---

@juschäuble schrieb:

Ich hoffe, das ist nur vorübergehend.

---

Nein, das ist technisch schon so gewollt.  

---

@juschäuble schrieb:

Wenn nicht, bitte ich dies als Beschwerde weiterzugeben. 

---

Und an wen? DATEV? "Schuld" ist hier eher Microsoft und deren technische Vorgaben, denen DATEV folgt. Also wenn Sie sich bei Microsoft beschweren möchten 😉 ... Vielleicht ist aber auch Ihr EDV Dienstleister, der DATEV macht, wenn es ihn gibt, nicht auf dem Laufenden?

---

@juschäuble schrieb:

Weiß hier jemand Abhilfe? 

---

SmartCard mit ins HomeOffice nehmen und glücklich sein. Nichts muss umgestellt, angepasst, aktualisiert werden. SmartCard an den HomeOffice Rechner stecken und es läuft.  

---

@metalposaunist  schrieb:

Nein, das ist technisch schon so gewollt.  

 

Hintergrund?

 

@metalposaunist  schrieb:

Und an wen? DATEV? "Schuld" ist hier eher Microsoft und deren technische Vorgaben, denen DATEV folgt. Also wenn Sie sich bei Microsoft beschweren möchten 😉 ... Vielleicht ist aber auch Ihr EDV Dienstleister, der DATEV macht, wenn es ihn gibt, nicht auf dem Laufenden?

 

Bitte nicht so überheblich🙄. Woher soll ich wissen, wer welche technischen Vorgaben macht? Ich bin DATEV Anwenderin und sehe lediglich das Ergebnis von Umstellungen!

Inwiefern müsste der EDVler auf dem Laufenden sein? Müsste er wissen, dass es an Microsoft liegt? 

 

@metalposaunist  schrieb:

SmartCard mit ins HomeOffice nehmen und glücklich sein. Nichts muss umgestellt, angepasst, aktualisiert werden. SmartCard an den HomeOffice Rechner stecken und es läuft.  

 

Leider funktioniert das gerade nicht. Wenn ich Remote arbeite, ist mein Rechner ja nur "Medium".

Oder haben Sie hier einen Tip? 

 

Grüße Jutta Schäuble 

 

 

---

Hallo Frau Kubisch, 

vielen Dank für die Antwort. 

Das Dokument hilft ziemlich sicher weiter! 

Viele Grüße 

Jutta Schäuble  

Hallo,

---

@juschäuble schrieb: Hintergrund?

---

Die SmartCard ist eine Sicherheitskomponente. Wenn eine Sicherheitskomponente aus der Ferne "entriegelt" werden kann, macht sie keinen Sinn.

---

@juschäuble schrieb: 

Bitte nicht so überheblich. Woher soll ich wissen, wer welche technischen Vorgaben macht? Ich bin DATEV Anwenderin und sehe lediglich das Ergebnis von Umstellungen!

Inwiefern müsste der EDVler auf dem Laufenden sein? Müsste er wissen, dass es an Microsoft liegt? 

---

Im Zweifel können Sie es nicht wissen. Deshalb sollte es aber der technische Betreuer Ihrer Anlage wissen. 

---

@juschäuble schrieb: 

Leider funktioniert das gerade nicht. Wenn ich Remote arbeite, ist mein Rechner ja nur "Medium".

Oder haben Sie hier einen Tip? 

---

Korrekt, damit die SmartCard durchgereicht werden kann, muss auf dem Heimrechner auch das Sicherheitspaket bzw. mindestens der SmartCard-Treiber für Kartenleser (Bsp. mIDentity).

Beste Grüße
Christian Ockenfels

---

@juschäuble schrieb:

Hintergrund?

---

Da bin ich raus. So tief stecke ich da nicht in der Materie aber dass der DATEV mIDentity / SmartCard immer am Mann / der Frau sein sollte, war auch vor dem DATEV Update schon der Fall und nur weil es jetzt nicht funktioniert, war es vorher trotzdem nicht offiziell von DATEV unterstützt. Ich würde behaupten, hier stehen wieder sicherheitstechnische Maßnahmen im Vordergrund, die komplexer sind als "Was kann schon passieren; ich brauche ja immer noch eine PIN dazu". 

---

@juschäuble schrieb:

Bitte nicht so überheblich. Woher soll ich wissen, wer welche technischen Vorgaben macht? Ich bin DATEV Anwenderin und sehe lediglich das Ergebnis von Umstellungen!

---

Naja, gleich mit Beschwerde "drohen" macht es auch nicht besser 😉. Das hat immer gleich so einen negativen Anstrich. Einfach erstmal freundlich nachfragen, ob das normal ist und ob es eine Lösung gibt wirkt auf uns und die DATEV besser in meinen Augen. Erstmal eine Runde quatschen. Ob man sich danach noch beschwert beim Vorstand kann man hinterher entscheiden.  

---

@juschäuble schrieb:

Inwiefern müsste der EDVler auf dem Laufenden sein? Müsste er wissen, dass es an Microsoft liegt? 

---

Nein, das nicht aber man sollte wissen, dass DATEV das ändert. Dazu hatten wir uns ziemlich genau vor 1 Jahr hier schon unterhalten und nach der Umsetzung DATEVs gibt es hier auch einige Themen dazu: Nach Update auf 14.01 meldet Sicherheitspaket: Nicht unterstützte Remotedesktopverbindung

---

@juschäuble schrieb:

Leider funktioniert das gerade nicht. Wenn ich Remote arbeite, ist mein Rechner ja nur "Medium".

Oder haben Sie hier einen Tip? 

---

Korrekt und die lokal am HomeOffice PC steckende SmartCard wird durch die RDP-Sitzung auf Ihren Kanzlei-PC durchgeschliffen und das Sicherheitspaket sollte wieder grün werden. Sonst auch den Tipp von @Silvia_Kubisch beachten. 

"Vielleicht ist aber auch Ihr EDV Dienstleister, der DATEV macht, wenn es ihn gibt, nicht auf dem Laufenden?"

Doch bin ich!

Das Problem ist halt, dass die normalen Anwender die technischen Hintergründe nicht wirklich verstehen. Auch bei anderen Anwendern hat die Umstellung für Unverständnis gesorgt.....

PS: Nach ca. 30 Min war das Problem gelöst 🙂

---

@rganter schrieb:

Das Problem ist halt, dass die normalen Anwender die technischen Hintergründe nicht wirklich verstehen. Auch bei anderen Anwendern hat die Umstellung für Unverständnis gesorgt.....

---

Nur sprechenden Menschen kann geholfen werden 😁😉. 

Die SmartCard ist eine Sicherheitskomponente. Wenn eine Sicherheitskomponente aus der Ferne "entriegelt" werden kann, macht sie keinen Sinn.

Korrekt, damit die SmartCard durchgereicht werden kann, muss auf dem Heimrechner auch das Sicherheitspaket bzw. mindestens der SmartCard-Treiber für Kartenleser (Bsp. mIDentity).

Über Sicherheitskomponenten kann man streiten.
Darf man aus der Ferne heraus entriegeln? ich denke, Jedermann der einen Remote- Zugang zum PC hat und das Kennwort kennt, sollte dies SC auch Remote nutzen dürfen. 2 Faktoren: PC- Zugang & SC- Kennwort

neue Situation:

Was nun, wenn irgendjemand in der Ferne eine SC in die Hände bekommet und möglicherweise das Kennwort irgendwo notiert ist? (Geklaute Jacke mit Portemonnaie, usw.)  Nur ein Faktor. SC- Kennwort reicht zur Belege- Einsicht, da UO nach dem Login per Kennwort freundlicherweise alle freigeschalteten Mandanten auf dem goldenen Tablett präsentiert.

für mich ist eine SC im Hosensackerl risikoreicher, als eine im PC verbaute SC, die per remote genutzt wird.

Moin,

---

@martinkolberg schrieb: Über Sicherheitskomponenten kann man streiten.
Darf man aus der Ferne heraus entriegeln? ich denke, Jedermann der einen Remote- Zugang zum PC hat und das Kennwort kennt, sollte dies SC auch Remote nutzen dürfen. 2 Faktoren: PC- Zugang & SC- Kennwort

---

nun, diese Diskussion müssen Sie 1. mit Microsoft führen (RDP-Protokoll) und 2. mit DATEV ob eine 2FA nicht besser wäre. 

Wenn ich mir aber die 2FA bei den Überbrückungshilfen ansehe, stellt sich mir die Frage: Ist es grottig umgesetzt oder sind die Berufsträger "betriebsblind" bzw. "lernresisdent"?

---

@martinkolberg schrieb: Jedermann der einen Remote- Zugang

---

Wenn ich bei Mandanten sehe, dass RDP hart im Internet hängt, würde ich das nicht gut finden... Aber das Problem ist ja schon an anderer Stelle... 😉

---

@martinkolberg schrieb: für mich ist eine SC im Hosensackerl risikoreicher, als eine im PC verbaute SC, die per remote genutzt wird.

---

Einbruch in Kanzlei, SC dort und praktischerweise auch der POST-It mit Kennwort und PIN. Der PIN steht natürlich auf dem Schreiben mit dem Transport-PIN, weil MA X nicht noch einen POST-It verschwenden wollte... <scnr>

Unwahrscheinlich? Möglicherweise, aber nicht unmöglich und durchaus ein realer Angriffsvektor je nach Kanzlei und Mandantenstamm.

Beste Grüße
Christian Ockenfels

---

@chrisocki schrieb:

Wenn ich mir aber die 2FA bei den Überbrückungshilfen ansehe, stellt sich mir die Frage: Ist es grottig umgesetzt oder sind die Berufsträger "betriebsblind" bzw. "lernresisdent"?

---

Das ist tatsächlich grottig umgesetzt würde ich behaupten, weil es keine Geräteverwaltung gibt, wo man Zugänge löschen kann, neue Geräte koppeln kann, Geräte rauslöschen kann, ...

Hat man den QR-Code damals nicht abgespeichert, wird einem der per Fax zugeschickt. Kein Witz! Überbrückungshilfe - Authentifizierung auf neuem Endgerät

Ich habe den Microsoft Authenticator installiert, mit meinem privaten MS Konto verbunden, in die Cloud gesichert und schon kann ich bei der Anmeldung an meinem MS Konto wählen: Passwort oder 2FA App? Sage ich 2FA App, gibt's am iPhone eine Benachrichtigung, ich gehe in die App, drücke die passende Zahl, fertig. 

Zusätzlich die App am iPad installiert, mit meinem Konto angemeldet, und dann kann ich sogar wählen, wo ich die Bestätigung nutze; die offene Anfrage am anderen Gerät sagt dann: Anmeldung abgelaufen. Und unter Backup steht am iPad: Backup wird schon an einem anderen Gerät genutzt. 

So muss das laufen!

Wer in die Kanzlei kommt und möglicherweise physikalischen Zugang zum Server hat, dem stehen völlig andere Methoden zur Verfügung. es gibt Server, da kann man im laufenden Betrieb eine der RAID- 1 Platten entnehmen, diese Clonen und wieder rein stecken. Der Admin wird sich später dann nur wundern, warum das RAID diese Platte rauskickte und vom Daten- Klau nichts ahnen. 
Die geklauten DATEN lassen sich in jede X- beliebigen DATEV- Umgebung ohne jegliche Kennwort- Abfrage  einbinden und dann auswerten. Anleitungen zum "Server- Umzug" sind zuhauf vorhanden.

Dieses Kontrukt mit SmardCard, Sicherheitspaket, PIN & Co. aus meiner Sicht als Techniker ehr einfach "nervig". Neben o.g. Problematik:

a) Die USB-Module fallen halt selten, aber doch manchmal aus => defekt

b) SmardCards werden selten aber manchmal halt nicht (lokal) erkannt => Modul ab/drann abmelden/anmelden vom WTS

c) Festgenagelt sein auf (fast nur) Windows-Clients für nur blöde WTS-Clients

d) Festgenagelt sein auf Windows-RPD Verbindung zum WTS (sonst täte es auch mal quick-&-dirty Guacomole)

Und auch vom Ablauf in der realen Welt - ohne Wertung aber ich sehe es halt täglich beim Kunden:

• SmartCard von Person A (ausgeschieden aus der Kanzlei) ist inzwischen schon von Person B und später Person C übernommen - dass verwaltet niemand zeitaktuell  - oft gar nicht.
• Person D hat ein Modul in der Kanzlei, eines im HomeOffice und am besten noch ein drittes und viertes für sonst wo. Mir war bis dato nicht mal klar, dass eine Person sich zig Module bestellen kann. Persoausweis hab ich auch auch nur einen.

Naja und aktuell: Server tragen SiPa 6.9, Clients halt 6.82 mit der eingehenden überflüssigen "Meckermeldung - SiPa veraltet"... Kann man unbeachtet lassen kann man aber aber gerne 30x 6.9 am Client manuell nachinstallieren.

Gleiches betrifft auch das "Gehampel" mit dem Betriebsstätten-Modul. Klar kann man mit in eine VM nehmen, klar kann man LAN-USB Server verwenden - alles lösbar für mich - halt immer ein Schritt mehr, wie meinetwegen z.B. bei der roten Konkurrenz wo immer noch Benutzername, Kennwort und meinetwegen Softwarezertifikat ausreicht.

---

@LS4B schrieb:

dass verwaltet niemand zeitaktuell - oft gar nicht.

---

Dann ist das das Problem und nicht DATEV, SmartCards oder Software. Wer keine Ordnung halten kann, dem kann ich auch nicht mehr helfen. Wenn das Chaos erst regiert - dann gute Nacht. Oder stehen im MFP auch noch alle ausgeschiedenen Mitarbeiter in Scan-to-E-Mail und Scan-to-SMB/FTP drin? Bestimmt nicht. SmartCards fallen halt unter den Tisch. Also das Thema anpacken.

Zum Thema Ordnung kann auch @unternehmertyp eine schöne Story erzählen 😊. 

---

@LS4B schrieb:

Person D hat ein Modul in der Kanzlei, eines im HomeOffice und am besten noch ein drittes und viertes für sonst wo. Mir war bis dato nicht mal klar, dass eine Person sich zig Module bestellen kann. Persoausweis hab ich auch auch nur einen.

---

Leider wie oben. DATEV empfiehlt: 1 SmartCard pro Mitarbeiter und daran alle Rechte festmachen: DATEVasp, Steuerkonto online, ... Nur weil sich Leute aus "Bequemlichkeit" eine 2. und 3. SmartCard bestellen, muss auch das nicht richtig sein. Richtlinie vom Kanzleichef / Inhaber: 1 SmartCard und Du hast die bei Dir zu tragen. Fertig. Wer das nicht tut, muss fühlen. Wer sein Notebook vergisst, muss auch das fühlen. Wer schusselig ist, dem muss man das lernen. Das iPhone und Smartphone vergisst man ja komischerweise auch nie. Oh ein Wunder 😄.

 Mehrere SmartCards für eine Person   

---

@LS4B schrieb:

Naja und aktuell: Server tragen SiPa 6.9, Clients halt 6.82 mit der eingehenden überflüssigen "Meckermeldung - SiPa veraltet"... Kann man unbeachtet lassen kann man aber aber gerne 30x 6.9 am Client manuell nachinstallieren.

---

Kann man in den Windows Benachrichtigungen nicht ausschalten? Ich habe bisher niemanden erlebt, der mir sagte, die Benachrichtigungen sind ein Muss. Kann man bestimmt per GPO selektiv ausblenden lassen. Da kann ggf. gerne auch das DATEVasp Team hier eine Lösung zu beitragen.

Wieso ist das SiPa lokal drauf? Wenn es zu 100% notwendig ist: das SiPa compact kann man per CMD oder GPO auch automatisch ausrollen ohne das zu Fuß tun zu müssen. 

Leider hatte @Thomas_Neumeier in diesem Thread nicht mehr geantwortet: WTS Sicherheitspaket nicht aktuell Bzw. einfach mal die Service Release vom kommenden DO, 18.02 installieren und dann ist das Problem Geschichte - simple as that 😉.

---

@LS4B schrieb:

wie meinetwegen z.B. bei der roten Konkurrenz wo immer noch Benutzername, Kennwort und meinetwegen Softwarezertifikat ausreicht.

---

Macht DATEV im DATEV RZ nicht anders. Auch da sind Zertifikate im Einsatz aber nicht einfach irgendwelche, die man installiert und gut ist. Da ist "leider" technisch noch deutlich mehr zu tun, damit das so funktioniert, damit nicht jeder einfach mal so DATEV nutzt. Das ist ja der Hintergrund - wir sind ja nicht bei winRAR. 😂  

Nachtrag am Rande: Versionsnummer SiPa beim Mouse-Over stimmt fast nie mit der realen Version überein... Mauspfeil drauf zeigt 4.1 SiPa angestartet: 6.9

---

@LS4B schrieb:

Mauspfeil drauf zeigt 4.1 SiPa angestartet: 6.9

---

Kann ich aus eigener Erfahrung nicht nachvollziehen. Einzig @Michael-Renz hatte damit ähnliche Probleme aber nur beim DATEVnet Telearbeitsplatz. Dazu hatte sich aber auch @Thomas_Neumeier schon geäußert. 

Fehler bei Installation Sicherheitspaket 6.5 für Telearbeitsplatz

@LS4B: Immer nur die compact Version oder ist da auch ggf. eine große SiPa Version im Spiel?  

Hallo LS4B,

die von Ihnen geschilderte Situation entsteht dadurch, dass ursprünglich eine Vollversion 4.1 des Sicherheitspakets am Rechner installiert wurde, dieser aber manuell mit einer oder mehreren neueren Sipa compact Version upgedated wurde. 

Damit habe Sie eine Mischinstallation aus völlig veralteten Komponenten der Vollversion und neuen Komponenten der compact Version am System. Abhängig von den benötigten Anwendungsszenarien kann dies funktionieren, muss aber nicht. Ganz sicher wird aber eine solche Konstellation von DATEV nicht getestet. 

Lassen Sie mich noch ein paar Worte zum Thema "DATEV SmartCard im WTS Umfeld nutzen" verlieren.

Wenn Sie die SmartCard ausschließlich innerhalb der WTS-Sitzung verwenden möchten, dann ist es völlig sinnfrei am Client ein Sicherheitspaket zu installieren. Dies führt später lediglich zu zusätzlichem Installationsaufwand.

Eine Sicherheitspaket Installation ist nur notwendig, wenn die SmartCard zusätzlich zur Sitzung auch lokal am Client eingesetzt werden soll. In diesem Fall empfiehlt die DATEV aber ausdrücklich die Vollversion des Sicherheitspakets zu installieren.

Dies hat den Hintergrund, dass die compact Variante mit einem automatischen Updatemechanismus ausgestattet ist. Dieser kann dazu führen, dass am Client einen neuere Version des Sicherheitspakets als am Server installiert wird, wenn am Server eine Programm DVD sehr spät oder eventuell auch gar nicht installiert wird. Diese Konstellation wird mit sehr hoher Wahrscheinlichkeit dazu führen, dass die SmartCard nicht funktioniert.

Dies ist auch der Grund, weshalb auf der Katalogseite des compact Download explizit erwähnt wird diese Version eben nicht an WTS-Clients zu installieren. 

Rein technisch funktioniert auch das Sicherheitspaket compact am WTS-Client, man muss sich dann eben nur den oben beschriebenen Wechselwirkungen bewusst sein.

Meine Ausführungen beziehen sich auf den derzeitigen Stand der Softwarearchitektur.

Änderungen in der Softwareauslieferungsstrategie werden sich natürlich auch auf diese Empfehlungen auswirken.

mit besten Grüßen

Thomas Neumeier

DATEV eG Nürnberg

"Wenn Sie die SmartCard ausschließlich innerhalb der WTS-Sitzung verwenden möchten, dann ist es völlig sinnfrei am Client ein Sicherheitspaket zu installieren. Dies führt später lediglich zu zusätzlichem Installationsaufwand."

Dachte ich auch immer... Ich hatte jedoch (vor längerer Zeit) den Fall, dass ein Programm jedoch nicht funktioniert hatte, ich glaube es war "Steuerkonto Online".

Smartcard ohne Sicherheitspaket hat einwandfrei funktioniert (Belegverwaltung Online/Digitale Belegbuchung/Unternehmen Online). Bei der (glaube ich...) Steuerkonto Online Abfrage habe ich jedoch eine seltsame Fehlermeldung erhalten. Erst nach Installation des Sicherheitspaket (ich glaube es war compact), hat der Abruf geklappt.  

Kann es sein, dass sich da was geändert hat? 

PS: Ist schon ne Weile her...... 🙂

Hallo @rganter,

Nein es hat sich definitiv nichts geändert.

Wenn die Anwendung, die auf die SmartCard zugreift, innerhalb der Terminalserversitzung verwendet wird, also am WTS installiert ist, dann ist auf der lokalen Ebene kein Sicherheitspaket notwendig.

mit besten Grüßen

Thomas Neumeier

DATEV eG Nürnberg

---

@rganter  schrieb:

"Wenn Sie die SmartCard ausschließlich innerhalb der WTS-Sitzung verwenden möchten, dann ist es völlig sinnfrei am Client ein Sicherheitspaket zu installieren. Dies führt später lediglich zu zusätzlichem Installationsaufwand."

 

Dachte ich auch immer... Ich hatte jedoch (vor längerer Zeit) den Fall, dass ein Programm jedoch nicht funktioniert hatte, ich glaube es war "Steuerkonto Online".

Smartcard ohne Sicherheitspaket hat einwandfrei funktioniert (Belegverwaltung Online/Digitale Belegbuchung/Unternehmen Online). Bei der (glaube ich...) Steuerkonto Online Abfrage habe ich jedoch eine seltsame Fehlermeldung erhalten. Erst nach Installation des Sicherheitspaket (ich glaube es war compact), hat der Abruf geklappt.  

Kann es sein, dass sich da was geändert hat? 

PS: Ist schon ne Weile her...... 🙂

---

Kann es sein, dass die SC nicht für den "Steuerkonten Online-Abruf" freigegeben war? Das gibt dann auch eine komische Nachricht...

Es muss nur die Karte mit in die RDP-Sitzung gezogen werden. Dafür brauchts dann kein SiPa lokal....

Sehr geehrter Herr Neumeier,

vielen Dank für ihre Info. Dann werde ich die SiPa's deinstallieren 🙂

PS: War halt seltsam, nach der Installation des SiPa auf dem Notebook hat ja alles geklappt (kann also nicht an fehlenden Rechten gescheitert sein).