USB-Stick mit Schlüsseldatei verlegt

Als erstes mußt Du bei der Bank den vorhandenen Schlüssel löschen lassen. Je nach Bank geht das über die "allgemeine Onlinebanking-Hotline" oder auf jeden Fall über den zuständigen Kundenbetreuer.

Danach löschst Du dann in den Onlinebanking-Einstellungen den derzeitigen Bankzugang mit dem alten Schlüssel. Konten und Umsätze bleiben dabei natürlich erhalten. Dann legst Du einen neuen FinTS-Zugang an unter Verwendung der Option "Neue Schlüssel erzeugen". Diese werden erzeugt und bei der Bank eingereicht. Danach wird ein INI-Brief angezeigt. Diesen kann man ausdrucken und unterschrieben an die Bank senden, damit diese den neuen Schlüssel freigibt. Bei manchen Banken (z.B. HypoVereinsabank und Commerzbank) ist es möglich, die Freischaltung selbst im WebBanking durchzuführen. Hierbei sind Teile des Schlüssels im Banking einzugeben und das Ganze mit einer TAN zu bestätigen. Danach ist der neue Schlüssel sofort freigeschaltet, der INI-Brief muss nicht mehr eingesendet werden.

Wenn der Schlüssel freigeschaltet ist, wird der neue Bankzugang synchronisiert, dabei werden die vorhandenen Konten an den neuen Bankzugang umgehängt und das Ganze läuft wieder.

B4 speichert den Schlüssel inzwischen ungefragt mit im Tresor - also nicht mehr in einer extra Datei. Wenn man das nicht möchte und den Schlüssel nach wie vor auf einem externen Medium speichern möchte, dann geht das mit einem Umweg. Erst macht man es so, wie beschrieben. Danach speichert man den Schlüssel in eine externe Datei (Kontextmenü des Bankzugangs). Danach löscht man den soeben angelegten Bankzugang und legt nochmal einen neuen an, diesmal mit der Option "vorhandene Schlüsseldatei verwenden". Man wird dann gefragt, wo die Schlüsseldatei ist. Dabei gibt es die Option "Schlüsseldatei in den Tresor übernehmen" - diese muss natürlich abgeschaltet werden. Dann wird der Schlüssel künftig immer vom externen Medium gelesen. Man sollte sich natürlich von der externen Schlüsseldatei ein Backup machen und dies sicher unterbringen.

Wenn die Schlüssel"datei" (eher "der Schlüssel") mit im Tresor gespeichert wird, dann brauchst Du genau wie bisher zwei Passwöter, erst mal das um den Tresor zu öffnen und ein zweites, um auf den Schlüssel zuzugreifen. Letzteres kannst Du mit im Tresor speichern. Würde ich aber nicht machen, da ich es sicherer finde, wenn man Aufträge nur mit Eingeben eines gesonderten Passwortes auslösen kann. Erstens, dass man nicht "aus Versehen" Zahlungen auslöst und auch, dass niemand etwas machen kann, wenn der Tresor offen, man aber nicht am Rechner ist. Wenn der Schlüssel in einer extra Datei auf einem usb-Stick sitzt, dann ist das nochmal eine gewisse zusätzliche Sicherheit, weil bei Nichtgebrauch der Schlüssel physikalisch vom Rechner getrennt wurde. Man muss sich immer vor Augen halten, dass der Tresor und damit der Schlüssel ganz leicht kopiert werden kann - und dann hängt die Sicherheit nur noch an dem einen bzw. den beiden Passwörtern, die ggf. jmd. ausspähen könnte. Und eine Datei, die immer auf dem Rechner ist (Tresordatei) ist leichter zu kopieren, als eine Schlüsseldatei, die nur bei Bedarf an den Rechner gesteckt und sonst sicher aufbewahrt wird. Man muss sich überlegen, was man möchte.

Schlüsseldateien sind nicht standardisiert, jeder Softwarehersteller speichert den Schlüssel in einem eigenen Dateiformat. Das heißt, erst mal kann eine neue Software den mit einer anderen Software erstellten Schlüssel nicht lesen. B4 spricht da ein paar "Fremdsprachen", kann also bestimmte von anderen Softwaren erzeugte Schüsseldateien lesen - aber auch nicht alle. Ob B4 den T-Online-Banking-Schlüssel seinerzeit übernehmen konnte, da bin ich mir nicht sicher. Die Schlüsseldateien heißen üblicherweise Irgendwas.key oder Irgendwas.rdh oder Irgendwas.rdh2. Das Irgendwas ist ein selbst gewählter Name, weil es ja sein kann, dass man für verschiedene Zugänge oder verschiedene Banken mehrere Schlüssel auf einer Software einsetzt.

Hast Du denn wie geschrieben den Schlüssel bei der Bank löschen lassen und eine neue Bankverbindung initialisiert, wobei ein neuer Schlüssel generiert wurde?

Ich habe geschrieben, dass HEUTE bei der Generierung der Schlüssel ungefragt gleich in den Tresor übernommen wird. Früher war das nicht so, da wurde er auf ein externes Medium geschrieben. In Deiner vorhandenen alten Bankverbindung war und ist er in der externen Datei. Man hätte ihn im Lauf der letzten paar Jahre mit "Schlüsseldatei einlesen" in den Tresor übernehmen können - wenn man das nicht gemacht hat, ist er natürlich nicht drin.

Die Funktion wurde wohl hauptsächlich deswegen so gelöst, weil viele Leute ihre Tresore zwischen PC und Smartphone synchronisieren - und da hätte man dann jedes Mal eine weitere Schlüsseldatei mit synchronisieren müssen. Außerdem ist der Zugriff auf externe Dateien auf dem Smartphone eh problematischer - damit wären die meisten Nutzer völlig überfordert gewesen.

Es ist doch kein Ding den Schlüssel zu ersetzen
... also "Vorgang" starten, damit das Thema schnell erledigt wird...

Also: Es handelt sich bei dem Schlüssel ja um eine Bytefolge. Diese war ganz früher grundsätzlich in einer Datei abgelegt, die man auf einer Diskette abgespeichert hat. Später wurde aus der Diskette der usb-Stick. Noch später wurde daraus "ein Speicherplatz", es war also auch mögich, diese Datei auf einer Festplatte, einem Netzwerkshare oder sonstwas abzulegen. Die Datei war grundsätzlich mit einem Passwort verschlüsselt.

B4 arbeitet ja plattformübergreifend mit immer dem gleichen "Tresor", der z.B. zwischen Windows und Android synchronisiert werden kann. Nun ist es unpraktisch, immer einen Tresor und ggf. mehrere Schlüsseldateien parallel synchronisieren zu müssen, deswegen gab es irgendwann die Möglichkeit, den Schlüssel mit im Tresor zu speichern und nicht mehr in einer extra Datei. Anfangs war das optional, man konnte den Schlüssel aus einer vorhandenen Datei in den Tresor einlesen und einen im Tresor vorhandenen Schlüssel in eine externe Datei speichern. Irgendwann wurde dann das Speichern im Tresor zum Normalfall. Wenn man einen neuen Schlüssel generiert, wird der Schlüssel automatisch im Tresor gespeichert, es gibt keine externe Datei mehr. Wenn man den Schlüssel weiter in einer externen Datei haben möchte, muss man ihn aus dem Tresor über das Kontextmenü der Bankverbindung in eine Datei speicher. Dann muss man die Bankverbindung komplett löschen (löschen des Schlüssels aus dem Tresor gibt es nicht mehr) und dann die Bankverbindung neu anlegen, unter Verwendung des Schlüssels aus der Datei und verweigern der Frage "soll der Schlüssel in den Tresor importiert werden". Dann hat man wieder den alten Zustand mit externem Schlüssel, wo ohne die Datei (den Stick) nichts geht. Du hast wohl gerade den Passus erreicht, wo der Schlüssel im Tresor gespeichert ist, somit brauchst Du erst mal keinen Stick mehr. Es macht aber auf jeden Fall - auch wenn man den Schlüssel im Tresor verwendet - immer Sinn, ihn zu Backupzwecken in eine Datei auf ein Wechselmedium zu speichern und dieses sicher zu verwahren.

Schwierig

Das Einzige, was man sagen kann ist, dass die Verschlüsselung besser geworden ist...0

Aber auch das hilft nicht wirklich was, weil der Schlüssel - egal ob nun in einer extra Datei oder im Tresor - eigentlich jederzeit kopiert werden kann. Sei es von jemandem, der mal eben in den offenen Tresor reinlangt oder sei es von einem Trojaner, der auf dem PC "wohnt". Der kopiert die Schlüsseldatei und liest per Keylogger das Passwort mit - fertig. Früher zu Zeiten von normaler TAN-Liste mag die Schlüsseldatei "sicher" gewesen sein, heute ist sie es nicht mehr wirklich. Vor Allem Leute, die nicht ganz genau wissen, was sie tun, sollten sie eigentlich nicht mehr verwenden. Auf Bankenseite ist die Sichtweise auch sehr unterschiedlich. Die Volksbanken/Raiffeisenbanken bieten Schlüsseldatei seit geraumer Zeit nicht mehr aktiv an, bestenfalls dürfen Bestandskunden sie weiter verwenden. Viele Raiffeisenbanken haben die Schlüsseldatei schon längst den Kunden gekündigt und abgeschaltet.

Die privaten Banken (Hypovereinsbank, Chommerzbank, Deutsche Bank) bieten sie noch an, aber wohl eher, weil sie sonst ihre alte EDV ändern müssten und das nie freiwillig tun Alternative sind HBCI-Zugänge mit Schlüssel auf einer unpersonalisierten Chipkarte (HVB und Commerz), auf personalisierten Chipkarten (VR) oder moderne TAN-Verfahren (pushTAN, chipTAN, photoTAN, NICHT SMS-TAN). Kommt also drauf an, um welche Bank es geht, was man gerade als unbedarfter Nutzer derzeit tunlichst verwenden sollte.