Schon seit vielen Jahren nutze ich den Hibiscus-Server um die Kontoauszugsinformationen unserer Bankkonten automatisiert per HBCI/Fin-TS abzurufen und lokal zu speichern. Dadurch kann ich leicht in den Daten suchen um sie z.B. für die Steuererklärung zusammensammeln.

Mit dem Setup hatte ich 2 Probleme:

1. Nach 90 Tagen ist der automatische Abruf nicht mehr möglich, denn man muss manuell eine TAN eingeben.

   Ich habe es nicht geschafft, mich vom Server über dieses Problem informieren zu lassen und merke es immer nur, wenn ich ab und zu mal auf dem Fernseher den Kontostand anschaue und das Aktualisierungsdatum nicht passt.

2. Es gibt keine Warnung, wenn der Kontostand unter z.B. 1000€ fällt.

   In dem Fall kann Geld von einem anderen Konto verschoben werden - wenn einem das Problem bekannt ist.

Als Lösung für die Probleme habe ich 2 Plugins für Munin gebaut, die direkt auf einer MariaDB-Hibiscus-Datenbank arbeiten. Sie sind im munin-contrib-Repository verfügbar.

hibiscus/hibiscus_last_account_update

Gibt das Alter der letzten Kontoaktualisierung aus. Es kann eine Warnzeit angegeben werden, ab der Munin E-Mailbenachrichtigungen rausschickt.

hibiscus/hibiscus_account_balances

Listet die Kontostände von allen oder nur einigen Konten auf. Warnungslevel für alle oder einzelne Konten können definiert werden, und Munin schickt dann Warnmails raus:

Subject: Munin dojo WARNING: home.cweiske.de::homebanking::hibiscus_account_balances

home.cweiske.de :: homebanking :: a Konten Jana + Christian
	WARNINGs: J+C: Giro Christian #2 is 807.57 (outside range [1000:]).

In der Konfiguration gruppiere ich mehrere Konten thematisch auf einzelne Graphen:

[hibiscus_*]
env.user hibiscus
env.password reallysecret
env.host_name homebanking

[hibiscus_account_balances]
env.warning 1000:
env.acct_3_warning 2500:
env.include 1,2,3
env.graph_title a Konten Jana + Christian

[hibiscus_account_balances_tagegeld]
env.include 10
env.graph_title b Tagegeld

[hibiscus_account_balances_kinder]
env.include 7,8
env.graph_title c Kinderkonten

[hibiscus_account_balances_kreditkarte]
env.include 11
env.acct_11_warning -2000:
env.graph_title d Kreditkarte

Heute fiel mir beim Durchscrollen der Kontobewegungen eine Abbuchung auf, die zu keinem unserer Einkäufe passt:

Name

Digital River Operations Limited

IBAN

FR61 1634 8000 0186 4260 0006 S05

BIC

SLMPFRP1XXX (SlimPay)

Art der Buchung

Einzug m. Ermaecht.

Verwendungszweck

DRIbitdefender.de
EREF: 15128346961
MREF: 25118824804
CRED: GB88DRISDDCHAS00000032761104
IBAN: FR6116348000018642600006S05
BIC: SLMPFRP1XXX

Betrag

-199,99 €

Der Betrag sieht so aus, als möchte jemand unter der Grenze von 200€ bleiben um bei halbautomatischen Prüfungen nicht aufzufallen.

bitdefender scheint eine Antivirenbude zu sein, und Antivirenprogramme helfen nicht sondern reißen selbst Sicherheitslücken ins System (siehe auch) - deshalb werde ich da definitiv nichts gekauft haben. Hauptsitz scheint Rumänien zu sein, was auch nicht gerade dem Vertrauen förderlich ist.

Ich habe die Lastschrift per Onlinebanking sofort zurückbuchen lassen. Die Bezeichnung dafür ist komischerweise "Lastschriftrückgabe", obwohl ich ja nichts zurückgeben möchte.

Update 2025-03

Digital River ist insolvent.

Änderungen für Echtzeitüberweisungen

Ab dem 9. Januar 2025 gelten neue gesetzliche Vorgaben der Europäischen Union für Echtzeitüberweisungen.

Auf die Berechnung eines separaten Entgeltes für die in Euro ausgeführte Echtzeitüberweisung von bisher 0,90 Euro wird verzichtet. Die Entgelthöhe entspricht der Höhe einer Standard-Überweisung.

Ferner reduziert sich die Ausführungsfrist für Echtzeitüberweisungen von maximal 20 Sekunden auf maximal 10 Sekunden.

Volksbank Muldental, 29.10.2024

Die Payment Services Directive 2 ist jetzt bei allen angekommen, und es gibt massive Probleme beim Zugriff auf Konten in den Webinterfaces der Banken und per HBCI. Ab jetzt ist eine starke Kundenauthentifizierung notwendig; das Passwort allein reicht nicht mehr aus.

Schon für das initiale Anmelden bei der Bank muss man eine TAN eingeben - aber auch für den Abruf der Umsätze, wenn man einen Zeitraum von mehr als 90 Tagen gewählt hat. Für jedes meiner Konten muss ich also den TAN-Generator vor den Bildschirm halten, 30 Sekunden warten bis der Startpunkt gefunden und die Daten übertragen wurden, dann die 6-stellige PIN eingeben.

Die Volksbank möchte aber auch innerhalb derselben Sitzung im Browser nochmals eine TAN, wenn man auf ein Konto zurückschaltet, für das man schon eine TAN eingegeben hat.

Das alles wäre nicht so schlimm, wenn ich weiterhin per HBCI auf die Daten zugreifen könnte.

HBCI

Auf meinem Homeserver läuft der als Open Source verfügbare Hibiscus Payment-Server, der alle 3 Stunden die Umsätze aller Konten automatisch abholt, sie in eine lokale MySQL-Datenbank packt und allen Hibiscus-Clients im Netzwerk zur Verfügung stellt.

Die starke Kundenauthentifizierung gilt auch für HBCI, so daß ich aller 3 Monate eine halbe Stunde TANs für alle Konten generieren werden muss.

Aber die TAN ist ja nur eine Möglichkeit bei HBCI/FinTS, zusätzlich zum Wissen (PIN) einen zweiten Faktor (Besitz oder Inhärenz) nachzuweisen: Es gibt die HBCI-Chipkarte, für die man einen Kartenleser und eine Chipkarte braucht, für die die Volksbank Muldental 10€ im Jahr möchte.

Weiterhin gibt es aber auch die Schlüsseldiskette, bei der man lokal einen privaten Schlüssel erzeugt, der Bank den öffentlichen mitteilt und diese dann bei allen signierten Nachrichten weiß, daß sie von mir kommen. Das kostet nichts und gilt als sauberer 2. Faktor.

Mein erster Antrag auf eine Schlüsseldiskette erfolgte 2005, und die Daten im INI-Brief waren inzwischen doch etwas veraltet. Ich fragte deshalb bei der Bank nach einem neuen INI-Brief, damit ich mir erneut einen Schlüssel generieren konnte.

Meine Bank rief mich an und sagte dann, daß das nicht mehr ginge. Bisherige Kunden mit Schlüsseldiskette werden noch bedient, aber weil der Dienstleister (Drecks-Fiducia) das Feature "abgekündigt" habe, werden keine neuen Schlüsseldisketten mehr ausgegeben.

Die Volksbank hat mir die einzige kostenfreie Möglichkeit genommen, meine Kontodaten ohne Handstände automatisiert von ihnen abzufragen.

Bravo.

IngDiba

Heute erfuhr ich bei der Lage der Nation #157, daß IngDiba als erste Bank die PSD2-Umstellung genutzt hat, um ihre HBCI-Schnittstelle kaputt zu machen:

Girokonto Überweisungen können Sie ab September nicht mehr mit Ihrer aktuellen Software über die HBCI-Schnittstelle ausführen. Das ist dann nur noch über die PSD2-Schnittstelle möglich.

Fieserweise ist die PSD2-Schnittstelle nur für Fintech-Startups, die sich die > 8.000€ Registrierungsgebühr bei der BaFin leisten können, nicht für normale Leute, die einfach nur auf ihre Bankkonten zugreifen wollen.

Wenn man die Kunden für Überweisungen auf die eigene Website zwingen kann, kann man ihnen auch viel besser Werbung für Kredite und anderen Rotz anzeigen. HBCI kann das nämlich nicht.

Wir werden sehen, ob andere Banken dem Beispiel folgen werden.

Wenn man sich in das Online-Banking-Webinterface der Volksbank Muldental einloggt, bekommt man einen Hinweis auf neue Dokumente im Postfach:

So, und nun ratet mal worauf man klicken muss, um zum Postfach zu gelangen? Schließlich ist die ganze Seite nur dazu da, einen auf das Postfach hinzuweisen.

Lösung: Der kleine blaue Briefumschlag links vom Text "22 ungelesene Nachrichten". 17x10 Pixel.

In Dänemark haben nahezu alle Läden Kartenleser, und Dänen bezahlen fast alles mit der Karte oder dem Handy - auch ein kleines Eis, einen Kaffee oder eine Briefmarke.

In unserem Dänemarkurlaub dieses Jahr haben wir deshalb auch viele Dinge direkt mit der EC-Karte bezahlt. Ein Fehler.

Als ich nach dem Urlaub dann zu Hause Kassensturz gemacht habe, stieß ich auf folgende Abbuchungsdetails:

Betrag 8,04 EUR

Zahlung          33,25 DKK
1 EUR          7,45516 DKK
Entgelt Karte     3,58 EUR

Wir haben 4,50€ mit der Karte bezahlt, und die liebeunverschämte Volksbank Muldental hat uns dafür 3,58€ abgeknöpft.

Im Preisaushang steht das auf Seite 2:

Einsatz der girocard (Debitkarte) / VR-ServiceCard (Debitkarte)
im Ausland zum Bezahlen von Waren und Dienstleistungen (Maestro) bei Zahlung in Fremdwährung und/ oder bei Zahlung in einem Land außerhalb der EU und der EWR-Staaten

1,75 % vom Umsatz,
Mind. 3,58 EUR
Max. 5,11 EUR

Insgesamt haben wir über 70€ an EC-Kartennutzungsgebühren in diesem Urlaub bezahlt. Das ist eine Frechheit.

Fun Fact: 3,58€ sind 1,75% von 204,57€.

Fazit:

• Ich bezahle zukünftig mit der Kreditkarte im nicht-Euro-Ausland, nicht mehr mit der EC-Karte.

  (Mit der Kreditkarte wird aber statt der standardmäßigen 0,2% Kosten ein "Auslandseinsatzentgeld" von zusätzlich 1% fällig.)

• Ich bin um einiges mehr gewillt, zu einer anderen Bank zu wechseln.

Liebe Volksbank,

Ich habe heute einen Brief mit dem Titel Ihre elektronischen Dokumente bekommen. Dort wird darauf hingewiesen, daß ich die Kontoauszüge doch regelmäßig im "eBanking Postfach" abholen sollte.

Wir nutzen HBCI zum Abholen der Kontoauszüge und zum Überweisen, melden uns deshalb nicht regelmäßig im Webinterface an.

Sie stellen leider keinen Weg bereit, uns die Dokumente automatisch zukommen zu lassen. Ich würde mir wünschen, die Dokumente per E-Mail geschickt zu bekommen - gern mit PGP-Signatur zur Verifikation. Es gibt allerdings nicht mal die Möglichkeit, per E-Mail über neue Dokumente informiert zu werden.

So wie es aktuell läuft werde ich nicht alle paar Tage das Webinterface aufrufen, meine Logindaten eingeben und das doofe Captcha lösen, nur um vielleicht ein PDF runterladen zu können.

Mit freundlichen Grüßen,
Christian Weiske