HBCI-Kartenleser, Cip-Tan Verfahren

[HRichter]

Hallo,
ich verarbeite meine Bezahlvorgänge und Kontostand abrufen online unter StarMoney mit einem HBCI-Kartenleser, zusätzlich aber auch mit dem optischen Chip-Tan Verfahren online über den Bildschirm.
Das Ganze in einem virtuellen Windows über einen Linux Host.

Bevor ich einen echten Bezahlvorgang tätige, wüsste ich gerne, ob Ihnen für diese Konstellation (nur das Onlinebanking) eventuell Erfahrungen vorliegen.
Ich kann nicht abschätzen, was in / mit meinem Bezahlvorgang abläuft, wenn er angestoßen wurde und die Trutzbox irgendwo eingreift, während die Onlinekommunikation mit dem Bankserver läuft..

Wie ich in einer anderen Anfrage schon mitteilte, befürchte ich da zuerst einmal massive Probleme mit Zertifikaten,
wie ich es schon bei normalen Besuch der Bankseite erlebt habe.

Könnte ich für diesen Fall / diesen virtuellen PC eventuell einen quasi ungeschützten Userzugang über die Trutzbox einrichten, der zwar über die Trutzbox läuft, aber eben keinerlei Einschränkungen hat?

Ich benutze das Windows nur für meinen Mailabruf und für das Onlinebanking.
Auf keinen Fall surfe ich damit.

Vielen Dank

Mit freundlichen Grüßen
HRichter

[comidio support]

Online Banking über einen Browser sollte funktionieren, auch mit dem optischen Chip-Tan Verfahren. Aber über Online Banking mit HBCI-Kartenleser liegen noch keine Erfahrungen vor.

Es gibt drei Möglichkeiten, wie der Kartenleser mit der Bank kommunizieren könnte:

1. Falls der Kartenleser über Port 80/443 direkt mit dem Banken-Server kommuniziert, könnte es zunächst Probleme geben, da dem Kartenleser das TrutzBox Root Zertifikat fehlt.
2. Wenn er über einen anderen Port mit der Bank kommuniziert oder
3. nur mit dem Web-Browser, dann sollte es funktionieren.

Wahrscheinlich müssen Sie im Fall 2 und 3 die Filtereinstellungen im Browser, mit Hilfe des Security-Sliders zurück nehmen, damit Sie sich in die Bank einloggen können.

Im Fall 1. können Sie versuchen die direkte Kommunikation des Kartenlesers mit der Bank unter TrutzBox Filter -> Staus zu finden und dort mit Hilfe des SecuritySliders, durch zurück nehmen der Filter-Funktionen, dem Kartenleser den Zugriff zu ermöglichen.

Wenn das alles nicht funktioniert, bleibt derzeit nur die Möglichkeit, die TrutzBox zu umgehen und diesen PC (inkl. der VM) Netzwerkmässig weiterhin am Internet-Router zu belassen. Dann würde im Fall 1. der Kartenleser direkt auf den Bankserver zugreifen können. Und wie in den Release-Notes unter TrutzBrowse beschrieben (https://comidio.de/release-notes/), haben Sie durch Eintrag eines Proxies im Browser dann trotzdem die Möglichkeit, die TrutzBox im Browser zu nutzen.

Bitte lassen Sie uns Wissen ob es funktioniert.

[HRichter]

Hallo Support,

vielen Dank für die Hilfestellungen bzw. für das Aufzeigen möglicher Lösungswege.

Ich komme allerdings frühestens erst zum Wochende an den PC mit dem Kartenlesegerät.
Eventuell hilft mir ja das Kapitel "4.2.3 Schritt 3: Benutzer Devices an der TrutzBox® anschließen" im Kompendium.
Stichwort mit / ohne Proxy oder auch weiterhin Direktanschluß am Switch und eine Kombination.
Oder ich spiele einen 2. Firefox "Portable" ohne direkte Einbindung in das System auf - nur für den Zweck des Onlinebanking oder ein zusätzlicher Chromium Browser etc..

Falls weitere User Onlinebanking wie bei mir ausgestattet machen und eventuell auch das Thema vor sich haben,
hier ein paar Daten:
Chipkartenleser cyberJack® RFID standard von ReinerSoft, Betriebssystem Windows 7 prof./ 64 Bit als virtueller Gast, Hostbetriebssystem Mint 17.2 KDE / 64 Bit, Virtualisierer Virtualbox 4.28 (ist aber eigentlich unwichtig).
Funktionierte in obiger Konstallation bisher hervorragend.
Ich werde auch den Hersteller um Hilfestellung bitten.

Falls die Produktnennung nicht i.O. ist, bitte streichen.

Auf jeden Fall gibt es eine Rückmeldung, egal was herauskommt.


Mit freundlichen Grüßen
HRichter

[HRichter]

So, hier schon mal eine Teilerfolgsmeldung:
Wichtig:
Meine bisherigen Versuche (s.o.) wurden ausschließlich unter einem Linux Betriebssystem gemacht.
Dort läuft das Verarbeiten von Zertifikaten wohl etwas anders ab als unter Windows.
Aber da kann die Trutzbox nichts dafür.

Das Aufrufen meiner Bankseite einschl. Login und einer aktiv getätigten Umbuchung haben jetzt unter Windows perfekt funktioniert wie vor der Installation der Trutzbox!
Die Authentifizierung habe ich in diesem Fall sogar mit einem optischen ChipTAN Generator gemacht.
Ich konnte den optischen ChipTAN Generator ganz problemlos an die animierte Grafik auf meinen Monitor halten.
Alles war da wo es sein sollte und funktionierte auch so.

Was habe ich gemacht?
Bei der Erstinstallation der Trutzbox wurde ein Zertifikat auf dem Rechner installiert.
Nur eben auf dem Linux-Host-PC.
Und davon hatte mein virtuelles Windows natürlich nichts mitbekommen. Na ja, und ich auch nicht.

Also habe ich das Zertifikat in das virtuelle Windows kopiert und bin genau der Anleitung „https://comidio.de/wiki/index.phptitle= ... f_PC_laden“ gefolgt.
Zusätzlich musste ich beim ersten Aufruf der Bankseite den Security-Slider (Thema Cookies!) weit nach rechts schieben, dann sah alles wie gewohnt aus und reagierte auch so.
Anschließend sollte man den Security-Slider wieder Schritt für Schritt nach links ziehen, um festzustellen, bei welcher Einstellung das Onlinebanking noch funktioniert.
Der Test mit dem HBCI-Kartenleser unter Windows folgt.

Mit freundlichen Grüßen
HRichter

[HRichter]

Hallo,
wie versprochen die Rückmeldung, ob mein HBCI-Kartenleser funktioniert:

Die Kommunikation zwischen Bank und Kartenleser ist völlig unauffällig abgelaufen wie immer
bzw. wie vorher ohne Trutzbox!

Das ist schon mal wieder ein Schritt…. Aber noch nicht der volle Erfolg.

Es gibt noch ein kleines, aber gewichtiges Problem:
StarMoney reagiert bei der Aufnahme der Kommunikation mit der Bank je nach Vorhandensein von Programmupdates mit der Absicht bzw. dem Beginn, ein Update durchzuführen.

Das ist dann aber auch alles was passiert. Es gibt die Fehlermeldung (dem Sinn nach):

„Kommunikation mit dem Online-Update-Server fehlgeschlagen.Es ist ein Fehler beim Aufbau der sicheren Verbindung aufgetreten. Der Zertifikatsaussteller des Serverzertifikates ist ungültig. WinHttpSendRequest fehlgeschlagen mit Fehler 12175 ( Es ist ein Sicherheitsfehler aufgetreten)“

Laut StarMoney Version 9 (die Versionen benötigen unterschiedliche Ports) muß, wenn ein Proxyserver verwendet wird, in diesem der Port „58836“ zusätzlich zu den von StarMoney verwendeten HTTPS Ports (443 für die Onlineupdates / PIN-TAN Sendevorgänge und 3000 - bei HBCI Chipkarte/Diskette) freigeben werden.
Ich habe u.a. versucht das Proxyscript „http://trutzbox/api/proxy/pac oder „trutzbox Port 8081“ einzugeben.
Aber das macht eigentlich keinen Sinn, wenn obiger Port nicht geöffnet ist.
Da bei mir das Thema „HBCI-Kartenleser Kommunikation“ sofort funktionierte, ist der Bereich schon mal erledigt.

Dann habe ich mich auch in die Trutzbox eingeloggt, um über den Menüpunkt "Status" das Startprogramm StarMoney o.ä. zu finden, um die Sicherheitseinstellungen zu verringern.
Das scheiterte aber (siehe Erklärung w. u.).
Ein *.EXE tauchte einfach nicht auf.

Leider sind die Eingabemöglichkeiten in der Internetkonfiguration von StarMoney sehr gering.
Bisher hatte ich keinen Proxyserer eingesetzt.
Ich kann mich aber von meinem virtuellen Windows 7 auf die Trutzbox einloggen.

Die Fehlermeldung lässt für mich den Schluss zu:

StarMoney kann die Verbindung mit dem Proxyserver der Trutzbox aufnehmen,
kommt aber nicht bis zum Internet durch.
Das lässt mich vermuten, dass der Inhalt der Fehlermeldung zuerst einmal zweitrangig ist.
Die Ursache an sich für diese Fehlermeldung kann nur ein geschlossener Port sein,
der aber für die Kommunikation mit dem Updateserver von StarMoney zwingend benötigt wird.

Daraufhin habe ich mich in die Trutzbox eingelogt und mich über das Untermenü System / zu erweiterte Einstellungen / Trutzbox / Shoreline Firewall / Firewall Regeln durchgeklickt.

Frage: Bin ich hier richtig für einzelne Portöffnungen?

Da ich mir aber über die Begrifflichkleiten der Einstellungen im Menüpunkt „Neue Firewallregel erstellen“ nicht im Klaren bin, habe ich erst mal nichts gemacht.
Mir fällt auch gerade ein, das der oben genannte Port „443“ (HBCI ….) doch grundsätzlich von der Trutzbox als Kommunikationsport verwendet wird und deswegen geöffnet ist.
Deswegen funktionierte auch der HBCI-Kartenleser sofort.

Bitte fassen Sie mein Starmoney-Problem nicht als exotisches Problem auf.
Ich bin sicher nicht der Einzige, der dieses Programm oder ähnliche Software verwendet bzw. das Programm über die Trutzbox laufen lassen will / wird.
Diese Probleme bei der Kommunikation kann man sicher verallgemeinern und die Lösungen wären doch prima für eine zukünftige FAQ geeignet.

Mit freundlichen Grüßen
HRichter

[comidio support]

Nein, wir fassen das Starmoney-Problem nicht als exotisches Problem auf. Es gibt keine exotisches Probleme.

Da unsere Dokumentation an dieser Stelle derzeit noch etwas dünn ist, hier erst mal eine Erklärung, wie die TrutzBox Netzwerkmässig arbeitet (gilt nur für den Transparent-Mode, also direkt an die TrutzBox angeschlossene Geräte):

- alle an der TrutzBox angeschlossenen Geräte sind untereinander "gebridged", können also ungehindert untereinander kommunizieren. Das ist wichtig z.B. für Drucker/Scanner die Broadcasting machen.
- Verbindungen von innen nach aussen gehen alle ungehindert durch die TrutzBox, bis auf die Ports 80/443, die über den Proxy-Filter laufen
- Verbindungen von aussen nach innen sind nur für bestimmte Ports erlaubt, aber das kann man in den Shoreline Firewall Einstellungen ändern. Zum Testen, ob ein Problem durch die Firewall verursacht ist, raten wir allerdings immer, kurzzeitig die Firewall auszuschalten (geht mit dem Knopf "Lösche Firewall").

Wenn StarMoney also einen anderen Port als 80/443 benutzt, sollte es also kein Problem geben. Ich vermute, es hängt doch mit der SSL (Port 443) Verbindung über den Proxy zusammen. Wen diese Vermutung stimmt, dann müssen Sie die Security-Einstellung für diesen Zugriff zurück-Nemhen.

Dass Sie im Menü "Status" das Startprogramm StarMoney nicht finden können ist normal. Die TrutzBox kann keine Programme sehen, nur "angeschlossene Geräte", oder, wenn sich ein Anwender einloggen muss, einen Benutzer. Aber unter Status werden für ein Gerät nur die aufgerufenen Domains aufgezeigt.

Um die Security-Einstellung für StarMoney zurück zu nehmen, müssen Sie in Status den Server-Zugriff finden. Dazu erst mal das Status-File für dieses Device löschen, StarMoney aufrufen und dann sollten Sie die Domain in Status sehen (Browser-Refresh nicht vergessen).

[HRichter]

Hallo,
hier ein Zwischenbericht: Was habe ich noch versucht nach Ihrer Antwort?

"gebridged":
So ist meine Netzwerkkarte in Virtualbox für den Client eingestellt, also transparent durch.
Daran kann es dann nicht liegen.

Aber ich kann keine Kommunikation des StarMoney Onlineupdate - Programms in Status sehen.
Es erscheint keine Domain / IP-Adresse, die angesprochen wird und dann sichtbar sein würde.

Eine Kontostandsabfrage mit dem Kartenleser funktioniert, taucht habe im Status auch nicht auf.
Wobei ich nicht zu beurteilen vermag, was da eigentlich vorgeht.

Ich habe die Firewall und die Filterung abgeschaltet: Keine Veränderung außer eine andere Fehlermeldungszifferkombination.

Laut Starfinanz werden bei StarMoney 9 von dem OnlineUpdate - Programm die IP 212.79.62.228
und der Port 443 als freigegeben verlangt.

Könnte die von Starfinanz verlangte Kommunikation auf Port 443 mit der Trutzbox kollidieren?

Wenn ich das richtig verstehe, leitet doch die Trutzbox die Kommunikation über den Port 443.
Können Trutzbox und Starmoney gleichzeitig auf den Port 443 zugreifen und selbsständig kommunizieren?

Ich habe kann mit und ohne Trutzbox in der Windows Eingabeaufforderung alle wesentlichen IP - Adressen von Starfinanz erfolgreich anpingen.

Ich habe mit grc.com meine Ansprechbarkeit von Aussen mit und ohne Trutzbox getestet.
Ebenfalls gezielt einzelne, eventuell von StarMoney erwartetete Ports.
Bei beiden Zugangsarten sind alle Ports identisch nicht sichtbar mit „stealth“.

Arbeite ich alternativ ohne die Trutzbox, läuft das Update sofort an.


Mit freundlichen Grüßen
HRichter

[HRichter]

Hallo,

ich bin überzeugt, daß meine Probleme nichts mit der „Trutzbox“ an sich zu tun haben,
allenfalls mit den strikten Sicherheitsmerkmalen.
Das sehe ich aber nicht als Nachteil der Trutzbox, sondern als einen positiven Effekt.

Durch Zufall habe ich ein großes Forum allein für Onlinebanking entdeckt.
Dort und auch an anderen Fundstellen im Internet tauchen viele Meldungen zum Thema Proxyserver und Homebanking auf.
Das scheint bei fast allen Proxyservern (z.B. Jana 2, AVM Ken!) in Verbindung mit Homebanking gleich zu sein.

Die Einen glauben, daß eine gezielte Eingabe Quellport , Zielport, Ziel - IP die Lösung wäre.
(Nur wie mache ich das genau?)
Andere wieder weisen auf eine genaue Eingabe der Proxy-Adresse + Port hin.
Wieder Andere berichten, daß trotz angestoßenen Updateprozess nichts davon in ihren Log-Dateien auftaucht, was bei mir auch so zu sein scheint …. usw.

Es muß einen kleinen, unauffälligen Unterschied in der Kommunikation mit und ohne Trutzbox geben, der sich aber entscheidend auf den Update Prozess auswirkt.

Mir fällt auf, daß so gut wie nichts zu lesen ist von der Nutzung mit HBCI – Kartenlesern (immer in Verbindung mit Port 3000). Das scheint meistens sofort zu funktionieren.

Probleme treten fast ausnahmslos einschl. meiner Person bei dem Online – Update auf.
Dabei werden u.a. Domainnamen, IP – Adressen und das Ganze immer in Verbindung mit Ports angesprochen.
Inwieweit dabei eine Domain / IP Adressenumsetzung in der Trutzbox stattfindet, weiß ich nicht.

Leider verstehe ich nicht, wie ich in den Firewall Menüs eigenständig Eingaben machen kann.
Die Möglichkeit dazu ist ja vorhanden.
Aber das muß gar nicht der Weg sein.

Umgehe ich die Trutzbox, läuft das Update sofort an.

Mit freundlichen Grüßen
HRichter

[comidio support]

Mit der Firewall hat das nichts zu tun, da die Firewall nur eingehende Verbindungen kontrolliert. Ausgehende Verbindungen werden unverändert durch geleitet, ausser diese gehen über Port 80/443.

Das StarMoney Update-Problem hängt damit zusammen, dass es über Port 443 läuft und die TrutzBox die Daten entschlüsseln möchte und dabei das Server-Zertifikat ändert. Das von der TrutzBox neu erzeugte Zertifikat akzeptiert dann StarMoney nicht.

Schauen Sie sich bitte dazu auch die Release-Notes unter TrutzBrowse an: https://comidio.de/release-notes/

Die Lösung ist,TrutzBrowse über den Proxy-Mode zu nutzen.

[HRichter]

Hallo Support,

durch ausführliches Lesen in Foren habe ich jetzt auch lernen müssen, dass es bei meinem Problem allein an der Kommunikation liegt, die von StarMoney über den Port 443 abläuft, so wie Sie das beschrieben haben.
Aber da wird bei Ihnen in naher Zukunft sicher eine Lösung gefunden werden.

Zusammengefasst meine Konfiguration für interessierte Forumleser:

PC mit Linux 17.2 KDE, Virtualisierungsystem Virtualbox 4.3, Host Linux, Client Windows 7.
Software, die ich nur unter Windows 100%tig richtig nutzen kann:
Mailprogramm The Bat!, Homebanking StarMoney, Wiso Börse (noch nicht getestet),
Surfen ausschliesslich nur über Linux / Firefox.

Problem: Onlienupdate StarMoney lief und läuft i.M. nicht über Proxy der Trutzbox, na ja und die
vielen Zertifikat Meldungen in The Bat! (ist aber ein anderes Thema).

Meine Lösung (es gibt sicher noch andere Konfigurationen) :

Achtung: Mein oben beschriebener PC ist je 1x an die Trutzbox und meinen Switch angeschlossen!
(Siehe Comidio_Kompendium / 4.2.3 Möglichkeit 1: Internet Device bleibt am angeschlossenen Internet-Router angeschlossen)

Host-PC: Feste IP aus dem Bereich der Trutzbox (z.B. 192.168.195.67), DNS-Server / Suchdomain
192.168.195.200, Browser Firefox auf „Kein Proxy“ eingestellt.

Im Hostsystem brauche ich nicht mit dem Proxy arbeiten, da ich direkt im Trutzbox - Netz bin.
Das Windows 7 im virtuellen Client arbeitet mit festen IP Adressen (z.B. 192.168.0.12) um über den Host (Netzwerkkarte als Netzwerkbrücke eingestellt) auf meinen Vigor Router (z.B. 192.168.0.1) ins Internet zu kommen.

Der Zugriff im virtuellen Client über den Proxy der Trutzbox klappt bei meiner Konfiguration nicht.
Die Trutzbox liegt dafür nicht im Netz des Client. Firefox auch hier: Kein Proxy

Dafür funktionieren mein Mailprogramm The Bat! und mein Homebankingprogramm StarMoney nun einwandfrei, nur erst Mal ohne Trutzbox.
Da ich das Windows 7 alleine nur für die oben aufgeführte Nutzung benötige und nach Möglichkeit damit niemals ins Internet gehe, reicht mir meine Lösung.
Fürs Internet verwende ich nur Linux und arbeite da nur direkt über die Trutzbox.

Mit freundlichen Grüßen
HRichter