht, die Karte ist nicht defekt.

Jede Karte sollten Sie als neuen Kontakt anlegen und nicht einfach verwenden. Lesen Sie die Karte neu aus und tragen Sie die VR-Kennung nach.


Tipp 1:

Initialisieren Sie die neue Karte mit der ddbac.exe von der Seite ddbac.de. Sie finden das Programm in der Systemsteuerung von Windows als “Homebanking-Kontakte” und folgen Sie dann der Anleitung.. Sollte eine alte Version installiert sein, installieren Sie unbedingt vorher ein Update!


Tipp 2:

In einigen Fällen konnte der Fehler behoben werden, in dem die Benutzerkennung und VR-Kennung aus dem Chip gelöscht werden und wieder neu eingetragen werden.

Erreichbar ist dies auch über die Kontoeinrichtung und dort im Fenster über den Button “Bankkontakt” (?) oben rechts über den Eingabefeldern. Mir fehlt leider die Hardcopy dazu.

Sie können aber auch die HBCI-Kontaktverwaltung über das Menü “Online-Verwaltung”, “Administration” und “HBCI Kontaktübersicht” erreichen.

01b Menü Wiso Mein Geld Kontoadministration

Folgen Sie anschließend dieser Anleitung, mit etwas Glück kann die Karte dann direkt eingesetzt werden. Der Download der ddbac kann entfallen.

 

(Stand 30.09.2015)

Diese Anleitung betrifft die Starmoney-Neueinrichtung und den Austausch des Zugangs auf personalisierte FinTS/HBCI-Karten, die von Genossenschaftsbanken herausgegeben werden, die der ehemaligen GAD angeschlossen sind.

Mehr allgemeine Informationen zum Chipkartentausch finden Sie >>>hier<<<.
Allgemeine Informationen zu Karten finden Sie >>>hier<<<.

Zur Nutzung einer neuen personalisierten Chipkarte, egal ob Sie eine alte Karte austauschen oder einen komplett neuen FinTS/HBCI-Zugang einrichten möchten, benötigen Sie immer folgendes:

  • Ihre neue Chipkarte
  • PIN- und PUK-Brief (ganz oben ist mittig aufgedruckt, was im Brief steckt)
  • VR-Kennung (kann auch dem Hinweis-Protokoll entnommen werden, siehe Ende der Seite)
  • aktuellen Kartenleser
  • aktuelle Zahlungsverkehrssoftware
Wichtig: Datensicherung erstellen und Ausgangskorb leeren
Erstellen Sie vor der Änderung eine frische Datensicherung. Achten Sie darauf, dass sich keine Aufträge mehr im Ausgang befinden. Löschen Sie vor einer Änderung unbedingt die Aufträge aus dem Ausgang!

Wählen Sie in der Kontenliste die Neueinrichtung eines Kontos. Sie tun quasi so, als wollten Sie eine neues Konto einrichten, obwohl es bereits vorhanden ist. Tragen Sie Ihre BLZ ein und klicken Sie auf weiter.SM_Auswahl_Sicherheitsmedium

Wählen Sie nun das Sicherheitsmedium “Chipkarte” aus und folgen Sie dem Assistenten.

Reiner_Kartenleser_PIN-Abfrage

Die Karte wird nach der PIN-Eingabe ausgelesen. Bei einer unpersonalisierten Karte ohne Namensaufdruck ist die Änderung der Transport-PIN  nötig. Beachten Sie dabei die Anzeige des Kartenlesers.
Bei einer vorpersonalisierten Karte ist die Benutzerkennung bereits im Chip programmiert.

Starmoney liest die Benutzerkennung ein. Die Benutzerkennung darf nicht geändert werden.

SM_VRK_nachtragen

Falls noch nicht automatisch markiert, klicken Sie oben die Benutzerkennung an. In Beispiel handelt es sich um eine unpersonalisierte Karte mit mehreren Bankzugängen, bei einer neuen personalisierten Karte sollte die Benutzerkennung, beginnend mit 672…, eingetragen sein.

Klicken Sie dann unten auf das Feld Kundennummer (das Feld heißt eigentlich Kunden-ID) und pflegen Sie hier Ihre VR-Kennung ein (bitte dem Brief der Bank entnehmen, komplett eintragen mit VRK und allen 16 Ziffern) und führen Sie dann den Assistenten bis zum Ende durch. Bestätigen Sie ggf. die Änderung für alle Konten, die Ihre Bank an Starmoney zurückmeldet.

Wird das Feld Kundennummer nicht angezeigt, muss vermutlich der Expertenmodus aktiviert werden (nochmal zurück und am Konto oben rechts auf das Zahnradsymbol klicken und die Ansicht anwählen.)

Nun sollten die Konten wieder online aktualisierbar sein.


Bei Störungen

Wenn die Einrichtung noch nicht funktioniert, kontrollieren Sie bitte zuerst, ob Sie einen alten HBCI-Bankkontakt mit den alten Daten als Karteikarte unter “Details” im Konto finden und löschen Sie diesen. Achten Sie unbedingt darauf, dass keine Aufträge im Ausgang stehen.

Im Zweifelsfall löschen Sie den alten Zugang und richten Sie noch einmal neu ein, wie oben beschrieben.

Ist Starmoney mit den Informationen der Bank durcheinandergekommen und Ihre Konten werden nicht aktualisiert oder sind einfach “grau”, also nicht online erreichbar, dann hilft eventuell ein “Heilen durch Handauflegen.”. Bitten Sie den Banker Ihres Vertrauens, die VR-Kennung zu kontrollieren und die Karte auf Freischaltung zu prüfen. Wird hier kein Fehler gefunden, dann hilft häufig, das Profil der VR-Kennung kurz auf ein anderes Profil umzustellen (egal welches), dies zu speichern und dann sofort wieder zurückzustellen. Dadurch werden keine Kontenberechtigungen geändert, aber die sogenannte UPD, die UserParameterDatei erhält eine neue Versionsnumer, so dass SM nach einem Abgleich “glaubt”, die Daten wären neu. Aktualisieren Sie dazu die Umsätze.


Bei Fehlern

Lesen Sie die Hinweise unten auf dieser Seite.


Starmoney meldet neue Anmeldedaten

Die VR-Kennung können Sie dem Brief Ihrer Bank oder auch dem FinTS/HBCI-Protokoll entnehmen.

Über das Protokoll (Rückmeldecode 3072) erfährt die Software die neuen Anmeldedaten zur Karte. Je nach Programmversion pflegt Starmoney die Daten automatisch nach oder zeigt diese zumindest deutlich an, so dass die VR-Kennung nachgepflegt werden kann.
Starmoney_Rueckmeldung_3072

Notieren Sie dazu die VR-Kennung, die Ihnen rechts als Ergänzung zu Ihrer Benutzerkennung angezeigt wird oder drucken Sie die Meldung aus. Ihre Benutzerkennung, egal ob Sie einen Zugang mit Chipkarte oder Signaturdatei haben, beginnt immer mit 672…, die VR-Kennung beginnt dagegegen immer mit VRK, gefolgt von 16 Ziffern.

 

Einrichtung einer FinTS/HBCI-Chipkarte bei GAD-Banken
Stand 29.09.2015

KartenleserAuf dieser Seite geht es um die Neu-Einrichtung oder den Tausch auf eine vorpersonalisierte FinTS/HBCI-Chipkarte in Zahlungsverkehrs-Programmen, die auf einem ddbac-Kernel basieren. Vorpersonalisierte Chipkarten erkennen Sie am aufgedruckten Namen der/des KarteninhaberIn. Auf ddbac basierende Programme sind u.a. GLS eBank, windata, Lexware, Wiso

Wie die Einrichtung/Umstellung funktioniert, zeige ich am Windata-Programm exemplarisch, dies ist aber bei allen Programmen mit ddbac-Schnittstelle (b+s, ehemals Datadesign) ähnlich.

Lassen Sie sich durch die lange Anleitung nicht erschrecken: Die Einrichtung dauert nur wenige Minuten.

Wichtig: Datensicherung
Bevor Sie etwas ändern, sichern Sie Ihre Daten. In GLS eBank/windata finden Sie die Datensicherung im linken Menü unter “Datenbanken”.

Zur Nutzung einer neuen personalisierten Chipkarte, egal ob Sie eine alte Karte austauschen oder einen komplett neuen FinTS/HBCI-Zugang einrichten möchten, benötigen Sie immer folgendes:

  • Ihre neue Chipkarte
  • PIN- und PUK-Brief (ganz oben ist mittig aufgedruckt, was im Brief steckt)
  • VR-Kennung (kann auch dem Hinweis-Protokoll entnommen werden)
  • aktuellen Kartenleser
  • aktuelle Zahlungsverkehrssoftware

Besonderheit: Komplette Neuinstallation GLS eBank - Assistent

Menue_StammdatenGLS eBank/windata:

Das Menü zur Verwaltung der Bankkontakte finden Sie im linken Menüstreifen unter “Stammdaten / Administrator für HBCI (FinTS).

Bei anderen Programmen suchen Sie bitte die Einrichtung über die Bankkontakte oder HBCI-Zugangsverwaltung.

In Quicken/Lexware finden Sie das Menü in der Kontoübersicht unter „Online-Konten“. Klicken Sie mit der rechten Maustaste öffnet das Kontextmenü, hier bitte „Konto ändern“ mit linker Maustaste auswählen. Wählen Sie den Karteireiter „Zugangsdaten“ an und llicken Sie auf den Button “ändern”.

In Wiso mein Geld klicken Sie links im Menü auf “Konten” und wählen das Konto an und anschließend das Icon Online-Verwaltung im oberen Menüband. Klicken Sie dann auf “Administration” und rechts dann auf “HBCI Kontaktübersicht.” (Wie der Weg zu finden ist, sehen Sie >>>hier<<<). In Wiso mein Verein finden Sie die Verwaltung in der Windows-Systemsteuerung unter “Homebanking-Kontakte”.

Austausch, Umstellung eines alten Zugangs

windata_rdhneu_01b_ddbac

Die Bankleitzahl wird im nächsten Dialog abgefragt. Tragen Sie diese ein und Klicken Sie anschließend auf “Weiter”, es wird der Name des Kreditinstitutes ergänzt. Sollte die BLZ nicht erkannt und kein Bankname ergänzt werden, prüfen Sie Ihre Eingabe. Wird ausschließlich nach einer BIC gefragt, ist Ihre Software nicht aktuell.windata_rdhneu_02_experten_BLZ


Der Expertenmodus ist selten nötig. Sie müssen diesen Zugang nur auswählen, wenn Sie keinen Erfolg bei der Einrichtung hatten und bei einem Versuch etwas schiefgegangen ist. Beim Expertenmodus werden mehr Daten abgefragt. Setzen Sie auch den Haken bei Proxy-Server nur, wenn Sie wirklich einen Proxy-Server einsetzen. Dies können Sie in den Internet-Optionen in der Systemsteuerung sehen. Klicken Sie auf “Weiter” um mit der Einrichtung fortzufahren.


 

windata_rdhneu_02a_BPD_abruf
Das Programm prüft die Bankdaten und bietet die möglichen Zugänge an. Funktioniert der Abruf nicht, liegt es meist an einer fehlerhaften Verschlüsselung des Windows-Systems. Ddbac-Programme verlassen sich auf die Verschlüsselung des Betriebssystems, dieses muss aktuell sein. Klicken Sie nach der Prüfung auf “Weiter”.

ddbac_chipkartentausch_03_Auswahl

Wählen Sie “Chipkarte” aus, stecken Sie die Chipkarte ein und klicken Sie auf “Weiter”. Die personalisierten Karten haben keine Transport-PIN, sondern eine sogenannte “Wirk-PIN”, die nicht sofort geändert werden muss (PIN-Änderung am Ende dieser Seite). Sie können hier direkt auf “Weiter” klicken. Achten Sie darauf, dass die “Sichere PIN-Eingabe” aktiviert ist, damit die Tastatur des Kartenlesers benutzt wird. Die PIN entnehmen Sie dem PIN-Brief, das Feld sollten Sie spätestens jetzt aufgerubbelt haben.

ddbac_chipkartentausch_04b_Dialog_Kartenleser

Der Dialog mit dem Kartenleser wird geführt. Stecken Sie jetzt die neue Karte ein.

Reiner_Kartenleser_PIN-Abfrage

Nur im Expertenmodus:
Die FinTS-Version (3.0) und die Serveradresse (hbci.gad.de) sollten richtig voreingestellt sein. Die personalisierte Chipkarte nutzt die RDH-7 Verschlüsselung.

Wenn Sie während der Datenübertragung Fehlermeldungen erhalten: Die Adresse hbci.gad.de müssen Sie ggf. in Ihrer Firewall freigeben. Auch die Nutzung des Port 3000 muss erlaubt sein.

Markieren Sie den mit der Benutzerkennung vorausgefüllten ersten Platz der Karte.

ddbac_chipkartentausch_05_Auswahl-Kennung

und klicken Sie auf “Weiter”.

Es fehlt noch die VR-Kennung, die Sie dem Schreiben der Bank oder dem Protokoll entnehmen können. Einige Programme tragen dies automatisch nach. Die Benutzerkennung darf dabei nicht geändert werden. Die VR-Kennung gehört in das zweite Feld, die Feldbezeichnung kann auch “Kunden-ID” sein. Geben Sie die VR-Kennung vollständig ein, also VRK in großen Buchstaben und alle 16 Ziffern, nehmen Sie keinesfalls den Alias.

Achtung:
Wird Ihnen kein zweites Feld angeboten, führen Sie den Vorgang trotzdem zu Ende und ändern Sie das Feld anschließend ab.

Eine Anleitung zur Nachträglichen Eintragung der VRK finden Sie  >>>hier<<<.ddbac_chipkartentausch_06_VR-Kennung

Die Kontaktbezeichnung können Sie frei vergeben. Sie sollte selbsterklärend sein, wenn Sie mit mehreren Zugängen oder Personen im Programm arbeiten.

Hashwert bei unspersonalisierten Karten

Nun wird der öffentlicher Schlüssel Ihrer Karte an die Bank geschickt, die Karte wird aktiviert. Sehen Sie hier Fehlermeldungen, muss die Karte oder die VR-Kennung in der Bank noch richtig eingestellt sein. Vergleichen Sie bitte die richtige Eingabe der VR-Kennung.

ddbac_chipkartentausch_08_fertig

Nach Abschluss des Vorganges sollten neue Konten angezeigt werden, sofern diese noch nicht angelegt waren.


Zuordnung des Bankkontaktes

Je nach Software kann oder muss der neue Bankkontakt den Konten oder den Bankzugängen fest zugeordnet werden.

Menue_BankkontakteIn GLS eBank/windata finden Sie das Menü ebenfalls unter Stammdaten, Bankkontakte und auch in den Auftraggeberkonten.

Sie können hier festlegen, welche Bankzugänge zu einem Konto bevorzugt abgefragt werden sollen, damit die Abfrage nicht bei jedem Dialog erfolgen muss.


Ändern der Karten-PIN

Menue_StammdatenDie Änderung der Karten-PIN erfolgt im gleichen Menü wie die Kartenanlage.

In GLS eBank / windata wählen Sie dazu erneut “Stammdaten /Administrator für HBCI (FinTS)” aus, wählen Sie den Bankkontakt aus und wählen Sie “Bearbeiten”. Die Menüs der anderen Programme finden Sie wie oben am Anfang der Anleitung beschrieben.

Wählen Sie im Menü rechts “PIN ändern” aus.

 

ddbac_Karten_PIN_aendern

Lassen Sie sich durch den Assistenten führen.

Beachten Sie dabei unbedingt die Anzeige im Display Ihres Kartenlesers. Sie müssen 1x die alte PIN eingeben und 2x die neue, 6 bis 8 Stellen lange PIN jeweils mit “OK” bestätigen.

(in Arbeit, zuletzt aktualisiert 30.03.2015)

Es kann bei neuen HBCI Karten zu Fehlern bei der Einrichtung kommen, wenn z.B. die VR-Kennung nicht verwendet wird. Betroffen sind sowohl neue Karten als auch Austauschkarten (sogenannte “Folgekarten”).
Fehlermeldung:

Elektronische Signatur falsch. (SCA)+9340::Auftrag abgelehnt. (TRE)’

Betroffen sind vemutlich alle Programme, die einen älteren ddbac Kernel verwenden, u.a. Quicken, Wiso mein Geld, Lexware, windata, GLS eBank, etc.

Vermutung:

Bei neuen Karten muss der öffentliche Schlüssel bei der Bank “angemeldet” werden. Bei Folgekarten erkennt dies das HBCI-Programm eigentlich und reicht den Schlüssel einfach bei der Benutzung ein.

Bei neuen Karten/Zugängen wird aber bei GAD-Banken die VR-Kennung nötig. Die Karte wird deshalb nicht mit den richtigen Zugangsdaten initialisiert und die Karte erhält trotzdem vom FinTS/HBCI-Programm den Eintrag, “Schlüssel bereits eingereicht”.  Dies wird im Notepad des Chips, eine Art Speicher zur Ablage von Daten abgelegt.

Empfehlung:
Installieren Sie alle Updates und löschen Sie nach einem Backup Ihre Bankdaten. Richten Sie den Bankkontakt neu ein und vergleichen Sie im Dialog mit der Bank die Daten (Benutzerkennung mit 672.. und VRK im zweiten Feld).

Geht das auch nicht?
Testen Sie die Verbindung und Ihre Karte mit der Testversion der VR-NetWorld Software 5, die Sie bei vielen Genobanken herunterladen können (oder bei www.gad.de unter service).

Auch das klappt nicht?
Es gibt bei genossenschaftlichen Banken ein Spezial-Tool, dass die Karte womöglich reparieren kann. Aber vermutlich ist ein Kartentausch günstiger und weniger aufwändig.

Personalisierte FinTS/HBCI-Chipkarten der genossenschaftlichen Banken, also Karten mit Namenseindruck, haben ein Ablaufdatum (siehe Aufdruck). Eigentlich läuft bei HBCI nicht die Karte, sondern das Zertifikat ab, das aber nur am Rande. Meist reicht es aus, die neue Karte statt der alten zu verwenden, sie wird durch die Software automatisch aktiviert.

Einige Programme haben aber anscheinend mit dem Kartenwechsel Probleme und können die Initialisierung nicht durchführen.

Folgendes hat meiner Erfahrung nach geholfen:

  • Erstellen einer frischen Datensicherung
  • Löschen des alten Bankkontaktes (Achtung bei der VR-NetWorld Software: “Sicherheitsmedium wechseln” auswählen)
  • Einlesen der neuen Karte (Falls danach gefragt wird: RDH-7, FinTS/HBCI-Version 3.0)
  • ggf. Nachpflegen der VR-Kennung in das zweite Feld (Benutzerkennung mit 672… nicht ändern!)

Die VR-Kennung wird je nach Bankeinstellung über den Rückmeldecode 3072 angezeigt oder muss eventuell bei der Bank erfragt werden.

Ist die Benutzerkennung gelöscht worden, dann muss man diese auch von der Bank erfragen. Sie ändert sich aber eigentlich bei sogenannten “Folgekarten” nicht.

Ein INI-Brief muss nicht ausgedruckt werden, die Karte ist bereits signiert und kann direkt verwendet werden.


In seltenen Fällen (Fehlermeldung “Benutzerkennung falsch”) muss die Karte komplett neu programmiert werden. Folgen Sie dieser Anleitung.

letzte Änderung: 24.01.2016

Ich hab überlegt, ob ich einen neuen Beitrag schreiben soll, aber schlussendlich scheint mir ein separater Eintrag einfach sinnvoller zu sein, als diesen “Fall” einfach irgendwo anzuhängen.

Situation: Eine HBCI Chipkarte wird/wurde durch die Bank ausgetauscht durch den zyklischen Wechsel (eine sogenannte Folgekarte), z.B. weil die alte Karte abläuft.

Es muss die VR-Kennung eingebracht werden (die muss in das zweite Feld, die Benutzerkennung darf nicht in beiden Feldern stehen), damit die neue Karte die neuen Schlüssel bei der Bank “anmelden” kann.

Es kann unter ganz bestimmten Umständen zu folgender Fehlermeldung kommen:

9050::Die Nachricht enthält Fehler. (TRE) 9800::Dialog abgebrochen (TRE)

9010::Benutzerkennung unbekannt – Signaturprüfung nicht möglich. (SCA)

9340::Auftrag abgelehnt. (TRE)Fehlermeldung

Aufgetreten ist dies einmal bei Banking 4, aber sehr häufig auch bei Wiso Mein Geld. Bei Banking 4W/A/X können Sie die Karte inzwischen mit einem Button neu initialisieren, bei Wiso MG müssen Sie zu einem separaten Mittel greifen, solange der Fehler im HBCI-Teil der Software nicht repariert ist. Übrigens: Wiso mein Verein ist nicht betroffen, da es nicht die ddbac.net verwendet, sondern die ddbac.exe.

Ein Kartentausch seitens der Bank ist nicht nötig! Die Karte wird von Ihrer Software nicht richtig initialisiert, weil das Programm den Schlüsselstatus fehlinterpretiert. Es initialisiert den neuen Kartenschlüssel daher nicht richtig und die Bank mit den Daten nichts anfangen, weil Sie Ihren Schlüssel nicht hat. Ggf. muss dazu auch noch die VR-Kennung richtig mit übertragen werden. Die VR-Kennung kann man im Protokoll finden (nach “VRK” suchen).

Man benötigt also in einigen Fällen zusätzlich die VR-Kennung, die die Benutzerkennung der Karte steuert, im Zweifel bei der Bank erfragen.

Es hilft die Initialisierung über die ddbac.exe, die auch bei verstellten RDH-Versionen funktioniert. Die Karte ist eine RDH-7 Karte. Alternativ können Sie auch die Trialversion der VR-NetWorld Software verwenden (komplette Onlinebanking-Software). Die ddbac.exe können Sie bei ddbac.de herunterladen und Sie finden das Programm als “Homebanking-Kontakte” in der Systemsteuerung.

Folgen Sie dieser Anleitung.

Anschließend die Karte in der gewünschten Software wieder einlesen (im Bankkontakt neu anmelden, ggf. Zugang tauschen).

Einige GAD-Banken nutzen den Multifunktions-Chip der girocard (“ec-Karte”, “Bankcard ec”) für die FinTS/HBCI-Funktion.  Im Gegensatz zu den anderen VR-NetWorld cards, also der unpersonalisierten Basic-Karte oder der personalisierten, ist die Karte für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet und damit am Magnetstreifen auf der Rückseite zu erkennen. Genau dort findet sich auch das FinTS-Logo, so dass man dort sehen kann, ob die Karte die HBCI-Funktion erhalten hat.

Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird bei den meisten Banken dann automatisch und rechtzeitig verschickt und muss nicht abgeholt werden.

PIN und PUK:
Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren. PIN und PUK kommen mit jeder Kartengeneration neu! (woher soll der neue Chip auch die PIN des alten kennen…)

Benutzerkennung, Kartennummer und VR-Kennung (GAD):
Die Benutzerkennung und Kartennummer ist im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Man erhält separat eine 6-stellige PIN und eine PUK in speziellen Briefen. Die PIN zum Bezahlen ist nicht geeignet! Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das Auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann “vermuten” viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren.

Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel der Karte zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.

Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).

PIN&TAN:
Selbstverständlich kann die Karte auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.

Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Ein Nachteil im Vergleich zur personalisierten und unpersonalisierten Girocard: Personen mit eingeschränkten Vollmachten (A, B, N-Vollmacht) erhalten diese Karte üblicherweise nicht. Auch können keine “fremden” Banken gespeichert werden.

Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.


mehr Infos: Kartentausch

 

Die unpersonalisierte HBCI-Karte trägt keinen Namen des/der Eigentümers/in. Die Karte wird bei Genossenschaftsbanken häufig als “basic-Karte” bezeichnet. Vollständig lautet der Name  “VR-NetWorld card basic” mit kursivem basic. Diese Karte gibt es in ähnlicher Form auch von anderen Banken und kann, bzw. konnte auch “am freien Markt” gekauft werden, z.B. bei matrica.

Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-9 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-5 und kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Da keine zeitbegrenzten Bankzertifikate gespeichert sind, ist die Laufzeit nur durch das Verfahren begrenzt. Sind Zeitangaben aufgedruckt, so sollte man diese als “Mindestlaufzeit” verstehen.

PIN:
Im Auslieferungszustand ist die Karte noch nicht mit einer Benutzerkennung versehen und hat auch noch keine nutzbare PIN. Stattdessen besitzt sie eine 5-stellige Transport-PIN, die vor der ersten Nutzung in eine mindestens 6-stellige PIN geändert werden muss. Die Transport-PIN besteht aus den letzten 5 Stellen der Kartennummer. Dadurch ist gewährleistet, dass die Karten-PIN direkt mit der gescützten Tastatur des Kartenlesers geändert werden kann. Bei den Vorläufern musste die Karte noch per normaler Computertastatur programmiert werden. Eine dreimalige Fehleingabe der PIN in Folge sperrt den Kartenchip, eine neue Karte muss verwendet werden. Die personalisierten Karten haben eine PUK zum Entsperren.

Kartennummer:
Bei Banken am Rechenzentrum GAD muss die Kartennummer im System hinterlegt sein, ich geh davon aus, dass dies auch bei Fiducia-Banken der Fall ist. Die Kartennummer wurde als Seriennummer auf die Karte aufgelasert.

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe:
Die Karte wird mit einer Benutzerkennung und der Transport-PIN (Brief) ausgeliefert. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen und “vermutet” nach korrekter PIN-Eingabe, dass es sich um eine unpersonalisierte Karte handelt, da keine Benutzerkennung zu lesen ist. Sie fordert zur PIN-Vergabe auf, die am Kartenleser erfolgen sollte (Display genau lesen!). Durch Eingabe der Transport-PIN und 2-maliger PIN-Eingabe der selbstgewählten PIN (mindestens 6-Stellen, höchstens 8) wird die Karten-PIN vergeben. Im nächsten Schritt fragt das Programm nach Benutzerkennung und VR-Kennung (GAD). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen. Damit die Bank den Schlüssel auf Unversehrtheit prüfen kann, muss der INI-Brief ausgedruckt und unterschrieben werden (vom Inhaber des Zugangs, Vollmachtsinhaber, der nicht der Kontoinhaber sein muss) und zur Bank geschickt. Die Bank prüft den Hashwert durch Eingabe in die eigenen Systeme und danach ist die Karte aktiv und kann verwendet werden.

PIN&TAN:
Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden. Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens.

Sicherheit
Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Da einige Programme den Befehl zur PIN-Änderung der Transport-PIN nicht beherrschen, liefern einige Banken die Karte bereits mit einer geänderten PIN aus und/oder programmieren die Karte vollständig.

Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 9, möglich ist, weiß ich allerdings leider nicht.

Für die Einrichtung bei einer Genobank wird die vollständige Kartennummer benötigt. Wenn die Feldlänge nicht ausreicht, weil die Kartenprüfziffer fehlt, kann diese mit einem geeigneten Tool, z.B. dem Chipcartmaster ausgelesen werden. www.chipcardmaster.de

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und sie ist schnell verfügbar, wenn die Bank diese auf Vorrat liegen hat. Sie hat Platz für 5 verschiedene Banken.

Die Einrichtung benötigt aber einen aufwändigen Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese Karte nutzen (wie die personalisierte VR-NetWorld card).

weiterer Nachteil: Es gibt keine PUK zur PIN-Neuvergabe. Nach 3x falscher PIN ist die Karte unbrauchbar.


weitere Themen: Kartentausch