Meine Bank, die Hamburger Sparkasse (Haspa) hat leider das normale HBCI-Verfahren eingestellt. Eigentlich hatten die mir den Zugang schon im Frühjahr gekündigt, jetzt aber zu Weihnachten lief der Zugang wirklich aus. Normalerweise hätte ich eher die Bank geopfert, als das Verfahren, aber auch andere Banken haben HBCI abgekündigt. Also musste ich mich mit der Umstellung auf ein TAN-Verfahren beschäftigen.

 

Vorbereitung

Auf Seiten der Haspa muss man auf alle Fälle das Chip-TAN Verfahren aktiviert haben. Im einfachsten Fall geht das auf der Webseite https://banking.haspa.de/. Für den Zugriff auf die Website und später auch das Konto über Moneyplex benötigt man eine PIN. Wie ich die von Urzeiten einmal bekommen habe weiß ich nicht mehr, aber ohne die kann man sich nicht anmelden. In dem Online-Portal kann man dann die verschiedenen Verfahren freischalten, zumindest wenn man noch eine TAN zur Verfügung hat.

Den notwendigen Menüpunkt hat die Haspa wirklich gut versteckt, jedenfalls suche ich jedesmal wieder eine Ewigkeit, eventuell wird der Punkt auch immer wieder neu versteckt, eine Art EasterEgg. Momentan kann man ihn finden, indem man sich einloggt, auf ein Konto geht und dort im roten Menü auf mehr klickt. Es taucht dann oben ein Menübereich auf. Hier darf man nicht auf Sicherheit -> PIN/TAN & Verschlüsselung gehen, sondern auf Verwalten & Einrichten -> Sicherheitseinstellungen -> TAN Verwaltung. Also logisch ist das für mich nicht, hier verwaltet man die Verfahren und nicht die TANs.

Manchmal taucht der Punkt Verwalten & Einrichten auch unten im roten Menü auf.

 

Schritt 1

Schon vor Jahren hatte ich mir einen Kartenleser von ReinerSCT beschafft, den cyberJack RFID Standard. Das Gerät gab es anfangs mit dem Personalausweis vergünstigt. Für das Gerät habe ich mir dann im Frühjahr, nach dem Haspa-Schreiben,  ein Firmware-Update gekauft. Bei den aktuellen Versionen sollte das Update nicht notwendig sein.

Auch schon im Frühjahr habe ich mir von Moneyplex das Update auf Version 2018 gekauft, da erst diese Version mit dem TAN-Verfahren umgehen kann. Auf der Matrica-Homepage ist von der Version 2018 noch nichts zu sehen, aber der freundliche und immer hilfsbereite Support hatte mir die Informationen zur Software und dem Kartenleser-Update gegeben.

Dann habe ich gewartet, bis die Haspa das bequeme und sichere HBCI-Verfahren abstellt. Das war jetzt am 11. Dezember der Fall.

 

Schritt 2

Also habe ich erst einmal die Kartenleser-Software auf meinem Ubuntu 18.04 System installiert. Dazu bin ich nach folgenden Texten vorgegangen:

* http://wiki.matrica.com/index.php/CCID_Chipkartenleser_unter_Linux

* http://wiki.matrica.com/index.php/Cyberjack

Konkret waren das die folgenden Schritte:

  • aus der Ubutu-Software-Verwaltung installieren: libccid libpcsclite1 pcscd pcsc-tools
  • von der Reinert-Homepage  http://www.reiner-sct.com/support/  den passenden Treiber laden: Support → Produktfamile Chipkartenleser → Chipkartenleser wählen → Treiber-Downloads → Linux  (bei mir Ubuntu 18.04) und installieren.
  • mittels lsusb sollte der Kartenleser erkannt werden. Hier die Hersteller und Produkt-ID auslesen, bei mir 0c4b:0500
  • die Datei /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist öffnen und in den Bereichen
    • ifdVendorID (0x voranstellen)
    • ifdProductID (0x voranstellen)
    • ifdFriendlyName (ich habe die ganze lange Zeichenkette genommen)
      um die Ausgaben von lsusb erweitern. Ich habe dafür immer die erste Zeile der Rubrik benutzt.
  • nun die Datei /lib/systemd/system/pcscd.service editieren und –auto-exit entfernen
  • den Dienst neu starten mittels service pcscd restart
  • und aktivieren systemctl enable pcscd.service

Danach war der Kartenleser funktionsfähig und der Test aus den Einstellungen von Moneyplex hat Erfolg gemeldet.

 

 

 

 

 

 

Schritt 3

Nun konnte ich auf der Haspa-Seite meine Konto-Karte aktivieren und synchronisieren.

 

 

 

 

 

 

 

Dazu muss man im Kartenleser mit eingelegter Karte eine TAN erzeugen und den sogenannten ATC (Application Transaction Counter) ablesen. Dabei handelt es sich um einen Zähler für die Zahl der erzeugten TANs (startet vermutlich bei 1).

 

 

 

 

 

 

 

Wenn beide Zahlen korrekt eingetragen sind, dann ist die Karte aktiviert.

Schritt 4

Nun war nur noch das Konto umzustellen. Leider hat hier der Text http://wiki.matrica.com/index.php/ChipTAN_USB_Verfahren nicht weit geholfen, da die Einstellmöglichkeit für das Verfahren nicht auftauchte.

Eine Mail an den Matrica-Support hat dann die Lösung gebracht, u.a. einen Link auf http://wiki.matrica.com/index.php/Bankzugang_ersetzen_Konto_beibehalten . Nach dieser Anleitung konnte ich dann mein Konto umstellen.
Noch eine Anmerkung zum Matrica-Support. Die Mail mit der Anleitung kam um 20:28h, meine Anfrage hatte ich um 19:49h gestellt, nachdem mich die Haspa aus ihrer Telefon-Warteschlange geworfen hatte. Der Matrica-Service ist wirklich nicht zu schlagen.

 

Hinweis

Bei der Kontoführung wir jeweils einmalig die PIN benötigt, die auch auf der Internet-Seite gilt. Die Geldautomaten-PIN spielt hier nirgends eine Rolle. Man kann die Karte und damit die TAN-Erzeugung zusätzlich mit einer PIN für den Kartenleser sichern, das ist aber nicht vorgegeben und auch nur spärlich erwähnt.

 

Nachtrag Ostern 2019

Die Haspa will ihre Kunden geistig fit halten. Von daher war über Ostern die nächste Umstellung fällig. Die Haspa hat anscheinend wieder vom eigenen Rechenzentrum zum Rechenzentrum des Sparkassenverbundes gewechselt. Ich meine zu erinnern, dass die Haspa schon mehrfach Hin und Her gewechselt hat.

Jedenfalls ist jetzt wieder eine Änderung der Kontoeinstellungen fällig gewesen. Es wurden mindestens zwei Parameter verändert :

  • die HBCI-Adresse ist jetzt: https://banking-hh7.s-fints-pt-hh.de/fints30
  • die Benutzerkennung nennt die Haspa jetzt Anmeldename und ergänzt dazu die Kontonummer um eine Zeichenkette, die vom TAN-Verfahren abhängt. Wer nur ein TAN-Verfahren nutzt, der behält die Kontonummer als Anmeldenamen.

Bevor man irgendwelche Änderungen an Moneyplex vornimmt, bietet es sich an eine Aktualisierung durchzuführen. Außerdem musste ich meine Chip-Karte auf der Haspa-Seite neu aktivieren.

Ich habe dann mehrfach versucht die Änderungen nur bei Moneyplex unter Stammdaten -> Bankzugänge zu ändern. Hatte dann aber immer Fehlermeldungen beim Abrufen der Kontodaten. Daher habe ich dann das Verfahren aus http://wiki.matrica.com/index.php/Bankzugang_ersetzen_Konto_beibehalten benutzt und die Kontoverbindung erneut neu eingerichtet.

Das hat dann funktioniert, wobei die TAN-Erstellung auf manuell stand und von mir erst auf ChipTAN-USB geändert werden musste.

Der folgende Screenshot zeigt die aktuellen Einstellungen:

 

 

 

 

 

Auf die Kontonummer folgt hier ein c (für chipTAN) und eine vierstellige Ziffernkette, die bei mir mit einer 0 beginnt.

 

Nachtrag vom 17.09.2019

Nun hat auch die HASPA PSD2 scharf geschaltet. Mein Moneyplex 2018 hat dann leider so nicht mehr funktioniert. Eine Weile habe ich überlegt wieder auf Papierbelege zu setzen, dann habe ich aber doch auf die Matrica-Seiten geschaut.

Dort (http://wiki.matrica.com/index.php/PSD2_mit_älteren_Versionen_von_moneyplex) ist beschrieben, dass man ein Update auf Moneplex 20 benötigt, was ich mir auch sofort bestellt habe. Aktuelle hilft mir das aber nicht weiter, es wird ein paar Tage dauern bis ich die neue Lizenz habe. Als besonderen Service bietet Matrica auf seiner Seite aber einen freien Schlüssel an, der bis November gültig ist.

Mit folgenden Schritten bin ich also wieder online:

  • Info -> Benutzer die Seriennummer von der Matrica-Seite eingeben
  • Der Aufforderung zum Update folgen
  • Moneyplex neu starten, es ist jetzt Version 20.0 Beta.
  • Dann den Bankzugang prüfen, bei mir hat sich keine Veränderung ergeben gegenüber dem vorherigen Screenshot

Laut Anleitung soll man den Bankzugang prüfen:

  • Stammdaten
  • Bankzugänge
  • Hamburger Sparkasse
  • rechte Maustaste -> Bankparameter aktualisieren

Wichtig ist, dass folgende Einstellungen zu finden sind:

  • TAN-Verfahren: 912 – chipTAN-USB
  • TAN-Medium: Sparkassen-Card (Debitkarte)
  • bei Optionen anzeigen vor dem Ausführen würde ich das Häkchen entfernen.

Danach kann man loslegen, aber nur wenn die Kontokarte im USB-Lesegerät steckt. Das ist jetzt zukünftig eine furchtbare Klickerei, vor allem wenn man das Häkchen nicht entfernt hat, aber es funktioniert.

 

Meine Ausgabe von dmesg war unbrauchbar geworden, da hier nur noch Zeilen der Art:

 [38929.065531] [UFW BLOCK] IN=enp1s0 OUT= MAC=01:00:5e:00:00:01:00:24:c0:ff:ee:38:08:00 SRC=192.168.1.14 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2

zu finden waren.

Das sind abgelehnte Multicast-Pakete von meinem SAT>IP Receiver. An der Konsole habe ich eingegeben:

sudo ufw allow in proto udp to 224.0.0.0/4
sudo ufw allow in proto udp from 224.0.0.0/4

und dann die Datei /etc/ufw/before.rules  am Ende, vor der COMMIT-Zeile,  etwas ergänzt:

# allow IGMP
-A ufw-before-input -p igmp -d 224.0.0.0/4 -j ACCEPT
-A ufw-before-output -p igmp -d 224.0.0.0/4 -j ACCEPT

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

Seit dem Neustart von UFW bleiben die Meldungen aus.