ZusammenfassungSympton
Beim Aufbau der Verbindung zum Bankrechner mit dem HBCI-Modul erscheint die Fehlermeldung
Der HBCI Dialog wurde wegen eines Übertragungsfehlers abgebrochen (10001)
Sparda & Base 64 Encoding
Einige Banken wie zum Beispiel die Sparda verwenden über den Pin/Tan Zugang für die Übertragung das Base 64 Encoding. Dieses muss im Homebanking Administrator für den entsprechenden Kontakt eingeschaltet werden.
Sparkassen, 128 bit Verschlüsselung und die Zertifikate bei PIN/TAN HBCI
Beim PIN/TAN HBCI geht die Übertragung der Daten über eine normale https Verbindung, d.h. über SSL-Verschlüsselung und HTTP. Bei der SSL-Verschlüsselung gibt es zwei wichtige Randbedingungen, die gerade beim HBCI Schwierigkeiten machen können, da leider die Fehlermeldungen der DDBAC nicht immer sehr aussagekräftig sind und sofort auf die richtige Fehlerursache hindeuten:
- 128 bit Verschlüsselung
- Installation des Zertifikats
128 bit Verschlüsselung
Die DDBAC setzt voraus, dass 128 bit Verschlüsselung vorhanden ist, ansonsten wird der Verbindungsaufbau mit dem Server unterbunden. Da die DDBAC auf die normalen Windows-Funktionen zurückgreift, die auch der Internet Explorer benutzt, ist die Verschlüsselungsstärke am einfachsten über den Internet Explorer zu überprüfen: Man starte den Internet Explorer und rufe die Programminformationen auf (Menü "?" - "Info") Dort sollte die Stärke stehen. Wenn es 40 bit sind, dann ist die Installation nicht ausreichend für HBCI. Dies wäre dann eine günstige Gelegenheit, den Internet Explorer (und wahrscheinlich das gesamte System) über http://windowsupdate.microsoft.com auf den neusten Stand zu bringen.
Der Internet Explorer Version 6 sollte bereits automatisch 128 bit Verschlüsselung integriert haben, bei Version 5 gab es einen expliziten Update, der die Verschlüsselung verstärkt, wenn man nicht gleich einen aktuelleren Servicepack installiert. Version 5.5 SP1 sollte (glaube ich) 128 bit haben.
Installation des Server-Zertifikats
Die Server der Sparkasse für das PIN/TAN HBCI verwenden leider manchmal Zertifikate von Ausstellern, die in Windows nicht bekannt sind und denen deshalb auch normalerweise nicht vertraut wird. Die DDBAC überprüft leider nicht auf den Grund der Verbindungsabweisung und gibt leider nur die obige, wenig aussagekräftige Fehlermeldung aus. Da Money die Standard-Windows-SSL-Bibliothek verwendet, kann das Zertifikat aber "händisch" sehr einfach mit Hilfe des Internet Explorers installiert werden.
Dazu benötigt man die URL, über die auf den Bank-Server zugegriffen wird. Dieser steht in den Details des HBCI-Kontakts in den "Homebanking Kontakte" der DDBAC in der Systemsteuerung (die URL beginnt mit https://). Diese URL wird einfach direkt kopiert und im Internet Explorer geöffnet. Es erscheint dann der Sicherheitshinweis "Das Sicherzertifikat wurde von einer Firma ausgestellt, die Sie nicht als vertrauenswürdig eingestuft haben...". Dort klickt man auf Zertifikat anzeigen. Es erscheinen die Details des Zertifikats. Nach einem Klick auf "Zertifikat installieren..." wird der Assistent zur Installation des Zertifikations aufgerufen. Am einfachsten klickt man auf Weiter und lässt Windows des Zertifikatspeicher selbst auswählen. Nachdem das Zertifikat installiert wurde, sollte der Internet Explorer (nach einem Neustart) die URL ohne weitere Warnung öffnen. Das sollte ausreichen, dass nun auch die DDBAC den Kontakt synchronisieren kann.
Hinweis: Die leichtfertige, fälschliche Installation eines Zertifikats kann weitreichende Konsequenzen für die Sicherheit von Windows haben. Deshalb achte man bitte darauf, dass die eingegebene URL des Servers wirklich korrekt ist und installiere am besten ausschließlich das Zertifikat des Webservers und nicht (was auch gehen würde) das Stammzertifikat des Ausstellers des Serverzertifikats (klar?), denn damit würden alle ausgestellten Zertifikate des Ausstellers vertrauenswürdig eingestuft werden. Der Internet Explorer bietet die Möglichkeit zur Einsicht der installierten Zertifikate über Extras-Internetoptionen-Inhalte-Zertifikate...
