in Arbeit, letzte Änderung 14.04.2021
Leider halten es offensichtlich viele Dienstleister nicht für nötig, ihre Kund*innen mit den nötigen Erläuterungen zu Fehlerhinweisen zu versorgen. Zum Teil können die Bankmitarbeiter*innen schon froh sein, wenn nicht ein simples „geht nicht, frag die Bank!“ als Fehlermeldung auftaucht. Es scheint einigen Anbietern nicht klar zu sein, dass die Banken selbst gar keinen Zugriff auf die Server und die Anmeldeversuche haben und ohne Angaben die Fehlersuche ein aussichtsloses Unterfangen werden kann.
Ich werde also hier mal anfangen, die häufigsten Fehlermeldungen aufzuschreiben oder zu verlinken. Ich tue das einfach in der Hoffnung, wenigstens etwas verständlichere Hilfestellung geben zu können und womöglich verbessert ja der eine oder andere Dienstleister die Fehlerinterpretation, denn dort gehört sie hin.
XS2A (meint übrigens „Access to account“) ist übrigens die geregelte Schnittstelle für Dienstleister. Diese bei der Fehlersuche bitte nicht mit FinTS verwechseln, auch wenn die Anmeldedaten bei den meisten Zugängen prinzipiell die gleichen sind. Einige (z.B. DATEV) verwenden leider auch noch fälschlicherweise den Begriff HBCI, das wäre ein Signaturverfahren, was hier gar nicht zum Einsatz kommt.
Überweisung (Money-Transfer) schlägt fehl:
Für mich sind aktuell die Fehlerdialoge aus den Logs noch sehr kryptisch. Netterweise wurden mir von finapi Logausschnitte zur Verfügung gestellt, so dass ich diese hier mal aufschreiben kann. Im Laufe der Zeit werde ich hoffentlich die wichtigsten Zusammenhänge erkennbar darstellen können.
Nochmal wichtig: Die Bank sieht dieses hier nicht!
Apr 9, 2021 @ 10:38:02.504
The XS2A service has responded with an error code 401 BG Error Code: PSU_CREDENTIALS_INVALID
X-Request-ID: (…)
URL: POST https://www.gls-online-filiale.de/services_xs2a/v1/payments/pain.001-sepa-credit-transfers/(…..)
Im konkreten Fall scheint jemand ohne ausreichende Buchungsrechte (Vollmacht) die Buchung veranlasst zu haben, dann kommt es zu dieser Fehlermeldung.
Aus einem FinAPI Kommunikationsprotokoll (konkret DATEV Unternehmen Online):
PSU_CREDENTIALS_INVALID:
„payment_id“: xxxx,“account_id“:xxxx, „payments_type“: „MONEY_TRANSFER“, „payments_status“: „READY“, „BankMessage“: „Credentials are invalid (PSU_CREDENTIALS_INVALID)“
Reine Spekulation:
Die Überweisung schlägt hier eventuell auch fehl, weil die „Credentials“ des Users ungültig sind. Unter „Credentials“ versteht man in diesem Kontext die Identifikationsdaten, also Anmeldenamen, PIN/Passwort aber auch den zweiten Faktor, in unsereem Fall das TAN-Medium.
Ich gehe aufgrund der Bezeichnungen auch davon aus:
Trifft man also auf diese Fehlermeldung, würde ich die Anmeldedaten genau kontrollieren und es muss auch z.B. das richtige TAN-Verfahren eingestellt sein, damit die Buchung erfolgen kann. Bei uns genossenschaftlichen Banken ist es aktuell noch das TAN-Verfahren per SMS, oder per TANApp (SecureGo) und die Erzeugung per Chipkarte (Sm@rtTAN).
Lösungsversuche
Verwendet man statt des VR-NetKeys einen Alias, sollte man diesen auf Sonderzeichen kontrollieren. Bei der PIN sollte man ebenfalls überlegen, ob diese Sonderzeichen enthält, die der Anbieter nicht verarbeiten kann. All diese „Credentials“ gehören zum angemeldeten User, also der Person, die gerade die Anwendung bedient. Sind Sonderzeichen in den Anmeldedaten, also im Alias oder in der PIN enthalten, kann man diese unter „Service“ im Onlinebanking ändern, sie gelten sofort. Es könnten übrigens auch Umlaute und ß eine Rolle spielen.
Länge der PIN: Die PIN im Onlinebanking ist aktuell max. 20 Zeichen lang, der Rest wird abgeschnitten. Unter FinTS/HBCI und auch unter XS2A darf die PIN länger sein, führt dann aber zu einem Fehler. Wenn Ihre PIN länger ist, nutzen Sie nur die ersten 20 Zeichen. Meine Empfehlung, Ändern Sie die PIN auf merkbare 9 Zeichen ab: Eine lange PIN ist kein Sicherheitsvorteil, denn die Bank sperrt nach wenigen Versuchen den Zugang.
falsche TAN-Medien-Bezeichnung?
Darunter versteht man z.B. beim SMS-Verfahren die Bezeichnung unter der die Bank das Telefon eingetragen hat. Beim Sm@rtTAN-Verfahren (ChipTAN) wäre es die Kartennummer der Chipkarte.
Für uns gilt bei FinTS: Die TAN-Methode muss korrekt eingestellt sein, also das Verfahren, das Medium muss nicht eingetragen sein. Wenn es aber eingetragen wird, muss es stimmen. Ob dies für XS2A genauso gilt, muss ich noch herausfinden, aktuell gehe ich einfach davon aus, weil ich noch nie Anfragen in dieser Richtung hatte.
Das kann bedeuten, dass man z.B. bei einem Mediumwechsel (z.B. Karte verloren, Handy oder SIM-Kartentausch) den Zugang neu einrichten sollte.
Könnte ein Tastaturfehler vorliegen, z.B. falsche Ländereinstellungen? Je nach Anwendung (meist der Browser) können unterschiedliche Tastatureinstellungen dafür sorgen, dass bei den nicht sichtbaren Eingaben nicht die gewünschten Zeichen bei der Bank ankommen. Falls Sie im Programm die Zeichen nicht sichtbar machen können, versuchen Sie ein anderes Feld zu erreichen. Sie können z.B. beim Browser die Adresszeile nutzen. Testen Sie doch dort bitte einmal, ob wirklich die richtigen Zeichen der PIN angezeigt werden.
Auch auf der Bankseite:
Vollmacht prüfen/vergleichen. Reicht diese aus, reichen die Rechte, sind Überweisungen erlaubt?
Existiert eine (TAN-)Sperre oder Kontosperre?
Ergänzung (09.04.2021):
Es kann offensichtlich auch eine Störung des Dienstleisters vorliegen, im konkreten Fall war die Kommunikation bei FinAPI gestört, so eine Auskunft einer Kundin.