Hallo,
leider hat mir die DKB mitgeteilt, das chipTAN-USB von der DKB nicht mehr unterstützt wird (und ich nicht zu blöd zur Einrichtung bin oder eine schlechte Banking-Software verwende, was deren erste Antwort war), was alles jetzt sehr umständlich macht (ich möchte keine Handy-App für Banking).
Ich habe mich schon immer gewundert, warum das verschiedene Verfahren von Seiten der Bank aus sind und das nicht einfach die Banking-Software die Umsetzung für die verschiedenen Endgeräte macht. Tatsächlich scheint das aber möglich zu sein, irgendwo habe ich gelesen (finde ich leider nicht mehr, vielleicht sogar in diesem Forum), das als Reaktion in einem Banking-Programm die Daten, welche für chipTAN-USB an den Kartenleser geschickt werden, jetzt in der Software generiert werden und somit eine Unterstützung von chipTAN-manuell seitens der Bank ausreichend ist (nicht von chipTAN-optisch/Flickercode, was wohl die gleichen Daten wie chipTAN-USB sind und auch von der DKB eingestellt wurde).

Gibt es Pläne das auch in Hibiscus umzusetzen?

Viele Grüße
Stefan

Die Übertragung per usb greift auf die Daten zurück, die vom Bankrechner für das FLICKER Verfahren geliefert werden - bei der DKB wurden. Diese unterscheiden sich leider von denen, die für Manuell oder QR geliefert werden.

Weiterhin ist nötig, dass der Leser die Daten entsprechend annimmt - und der ist nunmal leider nur für die Daten in der Flicker-Form ausgelegt (denn QR gab es zur Zeit der usb-Leser noch nicht). Hintergrund: Bei Flicker werden DATEN geliefert, aus denen die Software die Flickerei erzeugt. Bei QR wird gleich eine fertige Grafikdatei geliefert. In der stecken aber Daten drin, die im Detail anders sind als bei Flicker. Verschiedene Softwarehersteller haben Versuche unternommen, den QR-Code auszuwerden und daraus Daten für die usb-Übertragung zu generieren. Diese Versuche waren leider nicht von Erfolg gekrönt. Und die Daten die für das manuelle Verfahren geliefert werden werden von den Lesern nur über die Tastatur angenommen und nicht über die usb-Schnittstelle. Mir ist auch kein Thread hier bekannt, wo jemals drüber gesprochen wurde, eine usb-Übertragung auf Grundlage der manuell-Daten zu versuchen.

Somit ist das Verfahren via usb tatsächlich mit der DKB nicht mehr möglich. Und das nur, weil sich die DKB in ihrem furchtbaren eigenen neuen Server sich das Flickerverfahren "gespart" hat. Damit haben sie wahrlich ein Alleinstellungsmerkmal. Mir hat ein Geschäftskundenbetreuer am Telefon gegenüber auch zugegeben, dass das so von oben gewünscht ist, weil man damit die Geschäftskunden "sanft" dazu bringen will, von HBCI auf EBICS umzusteigen.

Das hatte ich auch so gelesen, da war aber explizit mit Bezug zu der DKB-Situation die Rede von USB-Daten generieren aus manuell/QR.

Ich sehe zwei mögliche Erklärungen warum das prinzipiell nicht gehen könnte:
a) Die Daten, die an den USB-Leser geschickt werden, wurden von der Bank elektronisch signiert. Halte ich für nicht so wahrscheinlich, da entweder der Leser eine Datenbank mit allen Public-Keys der Banken hat (und die auch updaten muss) oder alle Banken nutzen den selben festen privaten Key (sicherheitstechnisch schlecht).
b) Das Verfahren, mit welchem die TANs generiert werden unterscheidet sich, also Hibiscus sendet Startcode etc. an den Leser über USB, Gerät erzeugt aber andere TAN als wenn das manuell eingegeben worden wäre. Ich meine mich aber zu erinnern, dass bei der Anmeldung zum DKB-Webbanking der Flickercode gemeinsam mit dem Startcode angezeigt worden wäre. Die DKB kann also nicht wissen, ob ich das manuell eingetippt oder mein Kartenleser den Flickercode gelesen hat (natürlich könnten sie an der Stelle prinzipiell beide TANs annehmen).
Falls jemand noch eine Bankverbindung hat, in der Flickercode und manuell geht: Bitte mal ausprobieren ob beides die gleiche TAN erzeugt.

Bist du dir da sicher? Leider ist die Spezifikation nicht öffentlich (habe ich gerade gesucht) sondern wird nur an Entwickler von Banking-Software rausgegeben, angeblich wird zwar nur eine Bearbeitungsgebühr erhoben, aber ich weiß nicht wie streng die Bedingungen sind und ob die Entwickler von Hibiscus darauf Zugriff haben. Mit Hilfe daraus sollte man doch klären können ob das prinzipiell geht.

Absurderweise ist EBICS ja extrem unsicher im Vergleich, einfach nur eine Schlüsseldatei, kein Zwei-Faktor etc. Man hätte HBCI ja auch einfach kostenpflichtig für Geschäftskunden machen können, genau wie EBICS. So werden die Privatkunden gegängelt.
Leider ist ein Bankenwechsel ja nicht so einfach wie Handyanbieter: Kontonummer mitnehmen müsste es geben.

das geht nicht, der Chip hat einen Zähler, jeder Versuch erzeugt eine andere TAN.

Ja stimmt, gerade ausprobiert. Dann könnte es natürlich wirklich so sein, dass dort unterschiedliche TANs je nach Verfahren generiert werden und die Bank daraus das Verfahren ablesen kann.

Falls es tatsächlich so sein sollte, das es technisch nicht möglich ist, könnte man vielleicht Rainer-SCT dazu bewegen ein Firmware-Upgrade bereitzustellen, dass chipTan-manuell-over-USB ermöglicht, also die Eingaben für chipTAN-manuell einfach über USB entgegen nehmen (zur Not auch kostenpflichtig, chipTAN hat ja auch schon 10€ gekostet).
Die haben ja Interesse daran, das weiter chipTAN genutzt wird und Leute nicht auf EBICS oder Handy-Apps wechseln.

einige Banken nutzen (noch) Schlüsseldateien, die Sicherheit scheint den Aufsichtsbehörden usw. ausreichend.
Das Thema Haftung hatten wir auch schon - Forensuche bemühen - kurz: es ist sehr kundenfreundlich.
Sicherheit = mit einem papiergebundenen Auftrag ziehe ich Geld schneller ab, als die Diskussion Handy/PC sicher ja/nein
EBICS steht ja zur Verfügung

So kompliziert ist eine Bank-/Konten-Umstellung auch nicht, zumal die Bank behilflich sein muss, es Services gibt und/oder die Kunden in der Regel die Kontoverbindungen auf der vorliegenden Rechnung nehmen. Gerade auch im Hinblick auf Oktober 2025 (Darstellung/Prüfung Kontoname) und auf der anderen Seiten den 01.01.2025 eRechnung-Pflicht (aktuell ja nur Übergangszeit).

Ich gebe hier mal meinen Senf aus Entwicklersicht hinzu.
Das ist tatsächlich die Begründung warum zu einer chipTAN QR Challenge keine gültige TAN per USB oder Flicker oder manuell erzeugt werden kann. Die Challenge ist für Karte des Kunden signiert. Der Leser hat damit nichts zutun. Nur die Karte macht die Kryptographie.



Hier liegt es am Padding der übertragenen Werte was zwischen manuell und den anderen Verfahrensarten abweicht. Eine Challenge die nur den Startcode nutzt würde sogar in beiden Verfahren funktionieren, da dieser schon maximale Länge hat. Sobald aber weitere Daten angezeigt oder eingegeben werden müssen funktionieren die TANs nicht mehr weil sie anders erzeugt werden.

Ah ok, das bedeutet der Leser bekommt einen signierten Datenblock bei Flicker/USB direkt von der Bank zugesandt, welcher Startcode etc. enthält. Der Leser sendet das unverändert an die Karte nachdem er das angezeigt hat?
Und bei chipTAN-QR ist der Datenblock etwas anders aufgebaut, sodass er nicht mit dem USB-Format übereinstimmt. Würde man ihn ändern, macht man natürlich die Signatur kaputt.

Das verstehe ich nicht ganz, bei manuell ist doch nichts signiert? Kommt da dann eine andere Kommunikationsform mit der Karte zum Einsatz? Das Padding spielt dann doch keine Rolle?


Ok, aber es scheitert daran, dass das Format, welches der Kartenleser im normalen chipTAN-USB-Modus erwartet und an die Karte weitergibt nicht erzeugt werden kann auf Grund der Signatur von der Bank, welche durch die Karte verifiziert wird.
Da gibt es nur zwei Lösungen, die beide Änderungen am Kartenleser erfordern:
-Der Kartenleser akzeptiert das Datenformat von chipTAN-QR über USB und sendet das an die Karte, für die Karte kein Unterschied als ob ein QR-Code gelesen worden wäre
-Der Kartenleser akzeptiert Startcode/Betrag/Kontonummer etc. über USB und kommuniziert mit der Karte als wäre es manuell. Ich vermute das ist aufwendiger umzusetzen

Hat irgendjemand Kontakte zu ReinerSCT oder so um da mal nachzufragen, ob die sowas implementieren könnten (auch wenn das Upgrade dann wieder 10€ kostet). Ich vermute der Kartenleser ist schon in die Kryptographie involviert, man kann nicht einfach einen USB-Mikrocontroller an die Karte hängen und so QR-Code-Daten senden, dann wäre die Anzahl der Kartenleser-Anbieter wohl nicht so überschaubar. Das ist ja auch sinnvoll, dass dort nur zertifizierte Anbieter das anbieten können, sonst könnte der Leser ohne Nutzerbestätigung ja sonstwas autorisieren.

Ist nicht ganz richtig deine Schlussfolgerung.
Nur bei QR-codes gibt es eine Signatur der Challenge, die geprüft wird. Die älteren Verfahren optisch/USB und manuell haben das nicht.
Wichtiger hier ist aber dass sich die Art der Berechnung der TAN unterscheidet bei den 3 unterschiedlichen Verfahren. Also der Aufbau der Daten aus denen die TAN erzeugt wird. Deswegen kann man eine Bankchallenge nicht ohne weiteres in ein anderes Verfahren umbauen und immer noch erwarten, dass die erzeugte TAN im Backend der Bank akzeptiert wird.
Wenn die DKB nur manuell und QR anbietet, kann man leider nicht viel machen.
Würde man manuell anfordern fehlen schlicht die Daten zur TAN-Erzeugung in der Challengeantwort.
Würde man QR anfordern erwartet das Backend eine TAN, die durch anderen Daten-Aufbau entstanden ist als sie dein USB Leser erzeugt.
Hier wäre die einzige Chance, dass ein neuer Leser die QR-Code Daten (das png) nicht optisch sondern per USB entgegennimmt und nach chipTAN QR-Spez verarbeitet.
So einen Leser gibt es soweit ich weiß nicht. Ein Downgrade der Daten in die optische/USB Verfahrenswelt und eine Erzeugung der TAN damit wird nicht funktionieren beim Nachrechnen auf der Bankseite.

Ah ok, bedeutet zum Beispiel wenn bei manuell nur die letzten Stellen der Kontonummer abgefragt wird, kommt bei chipTAN-USB die ganze zum Einsatz? Und wenn man jetzt unsignierten Daten von chipTAN-USB selber generiert, passt die TAN nicht, weil andere Daten zur Karte geschickt wurden. Habe ich es jetzt verstanden?
Es muss ja nicht das png sein. Für einen existierenden Leser ohne QR-Code scanner wäre das sicherlich eine große Hürde, auf Grund der Sicherheitsaspekte können die ja nicht schnell einen png- und einen qr-code-decoder bei github suchen, der auf der Architektur des Kartenleser kompiliert, und dann ohne aufwändiges Code-Review nutzen. Aber es spricht ja nichts dagegen den QR-Code in Hibiscus zu dekodieren und diese Daten an den Leser zu übertragen. Das zu implementieren sollte wohl recht einfach sein.

Hat irgendjemand gute Kontakte zu einem Kartenleserhersteller wie ReinerSCT um da mal anzufragen ob die das implementieren können ("chipTAN-QR-over-USB")?
Ich befürchte aber fast das die Antwort in etwa so sein wird: Theoretisch ja, praktisch nein, weil wir dann unsere Lizenz verlieren, da wir das exakt so umsetzen müssen wie der Bankenverband das vorschreibt

Ja sowas wäre auch denkbar. Aber ich vermute auch dass sich kein Hersteller für die kleine Zielgruppe an sowas ran traut wenn er auch noch auf die korrekte Decodierung eines Softwareproduktes angewiesen ist auf der anderen Seite.

Ich weiß nicht ob die Zielgruppe so klein ist, die DKB hat doch recht viele Kunden, auch gerade im Small-Buisness Bereich, wo man vielleicht kein EBICS möchte (so dass der Chef die Karte abends mitnehmen kann um die Kontrolle zu behalten).
Wenn die Umsetzung des Features vielleicht 10-20 Entwicklerstunden kostet und ich für das Upgrade des Lesers 10€ verlange sollte sich das wohl recht schnell amortisieren.
Und es geht auch um Kundenbindung: Als Hersteller von Kartenlesern habe ich ja kein Interesse daran, das die Kunden zu EBICS oder zu Smartphone-Apps wechseln.

Aber das müsste jemand anfragen der gute Kontakte dorthin hat, der normale Kundensupport wird das Anliegen wohl kaum verstehen ("sie können doch kein QR-Code über USB senden, das ist ja ein Bild").

Wenn ich das richtig verstehe müsste manuell-über-USB für einfache Abfragen funktionieren. Wäre es möglich zumindest das zu implementieren?

Naja. Die Zielgruppe für die die usb-Variante in die REINER Chipkartenleser implementiert wurde war

(ALLE Sparkassenkunden Deutschlands) + (Alle VR-Kunden Deutschlands) + (ALLE Postbankkunden Deutschlands) + (ALLE Sparda-Kunden Deutschlands) + Kunden div. kleinerer Banken

Und das zu Zeiten, als die Freigabe über App noch etwas exotisches war.

Diese Zielgruppe dürfte doch wohl ETWAS größer gewesen sein als die heute noch an chipTAN interessierte Kundschaft der DKB.

Und von wegen Neuentwicklung auf dem Gebiet: Nicht umsonst hat REINER sämtliche chipTAN-Leser bis auf QR/photo komplett eingestellt (Bluetooth usw.). Die Banken wollen chipTAN soweit wie möglich sterben lassen. Zuletzt die Postbank. Und die DKB hat das ja auch nur noch für Kunden gelassen, die um's Verrecken die App nicht nutzen wollen.

Ich weiß, wovon ich spreche. Ich hatte bis zum Herbst selbst 16 Jahre meine Hauptbankverbindung bei der DKB und bin im Bereich Hausverwaltung tätig und hatte auch einige Dutzend Verwaltungskonten bei der DKB. Ich war immer hoch zufrieden. Bis das neue Management die Bank komplett umgekrempelt hat. Es ist ja nicht nur so, dass der HBCI-Server eine Zumutung ist. Die ganze Bank ist inzwischen eine Zumutung. Allein das komplette Verstecken einer Telefonnummer im Web ist unsäglich. Und wenn man sie dann nach langem Suchen gefunden hat und anruft, dann kriegt man Leute dran, die erstens keine Ahnung haben und zweitens mangels Befugnissen nicht helfen KÖNNEN. Früher brauchte es einen Anruf alle paar Jahre und das Problem war in Minuten final gelöst. Alles dahin. Für Geschäftskunden gibt es überhaupt keine Telefonische erreichbarkeit mehr. Und mit der inzwischen eingeführten KI-Betreuung (alle Daten wandern nach USA?) wird es sicher auch nicht besser.

Vor dem Hintergrund ist das böswillige Weglassen von Flicker im neuen Server fast schon vernachlässigbar

das ist doch den bisherigen Kunden komplett egal
vielmehr versucht man es als Kunden hinzubiegen oder andere dazu zubringen es hinzubiegen
(gibt ja noch andere 3 BuchtstabenBanken oder frühere staatliche... Service + technische Probs )

Nicht alle. Ich hab gehandelt! Ich habe inzwischen kein Verwaltungskonto mehr bei der DKB - Gott sei Dank. Jetzt muss ich nur noch den Schluss-Kontoauszügen nachlaufen. Die scheint man auch nicht mehr freiwillig zu bekommen. Und privat ist mein Konto seit Herbst auf 0,00 und ohne Buchungen (außer natürlich den 0,00-Abschlüssen). Auflösen werde ich es noch nicht, weil ich neugierig bin, wie es da weiter geht

Zunächst einmal habe ich das Forum wiedergefunden, indem das mit der Generierung der chipTAN-USB-Daten steht, es ging um die Software ALF-BanCo:
https://www.alf-banco.de/forum/viewtopic.php?t=12787


Eine Freigabe per App finde ich zwar nicht gut, würde ich aber hinnehmen wenn

• Die App sonst in keinster Weise auf meine Daten/Konten zugreifen kann (also App starten, da steht nur "Warte auf Anfrage..." oder so, wenn ich z.B. eine Überweisung in Hibiscus übertrage, zeigt es die dann an und ich drücke auf freigeben, danach steht da wieder nichts mehr)
  
• Die App ist offiziell als APK verfügbar ohne Play Store
  
• Die App funktioniert auch ohne Rumgebastel auf Geräten mit freigeschaltetem Root-Zugang
  

Soweit ich weiß erfüllt die DKB-App keines meiner Kriterien


Ich habe schon mal nach Alternativen gesucht, leider nichts gefunden. Meine Anforderungen (bei regelmäßigem Gehaltseingang) sind:

• Kontoführung inkl. "EC-Karte" maximal 1€/Monat
  
• Keine Buchungsgebühr
  
• Kostenloses Geldabheben weltweit (Anzahl kann begrenzt sein)
  
• Kostenloses Depot
  
• Kostenlose Debitkarte
  
• chipTAN-USB oder App wie oben dargestellt
  

Ich bin für Vorschläge offen.

FinTS-Unterstützung egal?
Befrag vielleicht auch mal Ihmchen.

chipTAN-USB hatte für mich impliziert das FinTS unterstützt wird. Leider sind die Filter nur sehr grob und funktionieren offenbar auch nicht immer richtig ("Unentgeltliche Bargeldauszahlung an Geldautomaten im Ausland" gesetzt, bekomme trotzdem sehr viele Anbieter bei denen das kostet).

sind wir bei sie wünschen wir spielen?
und dies auch noch am besten kostenlos von a-z
irgendwie/-wo müssen alle Branchen was verdienen
warum bekommst du Gehalt? deinem Chef würde es eher zusagen, wenn du kostenlos arbeitest
(+ somit on top keine Verwaltung, Betriebsprüfung, keine Krankentage, Urlaubsansprüche usw.)

auf Basis von iOS macht sich diesbzgl. niemand Gedanken - dort wird es als Sicherheit verkauft
im Zusammenhang mit Sicherheit, ist dies auch nur ohne root gegeben. (siehe erneut Haftung / Bank)

Die Freigabe-Funktion ist von der gleichen Bank, also was spricht dass dort die Umsätze drin sind?
wenn es um angebliche Haftung geht nochmals der Hinweis auf Forensuche


dann solltest die vorhandene Energie nehmen und in eine bessere Suche investieren
(die Diskussion hat also nur den Zweck, alles so zu belassen für kleines/schmales Geld)

//edit: Die Deutsche Kreditbank will dank einer Kooperation mit OpenAI eine Vorreiterstellung beim KI-Banking einnehmen.
https://www.heise.de/news/KI-B…73074.html

Ich bin mir recht sicher, dass Dir nicht geholfen werden kann.
Mit Deiner Forderung chipTAN-usb + DKB wirst Du keinen Erfolg haben.
Mit Deiner Forderung bzgl. Apps wirst Du keinen Erfolg haben - schon allein aus Sicherheitsgründen. Es gibt keine FreigabeApp die diese Forderungen auch nur in Teilbereichen erfüllt.
Und die vielen & Verknüpfungen bei den Forderungen an Bank & Konto ergeben auch eine Schnittmenge von NULL.