Idee "EBICS sichere machen" in Ideen zu Unternehmen online

EBICS sichere machen

alexander_dasilvaseboe — Fri, 30 Aug 2019 12:13:12 GMT

Wegen der Umstellung im September und der eingeschränkten Funktionalität des Pins/Tan Zahlungsverkehrs über den Drittanbieter haben wir auf EBICS umgestellt. Leider stelle ich nun fest, dass das Verfahren aus Anwendersicht unsicherer ist, als das PIN/Tan verfahren.

Wir verwenden keine SmartCard/mIDentity (also einen Stick) sondern SmartLogin per Mobil Telefon. In diesem Fall kann jemand, der Zugriff auf den Rechner hat, wenn ich mich einmal per SmartLogin angemeldet habe. Ohne weitere Autorisierung mit Ebics Überweisungen ausführen. Auch einen Erneute Legitimierung per SmartLogin ist beim Überweisen nicht nötig und da man sich bei Datev nicht abmelden kann, könnte jemand auch nach meiner Abwesenheit, für 30 Minuten, Datev im Browser öffnen (Anmeldung besteht ja noch) und Überweisungen ausführen.

Datev sollte vor der Überweisung mit EBICs mich nochmals per SmartLogin legitimieren.

EBICS sichere machen - Status geändert in: Umsetzung geplant

Nina_Naßler — Fri, 05 Mar 2021 12:06:34 GMT

Hallo zusammen,

Für die Anwender von Bank online wird auch beim technisch bereits sehr sicheren EBICS-Verfahren die 2-Faktor-Authentifizierung eingeführt. Das bedeutet, Sie benötigen für die Initialisierung neuer EBICS-Zugänge und für die elektronische Unterschrift bei Zahlungen ein weiteres Sicherheitsmerkmal, außerhalb von Bank online:

Erfolgt die Anmeldung in Unternehmen online über eine SmartCard, so authentifizieren Sie sich künftig zusätzlich über die neue Anwendung DATEV SmartVerify.
Wenn Sie sich mit einem SmartLogin anmelden, benötigen Sie keine zusätzliche Anwendung, denn die 2-Faktor-Authentifizierung funktioniert ebenfalls über die App DATEV SmartLogin.

Weitere Informationen erhalten Sie auch unter EBICS in Bank online noch sicherer – DATEV magazin

Die Freischaltung erfolgt stufenweise ab voraussichtlich April 2021.

EBICS sichere machen

metalposaunist — Fri, 05 Mar 2021 12:29:13 GMT

Hat DATEV die 2FA per EBICS aufgrund dieser Idee umgesetzt? Wenn ja, stellen sich mir bei @alexander_dasilvaseboe einige Fragen:

@alexander_dasilvaseboe schrieb:
und da man sich bei Datev nicht abmelden kann,

Kann man mittlerweile sehr wohl. Wenn das in 08/2019 noch nicht möglich war, okay. Jetzt kann man auf seinen Namen klicken > abmelden und dann muss man sich wieder per SmartLogin anmelden.

Oder: Man kann laufende Sessions per SmartLogin App beenden (wie bei WhatsApp Web auch).

@alexander_dasilvaseboe schrieb:
könnte jemand auch nach meiner Abwesenheit, für 30 Minuten, Datev im Browser öffnen (Anmeldung besteht ja noch) und Überweisungen ausführen.

Bei Abwesenheit hat man den Rechner / das Gerät zu sperren! Sie lassen auch kein iPhone entsperrt irgendwo rumliegen und wenn es nicht Überweisungen / Bank betrifft, schreibt der Angreifer eben in Ihrem Namen per Outlook eine Mail an Person xy, die dann ebenfalls überweisen kann und da die Mail von Ihnen stammt, weil das Gerät nicht gesichert war, stellen sich auch beim Empfänger weniger Fragen nach der Richtigkeit.

Siehe auch: Wie der Leoni-Betrug abgelaufen ist

Daher kann ich das Problem mit EBICS nur rudimentär als Problem verstehen. Sorry.

Aber danke @Nina_Naßler. Ich hoffe, damit wird nicht auch noch EBICS so unzuverlässig, wie es HBCI mit finAPI zum Teil ist.

EBICS sichere machen

metalposaunist — Wed, 19 May 2021 12:09:21 GMT

@Nina_Naßler: Vielleicht macht noch ein neuer Status Sinn: Umsetzung im Gange - oder ähnliches. So bleibt diese Idea wohl auf Umsetzung geplant, bis wirklich alle DATEV Beraternummern umgestellt worden sind, was aber wohl noch dauert. Und diese Idea jetzt schon auf umgesetzt zu setzen, wird bei allen noch nicht umgestellten EBICS Anwendern der Beraternummern bis 99.999 nicht verständlich sein.

EBICS sichere machen

andreashofmeister — Wed, 19 May 2021 12:06:44 GMT

Nach 99.999 geht´s aber erst richtig los mit den DUO-Beständen....

EBICS sichere machen

jjunker — Wed, 19 May 2021 12:24:23 GMT

Herrschaftszeiten lasst die Finger von EBICS! das ist sicher! Smart Card mitnehmen und schon kann keiner mehr überweisen. Smart Login --> Man melde sich ab und gut ist. Das hat nur was mit den Digitalen Manieren der Anwender zu tun.

SmartVerify. Wenn ich das Wort Smart in Kombination mit neuer Software aus Nürnberg nur höre stellen sich die Nackenhaare hoch. Gott bewahre uns vor Schnee, Wind und Software die aus Nürnberg kimmt.

Dann haben wir demnächst neben den Pin Tan --> HBCI Problemen die Probleme mit SmartVerify an der Backe.

Bitte liebe DATEV beweist, dass das einfach nur eine Stück Software ist welches stumm und ohne Probleme im Hintergrund läuft.

leider kann man nicht gegen Ideen stimmen.

EBICS sichere machen

Gelöschter Nutzer — Wed, 19 May 2021 12:31:52 GMT

leider kann man nicht gegen Ideen stimmen.

Ich kann mich noch düster an die ersten Schritte von Ideas erinnern. Da war es noch möglich gegen eine Idee zu stimmen. Warum das geändert wurde, weiß ich nicht.

EBICS sichere machen

m_steinert — Wed, 19 May 2021 12:33:36 GMT

@jjunker

Das sehe ich genauso, völliger Schwachsinn dieses SmartVerify, zumal das keine echte 2-Faktor-Authentifizierung ist, sondern das selbe Zugangsmedium (Smartcard bzw. Smartlogin) einfach doppelt verwendet wird. Es ist weiterhin nur ein Faktor. Da hätte es auch gereicht, beim digitalen Unterschreiben des Zahlungsauftrags nochmal die Smartcard-PIN abzufragen.

Ein Mandant wurde gestern umstellt, wollte heute was überweisen, hat den Zahlungsauftrag in SmartVerify freigegeben und das wurde irgendwie nicht nach Bank online übergeben, so dass das Hinweisfenster, dass der Zahlungsauftrag erst in SmartVerify freigegeben werden muss, nicht weggeht. Ist schon toll, wenn man sowas vorher nicht testen kann. Habs jetzt an DATEV weitergegeben, aber erfahrungsgemäß ist hier ja nicht mit einer kurzfristigen Lösung zu rechnen, wo dass der Mandant jetzt nicht überweisen kann. Da kommt Freude auf....

EBICS sichere machen

andreashofmeister — Wed, 19 May 2021 12:37:22 GMT

Schade, das man den Vortrag beim DEMO-Day nicht als Videoaufzeichnung anschauen kann.

Die Überzeugung zum Smartverify seitens des Vortragenden war schon recht beeindruckend...

EBICS sichere machen

jjunker — Wed, 19 May 2021 12:39:23 GMT

@m_steinert Danke für den Hinweis.

@DATEV: Kurz gesagt ICH HABE KEINE LUST MEHR!

Alle integrierten Prozesse werden aufgerissen und halbscharig ersetzt und andere Baustellen nicht mal mit Kaltbitumen geflickt. OVER and OUT.

EBICS sichere machen

andreashofmeister — Wed, 19 May 2021 12:43:06 GMT

@jjunker : man stelle sich die Probleme dann vor, wenn Mandanten da Probleme haben...

Aber dank des mäßigen Umsetzungstempos der DATEV dauert dass dann ja noch ein wenig...länger..

Also, keep cool and go in the beergarden...

Natürlich hast Du Recht.

Bis auf "Gott bewahre uns vor Schnee, Wind und Software die aus Nürnberg kimmt."

Lass Gott da raus. Der kann nix dafür.....

EBICS sichere machen

m_steinert — Wed, 19 May 2021 13:47:50 GMT

OK, das o.g. Problem bei unserem Mandanten lag wohl an der Verwendung vom Internet Explorer. Im Edge hat das dann geklappt. Darf aber m.E. trotzdem nicht passieren, ohne dass man einen Fehlerhinweis o.ä. erhält.

EBICS sichere machen

eliansawatzki — Wed, 19 May 2021 14:40:56 GMT

Offensichtlich erkennen nicht alle Beitragsschreiber den zusätzlichen Sicherheitsfaktor.

EBICS in Unternehmen online ohne SmartVerify:

Der Nutzer ist im Unternehmen online angemeldet (hat die PIN für das Zugangsmedium eingegeben) und verläßt den Arbeitsplatz ohne den Bildschirm zu sperren oder sich abzumelden. Unberechtigte Überweisungen mit EBICS sind durch jeden der weiß wie es funktioniert möglich. Es muss keine PIN mehr eingegeben werden.

EBICS in Unternehmen online mit SmartVerify:

Der Nutzer ist im Unternehmen online angemeldet (hat die PIN für das Zugangsmedium eingegeben) und verläßt den Arbeitsplatz ohne den Bildschirm zu sperren oder sich abzumelden. Überweisungen mit EBICS sind nur möglich, wenn man die PIN des Zugangsmedium kennt, da diese beim Zahlungsprozess nochmals eingegeben werden muss.

Im Zahlungsverkehr (on premise) ist letztere Vorgehensweise (zusätzliche PIN-Eingabe) lange der Standard.

EBICS sichere machen

vogtsburger — Wed, 19 May 2021 15:18:40 GMT

@andreashofmeister schrieb:
... Die Überzeugung zum Smartverify seitens des Vortragenden war schon recht beeindruckend
...

... verstehe diesen Satz nicht.

Soll das heißen, dass Sie davon recht beeindruckt waren, dass der Vortragende von SmartVerify überzeugt war ?

@eliansawatzki ,

... Ihr Argument mit der erforderlichen PIN-Eingabe direkt vor der Ausführung des Zahlungsauftrags überzeugt mich auf Anhieb 😉

EBICS sichere machen

NadimBhatti — Wed, 19 May 2021 15:23:08 GMT

Im Zahlungsverkehr (on premise) ist letztere Vorgehensweise (zusätzliche PIN-Eingabe) lange der Standard.

Richtig. Aber - und das ist der entscheidende Unterschied - ich muss als Anwender kein zusätzliches Programm öffnen. Ich bleibe in ein und derselben Anwendung.

Genau so funktioniert doch letztlich auch SmartVerify mit SmartLogin.

Der bessere Weg wäre dann wohl das "Senden an Bank" mit einer erneuten PIN-Abfrage zu steuern.

Da hätten sicherlich auch Mandanten mehr Verständnis für - und es suggeriert ein weiteres Gefühl von Sicherheit.

EBICS sichere machen

jjunker — Wed, 19 May 2021 15:24:44 GMT

@NadimBhatti Auch hier. Gut zusammen gefasst.

EBICS sichere machen

metalposaunist — Wed, 19 May 2021 18:11:47 GMT

@m_steinert schrieb:
Darf aber m.E. trotzdem nicht passieren, ohne dass man einen Fehlerhinweis o.ä. erhält.

Wenn man DUO mit dem IE11 besucht steht ein fetter gelber Balken mindestens auf der Startseite: Sie besuchen DUO mit einem veralteten Browser. Wenn man nicht weiß, was das ist, kann man seinen StB oder deren EDV oder Systempartner oder sonst wen fragen, was das ist 😉. Probleme und Hinweismeldungen nicht zur Kenntnis nehmen löst das Problem dann auch nicht 😂.

@eliansawatzki schrieb:
Der Nutzer ist im Unternehmen online angemeldet (hat die PIN für das Zugangsmedium eingegeben) und verläßt den Arbeitsplatz ohne den Bildschirm zu sperren oder sich abzumelden.

Ja? Weil Dummheit auch mal bestraft werden muss 🤐? Sorry, aber diese Erklärung habe ich damals schon als sehr hinkend betrachtet. Wer seinen Arbeitsplatz verlässt, hat zumindest den Bildschirm zu sperren. Punkt. Das habe ich in meiner Ausbildung 2011 gelernt. Gilt bis heute und auch wenn wir nur 4 EDV'ler im Büro sind - ich sperre bei jedem Toilettengang den PC. Wer weiß, wer alles kommen und gehen kann, während man abwesend ist.

Dann kann er vielleicht jetzt nicht direkt überweisen aber dann macht er halt Outlook auf und schickt in Namen der GF eine E-Mail und stellt sich so eine eigene Gehaltserhöhung zu oder beleidigt andere Mitarbeiter im Namen der GF - wer kriminelle Energie hat, hat bei offenem Arbeitsplatz eine Spielwiese vor sich. Oder weil solche Key User oder gar die GF meist mehr Rechte als der normale Mitarbeiter hat, durchsucht man eben Netzlaufwerke nach Personaldaten oder löscht auch einfach mal via STRG+A und ENTF ganze Strukturen und in der IT steht: die GF hat den Ordner gelöscht. Und darf alles wiederherstellen. Und wie soll man dann ermitteln, dass es nicht der GF selber war, wenn alles technisch auch an seinem Arbeitsplatz stattfand?

Ich glaube, da kann man deutlich mehr Schaden anrichten als wenn man sich 1 Mio. Euro überweist. Die kann man zurückbuchen lassen oder anders zurückholen würde ich behaupten. Ein Imageschaden ist weitaus gefährlicher. Geld kommt wieder.

@vogtsburger schrieb:
Soll das heißen, dass Sie davon recht beeindruckt waren, dass der Vortragende von SmartVerify überzeugt war ?

Nein. DATEV war sehr begeistert von der neuen Funktion. Ich habe innerlich schon wieder Klicks gezählt und dachte nur: wow - grandioser, umständlicher Workflow. Nichts ist auch nur annähernd technisch automatisierbar. Da muss ich @jjunker Recht geben. Unsere Mandanten freuen sich nicht wirklich.

@NadimBhatti: So hätte ich das auch besser "verkaufen" können. Wird dann aber daran scheitern, dass man wohl nach einmaliger PIN Eingabe nicht nochmal die PIN Eingabe starten kann, wenn die im Windows RAM liegt. Das ist ja der Vorteil der SmartCard aber ja, auch ich würde auf SmartLogin umsteigen wollen. Das haben auch andere erkannt: Unternehmen Online - Wechsel Ebics User (Zahlungsfreigabe) von SmartCard auf SmartLogin

Fakt ist: Diese DATEV Idea ist durch und da können wir uns noch so aufregen. Müssen wir mit leben. Eigentlich wollte ich auch gar nicht so ein Fass aufmachen und wollte nur bei der "Administration" der DATEV Ideas noch ein wenig Input geben. Mehr wollte ich nicht 😄. Kann ja keiner ahnen, dass ich da sowas lostrete 😬. Komme mir ja vor wie Elon Musk, der mit Bitcoins machen kann, was er will 🙈.

EBICS sichere machen

eliansawatzki — Wed, 19 May 2021 18:27:00 GMT

Was meinen Sie genau mit Dummheit?

EBICS sichere machen

metalposaunist — Wed, 19 May 2021 18:28:48 GMT

@eliansawatzki schrieb:
Was meinen Sie genau mit Dummheit?

Den Arbeitsplatz nicht zu sperren. Wer fahrlässig handelt, muss auch die Konsequenzen zumindest kennen.

EBICS sichere machen

eliansawatzki — Wed, 19 May 2021 18:51:25 GMT

Ich denke, dass die wenigsten Menschen, die ihren Bildschirmarbeitsplatz ohne ihn zu sperren verlassen, eine mangelnde Begabung auf intellektuellem Gebiet innehaben. Ich weiß natürlich wie Sie ihre Aussage meinen. 😊

Wenn durch Technik die möglichen negativen Folgen von menschlichem Fehlverhalten oder Vorsatz minimiert werden können, sollte sie m. E. unter Berücksichtigung und Abwägung aller widerstreitender Interessen zum Einsatz kommen.

EBICS sichere machen

metalposaunist — Wed, 19 May 2021 19:14:55 GMT

@eliansawatzki: Da bin ich prinzipiell bei Ihnen 😊. Dennoch halte ich SmartVerify nur für eine Hürde aber keinesfalls eine technische Sicherheit oder den heiligen Gral zwecks Sicherheit. Ein paar Gedanken aus der Dusche 🚿:

DATEV hat bei der SmartCard keinerlei Vorgaben zum Passwort. 6 Zeichen reichen aus. Das kann zum Beispiel der eigene Geburtstag oder der Kinder, der Frau sein. Das Niveau ist hier im Vergleich zu anderen DATEV Lösungen (SmartLogin, DATEVasp, ...) sehr gering. Das finde ich sehr bedenklich ☝️. Selten sieht man ein Passwort, dass aus mehr als nur Zahlen (Nummernblock) und 6 bis 8 Zeichen besteht.
Mit viel Glück klebt das Passwort als analoger, papierhaltiger Post It unterm Monitor, der Schreibtischunterlage - allgemein irgendwo am Arbeitsplatz. Nicht im Kopf, nicht in einem Passworttresor.
Man besorge sich einen USB-Stick der mini Variante und baue ihn zum Keylogger um, der sich als Tastatur ausgibt. Dass der USB-Stick steckt, werden nur wenige bemerken und sich dann auch noch fragen: was ist das? 🤔 und anschließend auch noch was unternehmen. Dann sollte man nach einem Pattern suchen können und hat die PIN, die man braucht. Dass via Software die USB-Ports dicht gemacht werden, habe ich auch noch bei keinem StB gesehen.
Drahtlose Logitech Geräte waren / sind angreifbar und somit lassen sich ebenfalls Tastatureingaben abgreifen. Nach einem Pattern suchen, PIN erfolgreich abgegriffen.
...

Wie der Leoni-Betrug abgelaufen ist

IT Sicherheit. Das große Ding der nächsten Jahre oder es entwickelt sich zum Dauerbrenner mit immer neuen Methoden, Angriffen, Lücken und potentiellen Fehlerquellen. Man muss die Menschen mitnehmen anstatt Ihnen durch Programme das eigene Denken abzunehmen. Beispiel von @deusex. Programme können viel, leider nicht alles und enthalten selbst eine Vielzahl an Lücken: Das Jahr der unsicheren Sicherheitssoftware

Wenn sich DATEV (@Thomas_Neumeier) zu meinen Gedanken sicherheitstechnisch in Bezug auf SmartVerify äußern möchte, nur zu. Ich kann aber auch verstehen, wenn nicht.

EBICS sichere machen

renek — Thu, 20 May 2021 05:22:03 GMT

@eliansawatzki schrieb:
Es muss keine PIN mehr eingegeben werden.

Ja, da liegt natürlich der Fehler beim User.... NEIN, natürlich nicht! Der liegt schon bei der Datev! Wir bspw machen alles über Zahlungsverkehr. Dort muss ich doch auch bei JEDER Überweisung den PIN neu eingeben! Warum wird das bei DUO nicht gemacht? DAS müsste geändert werden - nicht ein zusätzliches Verfahren zur Identifikation einführen.

Und zum Thema Mitarbeiter sperrt Computer nicht (Bildschirmsperre reicht nicht 😄 😞

Ex-Kollegen von mir haben das auch schon gemacht. Da Datev ja auch immer Powerpoint mitbringt, sind da schnell Präsentationen mit dem "bsod" erstellt. Mit richtig blöden Fragen wie "Sie wollen wirklich die Festplatte löschen? Ja/Nein/Vielleicht". Man glaubt gar nicht wie lustig es ist den Kollegen verzweifelt vorm PC sitzend zu sehen bis dann endlich die letzte Folie kommt mit "reingelegt, hättest Du mal den PC gesperrt"... Finde ich noch immer lustig. Nebeneffekt: Der Kollege hat nie mehr vergessen den PC zu sperren. Ziel erreicht!

EBICS sichere machen

eliansawatzki — Thu, 20 May 2021 05:35:40 GMT

Vorsatz kann man nicht ausschließen.

Mir geht es nicht darum, einen Versucher von Fehlern zu suchen.

Ich habe lediglich erläutert, welchen zusätzlichen Sicherheitsgewinn eine zusätzliche PIN-Eingabe bringt. Das dies in der Beurteilung als Außenstehender mit einer einfachen zusätzlichen PIN-Abfrage komfortabler als mit SmartVerify wäre sehe ich genauso.

Hier sind auf jeden Fall bis zum jetzigen Zeitpunkt alle zufrieden mit dem Sicherheitsgewinn und der Prozess verursacht keine Schwierigkeiten.

EBICS sichere machen

renek — Thu, 20 May 2021 05:45:10 GMT

Ich habe lediglich erläutert, welchen zusätzlichen Sicherheitsgewinn eine zusätzliche PIN-Eingabe bringt.

Der steht außer Frage. Im Übrigen könnte man auch noch zusätzlich den Daumenabdruck nehmen und einen Irisscan durchführen. Auch das würde bestimmt Anhänger finden die es mit "höhere Sicherheit" für gut befinden.

ABER. Datev könnte auch die PIN-Abfrage für jede Überweisung neu starten. Da müsste keine zusätzlich Software installiert werden...

Das ich Sie zitiert habe, liegt an Ihrer Aussage das Datev eben nicht mehr bei Überweisungen die PIN abfragt. DAS ist mir, da ich Bank online nicht nutze, nicht bekannt gewesen. Und es ist auch für mich ein no-go!

Die Aussage mit "Bildschirmsperre" ist natürlich ein Mitarbeiterproblem. Lässt sich aber durch "Spielereien" wie beschrieben abstellen. Andernfalls muss der MA eben darauf hingewiesen werden, dass er haftbar gemacht werden kann, wenn er seine Pflichten verletzt. Und da gehört das Sperren des Arbeitsplatzes beim Verlassen ehrlicherweise doch dazu.

EBICS sichere machen - Status geändert in: Umgesetzt

Nina_Naßler — Mon, 28 Jun 2021 11:57:09 GMT

Es sind nun alle Bestände erfolgreich für den neuen Prozess der elektronischen Unterschrift bzw. Initialisierung mit SmartVerify freigeschaltet. Alle EBICS-Nutzer können somit mit der neuen 2-Faktor-Authentintifizierung arbeiten.

EBICS sichere machen

metalposaunist — Mon, 28 Jun 2021 12:00:08 GMT

@Nina_Naßler schrieb:
Alle EBICS-Nutzer können somit mit der neuen 2-Faktor-Authentintifizierung arbeiten.

Fast alle: SmartVerify mit SmartLogin geht nicht

@Nina_Naßler: Ursache war aber nicht der 1 Kudo Wunsch, sondern Vorgaben der EU dank PSD2? Ist das so richtig? Auf viel Gegenliebe stößt SmartVerify bei unseren Mandanten und auch in der Community nicht 😶.

EBICS sichere machen

jjunker — Mon, 28 Jun 2021 12:06:18 GMT

@metalposaunist Nicht viel Gegenliebe? Der war gut. erste Mandanten fragen was wir statt DUO anbieten können.

Smart ist an dem Verify mal so gar nichts. 🙄

EBICS sichere machen

olafbietz — Mon, 28 Jun 2021 12:11:37 GMT

Bei uns auch negative Rückmeldungen.

EBICS sichere machen

jjunker — Mon, 28 Jun 2021 12:13:08 GMT

Smart Verify über Bord werfen - DATEV-Community - 227488 bitte hier klicken

EBICS sichere machen

metalposaunist — Mon, 28 Jun 2021 12:23:00 GMT

@jjunker: Deshalb hatte ich @Nina_Naßler ja gefragt 😉. Wenn die EU mit PSD2 dahinter steckt, wird diese Idea gleich aus gesetzlichen Gründen gekippt werden müssen. Und ich glaube, es ist eher so eine Idea wie: Alte Rechteverwaltung online nicht abschalten

Einmal den Schritt gemacht, gibt's kein zurück mehr. Wie soll man das "verkaufen"? Vielleicht wäre es besser gewesen, man hätte bei der Entwicklung ein paar Freaks aus der DATEV Community einbezogen, die dann an einigen Stellen hätten eingreifen können. So müssen wir das beste draus machen. Kommt, was da wolle.

An sich ist die neue Rechteverwaltung online im Nachhinein nun nicht so schlimm, wie anfangs aber eben auch weit weg von perfekt oder viel besser als vorher. Aber auch das war ja meine ich damals nicht das Ziel, sondern DATEV hat Technik im Hintergrund abgeschaltet, die eine neue RVo brauchten und dann hat DATEV den Status Quo eben nur in schön geschrieben. Neue Funktionen kommen trotzdem zu langsam und dann nicht immer unsere Wünsche. Hm.

EBICS sichere machen

jjunker — Mon, 28 Jun 2021 12:27:51 GMT

@metalposaunist Sorry das sehe ich anders. Gäbe zig Möglichkeiten die Anforderungen der PSD2 umzusetzen. Welche wird gewählt?

Prolog:

"Wo können wir noch jemandem einen Hut aufsetzen"

"Dafür muss eine neue Software her"

"Wie Soll Sie heißen?"

"Auf jeden Fall smart!, klingt cool!"

Praktikant: "Ich hätte da eine Idee, wir könnten eine zweite Abfrage der Pin über das Sicherheitspaket auslösen?"

"ne da gibbet ja keinen Projektverantwortlichen für"

"Außerdem können wir dann Smart nicht nochmal verwenden"

Ich habe heute 😡Laune

EBICS sichere machen

metalposaunist — Mon, 28 Jun 2021 12:30:42 GMT

@jjunker schrieb:
Gäbe zig Möglichkeiten die Anforderungen der PSD2 umzusetzen.

Das habe ich ja nicht bestritten 😉. Aber jetzt von VW auf BMW umzusteigen ist auch nicht sinnvoll und wer weiß, was es für Limits im RZ oder anderswo gab. Wissen wir ja alles nicht und Du erinnerst Dich an unser Gespräch? 😉

Lass uns das beste draus machen mit Alt+Tab, Tastenkombinationen zum Starten des Programms und Tab zum Wechsel der Buttons.

EBICS sichere machen

jjunker — Mon, 28 Jun 2021 12:35:15 GMT

😐😑🤐*Zähneknirsch* Ganz ehrlich. Fliegt Bank Online bei den großen Mandanten eben raus. Wenn zum Jahresende hin in Q4 die Schnittstellen für die ERP Anbieter geöffnet werden kommt da ordentlich Konkurrenz. --> Die Haben auch eigene Banking Programme an Bord.

Mir steht es heute bis .....

EBICS sichere machen

Nina_Naßler — Tue, 29 Jun 2021 11:49:50 GMT

Hallo @metalposaunist,

ich bin Ihnen noch eine Antwort schuldig: Nein. Ausschlaggebend für die Umsetzung dieses Wunsches war weder der 1 Kudo noch die PSD2 Richtlinie. Vielmehr liegt der Grund darin, dass Sicherheit bei DATEV groß geschrieben wird.

So ist auch die Sicherheit beim Banking durch nichts zu ersetzen – außer durch noch mehr Sicherheit. Aus diesem Grund haben wir für Bank online auch beim technisch bereits sehr sicheren EBICS-Verfahren die 2-Faktor-Authentifizierung eingeführt.

EBICS sichere machen

jjunker — Tue, 29 Jun 2021 12:06:55 GMT

@Nina_Naßler Dann bitte direkt die zwei Option einführen.

Angsthase --> Mit Smart Verify

Prozessorientiert --> ohne Smart Verify.

Einzustellen Durch den Admin und schriftlicher Freigabe des Mandanten.

Danke für den ersten Sargnagel R.I.P Smart Verify. 😎

@metalposaunist uns wurde also ohne Not ein gut Funktionierender Prozess kaputt gemacht, 😒

EBICS sichere machen

metalposaunist — Tue, 29 Jun 2021 12:22:18 GMT

@jjunker schrieb:
@metalposaunist uns wurde also ohne Not ein gut Funktionierender Prozess kaputt gemacht,

So würde ich das wohl auch verstehen. Passt wieder so richtig in den DATEV Admin-Alltag 😶.

@Nina_Naßler schrieb:
Vielmehr liegt der Grund darin, dass Sicherheit bei DATEV groß geschrieben wird.

Jap, das stimmt. Leider aber ab und zu so groß, dass ich Angst habe, dass DATEV den Anschluss an aktuelle technologische Ideen verliert. Der ganze Prozess ist jetzt noch manueller geworden. Ohne BatchBooking scheint das ja noch schlimmer zu sein. Zumal ich in meinem Post hier technische Dinge angesprochen haben, die eine 2. PIN Eingabe auch nicht sicherer machen. Wenn's der Sicherheit nach geht, gehen wir zur Bank und schauen den Mitarbeitern über die Schulter, ob auch ja jede Überweisung korrekt abgetippt wurde ... Sicherheit in allen Ehren aber wenn, dann bitte technisch richtig umgesetzt oder gar nicht.

Sorry, überzeugt mich (technisch) wieder nicht. 😶

EBICS sichere machen

Tobias_Ettl — Mon, 05 Jul 2021 10:31:46 GMT

Sorry, kein Verständnis - Windows-Taste + L

EBICS unsicherer als HBCI, ich möchte gar nicht wissen, wie die HBCI-Zugänge von manchen verwaltet werden, wenn ich diese Anfrage sehe - nichts für ungut...

Gratulation an die DATEV...

EBICS sichere machen

metalposaunist — Mon, 02 Aug 2021 09:46:16 GMT

Statt mit einem USB-Dongle als Keylogger, geht das unter Android auch einfach mit Maleware: Vultur: Android-Trojaner späht Login-Daten für Bankkonten und E-Wallets aus

Also 2x die PIN am gleichen Gerät einzugeben, erhöht keinesfalls zwangsweise die Sicherheit. Eher im Gegenteil und bestätigt nochmal die Richtigkeit der PIN für Hacker.

EBICS sichere machen

renek — Mon, 02 Aug 2021 09:47:38 GMT

@metalposaunist Daher sollte man biometrische Daten nutzen. die spielen bei diesem Trojaner keine Rolle 😉

EBICS sichere machen

deusex — Mon, 02 Aug 2021 09:54:29 GMT

Vorher: Unterschrift wurde in DUO Bank online mit dem Bezahlvorgang via MyDentity ausgeführt. Ohne MyDentity keine Zahlungsausführung. Zuvor hat man zunächst den MyDentity in Besitz bringen müssen und die Zugangsdaten haben, um sich überhaupt anmelden zu können.

Nachher: Anmeldung und Bezahlvorgang ist derselbe, nur dass ein weiteres Programm, auf dem selben Rechner, mit gleichem Sicherheitsmedium, gestartet wird und dort die Unterschrift ausgeführt wird, um nachher wieder in Bank online die Zahlung auszulösen.

Änderung: Zwischenschaltung eines zusätzlichen Prozesses, der auf demselben Gerät, mit demselben Sicherheitsmedium legitimiert wird.

Frage 1: Wird die Sicherheit wirklich verbessert, wenn man bspw. noch drei weitere Sicherheitsabfragen über drei weitere Prozesse einfügt, die auf dem ein und denselben Gerät und Sicherheitsmedium stattfinden ?

Frage 2: Wenn statt einer, drei wasserdichte Regenjacken getragen werden, ist das dann nützlich oder schränkt es vielleicht nur die Bewegungsfreiheit ein?

M.E. macht dies doch nur dann Sinn, wenn man SmartVerify als 2FA über das Smartphone ausführen müsste, denn eine 2FA liegt schlichtweg nicht vor !

Geläufige Praxis: Login mit Zugangsdaten und Passwort und als 2FA bspw. den "Google Authenticator" (bspw. BMWi).

Fazit zu EBICS-Mydentity-SmartVerify-DATEV jetzt:

Hat ein wenig was von einer verschlüsselten Anlage in einer E-Mail und in einer Folge-Mail an gleiche Adresse überlässt man das Passwort oder noch besser, man erhält es gleich in derselben Mail mit der verschlüsselten Anlage (was nicht selten der Fall ist); letzteres käme m.E. der neuen Variante in Bank online / EBICS sogar noch näher.

Wer die Entfernung in der EDV mit "Klicks" misst, wird natürlich schon vor den Kopf gestoßen. Ein befreundeter Mandant (Systemhaus) trägts zumindest mit (süffisantem) Humor, hat aber tagtäglich eine Vielzahl von Überweisungen zu erledigen, womit ich mir nicht sicher bin, wie lange er sich das anschaut.

EBICS sichere machen

metalposaunist — Mon, 02 Aug 2021 09:55:10 GMT

@renek schrieb:
@metalposaunist Daher sollte man biometrische Daten nutzen. die spielen bei diesem Trojaner keine Rolle 😉

Mag sein, dass das bei diesem Trojaner keine Rolle spielt. Aber heißt ja nicht, dass es andere tun 🤔? Ich kenne Android nicht aber Apple traue ich da wieder mehr Sicherheit zu, wenn die biometrischen Daten nur auf dem Gerät und dort sogar mit einem extra Chip abgesichert gespeichert werden. Wenn solche Daten bei Android "einfach so" im Betriebssystem liegen - gute Nacht 🌙.

@deusex: Sehr schön 🤓.

Leider wurde die DATEV Idea von @jjunker ja schon abgelehnt: Smart Verify über Bord werfen Also müssen wir erst einen funktionsfähigen Exploit inkl. PoC vorlegen, damit sich was in Sachen Sicherheit tut? 🤓

EBICS sichere machen

jjunker — Mon, 02 Aug 2021 10:25:24 GMT

@metalposaunist Die Idee war nur wenige Stunden online und hat sieben Zustimmungen erhalten.

Die dann einfach zu zumachen ist nicht richtig, Das ist in etwa so wie.

Wir spielen Mindmapping legen aber Tabuwörter fest.

Thema "Kostenreduktion" --> Verboten ist das Wort "Lieferantenwechsel".

DATEV IDEAS --> Neue Produkte grundlegend kritisieren und um Unterstützung werben? --> Verboten.

Ganz großes KINO

@Nina_Naßler Fair Play geht anders. Auch wenn Sie das wahrscheinlich auf Anweisung von oben machen mussten. Statt mit Argumenten das eigene Produkt vertreten unterbinden wir einfach mal die Diskussion...

unter anderem ein Grund warum meine Kritik in letzter Zeit etwas schärfer aus fällt.

Können sie ja vielleicht dem Großkopferten dem die IDEA nicht passte ausrichten. Danke.

EBICS sichere machen

deusex — Mon, 02 Aug 2021 11:44:47 GMT

Nun, der Wunsch von @alexander_dasilvaseboe wurde zu seiner Freude umgesetzt. Wohl nur zu seiner 😉 .

"Datev sollte vor der Überweisung mit EBICs mich nochmals per SmartLogin legitimieren."

Schon im Grunde aber schon bedenklich: "Wenn jemand Zugriff auf den Rechner hat." Warum ist das so ?

Dann ist doch primär der Zugriff zu beschränken und ggf. "win+l" wenn man aufsteht und/oder die Anwendung verlassen, auch wenn man nur kurz für kleine Buchhalter muss oder ggf. über strg-shift-entf (hilft m.E. auch zum Abmelden).

Sollte die Lösung nicht eher so aussehen, dass man sich per SmartLogin in solchen Fällen, einfach zusätzlich ausloggen können sollte und das nicht nach einem fixen timout geschieht ?

Es könnte so einfach sein. Stattdessen wird die Mehrheit der Anwender in Sippenhaft genommen, weil EINER seinen Rechner nicht ordentlich verlässt. Muss man sich nicht vorstellen.

EBICS sichere machen

jjunker — Mon, 02 Aug 2021 12:00:39 GMT

@deusex 👍Die Insel der Glückseeligen mit einem Minimum an Intelligenz wurde noch nicht gefunden oder? Das wäre mein erstes Auswanderungsziel.

EBICS sichere machen

metalposaunist — Mon, 02 Aug 2021 12:04:09 GMT

@jjunker schrieb:
Das wäre mein erstes Auswanderungsziel.

Kann ich mitkommen? Muss ich erst eingebürgert werden? 😂 Gibt's da WLAN? Wenn nicht, einfach eine Runde Starlink besorgen.

EBICS sichere machen

olafbietz — Mon, 02 Aug 2021 12:33:24 GMT

@jjunker schrieb:
...unter anderem ein Grund warum meine Kritik in letzter Zeit etwas schärfer aus fällt.

Ah! Sie sind in Phase IV. Ich bin in Phase V. Also abwarten, es wird bald ruhiger.

Zur Erläuterung, hier die Phasen:

Phase I: Feststellung einer Verbesserungsmöglichkeit / Kritik an ungünstigem Zustand

Phase II: Einbringung der Idee bzw. Bitte um Abstellung des Fehlers, Ausgiebige Begründung, man ist mit Herzblut dabei

Phase III: Mehrmalige Wiederholung der Phase II, die Begründung wird nachmals erweitert, man ist genervt
Phase IV: Mehrmalige Wiederholung der Phase II, die Kommunikation wird rauer, weil sich nichts tut, Wut macht sich breit.
Phase V: Resignation

EBICS sichere machen

jjunker — Mon, 02 Aug 2021 12:54:28 GMT

@olafbietz 🤣 made my day.

Mal sehen wer mehr Sitzfleisch hat. Ich könnte das ja wie Greta machen. Fridays for digital Solutions und mich in Nürnberg vor die Zentrale setzen.

So lange man wie hier einfach ignoriert wird. DATEV goes denglish – Seite 2 - DATEV-Community - 228764 🙄

EBICS sichere machen

deusex — Mon, 02 Aug 2021 13:02:02 GMT

Definitiv diagnostiziere ich Phase V für mich und obwohl ich mir an sich vorgenommen habe, nicht mehr zu motzen oder mich aufzuregen und einfach das Beste draus zu machen, was wir haben, ertappe ich mich immer mal wieder in Phase IV. Ist dies schon ein Anzeichen von Genesung ?!

Die Insel der Glückseligen existiert und ist leicht zu finden, nur können wir sie nicht sehen. Muss toll dort sein. Eine ordentliche Lobotomie könnte uns diesem Ziel näher bringen. 😆 😜

EBICS sichere machen

jjunker — Mon, 02 Aug 2021 13:06:55 GMT

@deusex Moment ist das nicht dieses gruselige Verfahren wo man Teile des Gehirns verstümmelt?

Ich sprach von Mindestmaß an Intelligenz. Ich hatte keine Grenze festgelegt, Stimmt.

Alles > 120 Punkte ist willkommen.

EBICS sichere machen

metalposaunist — Mon, 23 Aug 2021 17:21:30 GMT

Zwei-Faktor-Authentifizierung: Logins mit Authenticator zusätzlich absichern

Ein einfacher und preisgünstiger Weg ist ein dynamisch erzeugtes, zeitlich begrenzt gültiges Einmalpasswort – ein sogenanntes TOTP (Time-based One-Time Password). Idealerweise wird dieses auf einem getrennten Kanal generiert, etwa durch eine Software, die auf einem zweiten, vom ersten unabhängigen Gerät arbeitet.

Was heise schon sagt 😬.

Steht also in Verbindung mit meiner Idea: Integration des Microsoft Authenticator

EBICS sichere machen

jjunker — Mon, 23 Aug 2021 18:25:37 GMT

Daniel glaubst du an den Weihnachtsmann, die Zahnfee und den Osterhasen?

Die drei müssten schon zusammen arbeiten damit eine/r bei unserer Genosschaft den **bleep** in seiner/ihrer Hose wieder entdeckt, aus der Reihe tanzt und sagt: "smart Verify? Dumme Idee einstampfen."

Dann müsste man ja das Silo einer anderen Abteilung gänzlich in seiner Notwendigkeit in Frage stellen und die Komfortzone verlassen...

Das mit in Phase V aus dem Urlaub kommen wird wohl nichts. 🙈 @olafbietz welche Phase gibt es denn wenn man zum Zyniker wird?

Edit: hiermit stelle ich jeden DATEV Mitarbeiter von jeglicher dummen sozial Media Richtlinie meiner Person gegen über frei. Ich teile mit der großen Kelle aus, ich steck auch gerne im gleichen Maße ein wenn jemand anderer Meinung ist.

EBICS sichere machen

olafbietz — Mon, 23 Aug 2021 20:09:48 GMT

@jjunker Der Zyniker befindet sich im Phase-IV-Endstadium. Er droht allerdings, unmittelbar in Phase VI abzurutschen, dem Zustand innerlicher Kündigung. Die weiteren Phasen hat @einmalnoch im Smalltalk-Thread beschrieben und sollten dort weiterdiskutiert werden. Oder wir machen einen Phasen-Thread auf.

EBICS sichere machen

metalposaunist — Sun, 09 Jan 2022 13:09:46 GMT

@metalposaunist schrieb:
Man besorge sich einen USB-Stick der mini Variante und baue ihn zum Keylogger um, der sich als Tastatur ausgibt.

Ich weiß, Offtopic aber man muss kein Held sein, um zu wissen, dass solche Hirngespinste schon Realität sind: FIN7-Hacker USB-Sticks: Erpressungssoftware kommt per Post

Und nein, leider kann man nicht zu 100% davon ausgehen, dass alle so weit denken und nichts Fremdes an den PC anstecken - egal, von wem es angeblich kommt.

Dann muss man also mit Software arbeiten, die USB-Ports sperrt und Ausnahmen für DATEV / KOBIL hinterlegen.

Aber egal, SmartVerify ist gekommen, um zu bleiben und weil HBCI aka finAPI mit Umsatzvormerkposten und dem Saldo schon mal vor die DATEV-Sammlerwand fahren kann, bleibt nur EBICS mit SmartLogin, wobei ich letztens jemanden am Telefon hatte, der wohl gefühlt ein Android 4 Smartphone nutzt ... Schöne, neue Technikwelt.

EBICS sichere machen

metalposaunist — Sun, 12 Jun 2022 12:54:02 GMT

Liebe DATEV,

aufgrund der Berichterstattung bzgl. S-Protect der Sparkassen, frage ich hier nochmal ernsthaft an, ob SmartVerify von offiziellen Dritten technisch als so sicher abgesegnet wurde, wie es uns DATEV verkauft.

S-Protect: c’t entdeckt Sicherheitsmängel in Banking-Software der Sparkasse

Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?

2. Nachlese zum gehärteten Sparkassen-Browser S-Protect

Ich bekomme mehr und mehr Zweifel, dass es sich hier schlicht um eine ABM Maßnahme handelt, wenn man SmartCard und das zusätzliche Programm nutzt. Bei Verwendung von SmartLogin habe ich ein besseres Bauchgefühl. Das muss aber nichts heißen. Ich bin auch "nur" IT-Endanwender.

Ich hatte HIER ja schon einige Gedanken zusammen geschrieben.

Zusätzlich gibt es gleich zwei Ideas, die ebenfalls Zweifel äußern:

Smart Verify Wahlmöglichkeit programmieren

Smart Verify über Bord werfen

EBICS sichere machen

Nina_Naßler — Thu, 23 Jun 2022 08:57:53 GMT

Hallo @metalposaunist, da kann ich leider nichts dazu sagen 🤔 Ich tausche mich mal mit meinen Kollegen dazu aus und melde mich! Bitte hab etwas Geduld.

EBICS sichere machen

Thomas_Müller — Mon, 27 Jun 2022 08:06:24 GMT

Hallo metalposaunist,

vielen Dank, dass du dir über die Berichte zu den Schwachstellen im Banking-Browser S-Protect Gedanken machst und vor allem, dass du sie hier mit uns und allen anderen teilst. Allein das führt zu einer größeren Security-Awareness 😊

Die bekannten bei S-Protect gefundenen Schwachstellen und Möglichkeiten zum potentiellen Abzug von Daten sind bei DATEV-Produkten nicht vorhanden.

Alle unsere Softwarelösungen werden in genau definierten Zyklen immer wieder einer Sicherheits-Penetration unterzogen und potenzielle Schwachstellen umgehend beseitigt. Es ist aber auch klar und wir haben es ja auch schon oft erwähnt – eine 100% Sicherheit gibt es nicht. Darum setzen wir bei DATEV auf Weiterentwicklung in der Security und wie wir unsere Sicherheitstests durchführen.

Zu Deinen Anmerkungen bezüglich der Kombination von SmartCard und SmartVerify. Grundsätzlich geht es bei jeder Anwendung einer 2Faktor-Authentifizierung um Besitz und Wissen. Beide Komponenten müssen grundsätzlich voneinander trennbar sein. Eine SmartCard kann ich vom Rechner abziehen, das Wissen kann den Raum verlassen. Das eine und das andere ist aber immer nur so sicher, wie der Zugang dazu. Hängt mein Wissen auf einem Post-It am Monitor und ist der Zugang zum Besitz nicht ausreichend geschützt, wird jeder 2Faktor-Schutz ausgehebelt. Egal ob der Besitz eine SmartCard oder ein Handy ist. OK, man könnte jetzt meinen, dass jedes Handy mit einem weiteren Password gesichert sein sollte – Ist das tatsächlich so? Wer sorgt dafür das die Smartphones tatsächlich ausreichend vor einem fremden Zugriff geschützt werden?

Bitte nicht falsch verstehen, ich will die Umsetzung von 2Faktor-Lösungen mit SmartPhones als weitere Besitzkomponenten nicht – aus einer persönlichen Haltung heraus – ausschließen. Ich möchte nur verdeutlichen, dass ein zweiter Faktor immer nur dann funktioniert, wenn auch im Umgang mit diesen eine ausreichende Security-Awareness vorhanden ist. Egel um welche Art des zweiten Faktors es sich konkret handelt.

Mit freundlichen Grüßen aus der DATEV

Thomas Müller

EBICS sichere machen

metalposaunist — Mon, 27 Jun 2022 17:04:17 GMT

@Thomas_Müller schrieb:
Die bekannten bei S-Protect gefundenen Schwachstellen und Möglichkeiten zum potentiellen Abzug von Daten sind bei DATEV-Produkten nicht vorhanden.

Echt? DATEV Ist Keylogger sicher? Der kam bei S-Protect ja auch zum Einsatz und konnte relativ einfach umgangen werden. Das lädt zum Ausprobieren ein 😎.

Schade, dass Du nicht konkret auf die Fragen aus den zahlreichen Kommentaren der Idea eingehst und eher allgemein bleibst. Ich quatsche den Günter Born mal an. Der hat ja immer ein offenes Ohr für sowas 😊.

EBICS sichere machen

Thomas_Müller — Tue, 28 Jun 2022 08:06:48 GMT

@metalposaunist schrieb: Echt? DATEV Ist Keylogger sicher? Der kam bei S-Protect ja auch zum Einsatz und konnte relativ einfach umgangen werden. Das lädt zum Ausprobieren ein 😀
.

Hallo metalposaunist,

grundsätzlich kann ein kompromittiertes System nicht durch eine einzige Software zu 100% geschützt werden. Wenn das S-Protect versucht zu verkaufen, ist das die Entscheidung des Softwareherstellers. Ich würde diese Aussage nie treffen.

Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen. Nur wenn alle Teile der Verteidigungslinien zum Schutz vor Cyber-Attacken zusammenspielen, kann man sich angemessen verteidigen.

Nochmals, einen 100%igen Schutz gibt es nicht. Trotzdem hast Du natürlich Recht, man darf sich nicht hinter anderen Verteidigungslinien verstecken. Jeder ist in diesem Spiel gefordert und muss seinen Beitrag leisten. Wir sind uns dessen absolut bewusst.

Gerne kannst Du dir die DATEV-Software ansehen und uns auf potenzielle Schwachstellen melden. Solltest Du Hinweise auf potentielle Schwachstellen finden, würden wir Dich um einen vertraulichen Informationskanal bitten. So haben wir Gelegenheit angemessen zu reagieren. Dieses Verfahren praktizieren wir schon seit Jahren sehr erfolgreich. Wir scheuen uns nicht vor externen Meldungen, freuen uns an der Stelle über eine enge Zusammenarbeit mit kompetenten Sicherheitsexperten.

@metalposaunist schrieb: Schade, dass Du nicht konkret auf die Fragen aus den zahlreichen Kommentaren der Idea eingehst und eher allgemein bleibst. Ich quatsche den Günter Born mal an. Der hat ja immer ein offenes Ohr für sowas.

Da wo ich konkret, bzw. tiefer in Details zu DATEV-Security-Themen einsteigen kann, da werde ich das immer tun!

Ich lese hier im Forum die Nachrichten an mich, in Bezug auf Security-Themen oder Beiträge, in denen ich zitiert werde. Bitte hab dafür Verständnis, dass nicht immer ich persönlich antworten kann, meine Kolleginnen und Kollegen aus den Produkten, machen aber hier in der Community einen super Job. Ganz offen gestanden bin ich auch nicht der Typ, der bereits gegebene Antworten, die in der Sache passen noch einmal wiederholen muss, nur damit ich sie selbst geschrieben habe. 😎

Viele Grüße aus der DATEV,

Thomas Müller

EBICS sichere machen

jjunker — Tue, 28 Jun 2022 08:41:41 GMT

@Thomas_Müller Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen. Nur wenn alle Teile der Verteidigungslinien zum Schutz vor Cyber-Attacken zusammenspielen, kann man sich angemessen verteidigen.

👍Wenn das nur mal jeder verinnerlichen würde.

EBICS sichere machen

metalposaunist — Mon, 14 Nov 2022 21:19:03 GMT

@Thomas_Müller schrieb:
Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen.

Und dann kommt Hak5 Rubber Ducky. Gut, dass uns SmartVerify davor schützt 😂. SmartVerify ist eine ABM. Mehr nicht. Welche technischen Maßnahmen gibt es bei der DATEV in Bezug auf den Umgang mit USB-Sticks?

EBICS sichere machen

renek — Tue, 15 Nov 2022 10:36:32 GMT

@metalposaunist

Welche technischen Maßnahmen gibt es bei der DATEV in Bezug auf den Umgang mit USB-Sticks?

Antwort: Bitte sorgen Sie als Admin dafür, dass die Nutzung eines USB-Gerätes ausgeschlossen ist. 😂

EBICS sichere machen

Gelöschter Nutzer — Tue, 15 Nov 2022 11:32:13 GMT

@renek

genau.. usb speicher gehen bei uns nicht…

warum kann man die aufträge nicht mit externem pinpad absichern?

geht das nur mit finapi/hbci?

EBICS sichere machen

renek — Tue, 15 Nov 2022 11:56:00 GMT

@Gelöschter Nutzer

liegt wohl daran dass es die DATEV so nicht umsetzt. Es muss eine Authentifizierung erfolgen. Unsere liegt auf der Smartcard mit PIN. Der EBICS-User ist daran gekoppelt. Man müsste dann eben in DUO oder Zahlungsverkehr die Möglichkeit schaffen auf andere Sicherheitsgeräte nutzen zu können. Ist bei EBICS wohl schlicht nicht vorgesehen...

EBICS sichere machen

Gelöschter Nutzer — Tue, 15 Nov 2022 13:12:13 GMT

Kann man das Ding..

https://www.datev.de/web/de/datev-shop/it-loesungen-und-security/datev-smartcard-classic/

..mit einem Reiner SCT vielleicht sogar nutzen?!

Zur Not Tacker ich mir so ein PinPad neben die Tastatur... ist zumindest sicherer als dies hier.

EBICS sichere machen

metalposaunist — Mon, 28 Nov 2022 22:08:05 GMT

@metalposaunist schrieb:
Welche technischen Maßnahmen gibt es bei der DATEV in Bezug auf den Umgang mit USB-Sticks?

Scheinbar keine? Hm.

Vielleicht teste ich bei uns mal aus: Sicherheitsrisiko USB-Stick: Microsoft mit neuen Schutzmaßnahmen Ist bei uns im Preis für 365 mit drin. Warum dann nicht nutzen.