Hallo liebe Kollegen,

ein Kunde von mir nutzt SFIRM 32. Wir wollen jetzt unsere Volksbankkonten über einen EBICS-Zugang bei der Rechenzentrale GAD eG einrichten.
Leider ist uns bisher nur eine Teilinitialisierung gelungen. Bei Aufruf des Punktes Benutzer initalisieren sind die Felder Initialisierungskennwort, Neues DFÜ-Kennwort und Kennwort wiederholen alle grau und können nicht ausgewählt werden.
Ich habe es dennoch versucht indem ich den Punkt EU Schlüssel neu initalisieren ausgewählt und Ok geklickt habe. Es wird auch ein INI-Brief erstellt. Leider hat der Benutzer bei der GAD dann nur den Status teilinitialisert und kann nicht freigegeben werden. Da keine Änderung des DFÜ-Kennwortes erfolgte ist das ja auch in Ordnung.

Hat jemand eine Idee warum ich nicht in die Felder komme?

Gruß

Markus

Hallo Markus,

EBICS kennt kein DFÜ-Kennwort mehr, das DFÜ-Kennwort wurde durch eine "DFÜ-Unterschrift" ersetzt. Im Prinzip ist das eine weitere "EU", in diesem Kontext aber dür die Absicherung der Datenübertragung. Aus gleichem Grund gibt es ja auch keine N-Berechtigung mehr, sondern ersatzweise T.
Sfirm blendet daraufhin bei einer Initialisierung der EU über das Verfahren EBICS einfach die Kennwortfelder für das nicht mehr vorhandene DFÜ-Kennwort aus.

Hier geht es weiter:
Extra->EBICS (oder EBICS/FTAM)->EBICS->Schlüssel verwalten (Letztlich sollte sich die Schlüsselverwaltung auch im Finanzstatus finden lassen, da Sfirm weiss das der User nur teilinitialisiert ist (INI i.O., HIA fehlt).
dort:
Authentifikationsschlüssel erzeugen und dann Schlüssel senden [INI Brief für HIA kommt]
Dann noch Bankschlüssel abholen, bei der Kontrolle des Bankschlüssels müsste der Kunde noch eure Hash Werte sehen und mit eurem Schriftstück vergleichen (denke mal der Hash steht jetzt mit auf dem Bankparameterblatt).

Beim zweiten INI-Brief für HIA aus SFirm32 noch auf folgendes achten:
SFirm32 verwendet für die Authentifikation und die Verschlüsselung (X001/E001) diesselben Schlüssel. Der INI-Brief (HIA) aus Sfirm gilt also für beides, der Hash Wert ist also identisch.

Ich würde auch gerne eine Anleitung der BIVG verlinken, aber bisher sind die nur im geschlossenen Bereich verfügbar und ich werde die dann bestimmt nicht auf meine Kappe veröffentlichen

Hallo Markus,

schau mal nach Deinen PNs

Danke erstmal für die Hinweise!

Eine Frage noch: Kann ich bedenkenlos/problemlos die FTAM-Web Diskette der Sparkasse für das EBICS-Verfahren bei uns nutzen? Ich möchte den Benutzern ungern zumuten mit mehreren Unterschriftsdisketten zu arbeiten.

Natürlich. An der EU an sich hat sich nichts geändert. Die einzige Anforderung seitens EBICS ist es, dass der Unterschriftentyp A004 = 1024bit genutzt wird. Ob das bei der bestehenden FTAM bzw. Web Diskette der Fall ist, kann man in Sfirm in den FTAM-Bankparametern bei den einzelnen Benutzern sehen. Dort steht der aktuell genutzt Unterschriftentyp.
Sofern das nicht so ist, würde ich auf A004 wechseln und dann die bestehende Diskette/Datei einfach für EBICS mitbenutzen.

Nun hatte ich es geschafft den Authentifikationsschlüssel zu senden. Leider war der EU-Schlüssel inzwischen nicht mehr freizugeben, da älter als 72 Stunden. Die GAD hat den User komplett zurückgesetzt.

Ich wollte gestern mit dem User zunächst den Authentifikationsschlüssel erneut senden. Unter Extra - EBICS/FTAM/Web - EBICS - Schlüssel verwalten habe ich dann mit Schlüssel senden versucht. Fehlermeldung: "Bankschlüssel nicht vorhanden"

Gut dachte ich versuche ich es mal mit Bankschlüssel abholen. Von wegen Fehlermeldung: "Sie müssen zunächst Schlüssel senden"

Leider kann ich den erstellten Schlüssel auch nicht löschen wer weiß Rat?

Grüße

Markus

Du musst vermutlich den Status des EBICS-Users in Sfirm ändern, da Sfirm nicht wissen kann das die GAD den EU-Schlüssel gelöscht und den User zurückgesetzt
hat.
Schau mal in den EBICS-Bankparametern, wähle dort das Register EBICS-Teilnehmer und dann die Schaltfläche "Status". Meiner Meinung nach sollte dort der Status auf "Initialisieren INI/HIA" gesetzt werden. Den wirklich passenden Status sollte dir BB3 verraten.

Vermutlich steht dort nur "Initialisieren HIA", was bedeutet das der Sendevorgang für die EU (INI) bereits erfolgreich erledigt ist. Das stimmt aber nicht mehr....

Ich würde danach bei null Anfangen, also die EU erzeugen und senden (meinetwegen auch nur senden), dann den Auth-Schlüssel (gleichzeitig Sig-Schlüssel) erzeugen und senden und denn den Bankschlüssel abholen.

Hinweis: Das Abholen des Bankschlüssels macht man i.d.R. nur einmal pro Host/Server. Zur Verifikation des Schlüssels müssen dem abholenden Benutzer die Hash-Werte der Bank vorliegen. Das ist kein Vorgang der pro Benutzer gemacht werden muss.

Es reicht wenn Du hingehst und im Krypt-Verzeichnis die entsprechende Auth-DAtei löschst. Dann solltest Du den Teilnehmer auch neu initialisieren können.