Idee "Zu schneller Logout bei Smartlogin" in Ideen zu Unternehmen online

Zu schneller Logout bei Smartlogin

kh_k — Thu, 09 May 2019 19:56:53 GMT

Als Unternehmer möchte ich, dass die Logout-Zeit bei Smartlogin deutlich verlängert wird. Es ist absolut unpassend, dass man nach ca. 10 Minuten Inaktivität automatisch ausgeloggt wird. Das ist total übertrieben. Beim MyIDentity-Stick ist das ja schließlich auch nicht so.

Re: Zu schneller Logout bei Smartlogin

mosachse — Fri, 10 May 2019 07:48:18 GMT

Der Auto-Logout ist ein riesiges Problem in der jetzigen Ausgestaltung.

Ein vernünftiges Arbeiten ist kaum möglich. Ständige Neuanmeldung erforderlich. Die Anmeldung mit SmartLogin ist zu langsam (kein wirklich schnelles Starten der App, Passwort zum Glück mittlerweile über Touch bzw. Face-ID, Abscannen dauert zu lange). Insgesamt kann man das nicht ständig machen.

Auch ein Grund warum nach wie vor unzählige mIDentitity-Sticks bei unseren Mdt. im Einsatz sind. Dort kann man den ganzen Tag unterbrechnungsfrei arbeiten, wobei der Stick leider viele andere Nachteile hat.

Bei der genannten Anforderung sehe ich auch kein Problem in Bezug auf die Sicherheit. Standardmäßig der Logout nach 25 Minuten und optional für den User anpassbar. Gerne sogar so weit wie bei vielen anderen Online-Anwendungen "angemeldet bleiben", dann bleibt man drin, bis man sich ausloggt. Dafür muss natürlich der Log-Out-Button kommen, aber das ist ja immerhin schon in Planung. Mehr Mündigkeit für den User!

Re: Zu schneller Logout bei Smartlogin

Thorsten_Jedlitzke — Fri, 10 May 2019 13:52:38 GMT

Die Idee ist bereits in der Umsetzung. Der serverseitige Logout wird in den nächsten Wochen von 15 auf 30 Minuten erhöht.

Hierbei handelt es sich um ein serverseitiges LogOut. Das heißt Aktivität in der Anwendung kann als Inaktivität am Server gewertet werden. Beispielsweise wenn im Kassenbuch ein Beleg aufgeteilt wird, dann wird erst das Speichern des Belegs als Aktivität gewertet. Wenn bei der Erfassung eine Unterbrechung durch einen Kundenbesuch eintritt, kann das mitten in der Erfassung zu einem Timeout führen.

Im neuen Design von Unternehmen online wird deshalb noch zusätzlich im Juni der serverseitige Timeout mit einer Meldung automatisch am Client angezeigt. Im Dialog wird eine komfortable Möglichkeit der Wiederanmeldung ermöglicht. Beim SmartLogin ist dann eine Authentifizierung über den QR-Code notwendig. Erfasste Daten in den Anwendungen bleiben aber erhalten und der Anwender wird durch den Prozess der Wiederanmeldung geführt.

Mit diesen beiden Maßnahmen ist eine individuelle Konfiguration der Timeoutzeit wahrscheinlich nicht notwendig. Eine solche individuelle Konfiguration umzusetzen würde einen erheblichen Entwicklungsaufwand bedeuten. Am Server und am Client müssten verschiedene Systeme angepasst werden und miteinander kommunizieren. Zum heutigen Zeitpunkt ist die Umsetzung einer solchen individuell konfigurierbaren Timeoutzeit unwahrscheinlich.

Re: Zu schneller Logout bei Smartlogin

Thorsten_Jedlitzke — Fri, 17 May 2019 08:05:19 GMT

Seit heute ist das serverseitige Inaktivitäts-Timeout von 15 auf 30 Minuten erhöht worden.

Zu schneller Logout bei Smartlogin

AA — Fri, 02 Oct 2020 07:10:48 GMT

@Thorsten_Jedlitzke Guten Tag Herr Jedlitzke,

ist geplant, die Timeout-Zeiten noch weiter zu erhöhen? Bei der Smartcard kann man den ganzen Tag ohne weitere Unterbrechung nach Bedarf im DUO arbeiten und mit dem Smart-Login muss ich mich jedes mal wieder neu anmelden. Das stört die Abläufe und führt dazu, dass Mitarbeiter ungern mit DUO arbeiten, weil sie mehrmals am Tag ihr Smartphone zücken müssen, um nur mal schnell was nachsehen zu können.

Mit freundlichen Grüßen

Abbey

Zu schneller Logout bei Smartlogin

Thorsten_Jedlitzke — Fri, 02 Oct 2020 14:05:06 GMT

Hallo AA,

letztes Jahr haben wir im Rahmen eines Security-Audits die 15 min auf den Prüfstand gestellt, so das unsere IT-Sicherheitsabteilung der Erhöhung auf 30 min zugestimmt hat.

Dieser Wert gilt übrigens auch für SmartCards. Nach 30 min werden Sie auch dort automatisch abgemeldet. Die erneute Anmeldung ist aber aufgrund des PIN-Caches komfortabler.

Ich gebe Ihre Anfrage an die zuständigen Kollegen der IT-Sicherheit weiter, ob weitere Anpassungen geplant sind bzw. wie der Status ist.

Viele Grüße aus Nürnberg

Thorsten Jedlitzke

DATEV eG - DATEV Unternehmen online

Zu schneller Logout bei Smartlogin

Nina_Naßler — Thu, 15 Oct 2020 06:45:38 GMT

Hallo AA,

gerne leite ich Ihnen die Antwort der Kollegen der IT-Sicherheit weiter:

Bei der Festlegung der Timeout-Zeiten richten wir uns nach den Standards von NIST (National Institute of Standards and Technology https://pages.nist.gov/800-63-3/sp800-63b.html#sec7) und OWASP (Open Web Application Security Project https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html). Sie sind anerkannte Organisationen, die regelmäßig Empfehlungen für die Umsetzung des Stands der Technik liefern und empfehlen eine Timeout-Zeit von 15-30 Minuten, an die wir uns halten.

Eine Verlängerung ist auf dieser Basis daher nicht vorgesehen.

Zu schneller Logout bei Smartlogin

metalposaunist — Thu, 24 Mar 2022 17:08:58 GMT

Warum kann moss das - DATEV aber nicht? 🤔 Wegen der NIST und OWASP? Komisch, dass man moss mit Freude 8h nutzen kann aber man bei DATEV schon Negatives über das SmartLogin hört ...

Und super cool 😎, dass man bei moss nur die 6 Ziffern eingeben muss, ohne nochmal auf OK oder sowas zu klicken 😍.

Bei Apple und Microsoft kann man wählen: Diesem Browser Vertrauen? sodass man sich am gleichen Gerät nicht immer wieder mit einer 2FA einloggen muss, weil man gut betucht ist, das Gerät an sich zu schützen, weil da meist mehr als nur 1 online Account drauf ist.

Zu schneller Logout bei Smartlogin

quantenjoe — Fri, 25 Mar 2022 20:47:20 GMT

Moin Moin

Oder einfach an der IP-Adresse festmachen. Wechsel der Adresse = neu Anmelden.

Übersehe ich da etwas? Ich glaube nicht.

Und warum nicht gleich für Smartcards das einführen. Bei uns z.B. kommt es immer von der selben IP-Adresse. Wenn bei uns jemand unautorisiert im Netz lungert, wird ihn die Zwangstrennung nicht aufhalten.

Zu schneller Logout bei Smartlogin

Thorsten_Jedlitzke — Mon, 28 Mar 2022 06:52:07 GMT

@metalposaunist Da es sich um eine allgemeine Frage zum Re-Login handelt und nicht nur Unternehmen online betrifft, habe ich die Frage an unseren Datenschutz / IT-Sicherheit weiter gegeben.

Viele Grüße aus Nürnberg

Thorsten Jedlitzke

DATEV eG | DATEV Unternehmen online

Zu schneller Logout bei Smartlogin

Thorsten_Jedlitzke — Mon, 28 Mar 2022 07:19:23 GMT

Oder einfach an der IP-Adresse festmachen. Wechsel der Adresse = neu Anmelden.
Übersehe ich da etwas? Ich glaube nicht.

@quantenjoe Die Tücke liegt im Detail. Welche IP-Adresse lassen wir rein und welche lassen wir draußen? Das wäre ein komplett neues Login-Verfahren, dass wir implementieren müssten.

Für den Login prüfen wir aktuell, ob der DATEV Benutzer auch bei Unternehmen online verwendet werden kann. Das hätte für die Anmeldung denselben Effekt einer transparenten Anmeldung im Hintergrund, wie die von Ihnen vorgeschlagene IP-Adresse. Voraussetzung hierfür wäre ein Kommunikationsserver, der in fast allen Kanzleien vorhanden ist.

Das wird aber leider nicht morgen kommen. Folgende Abhängigkeiten müssen dafür gelöst werden.

In Unternehmen online müssten alle Anwendungen ihre Authentifizierungskomponente anpassen. Das ist ein nicht unerheblicher Aufwand, aber machbar.
Die Person als Rechteträger muss als Voraussetzung flächendeckend vorhanden sein, damit die Rechtestrukturen bei den verschiedenen Zugangsmedien identisch sind. Ohne die Person als Rechteträger müssten sonst die Rechte für den DATEV Benutzer für alle Anwender:innen manuell vergeben werden. Das wird voraussichtlich nicht vor Ende 2023 gegeben sein, da in den Kanzleien Aufwand entsteht und wir hier einen Umstellungskorridor von mehreren Monaten planen.

Viele Grüße aus Nürnberg

Thorsten Jedlitzke

DATEV eG | DATEV Unternehmen online

Zu schneller Logout bei Smartlogin

metalposaunist — Mon, 28 Mar 2022 07:37:27 GMT

@Thorsten_Jedlitzke schrieb:
Das wird voraussichtlich nicht vor Ende 2023 gegeben sein, da in den Kanzleien Aufwand entsteht und wir hier einen Umstellungskorridor von mehreren Monaten planen.

Ich dachte immer www.datev.de/par sollte bis Ende 2022 fertig sein 🤔?

Zu schneller Logout bei Smartlogin

wielgoß — Mon, 28 Mar 2022 08:10:35 GMT

Hallo Daniel,

fertig ist das ja und die Freischaltung erfolgt chargenweise. Allerdings haben die Kanzleien danach noch 12 Monate Zeit für die finale Umstellung...da ist man dann irgendwo in 2023.

Beste Grüße

Christian Wielgoß

Zu schneller Logout bei Smartlogin

larsboehnke — Mon, 28 Mar 2022 20:43:26 GMT

fertig ist das ja und die Freischaltung erfolgt chargenweise. Allerdings haben die Kanzleien danach noch 12 Monate Zeit für die finale Umstellung...da ist man dann irgendwo in 2023.

wow. langsam enrährt sich das eichhörnchen.

Zu schneller Logout bei Smartlogin

Thomas_Müller — Tue, 29 Mar 2022 14:00:25 GMT

Hallo zusammen,

@Thorsten_Jedlitzke: Danke für die Einladung hier noch etwas zur Sache beizutragen. Das mach ich natürlich gerne.

Den Wunsch nach Individualisierung können wir auch aus der IT-Security sehr gut nachvollziehen. Es ist nicht unser Ziel, Sicherheitsmechanismen als Gängelei zu implementieren. Der Sicherheitsstandard, den wir erfüllen müssen, ist aber sehr hoch. Beim Vergleich mit Lösungen anderer Hersteller ist es wichtig, die Ziele und die zu schützende Sache zu unterschieden. Dazu aber gleich mehr.

Bei der DATEV eG erhält schon in der Satzung der Datenschutz und die Informationssicherheit einen besonders hohen Stellenwert. Um den Stand der Technik - welcher in den Vorgaben der DS-GVO gefordert wird - umzusetzen, orientiert sich DATEV weiterhin an den etablierten Institutionen und Expertengremien wie dem BSI, OWASP oder NIST.

Kurz gesagt: die Vorgaben zum automatischen Logout, die Zeit zum Auslaufen einer Session, setzen wir gezielt als Vorgabe für die Entwicklung bei DATEV. Sie richten sich nach etablierten und international anerkannten Vorgaben. Es gibt eben auch eine klare Erwartungshaltung zu Datenschutz und Informationssicherheit in unseren Lösungen, die sehr deutlich an uns herangetragen wird.

Der Vergleich mit Unternehmen wie Apple, Microsoft o.Ä. ist aus unserer Sicht schwierig auf eine Linie mit der DATEV eG zu bringen. Diese Unternehmen verfolgen ein anderes Interesse und andere Business-Modelle als die DATEV eG. Nach meiner Einschätzung steht bei diesen Unternehmen besonders die „Online-Zeit“ der Privatanwender im Fokus. Je länger Du online oder eingeloggt bist, umso besser. Man möchte ja wissen was wir alle so online tun. Und bitte nicht falsch verstehen. Ich will hier dieses Vorgehen nicht werten. Mir persönlich gefällt es auch sehr gut, wenn ich mich ohne großen Medienbruch und mit viel Komfort durch die Online- und Cloud-Lösungen meiner Wahl arbeiten kann. 👍

Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist.

Bei der DATEV eG steht die rechts- und datenschutzkonforme Nutzung und Verarbeitung der sensitiven Daten der Kunden und Genossenschaftsmitglieder im Mittelpunkt. Ein Vergleich der umgesetzten Sicherheitsmaßnahmen ist eher mit den Branchen Banken oder Gesundheitswesen zielführend. Meine Banking-App zum Beispiel ist da sehr restriktiv. Selbst ein Screenshot auf meinem Smartphone führt sofort zu einem Ende der aktuellen Sitzung. Da kann man drüber streiten – ich weiß 😉

PS: Auch wir aus dem Bereich IT-Security und Datenschutz schätzen die Anregungen und Diskussionen hier aus der Community sehr. Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können. Das, was hier und in anderen Diskussionen von Euch allen angesprochen wird, nehmen wir aber sehr ernst. Was wir tun können, um auch den Komfort der DATEV-Lösungen zu steigern, das machen wir gerne. Feedback ist aber auf jeden Fall immer willkommen, auch wenn Feedback ab und zu mal weh tut.

Viele Grüße hier aus Nürnberg,

Thomas Müller

IT-Security & Privacy

Zu schneller Logout bei Smartlogin

metalposaunist — Tue, 29 Mar 2022 17:33:05 GMT

Lieber @Thomas_Müller,

vielen Dank für die ausführliche Antwort 🤗. Dann setze ich die Diskussion aus meiner Sicht einmal fort 😉.

@Thomas_Müller schrieb:
Der Sicherheitsstandard, den wir erfüllen müssen, ist aber sehr hoch. Beim Vergleich mit Lösungen anderer Hersteller ist es wichtig, die Ziele und die zu schützende Sache zu unterschieden.

Das verstehe ich nicht so ganz (auch nicht nachdem ich weiter gelesen habe) und für mich liest es sich so, dass DATEV hier herausstechen will und immer "noch einen drauf setzt", weil das andere Unternehmen nicht müssen/wollen/können? Sind DATEV Daten also allgemein "wichtiger" als jene von Microsoft, Apple und Co. 🤔? Ich sehe da ehrlich gesagt keinen großen Unterschied. Daten sind Daten und die gilt es zu schützen 🔒 . Da müsste jedes Unternehmen Interesse daran haben 😉.

Und würden wir Deutschen 🇩🇪 beim Lohn nicht so ein Brimborium machen, sind die Daten noch immer schützenswert, keine Frage aber in unseren Nachbarländern weiß die Bevölkerung zum Teil von sich gegenseitig, was man verdient. Damit ließen sich auch die Lohnunterschiede zwischen Mann 👨 und Frau 👩 senken und auch die Anpassung zwischen Ost und West ginge meiner Meinung nach schneller. Aber hey, wir sind halt deutsch 🇩🇪. Da rütteln wir besser nicht dran 😄.

@Thomas_Müller schrieb:
[...] orientiert sich DATEV weiterhin an den etablierten Institutionen und Expertengremien wie dem BSI, OWASP oder NIST.

BSI? Okay. Möge jeder von halten, was er will. Was ist mit dem CCC? Den finde ich technisch deutlich sympathischer. Ohne den CCC hätten wir heute nur ein halb so sicheres beA 😂. Wo war das BSI? Und warum hat das BSI so lange gezögert, drauf aufmerksam zu machen, dass Kaspersky aus Russland stammt? 🤔 Ich schreibe bewusst nicht Empfehlung.

@Thomas_Müller schrieb:
Sie richten sich nach etablierten und international anerkannten Vorgaben.

Übertrieben gesagt arbeiten also "alle" anderen bekannten Unternehmen dran vorbei; nur die DATEV hält sich dran?

@Thomas_Müller schrieb:
Es gibt eben auch eine klare Erwartungshaltung zu Datenschutz und Informationssicherheit in unseren Lösungen, die sehr deutlich an uns herangetragen wird.

Ja, ich möchte aber hoffen 🙏, dass sich das doch wandeln wird. Man sieht's bei fino aka GrundsteuerDigital. Sobald die Daten nicht mehr im FortKnox Nürnberg liegen, gibt's gleich Panik 😱 und für mich komische Gedankengänge. Aber da stehe ich für einen Wandel ein 🔄. Datenethik spielt da auch eine Rolle 😉. Ob die Daten in Nürnberg oder woanders liegen, spielt keine Rolle. Es geht um den Kern der Sache und alle M365 Anwender müssten sich übertrieben gesagt so selbst anzeigen - die Welt dreht sich weiter. Damit auch die Einstellung dazu. Außer die Datenschutzlobbyisten in Deutschland sind stärker.

@Thomas_Müller schrieb:
Nach meiner Einschätzung steht bei diesen Unternehmen besonders die „Online-Zeit“ der Privatanwender im Fokus. Je länger Du online oder eingeloggt bist, umso besser. Man möchte ja wissen was wir alle so online tun.

Verstehe mich bitte nicht falsch 🙏 aber das liest sich danach, als wüsstest Ihr um Eure eigenen online Anwendungen nicht? 😲 Und wüsstest Ihr auch nicht um Der Bauplan für die neue DATEV-Cloud-Welt? Und DATEV will etwa nicht wissen, wie man out-of-the-box ein neues Programm benutzt und ob der ausgedachte Workflow auch ganz ohne DHC auskommt? Sorry aber DATEV hat auf einem DigiCamp einmal vorgestellt, was man wo wie messen kann und das genau das der DATEV hilft besser zu werden anstatt den User zu überwachen. Da sind wir wieder bei Datenethik und Vertrauen.

Und mit der "Einstellung" kann ich mir auch erklären, warum man DATEV online Anwendungen nicht so mit Freude wie Lösungen von Microsoft und Apple nutzt, weil der DATEV erklärte Ziel gar nicht ist, den User so lange in der DATEV Welt zu halten, weil es Freude und Spaß macht? 🤔

@Thomas_Müller schrieb:
Mir persönlich gefällt es auch sehr gut, wenn ich mich ohne großen Medienbruch und mit viel Komfort durch die Online- und Cloud-Lösungen meiner Wahl arbeiten kann. 👍

Dann ebenso bei DATEV umsetzen. Und: Aussuchen kann man sich nur schwer etwas. Ist ja nicht so, dass man von heute auf morgen in der Taxbranche eine andere Lösung einsetzt und man - nein, man hat eine Wahl 😉 aber nicht vergleichbar zwischen Teams und slack als Beispiel. Da sind sich beide Lösungen technisch ähnlich und auf gleicher Höhe.

@Thomas_Müller schrieb:
Ein Vergleich der umgesetzten Sicherheitsmaßnahmen ist eher mit den Branchen Banken oder Gesundheitswesen zielführend.

Das Gesundheitswesen ist digitalisiert? 🤔 Habe ich etwas verpasst? 😱 eAU und eRezept: verschoben. Elektronische Patientenakte ist nun der heilige Gral. Auch nicht seit gestern und was gab es nicht dort alles für Skandale und ich erzähle besser nicht, was man sonst so zu Ohr bekommt, wie es da abläuft. Also ... dagegen ist DATEV aber 1000x sicherer. Die Röntgenbilder meiner Zähne schickt der alte Zahnarzt dem neuen dann per E-Mail. Ich nehme stark an nicht via DATEV E-Mail Verschlüsselung. Und bei der Techniker kann man nun seine Mitgliedschaft auf einem Fax ausgeben lassen 😂.

Und wo wir gerade beim Thema Usability vs. Sicherheit sind: Kannst Du uns sagen, wie es dazu gekommen ist 🤔? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte 😞.

Gleichzeitig sagst Du:

@Thomas_Müller schrieb:
Es ist nicht unser Ziel, Sicherheitsmechanismen als Gängelei zu implementieren.

Aus unserer Anwendersicht ist das tatsächlich nur schwer nachzuvollziehen. Gerne können wir auch über die im Thread genannten "Umgehungsmöglichkeiten" quatschen ✌️.

Zu schneller Logout bei Smartlogin

quantenjoe — Tue, 29 Mar 2022 21:32:40 GMT

Moin Herr Müller,

und erstmal - wie der Metalposaunist: Danke dass sie sich in die Diskussion einschalten und stellen!

Dies ist meine ganz persönliche Antwort, niemand muss mit ihr übereinstimmen. Ich kann manches auch missverstehen. Ich schreibe so, wie es bei mir ankommt und möchte alles als Verbesserungsvorschlag gelesen wissen! Egal wie es formuliert ist!!!

Es ist nicht unser Ziel, Sicherheitsmechanismen als Gängelei zu implementieren.

Gehe ich auch nicht von aus. Macht auch keinen Sinn. Aber die Frage muss gestattet sein: Ist "Sicher" eigentlich sicher?

Da gab es in der Vergangenheit schon einige Ansichtswechsel. Sei es, dass die NIST lange Passworte gegenüber komplizierten bevorzugte, sei es, dass selbst MS herausfand, dass ein regelmäßiger (vielleicht auch noch schneller) Passwortwechsel keine zusätzliche Sicherheit bringt, solange es keinen Hinweis gibt, dass das IT-System kompromittiert ist. In beiden Fällen ergab die neue Sicht einen Sicherheitsgewinn.

Der Sicherheitsstandard, den wir erfüllen müssen, ist aber sehr hoch

Naja, halt DSGVO auch für nicht personenbezogene Daten. Sehe ich nicht so wirklich den "großen" Unterschied. Womit ich das Schutzniveau nicht herunterspielen will, nur halt, dieses Schutzniveau gilt an vielen anderen Stellen genauso, also es ist m.E. nichts Besonderes. Der Satz wirkt auf mich eher wie PR, muss ich gestehen.

Vergleich mit Lösungen anderer Hersteller ist es wichtig, die Ziele und die zu schützende Sache zu unterschieden.

Der Vergleich ist irrelevant, denn die Datev als Auftragsverarbeiter ist Vertragspartner nicht "andere Hersteller". Ich nehme an "Sache" bedeutet "Daten". Ziele und zu schützende Daten sind etwas Verschiedenes, sind aber im Gesetzesrahmen untrennbar miteinander verbunden. In sofern wirkt auch dies auf mich eher wie PR.

die Vorgaben zum automatischen Logout

Schön, nur wie lauten die Vorgaben - und auf Grund welcher Sicherheitsrichtlinie sowie welcher Sicherheitsmaßnahmen beim Login und Aufrechterhalten der Verbindung?

Ehrlich gesagt, dass nach 30 Minuten Inaktivität die Verbindung gekappt wird, macht für mich Sinn, dass aber nach 20 oder 30 Minuten überwiegender Aktivität die Verbindung gekappt wird, macht für mich keinen Sinn. (Vorausgesetzt, es stimmt, was ich über das SmartLogin hörte und las. Ich habe da keine Erfahrung!)

die Zeit zum Auslaufen einer Session, setzen wir gezielt als Vorgabe für die Entwicklung bei DATEV

Sollte das nicht umgekehrt sein? Die Sicherheitsmerkmale der entwickelten Software sollten die Zeit (der Inaktivität) bestimmen?!

Es gibt eben auch eine klare Erwartungshaltung zu Datenschutz und Informationssicherheit in unseren Lösungen,

Ja, und es gibt mehr als einen Lösungsansatz. Wobei ich ehrlich gesagt bezweifle, dass der Wunsch "starke Sicherheit" ("maximal" ist eh nicht wirklich machbar), gegenüber Usability wirklich überwiegt. Da ist eine Analyse von Angriffsszenarien von Nöten, um beide Ziele unter einen Hut zu bringen. Die Kommunikation, warum sich Datev für einen bestimmten Lösungsansatz entschieden hat, wäre zumindest für mich hilfreich und für eine ehrliche Einschätzung wichtig. Im Augenblick beherrscht mich halt der Verdacht, Datev hat es sich nur einfach gemacht.

Der Vergleich mit Unternehmen wie Apple, Microsoft o.Ä. ist aus unserer Sicht schwierig auf eine Linie mit der DATEV eG zu bringen.

Der Vergleich ist tatsächlich irrelevant. Wenn diese Unternehmen sich nicht an die DSGVO halten wollen - deren Problem.

Allerdings, wenn Datev die Dienste dieser Unternehmen (zwingend) nutzt - beispielsweise MS Office - muss m.E. Datev schon für eine DSGVO-gerechte Nutzungsmöglichkeit sorgen. Ich denke da an Anleitungen zur datenschutzkonformen Einrichtung der Installationen.

Mir persönlich gefällt es auch sehr gut, wenn ich mich ohne großen Medienbruch und mit viel Komfort durch die Online- und Cloud-Lösungen meiner Wahl arbeiten kann.

Darf es auch! Es muss halt nur der Datenschutz sichergestellt sein.

Das ist m.E. meist auch möglich - es sei denn Firmeninteressen versuchen - natürlich ganz legal (laut Vereinbarung - ob die vor einem Gericht standhalten kann, ist erstmal uninteressant) - den Nutzer zu einer weitergehenden Einwilligung zu bringen.

Sprich es geht, aber passt nicht unbedingt zum Firmeninteresse. Mein Frage: Muss Datev das Spiel mit machen?

Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist.

Hatte ich schon, deshalb nur die Frage: Was sind die Kriterien für die Vertretbarkeit?

Ein Vergleich der umgesetzten Sicherheitsmaßnahmen ist eher mit den Branchen Banken oder Gesundheitswesen zielführend.

Über das "Gesundheitswesen hat der Metalposaunist sich schon zu Recht geäußert. Und die Sicherheitsmaßnahmen der Banken? Bis vor wenigen Jahren noch Windows XP in den Geldautomaten im Einsatz ... lange kein Sichtschutz bei PIN-Eingabe obwohl das Problem bekannt war ... ein echt schlechter Vergleich!

Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können.

Warum nicht? Mein erster Gedanke war "Security durch Obscurity" und das funktioniert eher schlecht. Wäre es nicht vielleicht besser, ruhig ins Detail zu gehen und mit dem Wissen der Community die Sicherheit weiter zu härten?

auch wenn Feedback ab und zu mal weh tut.

Ja, das kann ich gut! Sorry, eigentlich meine ich es gut - bis auf die Zeiten, wenn mich irgendetwas von Datev richtig genervt hat. Aber wie an anderer Stelle geschrieben: Datev kann auch gut. Manchmal auch richtig gut - auch top genannt.

Und Herr Müller für Sie persönlich: Ich nehme Ihren Beitrag nur als Vorlage für meine Gedanken. Es bleibt dabei, schön, dass Sie sich eingeklinkt haben!

Zu schneller Logout bei Smartlogin

metalposaunist — Wed, 30 Mar 2022 10:03:20 GMT

Danke @quantenjoe!

Ganz interessant 🤓: Lapsus$: Hackergruppe umgeht 2FA mit einfachem Trick

Aber beide Fälle (push und Anruf als 2. Faktor) kranken leider an: der Faktor Mensch. Wer in aller Welt bestätigt eine push Authentifizierung, die dazu auch noch x-Mal hintereinander kommt und wer nimmt einen Anruf nachts an, ohne zu wissen, wer warum anruft? 🤔

Logik und Skepsis (und das Bauchgefühl) aber scheinbar ist die Welt 🗺 damit nicht gesegnet.

Zu schneller Logout bei Smartlogin

Thomas_Müller — Wed, 30 Mar 2022 18:28:28 GMT

Guten Abend zusammen,

@metalposaunist & @quantenjoe vielen Dank für Eure Reaktion. Ich hoffe das #Du ist ok? Ein Du und Sie im Wechsel würde ich verbocken 😎 Danke im Voraus!

Interessant dabei auch in der Summe Eure persönliche Meinung oder Einschätzung zu lesen. Danke für die Offenheit. Wie bereits geschrieben, Feedback ist willkommen.

Da wo ich es aus dem Kontext Privacy und IT-Security kann, gehe ich gerne noch auf die direkten Fragen von Euch ein.

@metalposaunist schrieb:
Das verstehe ich nicht so ganz (auch nicht nachdem ich weiter gelesen habe) und für mich liest es sich so, dass DATEV hier herausstechen will und immer "noch einen drauf setzt", weil das andere Unternehmen nicht müssen/wollen/können? Sind DATEV Daten also allgemein "wichtiger" als jene von Microsoft, Apple und Co.?

Nein und ja 😉 "noch einen drauf setzen" werden wir da, wo eine explizite Kundenwertschöpfung stattfinden kann oder wir durch Veränderungen in der gesetzlichen Grundlage dazu verpflichtet sind.

@metalposaunist schrieb:
Was ist mit dem CCC?

Auch das CCC spielt bei unseren Überlegungen und Entscheidungen eine Rolle. Warum denn nicht 👍

@metalposaunist schrieb:
Übertrieben gesagt arbeiten also "alle" anderen bekannten Unternehmen dran vorbei; nur die DATEV hält sich dran?

Es gibt immer wieder schwarze Schafe. Ich würde das aber nicht so pauschalisieren wollen. DATEV ist nicht der Nabel der Welt 😁 Euer Lob, das Ihr immer wieder aussprecht, zeigt uns aber, wir sind mit Euch zusammen auf einem guten Weg in die Zukunft.

@metalposaunist schrieb:
Verstehe mich bitte nicht falsch aber das liest sich danach, als wüsstest Ihr um Eure eigenen online Anwendungen nicht? ... Und DATEV will etwa nicht wissen, wie man out-of-the-box ein neues Programm benutzt und ob der ausgedachte Workflow auch ganz ohne DHC auskommt?

So ist das natürlich nicht gemeint. Du sprichst da einen sehr wichtigen Punkt an. Natürlich spielt das Interesse unserer Kunden in neuen und etablierten Lösungen eine wichtige Rolle für uns. Auch wie Veränderungen und Weiterentwicklungen vom Kunden genutzt werden können. Über die Online-Lösungen hinaus wird das auch mit Benutzerlaboren gemacht. Alles aber im Rahmen der gesetzlichen Grundlage. Einfach so aus Interesse darf da keiner personenbezogene Daten erheben. Aber das wisst Ihr ja auch.

@metalposaunist schrieb:
Und mit der "Einstellung" kann ich mir auch erklären, warum man DATEV online Anwendungen nicht so mit Freude wie Lösungen von Microsoft und Apple nutzt, weil der DATEV erklärte Ziel gar nicht ist, den User so lange in der DATEV Welt zu halten, weil es Freude und Spaß macht?

Also ich kenne schon die Kunden denen die Arbeit mit den DATEV-Lösungen Spaß und Freude bereitet. Und mal unter uns: Auch wenn es sehr gewählt und wohl überlegt ausfällt, Dein Lob an uns sagt mir persönlich - da ist schon auch Spaß und Freude vorhanden. Wer wäre sonst hier in dieser Community so loyal und engagiert wie Du 😊

@metalposaunist schrieb:
Kannst Du uns sagen, wie es dazu gekommen ist ? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte

Nein das kann ich leider nicht. Ich kann intern aber gerne das Thema ansprechen.

@metalposaunist schrieb:
Aus unserer Anwendersicht ist das tatsächlich nur schwer nachzuvollziehen. Gerne können wir auch über die im Thread genannten "Umgehungsmöglichkeiten" quatschen .

Also wenn es Dein Ziel ist, mit mir die Härtungsmaßnahmen zu besprechen, damit im Sinne der Security "Umgehungsmöglichkeiten" nicht mehr möglich sind - gerne. Nicht vergessen - wir sind die Security 🤓

@quantenjoe schrieb:
Ist "Sicher" eigentlich sicher?

Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist. Ich bin absolut bei Dir, es gibt keine hundertprozentige Sicherheit. Wer sich darauf verlässt wird eines Tages böse erwachen.

@quantenjoe schrieb:
Darf es auch! Es muss halt nur der Datenschutz sichergestellt sein.
Das ist m.E. meist auch möglich - es sei denn Firmeninteressen versuchen - natürlich ganz legal (laut Vereinbarung - ob die vor einem Gericht standhalten kann, ist erstmal uninteressant) - den Nutzer zu einer weitergehenden Einwilligung zu bringen.
Sprich es geht, aber passt nicht unbedingt zum Firmeninteresse. Mein Frage: Muss Datev das Spiel mit machen?

Ich sag mal so: die DATEV muss nicht jedes Spiel mitmachen. Das Thema Datenschutz und Informationssicherheit ist aber schon im Code of Business Conduct der DATEV eG verankert. Darin heißt es:

"Für DATEV als berufsständischen DV-Dienstleister haben Datensicherheit und Datenschutz oberste Priorität und sind von grundlegender Bedeutung. DATEV steht für außergewöhnlich hohe Standards in diesem Bereich. Dies gilt in besonderer Weise für personenbezogene Daten, aber auch für Geschäftsdaten. Allen Mitarbeitern obliegt in diesem Zusammenhang eine besondere Verantwortung."

Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist.
Hatte ich schon, deshalb nur die Frage: Was sind die Kriterien für die Vertretbarkeit?

Auf konkrete Details zu unseren Kriterien kann ich hier nicht eingehen. Sorry. Aber gerne mal die Sicht aus der Security in der Sache: Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, wächst die Gefahr eines Missbrauchs oder einer Datenschutzverletzung. 30 Minuten Inaktivität hat schon viel Potential.

Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können.
Warum nicht? Mein erster Gedanke war "Security durch Obscurity" und das funktioniert eher schlecht. Wäre es nicht vielleicht besser, ruhig ins Detail zu gehen und mit dem Wissen der Community die Sicherheit weiter zu härten?

😭dabei fühle ich mich doch wie 007 wenn ich sagen kann "Wenn ich Ihnen das verrate, dann muss ich sie leider ..." 😂

Aber mal im Ernst. Wir arbeiten daran genau dafür einen passenden Rahmen zu schaffen. Ich bin bei Dir, Security by Obscurity wird nicht funktioniert.

Also dann, ich wünsche an dieser Stelle noch einen entspannten Abend.

Herzliche Grüße aus der DATEV

Thomas Müller

IT-Security und Privacy

Zu schneller Logout bei Smartlogin

metalposaunist — Wed, 30 Mar 2022 22:14:43 GMT

@Thomas_Müller schrieb:
Ich hoffe das #Du ist ok?

Ja sicher 👍. IT ist immer Du. Wir haben die Macht 😉. Man möge sich immer freundlich mit uns stellen 😋.

@Thomas_Müller schrieb:
Nein und ja 😉 "noch einen drauf setzen" werden wir da, wo eine explizite Kundenwertschöpfung stattfinden kann oder wir durch Veränderungen in der gesetzlichen Grundlage dazu verpflichtet sind.

Gesetze, von mir aus. Auch wenn ich mich oft frage, wie sinnvoll die in Deutschland 🇩🇪 wirklich ab und zu sind aber das ist eine andere Frage. Leider weiß ich nicht, wie man Kundenwertschöpfung und IT-Security und "einen drauf setzen" zusammen gehen soll. SmartVerify ist hier das beste Beispiel in Euren Augen? Für Euch Kundenwertschöpfung; es war vorher schon sicher und damit setzt ihr dem noch einen drauf? Für uns: Gängelei. Klickerei. Guter Workflow jetzt kaputt.

Wenn ja: Glückwunsch - damit ist die Alternative EBICS grandios ebenso unattraktiv gemacht und das Bezahlen via DUO macht absolut 0 Spaß mehr. Eher sehr viel mehr Ärger. Kündigung Mandant wegen HBCI / finAPI

@Thomas_Müller schrieb:
Euer Lob, das Ihr immer wieder aussprecht, zeigt uns aber, wir sind mit Euch zusammen auf einem guten Weg in die Zukunft.

Welches Lob wo meinst Du?

@Thomas_Müller schrieb:
Auch wenn es sehr gewählt und wohl überlegt ausfällt, Dein Lob an uns sagt mir persönlich - da ist schon auch Spaß und Freude vorhanden.

Ist das so 🤔? Geht so. Was gut ist, kann man loben aber das Gro der Gefühle ist eher: DATEV - jeden Tag aufs Neue irgendwas, was nicht läuft; nicht smart ist und man besser machen kann. Glaub mir, Frust, Ärger, Probleme und Resignation spielen eine überwiegendere Rolle und wenn ich mich nicht beherrschen könnte, flöge schon längst mal etwas aus dem Fenster ...

@Thomas_Müller schrieb:
Also wenn es Dein Ziel ist, mit mir die Härtungsmaßnahmen zu besprechen, damit im Sinne der Security "Umgehungsmöglichkeiten" nicht mehr möglich sind - gerne.

Sehr gerne 🤗! Wenn wir uns vorher auf das gemeinsame Ziel: SmartVerify abschaffen einigen können, dann bin ich dabei. Viel schlimmer kann es nicht kommen.

@Thomas_Müller schrieb:
Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist.

Das ist nicht dein aller Ernst, oder? 😱 Tut mir Leid aber ich bin zutiefst geschockt 😳. Das macht mich sprachlos. Krass. Ein Spruch mit Signalwirkung. Also: Raus mit den Schreibmaschinen ✍️ und Lochstreifen! Unglaublich.

@Thomas_Müller schrieb:
Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, wächst die Gefahr eines Missbrauchs oder einer Datenschutzverletzung. 30 Minuten Inaktivität hat schon viel Potential.

Wie ist der Plan der DATEV, wenn man den Marathon zu Ende gelaufen hat und man nur noch - auch in der Kanzlei - online arbeitet? Wenn man sich mehrmals am Tag in den online Anwendungen anmelden muss (so wie jetzt schon in DUO, SK online und Co.) werden Euch echte DATEV Freaks auf die Dächer steigen.

Spätestens, wenn man sich neu anmelden muss und alle Eingaben oder Änderungen weg sind, ist es aus. Und ich habe die Befürchtung, dass es genau so kommen wird und DATEV nicht weiß, warum sich Genossen schon umschauen nach anderen Lösungen. Ernsthaft. Das ist ein riesen Thema.

Zu schneller Logout bei Smartlogin

metalposaunist — Thu, 31 Mar 2022 12:04:47 GMT

@Thomas_Müller schrieb:
Nicht vergessen - wir sind die Security 🤓

Eine Sache habe ich gestern vergessen 😉. Wenn Ihr schon die Security seid 🔒, dann bitte ich Euch eine 2FA in der Community durchzusetzen, wie das bei XING, Microsoft, Apple und Co. auch alles Standard ist.

DATEV meint, hier liegen keine Daten bestimmter Schutzklassen drin, sodass eine 2FA nicht notwendig ist.

Da wir die Community aber gerne zum zentralen Dreh- und Angelpunkt ausbauen möchten, damit man keine DATEV E-Mail Verschlüsselung braucht, die aktuell unter Apple macOS auf die Nase fällt und weil ich auch gerne meine 2607 PNs noch mehr schützen möchte, weil dort Daten drin stehen, die nicht jeden etwas angehen ...

Do you know, what I mean? 😎

Zu schneller Logout bei Smartlogin

jjunker — Thu, 31 Mar 2022 12:49:58 GMT

flöge schon längst mal etwas aus dem Fenster ...

Gestern die "Kabelkiste" sortiert und genüsslich ein Paar durchgekniffen. Einfach mal so Kraft und rohe Gewalt anwenden.

---> Sehr meditative Wirkung sage ich dir.

CDs einhänding biegen bis sie brechen. Auch so eine Sache.

Habe noch 4 alte Festplatten hier die Datenschutzkonform entsorgt werden müssen. 🔨⚡ 😎

Zu schneller Logout bei Smartlogin

vogtsburger — Thu, 31 Mar 2022 13:15:17 GMT

... irgendwo im Text ist die folgende Aussage gefallen

Ernsthaft. Das ist ein riesen Thema.

... das Thema "Zu schneller Logout bei Smartlogin" ist anscheinend tatsächlich ein Riesenthema.

... was mir bisher gar nicht so bewusst war 😎

Zu schneller Logout bei Smartlogin

Thomas_Müller — Fri, 01 Apr 2022 12:36:13 GMT

Hallo zusammen,

Danke dass Ihr hier so offen und fleißig Feedback gebt. Ich denke, wir sind in den angesprochenen Punkten auch nicht weit auseinander. Vielleicht fühlt es sich in der digitalen Distanz nicht immer so an. Das ist mir auch klar geworden.
Zusammengefasst habe ich verstanden, dass wir es in der Zukunft noch besser schaffen müssen, dass Datenschutz & Informationssicherheit und Komfort sich nicht gegenseitig behindern.

Jetzt wünsche ich erst mal einen angenehmen Übergang in das Wochenende.

Viele Grüße aus der DATEV
Thomas Müller

IT-Security und Privacy

Zu schneller Logout bei Smartlogin

metalposaunist — Thu, 21 Apr 2022 08:24:33 GMT

@metalposaunist schrieb:
Und wo wir gerade beim Thema Usability vs. Sicherheit sind: Kannst Du uns sagen, wie es dazu gekommen ist 🤔? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte 😞.

Knapp 4W sind vorbei; bestimmt habe nicht nur ich heute geflucht und leider keine Aussage von DATEV: warum? wieso? weshalb? man einen sauberen Workflow derart kaputt machen muss 👎.

Schade. Viele andere Fragen & Bitten sind auch noch offen.

Zu schneller Logout bei Smartlogin

metalposaunist — Wed, 27 Apr 2022 12:00:27 GMT

Warum ist der automatische Logout beim DATEV-Leistungsprofil auf 10min gesetzt 🤔? Hat das also eine höhere Vertraulichkeitsstufe oder ähnlich?

Und da ein F5 der Webseite ausreicht: klappen dann auch Browser AddOns, die diese Webseite automatisch nach x Minuten neu laden? 🤓

Zu schneller Logout bei Smartlogin

quantenjoe — Sat, 30 Apr 2022 03:54:53 GMT

Moin Herr Müller,
Moin Moin Thomas

Ist jetzt 1 Monat her, aber hey, besser spät als nie 😉

"Ich hoffe das #Du ist ok?"
Ist es. Außerhalb der Community ist es u.U. anders, das wird aber für alle wohl so gelten 🙂

Zitat: "Auch das CCC spielt bei unseren Überlegungen und Entscheidungen eine Rolle. "
Hm, es heißt der CCC. Klingt für mich schon so, als ob du antwortest, ohne die Frage zu verstehen. Ich bin richtig drüber gestolpert beim Lesen. Als wenn du den CCC nicht kennst, bzw. nicht mit der Frage verbunden hattest. Derartige Antworten haben ohnehin heutzutage meist keinen echten Inhalt, sondern dienen nur der Beschwichtigung. Hätte ich auch ohne den falschen Artikel schon vermutet. Aber so ...

Zitat: "Euer Lob, das Ihr immer wieder aussprecht ..."
Gerade hier (wie auch bei anderen Themen) sehe ich kein Lob (wie @metalposuanist).

Zitat: "... wir sind mit Euch zusammen auf einem guten Weg in die Zukunft."
Sehen viele hier eher anders. Dazu setzt Datev viel zu wenig von den Ideen, den Problemen, den Sorgen, den Vorschlägen der Community um.

Zitat: "Natürlich spielt das Interesse unserer Kunden in neuen und etablierten Lösungen eine wichtige Rolle für uns."
Ich nehme diesen Satz aus dem Absatz. Und ich meine für eine "wichtige Rolle" wird das doch recht lausig umgesetzt. OK, die Online Angebote werden sicherlich agil erstellt, sprich, man lernt beim programmieren. Bedeutet aber auch: Man hat keinen echten Plan. Und das nervt! Wenn etwas neues auf den Markt kommt, bitte bereits mit vielen eingebauten Standardfunktionen. Besser später und gut zu gebrauchen, als dieses Stückwerk!
Ebenso, auch wenn Cloud, die Strategie und der Fokus der Entwicklung ist, stellt Ressourcen für die On Premise-Software bereit. On Premise ist wichtiger, als der Vorstand denkt! Es ist zumindest ein Fall back für Kanzleien. Datev Cloud ist nicht nur für russische Hacker ein interessantes Ziel, egal ob staatliche Hacker oder freischaffende Banden. Plan B ist m.E. im Ernstfall: On Premise weiter werkeln.
On Premise ist auch unabhängig von den Wartungszeiten der Datev. On Premise bedeutet auch, die Kontrolle über die gespeicherten Daten. Datev Cloud bedeutet im Grunde, diese Kontrolle abzugeben. Mögt ihr anders sehen - bis zum ersten Gerichtsurteil. Oder zweiten, je nach Gericht. Aber meine Vorhersage: Zwei verschiedene Gerichte reichen, damit dies ein Diskussionsfall wird.

Zitat: "Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist"
Was tatsächlich eher unsicher ist: HDD/SSD sind wunderbare Angriffspunkte. Mit meiner Frage wollte ich aber nicht diese Trivialitäten einbringen, sondern anstoßen zu hinterfragen, ob das als sicher gedachte auch wirklich sicher ist? Und zusätzlich auch sicher bezüglich welchen Angriffen? Sicher über welchen Zeitraum muss es sein?
Aus diesem Zusammenhang kann sich durchaus ergeben, dass nicht alles, was der Sicherheit angeblich dient, der Sicherheit dient.
Nicht unbedingt neu, aber MS hat inzwischen auch eingesehen, ein regelmäßiger Passwortwechsel dient der Sicherheit nicht, solange das betreffende System nicht möglicherweise kompromittiert wird. Eher schwächt es die Sicherheit, weil wir Menschen keine Computer sind.
Oder Thema Passwörter: Die Nist hat vor einigen Jahren bereits gesagt, lange Passworte, die man sich merken kann, sind besser als komplizierte Passworte mit say 10 oder mehr Zeichen. Hier und da einen Fehler und/oder Blender eingebaut - ist unangenehm für einen Cracker.

OK, das Thema ist natürlich noch viel umfangreicher. Können wir aber gerne vertiefen.

Zitat: "Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, ..."
Das ist es doch nicht. Weder bei der Smartcard noch beim SmartLogin, es sei denn Datev weis von Designschwächen, von denen ich nichts weis.
Sprich: Der Benutzer autorisiert sich, die Verbindung steht, IP-Adresse und https-Schlüssel sind festgelegt: Bliebe nur ein Man-in-the-Middle Angriff. Ich sehe nicht, wie da eine Sekunde mehr die Sicherheit untergräbt - oder 10 Minuten oder 1 Stunden. Ggf. wird noch ein "Keep alive"-Paket ausgetauscht dafür, dass man immer noch verbunden ist.
Die Autorisierung klappt doch, mit Ausnahme eines mitm-Angriff (was eh auf ein ernstes Problem beim Nutzer-Device hinweist), sehe ich da kein ernstes Problem. Und ändert sich die IP-Adresse muss man sich neu anmelden.
Mag ja sein, dass ich etwas übersehe. Da aber andere Systeme, die ebenso der Sicherheit verschrieben sind, längere Verbindungszeiten zulassen, gehe ich davon aus, dass ich nichts signifikantes übersehe.

Ich fasse zusammen: Für mich war deine Antwort recht unbefriedigend, ich habe eher den Eindruck, du bist jemand aus der PR-Abteilung. Betrifft sowohl die Antworten zu mir - und noch mehr den nicht gegebenen Antworten - also auch zum @metalposaunist.

Insbesondere hast du recht wenige Punkte von mir aufgenommen

Du hast den Tenor "Datev erklärt sich nicht" fortgeführt, anstatt mal Klartext zu bringen. Insbesondere hast du nichts zu den Kriterien geschrieben. Warum, wenn Security through Obscurity nicht funktionieren kann, laut eigener Aussage?

Sorry im Endeffekt bin ich enttäuscht!

Zu schneller Logout bei Smartlogin

metalposaunist — Sat, 30 Apr 2022 08:55:08 GMT

@quantenjoe: Wie man schick, übersichtlich und gut leserlich Mehrfachzitate einbauen kann 😎🤓, steht hier: Tipp für Power-Zitierer zur Nutzung von Mehrfachzitaten

So macht das Lesen Deiner Antwort wenig Spaß, sorry 👎.

Zu schneller Logout bei Smartlogin

Thomas_Müller — Tue, 03 May 2022 15:50:00 GMT

Hallo @quantenjoe

@quantenjoe schrieb:
Ich fasse zusammen: Für mich war deine Antwort recht unbefriedigend, ich habe eher den Eindruck, du bist jemand aus der PR-Abteilung.

Ob ich aus der PR-Abteilung bin oder doch was mit Security am Hut habe, können wir gerne in einem persönlichen Gespräch erörtern 😊

Melde dich dazu gerne via PN mit deinen Kontaktdaten bei mir.

Viele Grüße aus der DATEV,

Thomas Müller

Zu schneller Logout bei Smartlogin

metalposaunist — Tue, 03 May 2022 19:32:38 GMT

@quantenjoe: Dann bitte kurz zusammengefasst ein Ergebnis bitte 🙏. Ich bin kein Freund von 1:1 Gesprächen. Dann weißt nur Du wieder mehr als andere - das torpediert den Community Gedanken 👎.

Zu schneller Logout bei Smartlogin

quantenjoe — Thu, 05 May 2022 19:55:00 GMT

Moin Moin

Vielleicht nicht angemessen ausgedrückt. Was da steht (worauf ich mich beziehe) ist für mich eine typische PR-Antwort, bzw. bei Politiker und ähnlichen Manipulatoren ( nicht meckern natürlich manipulieren sie, das gehört zum Handwerk - und es muss nicht mal schlimm sein) ein typisches Ausweichen.

Und das brauchen wir nicht - ist meine Meinung. Ich ziehe da ein "Hä?", "weiß nicht" oder schweigen vor.

Vielleicht ist es aber auch von Thomas Müller unglücklich formuliert (jedenfalls für mich).

Aber eins möchte ich klar stellen: Ich hatte nicht die Absicht, Unlauterbarkeit (also PR) zu unterstellen. Und es soll schon gar kein persönlicher Angriff sein! Es wirkte - wie ich schrieb - auf mich so. Tut es auch jetzt noch.

Ich meckere, bin manchmal bin ich auch sauer (meist, wenn in der Woche mal wieder - unnötig, wie ich aus guten Gründen meine - Datev-Software mich Nerven gekostet hat). Das lasse ich durchaus aus raus. Aber ich bin auch froh, dass sich viele Datev-Mitarbeiter hier beteiligen und mitmachen. Und ja, eigentlich kriegen sie bzw. Sie Herr Müller da etwas ab, wofür Sie nicht können und was Sie nicht zu vertreten haben.

Wenn SIe, Herr Müller, dies als persönlichen Angriff empfunden haben: Dann bitte ich um Entschuldigung, das sollte es nicht sein!

Nachtrag: Welches Wechselbad der Gefühle Datev so hervorrufen kann, zeigte sich gerade heute. Ich hatte 2 Anfragen zu Funktionen in den Steuerprogrammen. Bei der ersten Funktion fand und fand ich keinen Ansatz, wo die Ursache zu finden sei. Die Hilfe war keine. An Ende stand die Lösung hier in der Community - von einem Datev-Mitarbeiter gepostet. Bis hierher hatte ich aber richtig Nerven gelassen. Die 2. Funktion hingegen war ein Genuß: In der Hilfe an Top-Stelle das Dokument, dass den Lösungsweg aufzeigte, der Rest war nicht nur noch folgerichtiges abklären. Danach waren die Nerven auch wieder im Lot 🙂

Zu schneller Logout bei Smartlogin

Thomas_Müller — Fri, 06 May 2022 08:05:25 GMT

Hallo @quantenjoe ,

vielen Dank für deine offenen Worte. Ich kann dir versichern, dass ich mich nicht persönlich angegriffen fühle. Dass eine Antwort einen Eindruck/ eine Vermutung zur Tätigkeit oder Einstellung in der Sache hinterlässt, finde ich ganz normal. Die digitale Distanz fordert immer wieder ihren Tribut 😎 Das persönliche Gespräch ist einfach ein freundliches Angebot an Dich. Ich würde mich freuen, wenn wir uns mal in einem pers. Austausch kennenlernen. Dabei geht es weder um "information hiding" in Richtung der Community noch darum sich rechtfertigen zu müssen. Ein guter altmodischer, persönlicher Austausch. Ich denke auch dafür muss sich keiner von uns rechtfertigen. Ich würde mich freuen 😉

Natürlich nur wenn du magst.

Ansonsten werde ich auch gerne weiterhin mit Rat und Tat in der Community dabei sein. Als Info zu mir sei noch erwähnt, dass ich nicht zu den Personen gehöre, die zu allem etwas schreiben müssen, nur weil ich selbst noch nichts dazu gesagt oder geschrieben habe. 😉

Posts, in denen ich erwähnt werde, lese ich aufmerksam und tausche mich mit meinen Kolleginnen und Kollegen in der DATEV darüber aus, wer in der Sache zielführend antworten oder direkt helfen kann. Es kann also immer wieder sein, dass Euch in der Sache von meinen Kolleginnen oder Kollegen aus den Produkten geholfen wird, ohne dass ich mich persönlich dazu melde. Ich sehe hier meine Aufgabe nicht im Sammeln von Antwortpunkten oder Kudos. Auch wenn ich mich sehr freue, wenn meine Antworten mit diesen honoriert werden. Am meisten freue ich mich aber, wenn euch in der Sache geholfen wird, unabhängig davon, wer die Antwort gibt.

Viele Grüße hier aus der DATEV,

Thomas Müller

Zu schneller Logout bei Smartlogin

quantenjoe — Fri, 06 May 2022 22:32:23 GMT

Hallo Herr Müller

Können wir gerne machen und auch gerne per "du". Werde ich jetzt auch wieder hinüberwechseln.

Ich habe nur ein Problem: Wo finde ich Persönliche Nachrichten? Hab ich bisher nicht gefunden. Mag an mir, vielleicht auch an den Browser-Einstellungen liegen.

Ich habe die Datev-Hilfe gefragt: Die interessant geantwortet:

Weitere Antworten waren noch weiter entfernt. Ist eigentlich Thema in einem anderen Thread (richtig die Suche)

Jedenfalls, ich habe PNs nicht gefunden - bis heute.

Ich bin zwar recht unregelmäßig hier, aber das steht einem Austausch nicht entgegen.