Warum kann moss das - DATEV aber nicht? 🤔 Wegen der NIST und OWASP? Komisch, dass man moss mit Freude 8h nutzen kann aber man bei DATEV schon Negatives über das SmartLogin hört ...
Und super cool 😎, dass man bei moss nur die 6 Ziffern eingeben muss, ohne nochmal auf OK oder sowas zu klicken 😍.
Bei Apple und Microsoft kann man wählen: Diesem Browser Vertrauen? sodass man sich am gleichen Gerät nicht immer wieder mit einer 2FA einloggen muss, weil man gut betucht ist, das Gerät an sich zu schützen, weil da meist mehr als nur 1 online Account drauf ist.
Lieber @Thomas_Müller,
vielen Dank für die ausführliche Antwort 🤗. Dann setze ich die Diskussion aus meiner Sicht einmal fort 😉.
@Thomas_Müller schrieb:
Der Sicherheitsstandard, den wir erfüllen müssen, ist aber sehr hoch. Beim Vergleich mit Lösungen anderer Hersteller ist es wichtig, die Ziele und die zu schützende Sache zu unterschieden.
Das verstehe ich nicht so ganz (auch nicht nachdem ich weiter gelesen habe) und für mich liest es sich so, dass DATEV 
hier herausstechen will und immer "noch einen drauf setzt", weil das andere Unternehmen nicht müssen/wollen/können? Sind DATEV Daten also allgemein "wichtiger" als jene von Microsoft, Apple und Co. 🤔? Ich sehe da ehrlich gesagt keinen großen Unterschied. Daten sind Daten und die gilt es zu schützen 🔒 . Da müsste jedes Unternehmen Interesse daran haben 😉.
Und würden wir Deutschen 🇩🇪 beim Lohn nicht so ein Brimborium machen, sind die Daten noch immer schützenswert, keine Frage aber in unseren Nachbarländern weiß die Bevölkerung zum Teil von sich gegenseitig, was man verdient. Damit ließen sich auch die Lohnunterschiede zwischen Mann 👨 und Frau 👩 senken und auch die Anpassung zwischen Ost und West ginge meiner Meinung nach schneller. Aber hey, wir sind halt deutsch 🇩🇪. Da rütteln wir besser nicht dran 😄.
@Thomas_Müller schrieb:
[...] orientiert sich DATEV weiterhin an den etablierten Institutionen und Expertengremien wie dem BSI, OWASP oder NIST.
BSI? Okay. Möge jeder von halten, was er will. Was ist mit dem CCC? Den finde ich technisch deutlich sympathischer. Ohne den CCC hätten wir heute nur ein halb so sicheres beA 😂. Wo war das BSI? Und warum hat das BSI so lange gezögert, drauf aufmerksam zu machen, dass Kaspersky aus Russland stammt? 🤔 Ich schreibe bewusst nicht Empfehlung.
@Thomas_Müller schrieb:
Sie richten sich nach etablierten und international anerkannten Vorgaben.
Übertrieben gesagt arbeiten also "alle" anderen bekannten Unternehmen dran vorbei; nur die DATEV hält sich dran?
@Thomas_Müller schrieb:
Es gibt eben auch eine klare Erwartungshaltung zu Datenschutz und Informationssicherheit in unseren Lösungen, die sehr deutlich an uns herangetragen wird.
Ja, ich möchte aber hoffen 🙏, dass sich das doch wandeln wird. Man sieht's bei fino aka GrundsteuerDigital. Sobald die Daten nicht mehr im FortKnox Nürnberg liegen, gibt's gleich Panik 😱 und für mich komische Gedankengänge. Aber da stehe ich für einen Wandel ein 🔄. Datenethik spielt da auch eine Rolle 😉. Ob die Daten in Nürnberg oder woanders liegen, spielt keine Rolle. Es geht um den Kern der Sache und alle M365 Anwender müssten sich übertrieben gesagt so selbst anzeigen - die Welt dreht sich weiter. Damit auch die Einstellung dazu. Außer die Datenschutzlobbyisten in Deutschland sind stärker.
@Thomas_Müller schrieb:
Nach meiner Einschätzung steht bei diesen Unternehmen besonders die „Online-Zeit“ der Privatanwender im Fokus. Je länger Du online oder eingeloggt bist, umso besser. Man möchte ja wissen was wir alle so online tun.
Verstehe mich bitte nicht falsch 🙏 aber das liest sich danach, als wüsstest Ihr um Eure eigenen online Anwendungen nicht? 😲 Und wüsstest Ihr auch nicht um Der Bauplan für die neue DATEV-Cloud-Welt? Und DATEV will etwa nicht wissen, wie man out-of-the-box ein neues Programm benutzt und ob der ausgedachte Workflow auch ganz ohne DHC auskommt? Sorry aber DATEV hat auf einem DigiCamp einmal vorgestellt, was man wo wie messen kann und das genau das der DATEV hilft besser zu werden anstatt den User zu überwachen. Da sind wir wieder bei Datenethik und Vertrauen.
Und mit der "Einstellung" kann ich mir auch erklären, warum man DATEV online Anwendungen nicht so mit Freude wie Lösungen von Microsoft und Apple nutzt, weil der DATEV erklärte Ziel gar nicht ist, den User so lange in der DATEV Welt zu halten, weil es Freude und Spaß macht? 🤔
@Thomas_Müller schrieb:
Mir persönlich gefällt es auch sehr gut, wenn ich mich ohne großen Medienbruch und mit viel Komfort durch die Online- und Cloud-Lösungen meiner Wahl arbeiten kann. 👍
Dann ebenso bei DATEV umsetzen. Und: Aussuchen kann man sich nur schwer etwas. Ist ja nicht so, dass man von heute auf morgen in der Taxbranche eine andere Lösung einsetzt und man - nein, man hat eine Wahl 😉 aber nicht vergleichbar zwischen Teams und slack als Beispiel. Da sind sich beide Lösungen technisch ähnlich und auf gleicher Höhe.
@Thomas_Müller schrieb:
Ein Vergleich der umgesetzten Sicherheitsmaßnahmen ist eher mit den Branchen Banken oder Gesundheitswesen zielführend.
Das Gesundheitswesen ist digitalisiert? 🤔 Habe ich etwas verpasst? 😱 eAU und eRezept: verschoben. Elektronische Patientenakte ist nun der heilige Gral. Auch nicht seit gestern und was gab es nicht dort alles für Skandale und ich erzähle besser nicht, was man sonst so zu Ohr bekommt, wie es da abläuft. Also ... dagegen ist DATEV aber 1000x sicherer. Die Röntgenbilder meiner Zähne schickt der alte Zahnarzt dem neuen dann per E-Mail. Ich nehme stark an nicht via DATEV E-Mail Verschlüsselung. Und bei der Techniker kann man nun seine Mitgliedschaft auf einem Fax ausgeben lassen 😂.
Und wo wir gerade beim Thema Usability vs. Sicherheit sind: Kannst Du uns sagen, wie es dazu gekommen ist 🤔? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte 😞.
Gleichzeitig sagst Du:
@Thomas_Müller schrieb:
Es ist nicht unser Ziel, Sicherheitsmechanismen als Gängelei zu implementieren.
Aus unserer Anwendersicht ist das tatsächlich nur schwer nachzuvollziehen. Gerne können wir auch über die im Thread genannten "Umgehungsmöglichkeiten" quatschen ✌️.
Guten Abend zusammen,
@metalposaunist & @quantenjoe vielen Dank für Eure Reaktion. Ich hoffe das #Du ist ok? Ein Du und Sie im Wechsel würde ich verbocken 😎 Danke im Voraus!
Interessant dabei auch in der Summe Eure persönliche Meinung oder Einschätzung zu lesen. Danke für die Offenheit. Wie bereits geschrieben, Feedback ist willkommen.
Da wo ich es aus dem Kontext Privacy und IT-Security kann, gehe ich gerne noch auf die direkten Fragen von Euch ein.
@metalposaunist schrieb:Das verstehe ich nicht so ganz (auch nicht nachdem ich weiter gelesen habe) und für mich liest es sich so, dass DATEV
hier herausstechen will und immer "noch einen drauf setzt", weil das andere Unternehmen nicht müssen/wollen/können? Sind DATEV Daten also allgemein "wichtiger" als jene von Microsoft, Apple und Co.
?
Nein und ja 😉 "noch einen drauf setzen" werden wir da, wo eine explizite Kundenwertschöpfung stattfinden kann oder wir durch Veränderungen in der gesetzlichen Grundlage dazu verpflichtet sind.
@metalposaunist schrieb:
Was ist mit dem CCC?
Auch das CCC spielt bei unseren Überlegungen und Entscheidungen eine Rolle. Warum denn nicht 👍
@metalposaunist schrieb:
Übertrieben gesagt arbeiten also "alle" anderen bekannten Unternehmen dran vorbei; nur die DATEV hält sich dran?
Es gibt immer wieder schwarze Schafe. Ich würde das aber nicht so pauschalisieren wollen. DATEV ist nicht der Nabel der Welt 😁 Euer Lob, das Ihr immer wieder aussprecht, zeigt uns aber, wir sind mit Euch zusammen auf einem guten Weg in die Zukunft.
@metalposaunist schrieb:
Verstehe mich bitte nicht falsch
aber das liest sich danach, als wüsstest Ihr um Eure eigenen online Anwendungen nicht? ... Und DATEV will etwa nicht wissen, wie man out-of-the-box ein neues Programm benutzt und ob der ausgedachte Workflow auch ganz ohne DHC auskommt?
So ist das natürlich nicht gemeint. Du sprichst da einen sehr wichtigen Punkt an. Natürlich spielt das Interesse unserer Kunden in neuen und etablierten Lösungen eine wichtige Rolle für uns. Auch wie Veränderungen und Weiterentwicklungen vom Kunden genutzt werden können. Über die Online-Lösungen hinaus wird das auch mit Benutzerlaboren gemacht. Alles aber im Rahmen der gesetzlichen Grundlage. Einfach so aus Interesse darf da keiner personenbezogene Daten erheben. Aber das wisst Ihr ja auch.
@metalposaunist schrieb:
Und mit der "Einstellung" kann ich mir auch erklären, warum man DATEV online Anwendungen nicht so mit Freude wie Lösungen von Microsoft und Apple nutzt, weil der DATEV erklärte Ziel gar nicht ist, den User so lange in der DATEV Welt zu halten, weil es Freude und Spaß macht?
Also ich kenne schon die Kunden denen die Arbeit mit den DATEV-Lösungen Spaß und Freude bereitet. Und mal unter uns: Auch wenn es sehr gewählt und wohl überlegt ausfällt, Dein Lob an uns sagt mir persönlich - da ist schon auch Spaß und Freude vorhanden. Wer wäre sonst hier in dieser Community so loyal und engagiert wie Du 😊
@metalposaunist schrieb:
Kannst Du uns sagen, wie es dazu gekommen ist
? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte
Nein das kann ich leider nicht. Ich kann intern aber gerne das Thema ansprechen.
@metalposaunist schrieb:
Aus unserer Anwendersicht ist das tatsächlich nur schwer nachzuvollziehen. Gerne können wir auch über die im Thread genannten "Umgehungsmöglichkeiten" quatschen
.
Also wenn es Dein Ziel ist, mit mir die Härtungsmaßnahmen zu besprechen, damit im Sinne der Security "Umgehungsmöglichkeiten" nicht mehr möglich sind - gerne. Nicht vergessen - wir sind die Security 🤓
@quantenjoe schrieb:
Ist "Sicher" eigentlich sicher?
Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist. Ich bin absolut bei Dir, es gibt keine hundertprozentige Sicherheit. Wer sich darauf verlässt wird eines Tages böse erwachen.
@quantenjoe schrieb:
Darf es auch! Es muss halt nur der Datenschutz sichergestellt sein.
Das ist m.E. meist auch möglich - es sei denn Firmeninteressen versuchen - natürlich ganz legal (laut Vereinbarung - ob die vor einem Gericht standhalten kann, ist erstmal uninteressant) - den Nutzer zu einer weitergehenden Einwilligung zu bringen.
Sprich es geht, aber passt nicht unbedingt zum Firmeninteresse. Mein Frage: Muss Datev das Spiel mit machen?
Ich sag mal so: die DATEV muss nicht jedes Spiel mitmachen. Das Thema Datenschutz und Informationssicherheit ist aber schon im Code of Business Conduct der DATEV eG verankert. Darin heißt es:
"Für DATEV als berufsständischen DV-Dienstleister haben Datensicherheit und Datenschutz oberste Priorität und sind von grundlegender Bedeutung. DATEV steht für außergewöhnlich hohe Standards in diesem Bereich. Dies gilt in besonderer Weise für personenbezogene Daten, aber auch für Geschäftsdaten. Allen Mitarbeitern obliegt in diesem Zusammenhang eine besondere Verantwortung."
Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist.
Hatte ich schon, deshalb nur die Frage: Was sind die Kriterien für die Vertretbarkeit?
Auf konkrete Details zu unseren Kriterien kann ich hier nicht eingehen. Sorry. Aber gerne mal die Sicht aus der Security in der Sache: Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, wächst die Gefahr eines Missbrauchs oder einer Datenschutzverletzung. 30 Minuten Inaktivität hat schon viel Potential.
Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können.
Warum nicht? Mein erster Gedanke war "Security durch Obscurity" und das funktioniert eher schlecht. Wäre es nicht vielleicht besser, ruhig ins Detail zu gehen und mit dem Wissen der Community die Sicherheit weiter zu härten?
😭dabei fühle ich mich doch wie 007 wenn ich sagen kann "Wenn ich Ihnen das verrate, dann muss ich sie leider ..." 😂
Aber mal im Ernst. Wir arbeiten daran genau dafür einen passenden Rahmen zu schaffen. Ich bin bei Dir, Security by Obscurity wird nicht funktioniert.
Also dann, ich wünsche an dieser Stelle noch einen entspannten Abend.
Herzliche Grüße aus der DATEV
Thomas Müller
IT-Security und Privacy