DUO + HBCI (ein Klärungsversuch) - DATEV-Community

alterSchwede · ‎29.05.2024

Hallo,

nachdem in letzter Zeit in mehreren Threads immer wieder HBCI-Probleme thematisiert wurden, hier mal ein Blick auf die HBCI-Thematik:

HBCI steht für Homebanking Computer Interface.

HBCI ist somit eine standardisierte Banking-Schnittstelle.

Banken betreiben HBCI-Server, damit Kunden mit HBCI-fähigen Softwarelösungen ihre Bankgeschäfte komfortabel abwickeln können.

Voraussetzung für die Nutzung eines HBCI-Zuganges ist, dass der jeweilige HBCI-Nutzer einen Zugang zum HBCI-Server der Bank erhält.

Dieser stets immer gleiche Prozess zeigt, dass bei der Einrichtung eines angeblichen HBCI-Zuganges in DUO keine wirkliche Verbindung zu einem HBCI-Server einer Bank aufgebaut wird. - (Persönlich kenne ich auch nach jahrelanger Tätigkeit in diesem Bereich keinen Fall, bei dem mittels DUO eine Verbindung zu einem HBCI-Server aufgebaut wurde / wird.) Häufig sind für die Mandanten nicht mal HBCI-Zugänge bei der Bank eingerichtet.

Vielmehr wird bei angeblicher Anlage eines HBCI-Zuganges seitens DUO eine Verbindung über die sog FinAPI an die jeweilige PSD2-Schnittstelle einer Bank hergestellt.

Das führt gegenüber der echten HBCI-Nutzung zu eingeschränkten Nutzungsmöglichkeiten im SEPA-Zahlungsverkehr (es werden keine Protokolle (Übermittlungsprotokoll + Ausführungsprotokoll) erstellt, über die der Status einer Zahlung nachvollzogen werden kann + Sammelüberweisungen sind oft nur eingeschränkt möglich + nicht immer können zwingend benötigte Purpose-Codes (z.B. Markierung einer Überweisung als Gehaltszahlung) genutzt werden, eingeschränkte Betragslimite, ...)

Alternativ kann mit DUO stattdessen ein sog. EBICS-Zugang (www.ebics.de) genutzt werden.

In diesem Fall würde seitens DUO tatsächlich - mit allen Vorteilen - eine direkte Verbindung zum EBICS-Server der entsprechenden Bank hergestellt werden.

VG

Sven

vogtsburger · ‎29.05.2024

wird HBCI eigentlich auf breiter (Banken-)Front abgekündigt ?

... jedenfalls stelle ich fest, dass immer mehr Banken (nur noch) mit speziellen (meist bankenspezifischen) Apps arbeiten wollen oder können. Das nervt (mich) extrem.

... und auch beim Onlinebanking mit 'normaler' Banking-Software muss man immer wieder mal Aufträge mit bestimmten Apps explizit freigeben und TANs mit unterschiedlichen Verfahren und Geräten generieren.

Mit HBCI-Karte fand ich das Online-Banking wesentlich komfortabler und 'barrierefreier'

Viele Grüße, M. Vogtsburger
... als Datev-Anwender bleibt man fit, wg. der täglichen Klimmzüge, Saltos, Hindernisläufe, Wiederholungen, Workouts ... ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... bei Apple-Software interagiert man mit Gesten, bei Datev wie gestern und vorgestern ... ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... água mole em pedra dura, tanto bate até que fura ... ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... mein Motto: "hast Du ASCII in den Taschen, hast Du immer was zu naschen" ... ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... ich hatte viel weniger IT-Probleme, als es noch keine PCs, kein "WINDOWS" und kein "DATEV" gab ... ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
"Wenn sie einen ssıǝɥɔs Prozess digitalisieren, dann haben sie einen ssıǝɥɔs digitalen Prozess" (Thorsten Dirks) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
" ... inkognito ergo sum ... " ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
"feine Pfote, derbe Patsche, fiddelt auf der selben Bratsche" (Heinrich Heine, 1797–1856) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... hinter so manchem Datev-Programm-(Fehl-)Verhalten steckt eine Logik. Sie versteckt sich bloß sehr gut ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... wir Windows-Anwender können alle bis 11 zählen: 1.0/2.0/3.0/95/98/ME/2000/XP/Vista/7/8/10/11 ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... "neue Kästchen braucht das Land !" (frei nach einem Songtext) ... (wg. mehrerer Dezimal-Limits in der Datev-Software) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... meine persönliche GuV (bzgl. Datev-Nutzung): deutliche Steigerungen bei Frustgewinn und Lustverlust ... ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... immer auf der Suche nach dem Sinn des Lesens ... und Schreibens ... ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... "du sollst nicht begehren deines Nächsten Fremdsoftware"(10. Gebot der DATEV) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... "allwissend bin ich (wirklich) nicht, doch viel ist mir (dennoch) bewusst"(frei nach Goethes Faust) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... "Die Botschaft(er/en) der Datev hör' ich wohl, allein mir fehlt der Glaube"(frei nach J.W.v.Goethe) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... Vorschläge für einen neuen Datev-Slogan: "man lernt nie aus" ODER "man lernt nie aus Fehlern" ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... "außen hui ... innen pfui ... die GUI ??" ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... den Begriff "Verböserung" gibt es nur im Steuerrecht, den 'Tatbestand' der "Verböserung" gibt es aber auch in der IT ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
"And so, my fellow Genossen: ask not what your DATEV can do for you — ask what you can do for your DATEV" (frei nach JFK) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
Warnhinweis für Allergiker: Spoiler in meinem Beitrag können Spuren von Ironie, Witz oder Unwitz enthalten 😉 ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
"Über sieben Krücken musst Du geh'n, sieben dunkle Jahre übersteh'n ... " (frei nach einem Songtext) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
(... ja sind wir denn hier bei den WaitWatchern ? .. warten und dem Gras beim Wachsen zusehen ? ..) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
(..♬.. das bisschen Datev macht sich von allein ..♫.. das bisschen Datev kann so schlimm nicht sein ..♬..) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
(... Datev-Software muss einmalig sein, wird also evtl. nur einmalig getestet ☺...) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
(... das Motto "gut zitiert ist mindestens halb geschrieben" wird hier und anderswo geliebt ...) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
(... neuer Urlaubs-Trend: Schiffsreise mit Barkasse nach LuG.ANO ...) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
(... nein, ich bin nicht im KUG-LuGs-Klan ...) ☀ ☁ ☂ ☃ ☄
Viele Grüße, M. Vogtsburger
... "Wer bin ich und wenn ja, wie viele (... Gruppen in der BRV) ? " ...☂...
"Wer bin ich und wenn ja, wie viele (... Gruppen in der BRV) ? " ...☂...
Viele Grüße, M. Vogtsburger
... "alles so schön bunt hier !" ... auf dem richtigen Gerät ... ☀ ☁ ☂ ☃ ☄

Viele Grüße, M. Vogtsburger
... Motto: "Immer positiv denken und negativ bleiben !" ... bei jedem Wetter ☀ ☁ ☂ ☃ ☄ ....(betr. CORONA)

Viele Grüße, M. Vogtsburger
... kein Mitglied des KUG-LuGs-KLANs, sondern eher von REWE & Co ... Bits & Bikes bei jedem Wetter ☀ ☁ ☂ ☃ ☄

... auf der Suche nach dem Sinn des Lesens, bei jedem Wetter ☀ ☁ ☂ ☃ ☄

Hinweis: dieser Beitrag kann Spuren von Ironie enthalten, bei jedem Wetter ☀ ☁ ☂ ☃ ☄

Viele Grüße, M. Vogtsburger
☀ ☁ ☂ ☃ ☄ ... alle Wetter, die Frisur hält, trotz Corona !
"Ein Teil dieser Antworten würde die Bevölkerung verunsichern"

alterSchwede · ‎29.05.2024

Hallo @vogtsburger

wird HBCI eigentlich auf breiter (Banken-)Front abgekündigt ?
... jedenfalls stelle ich fest, dass immer mehr Banken (nur noch) mit speziellen (meist bankenspezifischen) Apps arbeiten wollen oder können.

einzelne Häuser tauschen die digitale HBCI-Signatur (Schlüsseldatei auf HBCI-Chipkarte oder alternativem Speichermedium) gegen ein TAN-Verfahren (meist photoTAN-Verfahren) aus. Der Hintergrund hat sich mir bisher noch nicht erschlossen, denn auch aus meiner Sicht ist das Verfahren mit Schlüsseldatei deutlich besser nutzbar.

... und auch beim Onlinebanking mit 'normaler' Banking-Software muss man immer wieder mal Aufträge mit bestimmten Apps explizit freigeben und TANs mit unterschiedlichen Verfahren und Geräten generieren.

Für die Freigabe z.B. eines Zahlungsauftrages ist zwingend die Bestätigung über einen 2. Faktor vorgeschrieben. Dieser 2. Faktor ist - neben dem Kennwort - derzeit meist eine generierte TAN.

Mit HBCI-Karte fand ich das Online-Banking wesentlich komfortabler und 'barrierefreier'

Stimme uneingeschränkt zu. 🙂

Glücklicherweise kann ich mit meinen Softwarelösungen und "meinen" Banken mittels Schlüsseldatei arbeiten.

Die Schlüsseldatei habe ich allerdings nicht auf eine HBCI-Chipkarte kopiert (um keinen Kartenleser nutzen zu müssen), sondern auf einen anderen Datenträger.

VG

Sven

theo · ‎29.05.2024

@alterSchwede schrieb:

Für die Freigabe z.B. eines Zahlungsauftrages ist zwingend die Bestätigung über einen 2. Faktor vorgeschrieben. Dieser 2. Faktor ist - neben dem Kennwort - derzeit meist eine generierte TAN.

Meine Bank loggt mich ein (derzeit Fingerabdruck) u. lässt mich dann munter Überweisungen ausführen. Ist der zweite Faktor gegeben?

in dubio pro theo

alterSchwede · ‎29.05.2024

Meine Bank loggt mich ein (derzeit Fingerabdruck) u. lässt mich dann munter Überweisungen ausführen. Ist der zweite Faktor gegeben?

DAS würde ich mir ja gerne mal im Detail ansehen. 🙂

Gerne mal eine PM senden, um welche Bank es geht.

VG

Sven

theo · ‎29.05.2024

@alterSchwede schrieb:
DAS würde ich mir ja gerne mal im Detail ansehen.
Gerne mal eine PM senden, um welche Bank es geht.

DAS muss ich mir nochmal ganz genau überlegen. Ich möchte keine schlafenden Hunde lostreten.

in dubio pro theo

metalposaunist · ‎31.05.2024

@alterSchwede schrieb:
In diesem Fall würde seitens DUO tatsächlich - mit allen Vorteilen - eine direkte Verbindung zum EBICS-Server der entsprechenden Bank hergestellt werden.

Denke aber an die ABM SmartVerify. Damit man flexibel und mobil bleibt, ist der Einsatz eines SmartLogins an der Stelle zu empfehlen, wenn man nicht noch ein zusätzliches on-premises Programm haben möchte, dass leider nicht im Ansatz so schlau wie pushTAN ist.

Aber an Zuverlässigkeit gewinnt man. Auch dran denken, dass nicht alle (vor allem) Neobanken EBICS bereitstellen und man daher oftmals eher an klassische Banken (Commerzbank, Sparkasse, VR Bank, deutsche Bank) gebunden ist. Den Spagat schafft meiner Meinung nach Qonto aktuell sehr gut, die auch RZ-Bankinfo bereitstellen.

Wer sein Business nicht ganz einem Berater in die Hände geben möchte, kann auch Banken seiner ERP/CRP Lösung nutzen, so wie das lexOffice anbietet: lexoffice Geschäftskonto online eröffnen & IBAN sofort erhalten

Hätte sich DATEV zur PSD2 Einführung durch die EU als Bank akkreditieren lassen, hätten wir ggf. all diese Probleme mit HBCI/finAPI in der Form nicht. Es gab seinerzeit aber Gründe, das als eG wohl nicht zu tun.

#EmpoweringPeopleInTechnology – Daniel Bohle
www.metalposaunist.de

rsichmann · ‎06.06.2024

@theo schrieb:

@alterSchwede schrieb:
Für die Freigabe z.B. eines Zahlungsauftrages ist zwingend die Bestätigung über einen 2. Faktor vorgeschrieben. Dieser 2. Faktor ist - neben dem Kennwort - derzeit meist eine generierte TAN.

Meine Bank loggt mich ein (derzeit Fingerabdruck) u. lässt mich dann munter Überweisungen ausführen. Ist der zweite Faktor gegeben?

Der zweite Faktor muss nicht immer zwingend gefordert werden - bei kleinen Beträgen darf die Bank unter bestimmten Umständen darauf verzichten und trägt das erhöhte Risiko.
Bei der "Fingerabdruck-Freigabe" könnte man meinen, die Bank könne diesen prüfen. Technisch ersetzt der Fingerabdruck in der Regel nur ein Passwort, dass eine App autorisiert. Diese verlässt sich auf die biometrische Absicherung des Mobilgerätes und nutzt dabei cryptotechnische Schlüssel (idealerweise der Hardware) zur Legitimation.
Bei dieser Art "TAN-Erzeugung" ist der zweite Faktor also "Besitz", in diesem Fall des Schlüssels in der App/der Hardware, der erste ist das "Wissen" um die Zugangsdaten.
Gruß

Raimund

PS: echtes "HBCI" mit einem Signaturverfahren konnte die DATEV meines Wissens noch nie und die notorisch falsche Bezeichnung sorgt bei Banken, die HBCI anbieten, regelmäßig für Freischaltungen, die in DUO nicht nutzbar sind.

theo · ‎06.06.2024

@rsichmann schrieb:
Der zweite Faktor muss nicht immer zwingend gefordert werden - bei kleinen Beträgen darf die Bank unter bestimmten Umständen darauf verzichten und trägt das erhöhte Risiko. [...] "Fingerabdruck-Freigabe" [...] Bei dieser Art "TAN-Erzeugung" ist der zweite Faktor also "Besitz", in diesem Fall des Schlüssels in der App/der Hardware, der erste ist das "Wissen" um die Zugangsdaten.

Der zweite Faktor auf dem gleichen Gerät mit dem gleichem Fingerabdruck, so wie es deutsche Banken machen hat mich schon immer gewundert. Man hat bloß 2 Apps statt einer.

Anekdote: Ich nutze seit ca. 2 Jahren ausschließlich eine litauische IBAN. Die hat 2 Stellen weniger als eine deutsche u. die BIC hat 3 Stellen weniger. Das führt regelmäßig zu Software-Problemen in Deutschland. Ich konnte aber bisher, wenn auch nach einigen Kämpfen, alle Zahlungen tätigen/erhalten.

in dubio pro theo