abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

EBICS sichere machen

Umgesetzt
letzte Antwort am 28.11.2022 23:08:05 von metalposaunist
Dieser Beitrag ist geschlossen
alexander_dasilvaseboe
Beginner
Offline Online
3203 Mal angesehen

Wegen der Umstellung im September und der eingeschränkten Funktionalität des Pins/Tan Zahlungsverkehrs über den Drittanbieter haben wir auf EBICS umgestellt. Leider stelle ich nun fest, dass das Verfahren aus Anwendersicht unsicherer ist, als das PIN/Tan verfahren.

Wir verwenden keine SmartCard/mIDentity (also einen Stick) sondern SmartLogin per Mobil Telefon. In diesem Fall kann jemand, der Zugriff auf den Rechner hat, wenn ich mich einmal per SmartLogin angemeldet habe. Ohne weitere Autorisierung mit Ebics Überweisungen ausführen. Auch einen Erneute Legitimierung per SmartLogin ist beim Überweisen nicht nötig und da man sich bei Datev nicht abmelden kann, könnte jemand auch nach meiner Abwesenheit, für 30 Minuten, Datev im Browser öffnen (Anmeldung besteht ja noch) und Überweisungen ausführen.

Datev sollte vor der Überweisung mit EBICs mich nochmals per SmartLogin legitimieren.

Status: Umgesetzt

Es sind nun alle Bestände erfolgreich für den neuen Prozess der elektronischen Unterschrift bzw. Initialisierung mit SmartVerify freigeschaltet. Alle EBICS-Nutzer können somit mit der neuen 2-Faktor-Authentintifizierung arbeiten. 

64 Kommentare
DATEV-Mitarbeiter
Nina_Naßler
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
1400 Mal angesehen
Status geändert in: Umsetzung geplant

Hallo zusammen,

Für die Anwender von Bank online wird auch beim technisch bereits sehr sicheren EBICS-Verfahren die 2-Faktor-Authentifizierung eingeführt. Das bedeutet, Sie benötigen für die Initialisierung neuer EBICS-Zugänge und für die elektronische Unterschrift bei Zahlungen ein weiteres Sicherheitsmerkmal, außerhalb von Bank online:

  • Erfolgt die Anmeldung in Unternehmen online über eine SmartCard, so authentifizieren Sie sich künftig zusätzlich über die neue Anwendung DATEV SmartVerify.
  • Wenn Sie sich mit einem SmartLogin anmelden, benötigen Sie keine zusätzliche Anwendung, denn die 2-Faktor-Authentifizierung funktioniert ebenfalls über die App DATEV SmartLogin.

Weitere Informationen erhalten Sie auch unter EBICS in Bank online noch sicherer – DATEV magazin

Die Freischaltung erfolgt stufenweise ab voraussichtlich April 2021. 

metalposaunist
Unerreicht
Offline Online
1393 Mal angesehen

Hat DATEV die 2FA per EBICS aufgrund dieser Idee umgesetzt? Wenn ja, stellen sich mir bei @alexander_dasilvaseboe einige Fragen: 

 


@alexander_dasilvaseboe schrieb:

und da man sich bei Datev nicht abmelden kann,


Kann man mittlerweile sehr wohl. Wenn das in 08/2019 noch nicht möglich war, okay. Jetzt kann man auf seinen Namen klicken > abmelden und dann muss man sich wieder per SmartLogin anmelden. 

 

Oder: Man kann laufende Sessions per SmartLogin App beenden (wie bei WhatsApp Web auch). 

 


@alexander_dasilvaseboe schrieb:

könnte jemand auch nach meiner Abwesenheit, für 30 Minuten, Datev im Browser öffnen (Anmeldung besteht ja noch) und Überweisungen ausführen.


Bei Abwesenheit hat man den Rechner / das Gerät zu sperren! Sie lassen auch kein iPhone entsperrt irgendwo rumliegen und wenn es nicht Überweisungen / Bank betrifft, schreibt der Angreifer eben in Ihrem Namen per Outlook eine Mail an Person xy, die dann ebenfalls überweisen kann und da die Mail von Ihnen stammt, weil das Gerät nicht gesichert war, stellen sich auch beim Empfänger weniger Fragen nach der Richtigkeit. 

 

Siehe auch: Wie der Leoni-Betrug abgelaufen ist

 

Daher kann ich das Problem mit EBICS nur rudimentär als Problem verstehen. Sorry. 

 

Aber danke @Nina_Naßler. Ich hoffe, damit wird nicht auch noch EBICS so unzuverlässig, wie es HBCI mit finAPI zum Teil ist. 

metalposaunist
Unerreicht
Offline Online
1329 Mal angesehen

@Nina_Naßler: Vielleicht macht noch ein neuer Status Sinn: Umsetzung im Gange - oder ähnliches. So bleibt diese Idea wohl auf Umsetzung geplant, bis wirklich alle DATEV Beraternummern umgestellt worden sind, was aber wohl noch dauert. Und diese Idea jetzt schon auf umgesetzt zu setzen, wird bei allen noch nicht umgestellten EBICS Anwendern der Beraternummern bis 99.999 nicht verständlich sein.  

andreashofmeister
Allwissender
Offline Online
1306 Mal angesehen

Nach 99.999 geht´s aber erst richtig los mit den DUO-Beständen....

jjunker
Experte
Offline Online
1296 Mal angesehen

Herrschaftszeiten lasst die Finger von EBICS! das ist sicher! Smart Card mitnehmen und schon kann keiner mehr überweisen. Smart Login --> Man melde sich ab und gut ist. Das hat nur was mit den Digitalen Manieren der Anwender zu tun.

 

SmartVerify. Wenn ich das Wort Smart in Kombination mit neuer Software aus Nürnberg nur höre stellen sich die Nackenhaare hoch. Gott bewahre uns vor Schnee, Wind und Software die aus Nürnberg kimmt.

 

Dann haben wir demnächst neben den Pin Tan --> HBCI Problemen die Probleme mit SmartVerify an der Backe.

 

Bitte liebe DATEV beweist, dass das einfach nur eine Stück Software ist welches stumm und ohne Probleme im Hintergrund läuft.

 

leider kann man nicht gegen Ideen stimmen.

Gelöschter Nutzer
Offline Online
1285 Mal angesehen

leider kann man nicht gegen Ideen stimmen.

Ich kann mich noch düster an die ersten Schritte von Ideas erinnern. Da war es noch möglich gegen eine Idee zu stimmen. Warum das geändert wurde, weiß ich nicht.

m_steinert
Aufsteiger
Offline Online
1283 Mal angesehen

@jjunker 

Das sehe ich genauso, völliger Schwachsinn dieses SmartVerify, zumal das keine echte 2-Faktor-Authentifizierung ist, sondern das selbe Zugangsmedium (Smartcard bzw. Smartlogin) einfach doppelt verwendet wird. Es ist weiterhin nur ein Faktor. Da hätte es auch gereicht, beim digitalen Unterschreiben des Zahlungsauftrags nochmal die Smartcard-PIN abzufragen.

 

Ein Mandant wurde gestern umstellt, wollte heute was überweisen, hat den Zahlungsauftrag in SmartVerify freigegeben und das wurde irgendwie nicht nach Bank online übergeben, so dass das Hinweisfenster, dass der Zahlungsauftrag erst in SmartVerify freigegeben werden muss, nicht weggeht. Ist schon toll, wenn man sowas vorher nicht testen kann. Habs jetzt an DATEV weitergegeben, aber erfahrungsgemäß ist hier ja nicht mit einer kurzfristigen Lösung zu rechnen, wo dass der Mandant jetzt nicht überweisen kann. Da kommt Freude auf....

andreashofmeister
Allwissender
Offline Online
1276 Mal angesehen

Schade, das man den Vortrag beim DEMO-Day nicht als Videoaufzeichnung anschauen kann.

Die Überzeugung zum Smartverify seitens des Vortragenden war schon recht beeindruckend...

jjunker
Experte
Offline Online
1272 Mal angesehen

@m_steinert Danke für den Hinweis.

 

 @DATEV: Kurz gesagt ICH HABE KEINE LUST MEHR!

 

Alle integrierten Prozesse werden aufgerissen und halbscharig ersetzt und andere Baustellen nicht mal mit Kaltbitumen geflickt. OVER and OUT.

andreashofmeister
Allwissender
Offline Online
1265 Mal angesehen

@jjunker : man stelle sich die Probleme dann vor, wenn Mandanten da Probleme haben...

 

Aber dank des mäßigen Umsetzungstempos der DATEV dauert dass dann ja noch ein wenig...länger..

 

Also, keep cool and go in the beergarden...

 

Natürlich hast Du Recht.

 

Bis auf "Gott bewahre uns vor Schnee, Wind und Software die aus Nürnberg kimmt."

Lass Gott da raus. Der kann nix dafür.....

m_steinert
Aufsteiger
Offline Online
1237 Mal angesehen

OK, das o.g. Problem bei unserem Mandanten lag wohl an der Verwendung vom Internet Explorer. Im Edge hat das dann geklappt. Darf aber m.E. trotzdem nicht passieren, ohne dass man einen Fehlerhinweis o.ä. erhält.

eliansawatzki
Meister
Offline Online
1220 Mal angesehen

Offensichtlich erkennen nicht alle Beitragsschreiber den zusätzlichen Sicherheitsfaktor.

 

 

 

EBICS in Unternehmen online ohne SmartVerify: 

 

Der Nutzer ist im Unternehmen online angemeldet (hat die PIN für das Zugangsmedium eingegeben) und verläßt den Arbeitsplatz ohne den Bildschirm zu sperren oder sich abzumelden. Unberechtigte Überweisungen mit EBICS sind durch jeden der weiß wie es funktioniert möglich. Es muss keine PIN mehr eingegeben werden.

 

 

 

EBICS in Unternehmen online mit SmartVerify:

 

Der Nutzer ist im Unternehmen online angemeldet (hat die PIN für das Zugangsmedium eingegeben) und verläßt den Arbeitsplatz ohne den Bildschirm zu sperren oder sich abzumelden. Überweisungen mit EBICS sind nur möglich, wenn man die PIN des Zugangsmedium kennt, da diese beim Zahlungsprozess nochmals eingegeben werden muss.

 

 

 

Im Zahlungsverkehr (on premise) ist letztere Vorgehensweise (zusätzliche PIN-Eingabe) lange der Standard.

 

vogtsburger
Allwissender
Offline Online
1213 Mal angesehen

 

@andreashofmeister schrieb:

... Die Überzeugung zum Smartverify seitens des Vortragenden war schon recht beeindruckend

...

... verstehe diesen Satz nicht.

Soll das heißen, dass Sie davon recht beeindruckt waren, dass der Vortragende von SmartVerify überzeugt war ?

 

@eliansawatzki ,

... Ihr Argument mit der erforderlichen PIN-Eingabe direkt vor der Ausführung des Zahlungsauftrags überzeugt mich auf Anhieb 😉

 

 

 

nadimb
Meister
Offline Online
1201 Mal angesehen

Im Zahlungsverkehr (on premise) ist letztere Vorgehensweise (zusätzliche PIN-Eingabe) lange der Standard.

Richtig. Aber - und das ist der entscheidende Unterschied - ich muss als Anwender kein zusätzliches Programm öffnen. Ich bleibe in ein und derselben Anwendung. 

 

Genau so funktioniert doch letztlich auch SmartVerify mit SmartLogin. 

 

Der bessere Weg wäre dann wohl das "Senden an Bank" mit einer erneuten PIN-Abfrage zu steuern. 

Da hätten sicherlich auch Mandanten mehr Verständnis für - und es suggeriert ein weiteres Gefühl von Sicherheit.

jjunker
Experte
Offline Online
1198 Mal angesehen

@nadimb Auch hier. Gut zusammen gefasst.

metalposaunist
Unerreicht
Offline Online
1177 Mal angesehen

@m_steinert schrieb:

Darf aber m.E. trotzdem nicht passieren, ohne dass man einen Fehlerhinweis o.ä. erhält.


Wenn man DUO mit dem IE11 besucht steht ein fetter gelber Balken mindestens auf der Startseite: Sie besuchen DUO mit einem veralteten Browser. Wenn man nicht weiß, was das ist, kann man seinen StB oder deren EDV oder Systempartner oder sonst wen fragen, was das ist 😉. Probleme und Hinweismeldungen nicht zur Kenntnis nehmen löst das Problem dann auch nicht 😂.

 

image.png

 


@eliansawatzki schrieb:

Der Nutzer ist im Unternehmen online angemeldet (hat die PIN für das Zugangsmedium eingegeben) und verläßt den Arbeitsplatz ohne den Bildschirm zu sperren oder sich abzumelden.


Ja? Weil Dummheit auch mal bestraft werden muss 🤐? Sorry, aber diese Erklärung habe ich damals schon als sehr hinkend betrachtet. Wer seinen Arbeitsplatz verlässt, hat zumindest den Bildschirm zu sperren. Punkt. Das habe ich in meiner Ausbildung 2011 gelernt. Gilt bis heute und auch wenn wir nur 4 EDV'ler im Büro sind - ich sperre bei jedem Toilettengang den PC. Wer weiß, wer alles kommen und gehen kann, während man abwesend ist. 

 

Dann kann er vielleicht jetzt nicht direkt überweisen aber dann macht er halt Outlook auf und schickt in Namen der GF eine E-Mail und stellt sich so eine eigene Gehaltserhöhung zu oder beleidigt andere Mitarbeiter im Namen der GF - wer kriminelle Energie hat, hat bei offenem Arbeitsplatz eine Spielwiese vor sich. Oder weil solche Key User oder gar die GF meist mehr Rechte als der normale Mitarbeiter hat, durchsucht man eben Netzlaufwerke nach Personaldaten oder löscht auch einfach mal via STRG+A und ENTF ganze Strukturen und in der IT steht: die GF hat den Ordner gelöscht. Und darf alles wiederherstellen. Und wie soll man dann ermitteln, dass es nicht der GF selber war, wenn alles technisch auch an seinem Arbeitsplatz stattfand? 

 

Ich glaube, da kann man deutlich mehr Schaden anrichten als wenn man sich 1 Mio. Euro überweist. Die kann man zurückbuchen lassen oder anders zurückholen würde ich behaupten. Ein Imageschaden ist weitaus gefährlicher. Geld kommt wieder.

 


@vogtsburger schrieb:

Soll das heißen, dass Sie davon recht beeindruckt waren, dass der Vortragende von SmartVerify überzeugt war ?


Nein. DATEV war sehr begeistert von der neuen Funktion. Ich habe innerlich schon wieder Klicks gezählt und dachte nur: wow - grandioser, umständlicher Workflow. Nichts ist auch nur annähernd technisch automatisierbar. Da muss ich @jjunker Recht geben. Unsere Mandanten freuen sich nicht wirklich. 

 

@nadimb: So hätte ich das auch besser "verkaufen" können. Wird dann aber daran scheitern, dass man wohl nach einmaliger PIN Eingabe nicht nochmal die PIN Eingabe starten kann, wenn die im Windows RAM liegt. Das ist ja der Vorteil der SmartCard aber ja, auch ich würde auf SmartLogin umsteigen wollen. Das haben auch andere erkannt: Unternehmen Online - Wechsel Ebics User (Zahlungsfreigabe) von SmartCard auf SmartLogin

 

Fakt ist: Diese DATEV Idea ist durch und da können wir uns noch so aufregen. Müssen wir mit leben. Eigentlich wollte ich auch gar nicht so ein Fass aufmachen und wollte nur bei der "Administration" der DATEV Ideas noch ein wenig Input geben. Mehr wollte ich nicht 😄. Kann ja keiner ahnen, dass ich da sowas lostrete 😬. Komme mir ja vor wie Elon Musk, der mit Bitcoins machen kann, was er will 🙈.

eliansawatzki
Meister
Offline Online
1167 Mal angesehen

Was meinen Sie genau mit Dummheit?

metalposaunist
Unerreicht
Offline Online
1165 Mal angesehen

@eliansawatzki schrieb:

Was meinen Sie genau mit Dummheit?


Den Arbeitsplatz nicht zu sperren. Wer fahrlässig handelt, muss auch die Konsequenzen zumindest kennen. 

eliansawatzki
Meister
Offline Online
1156 Mal angesehen

Ich denke, dass die wenigsten Menschen, die ihren Bildschirmarbeitsplatz ohne ihn zu sperren verlassen, eine mangelnde Begabung auf intellektuellem Gebiet innehaben. Ich weiß natürlich wie Sie ihre Aussage meinen. 😊

 

Wenn durch Technik die möglichen negativen Folgen von menschlichem Fehlverhalten oder Vorsatz minimiert werden können, sollte sie m. E. unter Berücksichtigung und Abwägung aller widerstreitender Interessen zum Einsatz kommen.

 

 

 

metalposaunist
Unerreicht
Offline Online
1150 Mal angesehen

@eliansawatzki: Da bin ich prinzipiell bei Ihnen 😊. Dennoch halte ich SmartVerify nur für eine Hürde aber keinesfalls eine technische Sicherheit oder den heiligen Gral zwecks Sicherheit. Ein paar Gedanken aus der Dusche 🚿

 

  1. DATEV hat bei der SmartCard keinerlei Vorgaben zum Passwort. 6 Zeichen reichen aus. Das kann zum Beispiel der eigene Geburtstag oder der Kinder, der Frau sein. Das Niveau ist hier im Vergleich zu anderen DATEV Lösungen (SmartLogin, DATEVasp, ...) sehr gering. Das finde ich sehr bedenklich ☝️. Selten sieht man ein Passwort, dass aus mehr als nur Zahlen (Nummernblock) und 6 bis 8 Zeichen besteht. 
  2. Mit viel Glück klebt das Passwort als analoger, papierhaltiger Post It unterm Monitor, der Schreibtischunterlage - allgemein irgendwo am Arbeitsplatz. Nicht im Kopf, nicht in einem Passworttresor
  3. Man besorge sich einen USB-Stick der mini Variante und baue ihn zum Keylogger um, der sich als Tastatur ausgibt. Dass der USB-Stick steckt, werden nur wenige bemerken und sich dann auch noch fragen: was ist das? 🤔  und anschließend auch noch was unternehmen. Dann sollte man nach einem Pattern suchen können und hat die PIN, die man braucht. Dass via Software die USB-Ports dicht gemacht werden, habe ich auch noch bei keinem StB gesehen. 
  4. Drahtlose Logitech Geräte waren / sind angreifbar und somit lassen sich ebenfalls Tastatureingaben abgreifen. Nach einem Pattern suchen, PIN erfolgreich abgegriffen.   
  5. ...

Wie der Leoni-Betrug abgelaufen ist

 

IT Sicherheit. Das große Ding der nächsten Jahre oder es entwickelt sich zum Dauerbrenner mit immer neuen Methoden, Angriffen, Lücken und potentiellen Fehlerquellen. Man muss die Menschen mitnehmen anstatt Ihnen durch Programme das eigene Denken abzunehmen. Beispiel von @deusex. Programme können viel, leider nicht alles und enthalten selbst eine Vielzahl an Lücken: Das Jahr der unsicheren Sicherheitssoftware

 

Wenn sich DATEV (@Thomas_Neumeier) zu meinen Gedanken sicherheitstechnisch in Bezug auf SmartVerify äußern möchte, nur zu. Ich kann aber auch verstehen, wenn nicht.