EBICS sichere machen

alexander_dasilvaseboe · ‎30.08.2019

Wegen der Umstellung im September und der eingeschränkten Funktionalität des Pins/Tan Zahlungsverkehrs über den Drittanbieter haben wir auf EBICS umgestellt. Leider stelle ich nun fest, dass das Verfahren aus Anwendersicht unsicherer ist, als das PIN/Tan verfahren.

Wir verwenden keine SmartCard/mIDentity (also einen Stick) sondern SmartLogin per Mobil Telefon. In diesem Fall kann jemand, der Zugriff auf den Rechner hat, wenn ich mich einmal per SmartLogin angemeldet habe. Ohne weitere Autorisierung mit Ebics Überweisungen ausführen. Auch einen Erneute Legitimierung per SmartLogin ist beim Überweisen nicht nötig und da man sich bei Datev nicht abmelden kann, könnte jemand auch nach meiner Abwesenheit, für 30 Minuten, Datev im Browser öffnen (Anmeldung besteht ja noch) und Überweisungen ausführen.

Datev sollte vor der Überweisung mit EBICs mich nochmals per SmartLogin legitimieren.

renek · ‎20.05.2021

@eliansawatzki schrieb:
Es muss keine PIN mehr eingegeben werden.

Ja, da liegt natürlich der Fehler beim User.... NEIN, natürlich nicht! Der liegt schon bei der Datev! Wir bspw machen alles über Zahlungsverkehr. Dort muss ich doch auch bei JEDER Überweisung den PIN neu eingeben! Warum wird das bei DUO nicht gemacht? DAS müsste geändert werden - nicht ein zusätzliches Verfahren zur Identifikation einführen.

Und zum Thema Mitarbeiter sperrt Computer nicht (Bildschirmsperre reicht nicht 😄 😞

Ex-Kollegen von mir haben das auch schon gemacht. Da Datev ja auch immer Powerpoint mitbringt, sind da schnell Präsentationen mit dem "bsod" erstellt. Mit richtig blöden Fragen wie "Sie wollen wirklich die Festplatte löschen? Ja/Nein/Vielleicht". Man glaubt gar nicht wie lustig es ist den Kollegen verzweifelt vorm PC sitzend zu sehen bis dann endlich die letzte Folie kommt mit "reingelegt, hättest Du mal den PC gesperrt"... Finde ich noch immer lustig. Nebeneffekt: Der Kollege hat nie mehr vergessen den PC zu sperren. Ziel erreicht!

eliansawatzki · ‎20.05.2021

Vorsatz kann man nicht ausschließen.

Mir geht es nicht darum, einen Versucher von Fehlern zu suchen.

Ich habe lediglich erläutert, welchen zusätzlichen Sicherheitsgewinn eine zusätzliche PIN-Eingabe bringt. Das dies in der Beurteilung als Außenstehender mit einer einfachen zusätzlichen PIN-Abfrage komfortabler als mit SmartVerify wäre sehe ich genauso.

Hier sind auf jeden Fall bis zum jetzigen Zeitpunkt alle zufrieden mit dem Sicherheitsgewinn und der Prozess verursacht keine Schwierigkeiten.

renek · ‎20.05.2021

Ich habe lediglich erläutert, welchen zusätzlichen Sicherheitsgewinn eine zusätzliche PIN-Eingabe bringt.

Der steht außer Frage. Im Übrigen könnte man auch noch zusätzlich den Daumenabdruck nehmen und einen Irisscan durchführen. Auch das würde bestimmt Anhänger finden die es mit "höhere Sicherheit" für gut befinden.

ABER. Datev könnte auch die PIN-Abfrage für jede Überweisung neu starten. Da müsste keine zusätzlich Software installiert werden...

Das ich Sie zitiert habe, liegt an Ihrer Aussage das Datev eben nicht mehr bei Überweisungen die PIN abfragt. DAS ist mir, da ich Bank online nicht nutze, nicht bekannt gewesen. Und es ist auch für mich ein no-go!

Die Aussage mit "Bildschirmsperre" ist natürlich ein Mitarbeiterproblem. Lässt sich aber durch "Spielereien" wie beschrieben abstellen. Andernfalls muss der MA eben darauf hingewiesen werden, dass er haftbar gemacht werden kann, wenn er seine Pflichten verletzt. Und da gehört das Sperren des Arbeitsplatzes beim Verlassen ehrlicherweise doch dazu.

Nina_Naßler · ‎28.06.2021

Es sind nun alle Bestände erfolgreich für den neuen Prozess der elektronischen Unterschrift bzw. Initialisierung mit SmartVerify freigeschaltet. Alle EBICS-Nutzer können somit mit der neuen 2-Faktor-Authentintifizierung arbeiten.

metalposaunist · ‎28.06.2021

@Nina_Naßler schrieb:
Alle EBICS-Nutzer können somit mit der neuen 2-Faktor-Authentintifizierung arbeiten.

Fast alle: SmartVerify mit SmartLogin geht nicht

@Nina_Naßler: Ursache war aber nicht der 1 Kudo Wunsch, sondern Vorgaben der EU dank PSD2? Ist das so richtig? Auf viel Gegenliebe stößt SmartVerify bei unseren Mandanten und auch in der Community nicht 😶.

jjunker · ‎28.06.2021

@metalposaunist Nicht viel Gegenliebe? Der war gut. erste Mandanten fragen was wir statt DUO anbieten können.

Smart ist an dem Verify mal so gar nichts. 🙄

olafbietz · ‎28.06.2021

Bei uns auch negative Rückmeldungen.

jjunker · ‎28.06.2021

Smart Verify über Bord werfen - DATEV-Community - 227488 bitte hier klicken

metalposaunist · ‎28.06.2021

@jjunker: Deshalb hatte ich @Nina_Naßler ja gefragt 😉. Wenn die EU mit PSD2 dahinter steckt, wird diese Idea gleich aus gesetzlichen Gründen gekippt werden müssen. Und ich glaube, es ist eher so eine Idea wie: Alte Rechteverwaltung online nicht abschalten

Einmal den Schritt gemacht, gibt's kein zurück mehr. Wie soll man das "verkaufen"? Vielleicht wäre es besser gewesen, man hätte bei der Entwicklung ein paar Freaks aus der DATEV Community einbezogen, die dann an einigen Stellen hätten eingreifen können. So müssen wir das beste draus machen. Kommt, was da wolle.

An sich ist die neue Rechteverwaltung online im Nachhinein nun nicht so schlimm, wie anfangs aber eben auch weit weg von perfekt oder viel besser als vorher. Aber auch das war ja meine ich damals nicht das Ziel, sondern DATEV hat Technik im Hintergrund abgeschaltet, die eine neue RVo brauchten und dann hat DATEV den Status Quo eben nur in schön geschrieben. Neue Funktionen kommen trotzdem zu langsam und dann nicht immer unsere Wünsche. Hm.

jjunker · ‎28.06.2021

@metalposaunist Sorry das sehe ich anders. Gäbe zig Möglichkeiten die Anforderungen der PSD2 umzusetzen. Welche wird gewählt?

Prolog:

"Wo können wir noch jemandem einen Hut aufsetzen"

"Dafür muss eine neue Software her"

"Wie Soll Sie heißen?"

"Auf jeden Fall smart!, klingt cool!"

Praktikant: "Ich hätte da eine Idee, wir könnten eine zweite Abfrage der Pin über das Sicherheitspaket auslösen?"

"ne da gibbet ja keinen Projektverantwortlichen für"

"Außerdem können wir dann Smart nicht nochmal verwenden"

Ich habe heute 😡Laune

metalposaunist · ‎28.06.2021

@jjunker schrieb:
Gäbe zig Möglichkeiten die Anforderungen der PSD2 umzusetzen.

Das habe ich ja nicht bestritten 😉. Aber jetzt von VW auf BMW umzusteigen ist auch nicht sinnvoll und wer weiß, was es für Limits im RZ oder anderswo gab. Wissen wir ja alles nicht und Du erinnerst Dich an unser Gespräch? 😉

Lass uns das beste draus machen mit Alt+Tab, Tastenkombinationen zum Starten des Programms und Tab zum Wechsel der Buttons.

jjunker · ‎28.06.2021

😐😑🤐*Zähneknirsch* Ganz ehrlich. Fliegt Bank Online bei den großen Mandanten eben raus. Wenn zum Jahresende hin in Q4 die Schnittstellen für die ERP Anbieter geöffnet werden kommt da ordentlich Konkurrenz. --> Die Haben auch eigene Banking Programme an Bord.

Mir steht es heute bis .....

Nina_Naßler · ‎29.06.2021

Hallo @metalposaunist,

ich bin Ihnen noch eine Antwort schuldig: Nein. Ausschlaggebend für die Umsetzung dieses Wunsches war weder der 1 Kudo noch die PSD2 Richtlinie. Vielmehr liegt der Grund darin, dass Sicherheit bei DATEV groß geschrieben wird.

So ist auch die Sicherheit beim Banking durch nichts zu ersetzen – außer durch noch mehr Sicherheit. Aus diesem Grund haben wir für Bank online auch beim technisch bereits sehr sicheren EBICS-Verfahren die 2-Faktor-Authentifizierung eingeführt.

jjunker · ‎29.06.2021

@Nina_Naßler Dann bitte direkt die zwei Option einführen.

Angsthase --> Mit Smart Verify

Prozessorientiert --> ohne Smart Verify.

Einzustellen Durch den Admin und schriftlicher Freigabe des Mandanten.

Danke für den ersten Sargnagel R.I.P Smart Verify. 😎

@metalposaunist uns wurde also ohne Not ein gut Funktionierender Prozess kaputt gemacht, 😒

metalposaunist · ‎29.06.2021

@jjunker schrieb:
@metalposaunist uns wurde also ohne Not ein gut Funktionierender Prozess kaputt gemacht,

So würde ich das wohl auch verstehen. Passt wieder so richtig in den DATEV Admin-Alltag 😶.

@Nina_Naßler schrieb:
Vielmehr liegt der Grund darin, dass Sicherheit bei DATEV groß geschrieben wird.

Jap, das stimmt. Leider aber ab und zu so groß, dass ich Angst habe, dass DATEV den Anschluss an aktuelle technologische Ideen verliert. Der ganze Prozess ist jetzt noch manueller geworden. Ohne BatchBooking scheint das ja noch schlimmer zu sein. Zumal ich in meinem Post hier technische Dinge angesprochen haben, die eine 2. PIN Eingabe auch nicht sicherer machen. Wenn's der Sicherheit nach geht, gehen wir zur Bank und schauen den Mitarbeitern über die Schulter, ob auch ja jede Überweisung korrekt abgetippt wurde ... Sicherheit in allen Ehren aber wenn, dann bitte technisch richtig umgesetzt oder gar nicht.

Sorry, überzeugt mich (technisch) wieder nicht. 😶

Tobias_Ettl · ‎05.07.2021

Sorry, kein Verständnis - Windows-Taste + L

EBICS unsicherer als HBCI, ich möchte gar nicht wissen, wie die HBCI-Zugänge von manchen verwaltet werden, wenn ich diese Anfrage sehe - nichts für ungut...

Gratulation an die DATEV...

metalposaunist · ‎02.08.2021

Statt mit einem USB-Dongle als Keylogger, geht das unter Android auch einfach mit Maleware: Vultur: Android-Trojaner späht Login-Daten für Bankkonten und E-Wallets aus

Also 2x die PIN am gleichen Gerät einzugeben, erhöht keinesfalls zwangsweise die Sicherheit. Eher im Gegenteil und bestätigt nochmal die Richtigkeit der PIN für Hacker.

renek · ‎02.08.2021

@metalposaunist Daher sollte man biometrische Daten nutzen. die spielen bei diesem Trojaner keine Rolle 😉

deusex · ‎02.08.2021

Vorher: Unterschrift wurde in DUO Bank online mit dem Bezahlvorgang via MyDentity ausgeführt. Ohne MyDentity keine Zahlungsausführung. Zuvor hat man zunächst den MyDentity in Besitz bringen müssen und die Zugangsdaten haben, um sich überhaupt anmelden zu können.

Nachher: Anmeldung und Bezahlvorgang ist derselbe, nur dass ein weiteres Programm, auf dem selben Rechner, mit gleichem Sicherheitsmedium, gestartet wird und dort die Unterschrift ausgeführt wird, um nachher wieder in Bank online die Zahlung auszulösen.

Änderung: Zwischenschaltung eines zusätzlichen Prozesses, der auf demselben Gerät, mit demselben Sicherheitsmedium legitimiert wird.

Frage 1: Wird die Sicherheit wirklich verbessert, wenn man bspw. noch drei weitere Sicherheitsabfragen über drei weitere Prozesse einfügt, die auf dem ein und denselben Gerät und Sicherheitsmedium stattfinden ?

Frage 2: Wenn statt einer, drei wasserdichte Regenjacken getragen werden, ist das dann nützlich oder schränkt es vielleicht nur die Bewegungsfreiheit ein?

M.E. macht dies doch nur dann Sinn, wenn man SmartVerify als 2FA über das Smartphone ausführen müsste, denn eine 2FA liegt schlichtweg nicht vor !

Geläufige Praxis: Login mit Zugangsdaten und Passwort und als 2FA bspw. den "Google Authenticator" (bspw. BMWi).

Fazit zu EBICS-Mydentity-SmartVerify-DATEV jetzt:

Hat ein wenig was von einer verschlüsselten Anlage in einer E-Mail und in einer Folge-Mail an gleiche Adresse überlässt man das Passwort oder noch besser, man erhält es gleich in derselben Mail mit der verschlüsselten Anlage (was nicht selten der Fall ist); letzteres käme m.E. der neuen Variante in Bank online / EBICS sogar noch näher.

Wer die Entfernung in der EDV mit "Klicks" misst, wird natürlich schon vor den Kopf gestoßen. Ein befreundeter Mandant (Systemhaus) trägts zumindest mit (süffisantem) Humor, hat aber tagtäglich eine Vielzahl von Überweisungen zu erledigen, womit ich mir nicht sicher bin, wie lange er sich das anschaut.

metalposaunist · ‎02.08.2021

@renek schrieb:
@metalposaunist Daher sollte man biometrische Daten nutzen. die spielen bei diesem Trojaner keine Rolle 😉

Mag sein, dass das bei diesem Trojaner keine Rolle spielt. Aber heißt ja nicht, dass es andere tun 🤔? Ich kenne Android nicht aber Apple traue ich da wieder mehr Sicherheit zu, wenn die biometrischen Daten nur auf dem Gerät und dort sogar mit einem extra Chip abgesichert gespeichert werden. Wenn solche Daten bei Android "einfach so" im Betriebssystem liegen - gute Nacht 🌙.

@deusex: Sehr schön 🤓.

Leider wurde die DATEV Idea von @jjunker ja schon abgelehnt: Smart Verify über Bord werfen Also müssen wir erst einen funktionsfähigen Exploit inkl. PoC vorlegen, damit sich was in Sachen Sicherheit tut? 🤓