Authentifizierung bei Commerzbank ändern

[phi]

Hallo,

ich betreibe AB (8.4.2.0. Profi) unter W10 (W10Pro64b 22H2) mit u.a. einem Commerzbank-Konto und dieses per HBCI-Karte in einem Reiner SCT.

Hierbei habe ich das in verschiedenen Forenbeiträgen beschriebene Problem, dass der Kartenleser nicht wiedererkannt wird, wenn der PC aus dem Ruhezustand aufgeweckt wird und beim Leser dann einmal hart die USB-Verbindung getrennt werden muss (oder ein kompletter Reboot), bevor er dann (meistens) wieder nutzbar ist. Ich habe auch alle Tips¹ ausprobiert, die ich finden konnte, die Energieeinstellungen der USB-Hosts in der Geräteverwaltung ausprobiert, selektives USB-Energiesparen deaktiviert, alle verfügbare Firmware und Treiber aktualisiert, Dienste neugestartet, und was nicht noch alles. Kein Erfolg. Dem Vernehmen nach ist das wohl auch eher ein Reiner-Problem als ein AB-Problem, aber es nervt genug, um den ***-Leser fürs Onlinebanking in die Ecke zu schmeißen und nur noch für die (seltenen) nPA-Anwendungen zu nutzen, das hat bis jetzt immer noch funktioniert.

ich würde also gerne in AB den zweiten Faktor für den Commerzbank-Zugang von Chipkarte auf App umstellen (habe beide installiert, sowohl die Coba-Banking-App als auch die PhotoTAN-App). Im Coba-Onlinebanking ist photoTAN ebenfalls eingestellt, aber das bezieht sich vermutlich auf Login und Banking per Browser, nicht Drittsoftware wie AB?

Und wenn ich nun in AB auf die Verwaltung des Kontos gehe, ist dort nur "Chipkarte mit RDH-5" vorhanden. Das ist vermutlich das, was ich umstellen muss? Wenn ich aber dort einen Zugang hinzufügen will, kann ich im Folgedialog nur unter den bereits eingerichteten Zugängen anderer Konten auswählen. "Neues Medium" ist nicht auswählbar.

Ist das überhaupt die richtige Vorgehensweise? Wenn nicht, was muss ich tun, um den zweiten Faktor bei der Coba für AB von Chipkarte auf photoTAN-App zu wechseln?

Grüße und Danke
Philipp

(diverse Screenshots anbei)

¹ u.a.:
https://forum.reiner-sct.com/index.php? ... m-erkannt/
viewtopic.php?t=8877

[ALF]

Hallo,

das HBCI-PIN/TAN-Verfahren wird von der Commerzbank leider nicht unterstützt.

D.h. das Foto-TAN-Verfahren oder andere TAN-Verfahren werden nur über die Homepage, aber nicht über eine Homebanking-Software unterstützt.

Für den Zugang über eine Homebanking-Software unterstützt die Commerzbank das Chipkarten- oder Datei-Verfahren über HBCI.

Am einfachsten und komfortabelsten verwalten Sie Ihr Commerzbank-Konto mit einer Sicherheitsdatei.

Sie können bei der Commerzbank nachfragen, ob Sie statt oder zusätzlich zur Chipkarte auch noch mit einer Sicherheits-Datei arbeiten können.

[phi]

Hm, das ist ja ärgerlich. Jedenfalls danke für das Feedback.

Beste Grüße
Philipp

[phi]

Hallo,

das HBCI-PIN/TAN-Verfahren wird von der Commerzbank leider nicht unterstützt.
D.h. das Foto-TAN-Verfahren oder andere TAN-Verfahren werden nur über die Homepage, aber nicht über eine Homebanking-Software unterstützt.
Für den Zugang über eine Homebanking-Software unterstützt die Commerzbank das Chipkarten- oder Datei-Verfahren über HBCI.
Am einfachsten und komfortabelsten verwalten Sie Ihr Commerzbank-Konto mit einer Sicherheitsdatei.
Sie können bei der Commerzbank nachfragen, ob Sie statt oder zusätzlich zur Chipkarte auch noch mit einer Sicherheits-Datei arbeiten können.

Das hat mir keine Ruhe gelassen und ich habe noch einmal direkt dort gefragt, welche Möglichkeiten es gibt. Hier bekam ich zunächst die Antwort, dass die Authentifizierung für eine HBCI-Drittsoftware nur mit entweder Chipkarte oder Schlüsseldatei möglich sei und der jeweils nicht genutzte Schlüssel gesperrt werden müsse. Dort habe ich noch einmal nachgehakt und explizit gefragt, ob der zweite Faktor für eine HBCI-fähige Software nicht auch über das photoTAN-Verfahren/die App realisiert werden könne, und die Antwort lässt zumindest hoffen:

Wir bieten Ihnen drei verschiedene Möglichkeiten an, das Onlinebanking zu nutzen.

1. PIN/TAN über commerzbank.de
2. HBCI mit einer Software (Chip / USB) (zusätzliche Freischaltung bei uns nötig)
3. HBCI PIN/TAN mit einer Software (weitere Freischaltung bei uns nötig)

zu HBCI (Chip /USB): Wenn Sie einen neuen HBCI-Schlüssel generieren möchten, ist es erforderlich, dass Ihr alter Schlüssel zuvor gesperrt wird. Den Schlüssel können Sie mit Ihrer Software in eine Datei (z.B: USB-Stick) oder in Ihrer HBCI-Chipkarte generieren. Die PIN vergeben Sie selber.

zu HBCI PIN/TAN: Unabhängig davon können Sie auch das HBCI PIN/TAN Verfahren nutzen. Hier benötigen Sie Ihre PIN für das Onlinebanking, Ihre photoTAN und eine geeignete Software. Die Anmeldung hierzu nehmen wir telefonisch entgegen (Authentifizierung mittels Teilnehmernummer und PIN nötig).

So - und das verstehe ich folgendermaßen:

1. ist das Browser-Onlinebanking. Alles auf deren Website, Freigaben von Transaktionen mit photoTAN-App. Kein Alf-Banco beteiligt.
2. ist das, was ich im Moment mache, sprich externe Software (hier AB) mit HBCI-Chipkarte in USB-Kartenleser. Kann zwar durch Schlüsseldatei ersetzt werden, aber kein Parallelbetrieb von Schlüsseldatei und Chipkarte, das ungenutzte muss explizit bankseitig gesperrt werden
   
3. Klingt wie das, wo ich hin möchte: externe Software, aber zweiter Faktor über photoTAN - und kann parallel zu (2) genutzt werden.

Hab' ich das richtig verstanden? Ich würde mich also wie gefordert telefonisch anmelden und wenn das Konto dafür freigeschaltet ist, müsste ich als Authentifizierungsmethode in der Software auch photoTAN statt nur Chipkarte angeboten kriegen. Frage also: Kann AB das?

Bitte um Aufklärung und vielen Dank
Philipp

[ALF]

Hallo,

seit Mitte März unterstützt die Commerzbank jetzt auch das photoTAN Verfahren per HBCI/FinTS.

Wir haben hierfür Anpassungen vorgenommen.

Wir schicken Ihnen diese gern als Vorab-Version.
Melden Sie sich bitte über unser Kontakt-Formular.
Bitte geben Sie dabei einen kurzen Verweis auf diesen Forums-Beitrag an.

Vielen Dank.

[HansUwe]

Hallo @Alf, @phi
jetzt bin ich verwirrt... Ich habe ein Konto bei der ComDirect (Commerzbank-Tochter, seit 2022?!? komplett integriert)
Da nutze ich seit "Monaten" (gefühlt mindestens 1 Jahr - kann das leider nicht nachvollziehen) HBCI/FinTS PIN/TAN über AlfBanco via fints.comdirect.de/fints
Dafür musste ich mir für den 2. Faktor die "photoTan APP" auf mein Handy installieren, um dann via AB einen Photo-Code zu scannen und die Tan dann vom Handy abzutippen...
Das ist also nicht neu! Oder betrifft das nur die Commerzbank-Konten?

Auf das Handy würde ich gerne verzichten - hab ja schließlich auch einen Reinert-SCT Kartenleser mit USB-Anschluss.

@phi
Was für eine Karte würde ich da benötigen? Geht das über die "normale" Giro-Konto-Karte oder muss ich da ein spezielle Karte neu bestellen?
Wie läuft das mit dem 2. Faktor? Geht das über den Kartenleser oder muss ich dann immer noch scannen? (Mein Kartenleser hat keinen Scanner - nur Tastatur)

p.s.: habe auch ein Konto bei der Sparkasse - da erfolgt die geniereung der Tans wie auch der Austausch mit AB direkt über die Bestätigung auf dem Kartenleser!

Danke für ein Feedback

[ALF]

Hallo,

die comdirect unterstützt schon seit Jahren (nur) das PIN/TAN-Verfahren.

Die Commerzbank unterstützte bisher immer nur Chipkarte oder Sicherheitsdatei.

Eventuell werden jetzt beide Systeme zusammengelegt und deshalb kann die Commerzbank jetzt auch PIN/TAN per HBCI/FinTS.

[HansUwe]

Danke, Alf.
Formutlich ist das ein "evolutionärer Prozess".
Wenn ich von @phi weiß, wie das letztlich funktioniert mit Kartenleser werde ich mich mal an die Bank wenden... mal sehen was da schon so geht.
Ich bin kein Freund dieser Handy-TAN-Apps... mal von Sicherheit ganz abgesehen

[phi]

Ja, das kann ich bestätigen. Die comdirect "gehörte und gehört" organisatorisch und bankenstrukurell (und seit kurzem eben auch finanziell) 100% zur Commerzbank. (Es gab den internen Spruch "Die comdirect ist vier Commerzbank-Filialen.", weil wegen der gewaltigen Anzahl Konten 4 BLZen aus dem Coba-Nummernkreis in Benutzung waren - jedenfalls damals, habe in den Nullern eine Weile in der codi-IT gearbeitet, inzwischen sind es wohl acht(!) BLZen.).

Aber technisch waren die immer eigenständig, und deshalb sind die Authentifizierungen und das ganze Drumrum erstmal grundsätzlich andere als bei der Coba. Codi war immer ein bisschen das Versuchslabor für technische Neuerungen-Rollouts der Konzernmutter. Dass die Systeme erst jetzt langsam zusammengehen, ist in seiner Zeitskala nicht besonders überraschend, und die Onlinebankings sind ja auch noch getrennt (auch wenn sie sich optisch ähnlicher werden), abgesehen davon, dass inzwischen im WWW-Banking die eigenen Konten kreuz und quer verlink- und einsehbar sind. Und nun werden wohl so langsam auch die technischen Portfolios nach und nach einander angeglichen.

vg
Philipp

[phi]

Hallo @Alf, @phi
jetzt bin ich verwirrt... Ich habe ein Konto bei der ComDirect (Commerzbank-Tochter, seit 2022?!? komplett integriert)
Da nutze ich seit "Monaten" (gefühlt mindestens 1 Jahr - kann das leider nicht nachvollziehen) HBCI/FinTS PIN/TAN über AlfBanco via fints.comdirect.de/fints Dafür musste ich mir für den 2. Faktor die "photoTan APP" auf mein Handy installieren, um dann via AB einen Photo-Code zu scannen und die Tan dann vom Handy abzutippen... Das ist also nicht neu! Oder betrifft das nur die Commerzbank-Konten?

Siehe dazu meinen vorigen Beitrag. "100%integriert" trifft nur die Besitzverhältnisse …

@phi
Was für eine Karte würde ich da benötigen? Geht das über die "normale" Giro-Konto-Karte oder muss ich da ein spezielle Karte neu bestellen?
Wie läuft das mit dem 2. Faktor? Geht das über den Kartenleser oder muss ich dann immer noch scannen? (Mein Kartenleser hat keinen Scanner - nur Tastatur)

Dafür brauchst Du ganz explizit eine eigene Chipkarte ("Commerzbank HBCI-Karte", siehe angehängte Bilder), auf der der kryptographische Schlüssel für die Codierung der Übertragung gespeichert ist, quasi die auf der Karte gespeicherte Version einer Schlüsseldatei. Genau betrachtet ist das eigentlich kein 2. Faktor, sondern ein kryptographisches Verfahren an sich für die Verschlüsselung der Übertragung. Daher kommt dazu auch ein eigener unabhängiger PIN-Brief und die zwingende Erfordernis, diese initiale PIN (Transport-PIN) durch eine selbstgewählte zu ersetzen, mit der dann der Zugriff auf den gespeicherten Schlüssel über die Kartenleser-Tastatur freigegeben wird.

Ich weiß allerdings nicht, ob die comdirect das überhaupt anbietet.

VG
Philipp

PXL_20230414_141831348.jpg (33.97 KiB) 2527 mal betrachtet

PXL_20230414_141838988.jpg (26.16 KiB) 2527 mal betrachtet

[HansUwe]

Danke @phi.
Offiziell wird das von der Codi nicht angeboten.
Aber ich kann ja mal fragen... hoffe nur ich erwisch einen, der sich damit auskennt

Weist du, ob das auch mit anderen "beschreibbaren" Karten geht? Ich habe da eine von der Sparkasse und eine von der DB... weiß aber auch nicht, ob die beschreibbar sind.
Würde ja irgend wann gerne EINE Karte für alle Konten verwenden.... (aktuell habe ich schon 5 APPS gesammelt... da wirste bekloppt)

Genau betrachtet ist das eigentlich kein 2. Faktor, sondern ein kryptographisches Verfahren an sich für die Verschlüsselung der Übertragung.

Wieso sollte der Kartenleser/ die Karte kein zweiter Faktor sein? Ist doch eine unabhängige Komponente

[phi]

Danke @phi.
Offiziell wird das von der Codi nicht angeboten.
Aber ich kann ja mal fragen... hoffe nur ich erwisch einen, der sich damit auskennt

Weist du, ob das auch mit anderen "beschreibbaren" Karten geht? Ich habe da eine von der Sparkasse und eine von der DB... weiß aber auch nicht, ob die beschreibbar sind.
Würde ja irgend wann gerne EINE Karte für alle Konten verwenden.... (aktuell habe ich schon 5 APPS gesammelt... da wirste bekloppt)

Genau betrachtet ist das eigentlich kein 2. Faktor, sondern ein kryptographisches Verfahren an sich für die Verschlüsselung der Übertragung.

Wieso sollte der Kartenleser/ die Karte kein zweiter Faktor sein? Ist doch eine unabhängige Komponente

Weiß ich leider nicht viel dazu, ich hatte damals™ (lange vor 2-Faktor usw., >>10-15 Jahre) mal ein bisschen gelesen, mit genau dem Szenario im Hinterkopf, dass sich bei verschiedenen Banken verschiedene Karten ansammeln könnten, und ob die konsolidiert werden können. Die ganz dunkle Erinnerung sagt, dass auf der Coba-Karte "Speicherplatz" für bis zu 5 Schlüssel bzw. Zugangszertifikate ist und dass es einigen manuellen Aufwand bedeutet hätte. Rein technisch würde es wohl gehen und es existier(t)en wohl auch Blankokarten (das sind ja nichts weiter als PIN-gesicherte Speicherkarten), aber da kann dann auch jedes Geldinstitut sicherlich auch sein eigenes Süppchen kochen und das ermöglichen oder verhindern. Habe es aber nicht weiterverfolgt und keine Kanntnis über den aktuellen Stand der Dinge.

vg
Philipp

[phi]

Wieso sollte der Kartenleser/ die Karte kein zweiter Faktor sein? Ist doch eine unabhängige Komponente

Ja, so nennen könnte man es wohl, aber da bin ich auch nicht tief in der Begriffsthematik.

Technisch besteht meines Wissens der Unterschied zB darin, dass das besondere der Chipkarte darin liegt, dass dort der Schlüssel für die Codierung der Übertragung der Transaktionsdaten zwischen der privaten Software und den Banksystemen gespeichert ist und im Bedarfsfall nach PIN-Eingabe dort abgerufen und verwendet wird. Ich weiß nicht mal, ob das eine symmetrische oder asymmetrische Verschlüsselung ist, aber bei dem Aufwand, der um die Sicherung getrieben wird, fühlt es sich eher nach symmetrisch an. Der Vorteil von asymmetrisch liegt ja gerade darin, dass so ein Aufwand entfällt.

Aber, ja, gemessen an der Definition von 2FA (etwas, was ich 1. weiß oder 2. bin oder 3. besitze) wäre eine HBCI-Karte tatsächlich ein zweiter Faktor gemäß 3. Das ist aber eher "Zufall" - sie kann mehr und ist ursprünglich erdacht und ausgelegt für was anderes.

vg
Philipp

[dagobert#1]

Weist du, ob das auch mit anderen "beschreibbaren" Karten geht? Ich habe da eine von der Sparkasse und eine von der DB... weiß aber auch nicht, ob die beschreibbar sind.

Im Allgemeinen sind HBCI-Karten die man fertig von der Bank bekommt nicht "wiederverwendbar", d.h. nicht beschreibbar. Meistens verwenden solche Karten auch keine Asymmetrischen Verfahren wie RSA, d.h. deren CPU und Betriebssystem ist gar nicht in der Lage RSA-Operationen durchzuführen, beschreibbare hingegen unterstützen RSA.

Bei anderen "beschreibbaren" Karten die man leer kauft gibt es ja mehrere Slots auf der Karte, da sollte es kein Problem sein unterschiedliche Baken draufzupacken, die Karte und die Bank müssen allerdings aus der Liste der möglichen Authentisierungsverfahren mindestens ein Verfahren beide unterstützen.