---

@m_steinert  schrieb:

Hallo,

 

wieso muss man eigentlich inzwischen die Service-TAN haben, wenn man von DATEV angerufen wird? Ich verstehe ja halbwegs, dass DATEV die anfordert, wenn man dort anruft. Aber wenn DATEV in einer Kanzlei anruft, wissen die doch, wo die anrufen. Wäre es hier nicht eigentlich der richtige Weg, dass die DATEV-Mitarbeiter den Kanzleien die Service-TAN mitteilen, damit man sicher sein kann, dass wirklich die DATEV anruft?

 

Gruß

Matthias

---

Danke @m_steinert , dass Sie das hier mal posten!

Was noch viel schlimmer ist: ich bin ein Fan des schriftlichen Servicekontaktes und beende diesen immer mit der aktuellen Service-Tan des Tages.  Bei mehreren SKs am Tag natürlich auch immer wieder. 

Vor kurzem wollte man von mir beim Rückruf trotzdem noch die Service-Tan wissen, die ich im schriftlichen Kontakt schon bekanntgab.

Ich hatte die damals echt nicht mehr parat (kommt selten vor...) von daher verweigerte man mir die Bearbeitung.

Aber: es gibt wohl auch unterschiedliche Auffassungen hinsichtlich der Abfrage der Service-TAN. 

Scheinbar die neue DATEV-Auffassung zum Serviceverhalten. Eine andere Begründung erschließt sich mir dafür leider nicht...

---

@m_steinert  schrieb:

Aber wenn DATEV in einer Kanzlei anruft, wissen die doch, wo die anrufen.

---

Theoretisch ja, andererseits wissen wir natürlich auch nicht, wie das Programm bei DATEV aussieht und wie leicht oder schwer es ist die falsche Kanzlei anzurufen.

---

@m_steinert  schrieb:

Weg, dass die DATEV-Mitarbeiter den Kanzleien die Service-TAN mitteilen, damit man sicher sein kann, dass wirklich die DATEV anruft?

---

Das wäre natürlich die beste Lösung, Verifizierung des Gesprächspartners in beide Richtungen. Dafür bräuchtest du aber zwei Service-TANs.

---

@rschoepe  schrieb:

---

@m_steinert  schrieb:

Aber wenn DATEV in einer Kanzlei anruft, wissen die doch, wo die anrufen.

---

Theoretisch ja, andererseits wissen wir natürlich auch nicht, wie das Programm bei DATEV aussieht und wie leicht oder schwer es ist die falsche Kanzlei anzurufen.

 

---

@m_steinert  schrieb:

Weg, dass die DATEV-Mitarbeiter den Kanzleien die Service-TAN mitteilen, damit man sicher sein kann, dass wirklich die DATEV anruft?

---

Das wäre natürlich die beste Lösung, Verifizierung des Gesprächspartners in beide Richtungen. Dafür bräuchtest du aber zwei Service-TANs.

---

Die Überprüfung verstehe ich grundsätzlich. Wahrscheinlich kam es da wohl zu "Auffälligkeiten". Was ich nicht verstehe,  ist das Nachfragen, nachdem man die Service-TAN vorher im schriftlichen SK ausdrücklich genannt hat.

Und: nicht jede(r) DATEV-Mitarbeiter/in) fragt die Service-TAN ab. Und auch nicht immer.

Liegt´s dann doch an der Tatsache, dass ich sie vorher schon schriftlich mitgeteilt habe....?

Schon komisch, oder? Zumal es ja auch noch einen "Teamservicevertrag gibt"....der ja eh einer Beraternummer zugeordnet ist...

---

@rschoepe  schrieb:

---

@m_steinert  schrieb:

Aber wenn DATEV in einer Kanzlei anruft, wissen die doch, wo die anrufen.

---

Theoretisch ja, andererseits wissen wir natürlich auch nicht, wie das Programm bei DATEV aussieht und wie leicht oder schwer es ist die falsche Kanzlei anzurufen.

 

---

Wenn die Anfrage über "Servicekontakt anlegen" angelegt wird, wird die Anfrage ja (hoffentlich) automatisch der Kanzlei zugeordnet. Und es kann ja nicht so schwer sein, für jede Kanzlei eine Telefonnummer zu hinterlegen, die der DATEV-Mitarbeiter dann anrufen kann (man kann ja einmalig die Rückrufnummer über eine Service-TAN "absichern").

---

@m_steinert  schrieb:

---

die Anfrage über "Servicekontakt anlegen" angelegt wird, wird die Anfrage ja (hoffentlich) automatisch der Kanzlei zugeordnet. Und es kann ja nicht so schwer sein, für jede Kanzlei eine Telefonnummer zu hinterlegen, die der DATEV-Mitarbeiter dann anrufen kann (man kann ja einmalig die Rückrufnummer über eine Service-TAN "absichern").

---

Man gibt doch die Kanzleiberaternummer an. Damit sollte doch alles klar sein. Dazu kommt noch der Ansprechpartner ("SK-Ersteller") für den außerdem noch Rufnummer etc. hinterlegt ist (und sogar die Zeiten, in denen man erreichbar ist).

Alles also bekannt und vorhanden. 

---

@rschoepe  schrieb:

---

@m_steinert  schrieb:

Aber wenn DATEV in einer Kanzlei anruft, wissen die doch, wo die anrufen.

---

Theoretisch ja, andererseits wissen wir natürlich auch nicht, wie das Programm bei DATEV aussieht und wie leicht oder schwer es ist die falsche Kanzlei anzurufen.

Super, dann sollten wir demnächst dann, wenn wir unsere Mandanten anrufen, uns erst mal deren Steuer ID nennen lassen, damit wir sicher sind, dass die Datev Telefonie nicht aus Versehen den falschen Mandanten angerufen hat und wir vertrauliche Daten mit einem wildfremden Menschen erörtern ... 😉

Hallo @StB_in ,

---

@StB_in  schrieb:

Super, dann sollten wir demnächst dann, wenn wir unsere Mandanten anrufen, uns erst mal deren Steuer ID nennen lassen, damit wir sicher sind, dass die Datev Telefonie nicht aus Versehen den falschen Mandanten angerufen hat und wir vertrauliche Daten mit einem wildfremden Menschen erörtern ...😉

---

Ich bin fassungslos! Tun Sie dies etwa aktuell noch nicht? 😂

Vergnügliche Grüße! 🙂

---

@lohnexperte  schrieb:

Hallo @StB_in ,

 

---

@StB_in  schrieb:

 

Super, dann sollten wir demnächst dann, wenn wir unsere Mandanten anrufen, uns erst mal deren Steuer ID nennen lassen, damit wir sicher sind, dass die Datev Telefonie nicht aus Versehen den falschen Mandanten angerufen hat und wir vertrauliche Daten mit einem wildfremden Menschen erörtern ...😉

---

Ich bin fassungslos! Tun Sie dies etwa aktuell noch nicht? 😂

 

Vergnügliche Grüße! 🙂

 

 

---

Aber immer doch. Zusätzlich aber mit Videotelefonie und mit vor der Brust gehaltener, aktueller Tageszeitung.

Hallo @m_brunzendorf ,

---

@m_brunzendorf  schrieb:

Aber immer doch. Zusätzlich aber mit Videotelefonie und mit vor der Brust gehaltener, aktueller Tageszeitung

---

Jetzt kommt mir auch endlich in den Sinn, warum so viele Sicherheiten eingebaut werden müssen: Die Gebrüder Grimm warnten schon in analogen Zeiten mit dem Märchen "Die sieben Geißlein" vor "blindem" Vertrauen ...

VG

---

@rschoepe  schrieb:

---

@m_steinert  schrieb:

Aber wenn DATEV in einer Kanzlei anruft, wissen die doch, wo die anrufen.

---

Theoretisch ja, andererseits wissen wir natürlich auch nicht, wie das Programm bei DATEV aussieht und wie leicht oder schwer es ist die falsche Kanzlei anzurufen

Hier wird aber eine Sicherheitslücke mit einer noch größeren Sicherheitslücke gestopft. 

Der Anrufer ist immer als nicht vertrauenswürdig anzunehmen, nicht der Angerufene. Der Anrufer hat sich, wie auch bei einem Anruf bei der Servicehotline, zu identifizieren. Die Identität des Angerufenen ist über die gewählte Telefonnummer als bekannt angenommen. Zusätzlich wird sich ein fälschlich angerufener Dritter selten als die korrekte Kanzlei melden, wenn das Gespräch angenommen wird.

Die Weitergabe von Verifizierungsdaten an einen Anrufer ist absolut inakzeptable Präzedenz und widerspricht allen Anstrengungen, die Resilienz gegen Betrugsanrufe zu erhöhen. Jegliche Schulung zur Datenschutz beruft sich genau hierauf: Keine Weitergabe von Daten an nicht verifizierte Gesprächspartner.

Ein DATEV-Support-Anrufer ist mMn nicht verifizierbar, da es keine Service-TAN in Gegenrichtung gibt. Auch müsste es schon sehr weitgehender Zufall sein, wenn sich der Angerufene als Kanzlei/Name aus dem Support-Fall meldet, falls doch eine falsche Nummer angerufen worden sein sollte.

Hier wäre eine Klarstellung seitens DATEV sehr hilfreich, das Abfragen von Verifizierungsdaten als Anrufer kann ich mir schwerlich als zentrale Vorgabe vorstellen. Sollte nach gleichem Schema ein Fake-DATEV-Support die TAN abfragen, bleibt die Service-TAN natürlich den restlichen Tag aktiv (wann gibt es eigentlich rotierende/dynamische Service-TANs?). Dies bieten ausgiebig Gelegenheit die TAN anschließend missbräuchlich zu verwenden.

Ui, was würde denn  

---

ein Fake-DATEV-Support 

---

so anstellen?

"Erkennungsmerkmal" ist doch immer die Beraternummer, unter der man den SK "eröffnet.

Bei telefonischer Kontaktaufnahme zum DATEV-Support muss man doch immer auch die Beraternummer und dann die Service-TAN angeben.

Schreibt man an DATEV und bittet um Rückruf, wird man beim Rückruf von DATEV natürlich um die tagesaktuelle Service-TAN gefragt. 

Ein Fake-DATEV-Support, wohlmöglich noch mit gefakter DATEV-Rufnummmer muss schon viel Fakewissen haben, um da vorstellig zu werden.  Zumal die dann ja von einem Problem wissen müssten, dass es ja eigentlich so gar nicht gibt....

Coole Annahmen...

---

@andreashofmeister  schrieb:

Ui, was würde denn  

---

ein Fake-DATEV-Support 

---

so anstellen?

Das selbe das ein Fake-Windows-Support und ein Fake-Dell-Support etc auch anstellen? Zugang zu Informationen (und Systemen) erhalten um in Folge, auf diversen Wegen, monetär davon zu profitieren.

Ich sehe davon ab genau zu erläutern welche Möglichkeiten man hätte, wenn man sich mit fremder Beraternummer & gültiger TAN an den DATEV-Support wendet. Ich denke Ihre Kreativität wird sich da mindestens eine problematische Sache erdenken können.

"Erkennungsmerkmal" ist doch immer die Beraternummer, unter der man den SK eröffnet.

Mir sind hier Beraternummern in nicht unerheblicher Anzahl von anderen Kanzleien bekannt. Alleine schon über den Mandantenübertrag. Die Beraternummer ist kein besonders "geheimer" Wert. Viele ehemalige Mandanten kennen im Zweifel die Beraternummer der Kanzlei. Hier eröffnet sich auch schon eine mögliche Begründung für den Versuch über einen solchen Weg Schaden anzurichten. Selbiges gilt natürlich für ehemalige Mitarbeiter.

Den Rückruf nimmt übrigens nicht selten jemand an, der den SK nicht selbst erstellt hat. Wenn hier eine Service-TAN abgefragt wird und sich dies als "Standard" des DATEV-Support etabliert, gibt es eine entsprechende Desensibilisierung.

Wären die Service-TAN jeweils nur zeitbezogen gültig, würde ich die Problematik ganz anders einordnen. Es ist allerdings halt eine "tagesaktuelle" Service-TAN.

Übrigens:

Wenn ich einen Service-Kontakt erstellen kann, habe ich mich dabei ja bereits über ein Zugangsmedium identifiziert. DATEV ruft bei bekannter Stelle an, ich werde von unbekannter Stelle angerufen. Unbekannt identifiziert sich normalerweise bei Bekannt, nicht andersrum.

Übrigensübrigens:

wohlmöglich noch mit gefakter DATEV-Rufnummmer

Zitat Bundesnetzagentur:

Um eine Rufnummer zu manipulieren und bei Anrufen eine falsche Rufnummer zu übermitteln und anzeigen zu lassen, ist es nicht erforderlich, sich diese Rufnummer auf irgendeine Weise zu verschaffen,d.h.sie zu erwerben oder sie freischalten zu lassen. Von der Manipulation betroffen sein können dabei einerseits real existierende – auch ausländische – Rufnummern, obwohl der Inhaber der Rufnummer mit dem Anruf nichts zu tun hat.

Die Werbeanrufer mit Bonner Telefonnummer rufen übrigens auch nicht wirklich aus Bonn an.

Guten Tag,

vielen Dank für Ihre Beiträge rund um die Nutzung der Service-TAN.

Als Auftragsverarbeiter sind wir an die datenschutzrechtlichen und berufsrechtlichen Verpflichtungen gebunden. Daher müssen wir bei jedem Servicetelefonat sicherstellen, dass wir vertrauliche und insbesondere berufsrechtlich geschützte Auskünfte nur an berechtigte Personen erteilen.

Den größtmöglichen Schutz Ihrer Daten gegen unbefugtes Auskunftsbegehren erreichen wir durch Prüfung Ihrer Beraternummer in Kombination mit der dazugehörigen, tagesaktuellen Service-TAN. Daher fragen wir bei eingehenden Anrufen beide Nummern ab.

Ohne Beraternummer und Service-TAN erteilen wir nur Auskünfte über nicht vertrauliche Informationen, die öffentlich bzw. bei DATEV allgemein zugänglich sind.

Ohne Service-TAN beantworten wir nur allgemeine Anfragen ohne datenschutzrechtliche oder berufsrechtliche Relevanz (z. B. zur technischen Unterstützung).

Im Ausnahmefall rufen wir unter der, bei DATEV hinterlegten Rufnummer zurück.

• Allerdings kann in der Rechteverwaltung der Zugriff auf die Service-TAN eingeschränkt werden. Daher können wir nicht zweifelsfrei davon ausgehen, dass jeder Mitarbeitende in der Kanzlei bzw. im Unternehmen die Service-TAN kennt und für vertrauliche Informationen nutzen darf.
• Auch das Weiterverbinden an nicht auskunftsberechtigte Personen (z. B. ehemalige Mitarbeitende) kann nicht ausgeschlossen werden.
• Daher fragen wir vorsorglich auch bei Rückrufen die Service-TAN ab. Insbesondere dann, wenn es sich um Auskünfte über vertrauliche oder berufsrechtlich geschützte Daten handelt.
• Wenn Sie Zweifel an der Echtheit eines Anrufes haben, beenden Sie bitte das Gespräch. Kontaktieren Sie uns anschließend (z. B. über die bekannte Service-Hotline), um sich zu vergewissern, dass der Anruf von DATEV kommt. 
• Die Nutzung ein- und derselben Service-TAN für die beidseitige Authentifizierung ist aus Sicherheitsgründen nicht möglich. Dafür sind zwei getrennte TANs erforderlich.

Bei schriftlichen Serviceanfragen per Servicekontakt muss keine Service-TAN erfasst werden. Die Kommunikation erfolgt über den Servicekontakt in einem geschützten Bereich. Außerdem sind Absender bzw. Empfänger über das elektronische Zugangsmedium eindeutig identifiziert.

Weitere Informationen zur Service-TAN erhalten Sie im DATEV-Hilfe-Center (Dok.-Nr.: 1080312).

Um unsere Abläufe kontinuierlich zu verbessern, prüfen wir laufend auch Authentifizierungsverfahren, die bei gleichem Schutzniveau einen möglichst geringeren Verwaltungsaufwand für Sie und uns bedeuten. Sollten sich geeignete Verfahren ergeben, werden wir rechtzeitig darüber informieren.