Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 25
Dabei seit: 10 / 2014
Betreff:

Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 09:04 Uhr  ·  #1
Hallo Forum.
Die Hypovereinsbank hat mit heutigem Tage das Mobil-TAN-Verfahren abgeschaltet und bietet nur noch das App-TAN-Verfahren für Onlinebanking und HBCI-Banking an.
Zitat
Achtung: mobileTAN Abschaltung: Achtung: Ab morgen 07.09.2021 können Sie mit der mobileTAN (TAN via SMS) keine Umsatzabfrage und keine Zahlungen mehr ausführen. Um handlungsfähig zu bleiben, müssen Sie JETZT zu einer unserer Alternativen wechseln. Sie haben die Wahl zwischen dem praktischen appTAN- oder dem Smartphone-unabhängigen photoTAN-Verfahren. Mehr Informationen zur Abschaltung der mobileTAN finden Sie unter www.hvb.de/tan. Ihre HypoVereinsbank


Ich habe schon seit einigen Wochen auf das App-TAN-Verfahren umgestellt und es hat bis jetzt auch gut funktioniert. Umsatzabfragen waren jedoch (bis zum heutigen Tag) ohne TAN oder Bestätigung über die App möglich!

Seit Heute habe ich jedoch das Problem, daß schon bei Umsatzabfragen per HBCI eine TAN von Jameica / Hibiscus verlangt wird.
Auf dem Handy meldet sich auch die App, in welcher ich jedoch nur den Vorgang per Knopfdruck bestätigen muss und der Auftrag damit freigegeben wird. Es wird mir KEINE TAN angezeigt. Das HBCI-Programm verlangt aber eine TAN. Ich kann somit den Auftrag nur noch abbrechen.

Anscheinend kennt Jameica / Hibiscus nicht die Möglichkeit einen Auftrag nur per Knopfdruck in der App freizugeben.

Ist das Problem bekannt?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 25
Dabei seit: 10 / 2014
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 10:02 Uhr  ·  #2
OK, kleines Update:
Es funktioniert nun doch. Es lag an der etwas unübersichtlichen App der Hypovereinsbank und der Tatsache, daß ich nicht verstanden habe wieviele! TANs ich für eine einfache Umsatz / Salden-Abfrage ich nun eingeben muss.

Es verhält sich nun so:
Die Hypovereinsbank fragt nun für wirklich JEDEN Vorgang eine TAN ab - Für JEDEN!.

Für eine Umsatzabfrage wird verlangt: Auftrag per Knopfdruck bestätigen, 1x PIN, 1x TAN.
Für eine Saldenabfrage wird verlangt: Auftrag per Knopfdruck bestätigen, 1x PIN, 1x TAN.
Für nur 1 Konto sind das dann schon 6 Vorgänge die ich am Handy ausführen muss.

Ich habe 10 Konten (Girokonten und Sparkonten) für die ganze Familie von der Hypovereinsbank.
Das heißt einmal auf "Synchronisieren starten" gedrückt müsste ich 60 Vorgänge am Handy ausführen - Nur um Saldo und Umsätze abzufragen !!!

So ist das quasi nicht mehr nutzbar für mich. Ich hoffe da kommt irgendeine Lösung.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 11:04 Uhr  ·  #3
Das Thema hatten wir unter topic.php?p=160353#real160353 schonmal. Hibiscus kann das TAN-lose Verfahren noch nicht. Die Bank kann es per FinTS allerdings auch noch nicht - sondern vermutlich nur über die Webseite. Bitte die Diskussion in dem anderen Thread fortsetzen.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 12:13 Uhr  ·  #4
Hallo Olaf, das hast Du falsch verstanden. Die HVB macht via HBCI *kein* TAN-loses Verfahren, sondern zeigt eine abzutippende TAN an. Soweit alles gut.

Die eigentliche Frage hier ist Folgende: Die HVB verlangt seit heute - es ist der absolute Irrsinn - für JEDEN Login via HBCI eine TAN - und für Vorfälle dann noch gesondert eine. Bei mir unter B4 heißt das, dass ich z.B. beim Senden von Lastschriften zwei TANs benötige: Eine erste zum Verbindungsaufbau und eine zweite zur Freigabe des Sammlers. Allein das ist schon bekloppt.

Allerdings ist es bei B4 so, dass die Abfrage von Kontoumsätzen + Saldo mit *einer* TAN klappt - nämlich der zum Login. Der Ursprungsposter bemängelt nun, dass er zig TANs eingeben muss. Für mich schaut das so aus, als ob hibiscus für jeden Dialog "neu einloggt" und damit die Login-TAN fällig wird. Also LOGIN/TAN - Abfrage Kontoumsätze - LOGOUT - LOGIN/TAN - Saldoabfrage - LOGOUT - LOGIN/TAN (zweites Konto) - Abfrage Umsätze .... usw.

B4 macht das so: LOGIN/TAN - Kontoumsatzabfrage Konto1 - Saldenabfrage Konto1 - Kontoumsatzabfrage Konto2 - Saldenabfrage Konto2 - .... LOGOUT. Somit braucht man da nur eine TAN.

Kann das sein, dass das das Problem ist, oder bin ich mit meinen Gedanken auf dem Holzweg?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 25
Dabei seit: 10 / 2014
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 12:54 Uhr  ·  #5
Zitat geschrieben von msa

Allerdings ist es bei B4 so, dass die Abfrage von Kontoumsätzen + Saldo mit *einer* TAN klappt - nämlich der zum Login

Hab es gerade nocheinmal probiert. Man braucht tatsächlich 2 TANs

Vorgehensweise:
Jameica/Hibiscus: Rechtklick auf ein Konto - <Saldo/Umsätze abrufen...>
Jameica/Hibiscus: Fenster zur TAN-Eingabe öffnet sich
App am Handy: <Auftrag freigeben> drücken
App am Handy: <App-Pin> eingeben
App am Handy: <TAN> wird angezeigt
Jameica/Hibiscus: <TAN> eingeben - Enter
...
Jameica/Hibiscus: Fenster zur TAN-Eingabe öffnet sich
App am Handy: <Auftrag freigeben> drücken
App am Handy: <App-Pin> eingeben
App am Handy: <TAN> wird angezeigt
Jameica/Hibiscus: <TAN> eingeben - Enter

Das ist der Vorganng für den Saldo / Umsatz-Abruf für nur 1! Konto. Ich habe insgesamt 10 davon.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 13:38 Uhr  ·  #6
Zitat geschrieben von msa

Hallo Olaf, das hast Du falsch verstanden. Die HVB macht via HBCI *kein* TAN-loses Verfahren, sondern zeigt eine abzutippende TAN an. Soweit alles gut.

Ich hab das schon richtig verstanden. Meine Antwort bezog sich auf das erste der beiden Postings. Sein Update und meine Antwort hatten sich überschnitten.

Zitat geschrieben von msa

Allerdings ist es bei B4 so, dass die Abfrage von Kontoumsätzen + Saldo mit *einer* TAN klappt - nämlich der zum Login. Der Ursprungsposter bemängelt nun, dass er zig TANs eingeben muss. Für mich schaut das so aus, als ob hibiscus für jeden Dialog "neu einloggt" und damit die Login-TAN fällig wird. Also LOGIN/TAN - Abfrage Kontoumsätze - LOGOUT - LOGIN/TAN - Saldoabfrage - LOGOUT - LOGIN/TAN (zweites Konto) - Abfrage Umsätze .... usw.

B4 macht das so: LOGIN/TAN - Kontoumsatzabfrage Konto1 - Saldenabfrage Konto1 - Kontoumsatzabfrage Konto2 - Saldenabfrage Konto2 - .... LOGOUT. Somit braucht man da nur eine TAN.

Kann das sein, dass das das Problem ist, oder bin ich mit meinen Gedanken auf dem Holzweg?


Wenn das bei B4 so funktioniert, wird das wohl der Fall sein. Wobei mir einige Sachen nicht klar, warum das in B4 funktioniert.

1) Mir ist neu, dass man Login und Umsatz-/Saldenabfrage innerhalb einer TAN-Freigabe machen kann. Ich weiss nicht, wie hierfür der Dialog-Aufbau aussehen müsste. Aus den HBCI-Spezifikationen kann ich in der Hinsicht auch nichts herauslesen.
2) Mir ist neu, dass man seit den neuen Auftragsgebundenen TAN-Verfahren überhaupt noch mehrere Aufträge mit einer TAN einreichen kann. Technisch kann das eigentlich gar nicht gehen. Denn für den Auftrag wird ja quasi eine Checksumme gebildet und die TAN dann für diese berechnet, damit die TAN auch nur für diesen einen Auftrag gilt. Hinzu kommt ja die Anforderung, dass der Auftrag zur Kontrolle auf einem unabhängigen Gerät nochmal angezeigt werden soll. Was soll denn dann auf dem Gerät angezeigt werden? Bei AppTAN kann ich mir das u.U. noch vorstellen, weil die Bank die Anzeige in ihrer App je frei gestalten kann. Aber bei ChipTAN geht das ja gar nicht, weil im Display des TAN-Generators gar kein Platz für die Anzeige der ganzen Informationen ist. Führt das nicht den Sinn der Auftragsbindung der TAN wieder ad absurdum?

Unabhängig davon: Es ist in der Tat so, dass Aufträge in Hibiscus jeweils einzeln an die Bank gesendet und freigegeben werden - allerdings innerhalb einer "Login-Session". Die Ursache dafür ist tief in HBCI4Java begründet und lässt sich auch nicht ohne weiteres ändern. Das Thema gab es auch früher schon mal bei der alten HBCI-Chipkarte. Da wünschten sich immer mal User, mehrere Überweisungen mit einer PIN am Kartenleser freizugeben. Als die neuen Auftragsgebundenen TANs kamen, hatte sich das Thema aus meiner Sicht ohnehin erledigt. Von daher ist mir unbekannt, wie B4 das realisiert und auf dem Freigabegerät trotzdem noch sinnvolle Informationen angezeigt werden sollen, damit der User weiss, was er da gerade freigibt.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 14:13 Uhr  ·  #7
Dass bei TAN-pflichtigen Aufträgen eine TAN pro Auftrag nötig ist, das ist klar. Mir zumindest.

Bei der reinen Abfrage (wo man bis gestern garkeine TAN gebraucht hat) braucht man jetzt eine TAN zum Login, und wenn man dann eingeloggt ist, dann kann man wohl mehrere Nicht-TAN-pflichtige Dinge nacheinander durchfürhen. Denn die Umsatzabfrage (< 90 Tage) an sich und die Saldenabfrage ist ja nicht TAN-pflichtig, nur das Anmelden am Bankrechner. Es scheint zu gehen, denn B4 bringt das irgendwie hin. Das ist mit der Schlüsseldatei oder Chipkarten auch so. Da kann man mit B4 zig Aufträge mit einer PIN-Eingabe in einem Rutsch senden - bis der Kanal wieder zugemacht wird.

Ich habe einen PIN/TAN-Zugang bei einer VR-Bank an Atruvia (ex Fiducia) mit dem am Stück knapp 300 Konten abgefragt werden. Ausweislich des Protokolls wird da einmal eine Verbindung zum HBCI-Server aufgebaut, dann die Abfragen am Stück hintereinander durchgeführt und dann diese Verbindung wieder geschlossen. Wenn das bei HBCI4Java in den Tiefen nicht vorgesehen ist, dann ist das natürlich schwierig.

Aber so wie das die HVB seit heute handhabt, kann ich mir nicht vorstellen, dass das so bleibt. Damit ist der HVB-Zugang für den professionellen Gebrauch mit mehreren bzw. vielen Konten nicht mehr nutzbar. Ich warte auf einen Proteststurm von professionellen Anwendern. Schauen wir, wie die HVB damit umgeht.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 07.09.2021 - 14:17 Uhr  ·  #8
Zitat geschrieben von msa

Bei der reinen Abfrage (wo man bis gestern garkeine TAN gebraucht hat) braucht man jetzt eine TAN zum Login, und wenn man dann eingeloggt ist, dann kann man wohl mehrere Nicht-TAN-pflichtige Dinge nacheinander durchfürhen.


So macht das Hibiscus aber auch. Und es ruft auch nur die Umsätze seit dem letzten Abruf ab (und bleibt damit im 90-Tage-Fenster, wenn der letzte Abruf innerhalb dieses Zeitfensters war). Alles innerhalb einer "Session". Dazu muss man aber in Hibiscus die übergreifende Konto-Synchronisierung verwenden. Dort werden die Aufträge pro Konto zusammengefasst. Wenn man jeden Auftrag einzeln aus dem Konto heraus, aus der Umsatzliste o.ä. aufruft, dann kommen auch einzelne TAN-Abfragen. Was Hibiscus nicht kann, ist das Zusammenfassen mehrere Konten in einen Abruf.
Dan
Neuling
Avatar
Geschlecht: keine Angabe
Beiträge: 1
Dabei seit: 09 / 2021
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 08:52 Uhr  ·  #9
Guten Morgen,

die Anzeige der TAN in der appTAN funktioniert seit heute Morgen wieder. Da gab es wohl ein Problem in der App.

Bezüglich der SCA TAN wird bei Abfragen je Dialoginitialisierung eine TAN benötigt, egal wieviele Konten darin abgefragt werden. Wird der Dialog beendet und neu gestartet, wird eine neue TAN benötigt.

Schönen Tag
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 25
Dabei seit: 10 / 2014
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 10:36 Uhr  ·  #10
Zitat geschrieben von Dan

Guten Morgen,

die Anzeige der TAN in der appTAN funktioniert seit heute Morgen wieder. Da gab es wohl ein Problem in der App.

Bezüglich der SCA TAN wird bei Abfragen je Dialoginitialisierung eine TAN benötigt, egal wieviele Konten darin abgefragt werden. Wird der Dialog beendet und neu gestartet, wird eine neue TAN benötigt.

Schönen Tag


Guten Morgen,
was ist eine SCA TAN?

Was heißt "...eine TAN benötigt, egal wieviele Konten darin abgefragt werden."?

Ich habe in Hibiscus 10 Konten (Giro und Sparkonten) bei der Hypovereinsbank hinterlegt. Wenn ich dort einmal auf <Alle Konten Synchronisieren> klicke, benötige ich 20 TANs bzw. werden diese abgefragt.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 11:16 Uhr  ·  #11
Ja, das haben wir doch nun schon mehrfach geschrieben. hibiscus macht aus div. Gründen offenbar eine Dialoginitialisierung PRO Vorgang. Das heißt pro Konto jeweils: Kanal auf mit TAN - Umsatzabfrage - Kanal zu - Kanal auf mit TAN - Saldoabfrage - Kanal zu. Sind 2 TANs. Mal 10 Konten sind 20 TANs.

Andere Programme machen es anders. Kanal auf mit TAN - Umsatzabfrage 1tes Konto - Saldenabfrage 1tes Konto - Umsatzabfrage 2tes Konto - Saldenabfrage 2tes Konto - ..... - Kanal zu. Macht eine TAN. Wie Olaf gestern geschrieben hat, ist das wohl durch das verwendete hbci4java bedingt.

Das ist irgendwie verrückt von der HVB. Ich kann mir nicht vorstellen, dass das auf Dauer so bleibt, da sicher viele professionelle Kunden auf die Barrikaden gehen werden. Diese Änderung ist sicher mal wieder von Leuten geplant worden, die nur ein Konto besitzen und nicht über den Tellerrand hinausdenken. Das Ganze führt ja auch dazu, dass TANs inflationär gebraucht werden. Absenden eines Überweisungsauftrages braucht ja jetzt auch 2 TANs. Einmal Kanal auf mit TAN, Freigabe Auftrag mit weiterer TAN, Kanal zu. Naja. Führt in meinen Augen dazu, dass die Leute einfach immer eine Freigabe machen, wenn sie kommt - ohne genau hinzuschauen und ohne nachzudenken, was sie da in jedem Einzelfall freigeben. Das kann's ja wohl auch nicht sein.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 11:21 Uhr  ·  #12
Zitat geschrieben von msa

Ja, das haben wir doch nun schon mehrfach geschrieben. hibiscus macht aus div. Gründen offenbar eine Dialoginitialisierung PRO Vorgang. Das heißt pro Konto jeweils: Kanal auf mit TAN - Umsatzabfrage - Kanal zu - Kanal auf mit TAN - Saldoabfrage - Kanal zu. Sind 2 TANs. Mal 10 Konten sind 20 TANs.

Nein. Die Geschäftsvorfälle finden zwar pro Konto getrennt statt. Der Abruf von Umsätzen und Salden (oder eben auch Überweisungen) für dieses Konto geschieht in der selben Session - also mit einer Dialoginitialisierung pro Konto - nicht pro Geschäftsvorfall.

Zitat geschrieben von msa

Das ist irgendwie verrückt von der HVB. Ich kann mir nicht vorstellen, dass das auf Dauer so bleibt, da sicher viele professionelle Kunden auf die Barrikaden gehen werden. Diese Änderung ist sicher mal wieder von Leuten geplant worden, die nur ein Konto besitzen und nicht über den Tellerrand hinausdenken.

Eigentlich haben die ja "nur" die 90-Tage-Regel vergessen. Warum auch immer.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 11:59 Uhr  ·  #13
Zitat geschrieben von hibiscus
Nein. Die Geschäftsvorfälle finden zwar pro Konto getrennt statt. Der Abruf von Umsätzen und Salden (oder eben auch Überweisungen) für dieses Konto geschieht in der selben Session - also mit einer Dialoginitialisierung pro Konto - nicht pro Geschäftsvorfall.
Hm, wie können dann die 20 TANs zu Stande kommen? Seltsam.

Zitat geschrieben von hibiscus
Eigentlich haben die ja "nur" die 90-Tage-Regel vergessen. Warum auch immer.
Stimmt an sich, aber die Auswirkungen sind drastisch und branchenweites Alleinstellungsmerkmal :D
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 12:03 Uhr  ·  #14
Zitat geschrieben von msa

Zitat geschrieben von hibiscus
Nein. Die Geschäftsvorfälle finden zwar pro Konto getrennt statt. Der Abruf von Umsätzen und Salden (oder eben auch Überweisungen) für dieses Konto geschieht in der selben Session - also mit einer Dialoginitialisierung pro Konto - nicht pro Geschäftsvorfall.
Hm, wie können dann die 20 TANs zu Stande kommen? Seltsam.

Ich nehme an, einmal für die SCA bei der Dialoginitialisierung und dann nochmal beim Umsatzabruf.
Wie gesagt, mir ist auch neu, dass man die TAN-Abfrage von Dialoginitialisierung und Umsatzabruf zusammenfassen kann. Das steht auch nirgends in der Spezifikation. Sicher sieht man es nur anhand des Logs.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 13:49 Uhr  ·  #15
Zitat geschrieben von hibiscus

Wie gesagt, mir ist auch neu, dass man die TAN-Abfrage von Dialoginitialisierung und Umsatzabruf zusammenfassen kann. Das steht auch nirgends in der Spezifikation. Sicher sieht man es nur anhand des Logs.

Man kann die Umsatzabfrage auf nicht TAN pflichtig stellen, dann kann von der Bank auch keine Abfrage einer TAN kommen. Solange die Bank keine Umsätze > 90 Tage anbietet ist das auch regulatorisch kein Problem. Was regulatorisch meienr Meinung nach nicht geht, ist die Umsatzabfrage > 90 Tage mit der TAN für den grundsätzlichen Kontozugriff zu kombinieren. Aber auch da gilt im Zweifel: wenn die BaFin das nicht beanstandet....
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Jameica / Hibiscus - TAN-Abfrage bei Hypovereinsbank

 · 
Gepostet: 09.09.2021 - 13:52 Uhr  ·  #16
Zitat geschrieben von Holger Fischer

... Was regulatorisch meienr Meinung nach nicht geht, ist die Umsatzabfrage > 90 Tage mit der TAN für den grundsätzlichen Kontozugriff zu kombinieren....

Genau das meinte ich. Wenn bei Hibiscus zwei TAN-Abfragen kamen, dann wurde neben der Dialog-Initialisierung noch irgendwas anderes TAN-pflichtiges gemacht. Unter Umständen ein Umsatzabruf mit mehr als 90 Tagen.
Gewählte Zitate für Mehrfachzitierung:   0