EBICS sichere machen

@metalposaunist Die Idee war nur wenige Stunden online und hat sieben Zustimmungen erhalten.

Die dann einfach zu zumachen ist nicht richtig, Das ist in etwa so wie.

Wir spielen Mindmapping legen aber Tabuwörter fest.

Thema "Kostenreduktion" --> Verboten ist das Wort "Lieferantenwechsel". 

DATEV IDEAS --> Neue Produkte grundlegend kritisieren und um Unterstützung werben? --> Verboten.

Ganz großes KINO

@Nina_Naßler Fair Play geht anders. Auch wenn Sie das wahrscheinlich auf Anweisung von oben machen mussten. Statt mit Argumenten das eigene Produkt vertreten unterbinden wir einfach mal die Diskussion...

unter anderem ein Grund warum meine Kritik in letzter Zeit etwas schärfer aus fällt.

Können sie ja vielleicht dem Großkopferten dem die IDEA nicht passte ausrichten. Danke.

Nun, der Wunsch von @alexander_dasilvaseboe wurde zu seiner Freude umgesetzt. Wohl nur zu seiner 😉 .

"Datev sollte vor der Überweisung mit EBICs mich nochmals per SmartLogin legitimieren."

Schon im Grunde aber schon bedenklich: "Wenn jemand Zugriff auf den Rechner hat." Warum ist das so ?

Dann ist doch primär der Zugriff zu beschränken und ggf. "win+l" wenn man aufsteht und/oder die Anwendung verlassen, auch wenn man nur kurz für kleine Buchhalter muss oder ggf. über strg-shift-entf (hilft m.E. auch zum Abmelden).

Sollte die Lösung nicht eher so aussehen, dass man sich per SmartLogin in solchen Fällen, einfach zusätzlich ausloggen können sollte und das nicht nach einem fixen timout geschieht ?

Es könnte so einfach sein. Stattdessen wird die Mehrheit der Anwender in Sippenhaft genommen, weil EINER seinen Rechner nicht ordentlich verlässt. Muss man sich nicht vorstellen.

@deusex 👍Die Insel der Glückseeligen mit einem Minimum an Intelligenz wurde noch nicht gefunden oder? Das wäre mein erstes Auswanderungsziel. 

---

@jjunker schrieb:

Das wäre mein erstes Auswanderungsziel. 

---

Kann ich mitkommen? Muss ich erst eingebürgert werden? 😂 Gibt's da WLAN? Wenn nicht, einfach eine Runde Starlink besorgen. 

---

@jjunker schrieb:

...unter anderem ein Grund warum meine Kritik in letzter Zeit etwas schärfer aus fällt.

 

Ah! Sie sind in Phase IV. Ich bin in Phase V. Also abwarten, es wird bald ruhiger. 

Zur Erläuterung, hier die Phasen:

Phase I: Feststellung einer Verbesserungsmöglichkeit / Kritik an ungünstigem Zustand

Phase II: Einbringung der Idee bzw. Bitte um Abstellung des Fehlers, Ausgiebige Begründung, man ist mit Herzblut dabei

Phase III: Mehrmalige Wiederholung der Phase II, die Begründung wird nachmals erweitert, man ist genervt
Phase IV: Mehrmalige Wiederholung der Phase II, die Kommunikation wird rauer, weil sich nichts tut, Wut macht sich breit.
Phase V: Resignation

@olafbietz 🤣 made my day.

Mal sehen wer mehr Sitzfleisch hat. Ich könnte das ja wie Greta machen. Fridays for digital Solutions und mich in Nürnberg vor die Zentrale setzen.

So lange man wie hier einfach ignoriert wird. DATEV goes denglish – Seite 2 - DATEV-Community - 228764 🙄

Definitiv diagnostiziere ich Phase V für mich und obwohl ich mir an sich vorgenommen habe, nicht mehr zu motzen oder mich aufzuregen und einfach das Beste draus zu machen, was wir haben, ertappe ich mich immer mal wieder in Phase IV. Ist dies schon ein Anzeichen von Genesung ?!

Die Insel der Glückseligen existiert und ist leicht zu finden, nur können wir sie nicht sehen. Muss toll dort sein. Eine ordentliche Lobotomie könnte uns diesem Ziel näher bringen. 😆 😜

@deusex Moment ist das nicht dieses gruselige Verfahren wo man Teile des Gehirns verstümmelt?

Ich sprach von Mindestmaß an Intelligenz. Ich hatte keine Grenze festgelegt, Stimmt.

Alles > 120 Punkte ist willkommen. 

Zwei-Faktor-Authentifizierung: Logins mit Authenticator zusätzlich absichern

---

Ein einfacher und preisgünstiger Weg ist ein dynamisch erzeugtes, zeitlich begrenzt gültiges Einmalpasswort – ein sogenanntes TOTP (Time-based One-Time Password). Idealerweise wird dieses auf einem getrennten Kanal generiert, etwa durch eine Software, die auf einem zweiten, vom ersten unabhängigen Gerät arbeitet.

---

Was heise schon sagt 😬. 

Steht also in Verbindung mit meiner Idea: Integration des Microsoft Authenticator

Daniel glaubst du an den Weihnachtsmann, die Zahnfee und den Osterhasen?

Die drei müssten schon zusammen arbeiten damit eine/r bei unserer Genosschaft den **bleep** in seiner/ihrer Hose wieder entdeckt, aus der Reihe tanzt und sagt: "smart Verify? Dumme Idee einstampfen."

Dann müsste man ja das Silo einer anderen Abteilung gänzlich in seiner Notwendigkeit in Frage stellen und die Komfortzone verlassen... 

Das mit in Phase V aus dem Urlaub kommen wird wohl nichts. 🙈 @olafbietz welche Phase gibt es denn wenn man zum Zyniker wird?

Edit: hiermit stelle ich jeden DATEV Mitarbeiter von jeglicher dummen sozial Media Richtlinie meiner Person gegen über frei. Ich teile mit der großen Kelle aus, ich steck auch gerne im gleichen Maße ein wenn jemand anderer Meinung ist. 

@jjunker Der Zyniker befindet sich im Phase-IV-Endstadium. Er droht allerdings, unmittelbar in Phase VI abzurutschen, dem Zustand innerlicher Kündigung. Die weiteren Phasen hat @einmalnoch im Smalltalk-Thread beschrieben und sollten dort weiterdiskutiert werden. Oder wir machen einen Phasen-Thread auf.

---

@metalposaunist schrieb:

Man besorge sich einen USB-Stick der mini Variante und baue ihn zum Keylogger um, der sich als Tastatur ausgibt.

---

Ich weiß, Offtopic aber man muss kein Held sein, um zu wissen, dass solche Hirngespinste schon Realität sind: FIN7-Hacker USB-Sticks: Erpressungssoftware kommt per Post

Und nein, leider kann man nicht zu 100% davon ausgehen, dass alle so weit denken und nichts Fremdes an den PC anstecken - egal, von wem es angeblich kommt.

Dann muss man also mit Software arbeiten, die USB-Ports sperrt und Ausnahmen für DATEV / KOBIL hinterlegen.  

Aber egal, SmartVerify ist gekommen, um zu bleiben und weil HBCI aka finAPI mit Umsatzvormerkposten und dem Saldo schon mal vor die DATEV-Sammlerwand fahren kann, bleibt nur EBICS mit SmartLogin, wobei ich letztens jemanden am Telefon hatte, der wohl gefühlt ein Android 4 Smartphone nutzt ... Schöne, neue Technikwelt. 

Liebe DATEV, 

aufgrund der Berichterstattung bzgl. S-Protect der Sparkassen, frage ich hier nochmal ernsthaft an, ob SmartVerify von offiziellen Dritten technisch als so sicher abgesegnet wurde, wie es uns DATEV verkauft. 

S-Protect: c’t entdeckt Sicherheitsmängel in Banking-Software der Sparkasse

Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?

2. Nachlese zum gehärteten Sparkassen-Browser S-Protect

Ich bekomme mehr und mehr Zweifel, dass es sich hier schlicht um eine ABM Maßnahme handelt, wenn man SmartCard und das zusätzliche Programm nutzt. Bei Verwendung von SmartLogin habe ich ein besseres Bauchgefühl. Das muss aber nichts heißen. Ich bin auch "nur" IT-Endanwender. 

Ich hatte HIER ja schon einige Gedanken zusammen geschrieben.

Zusätzlich gibt es gleich zwei Ideas, die ebenfalls Zweifel äußern: 

Smart Verify Wahlmöglichkeit programmieren

Smart Verify über Bord werfen

Hallo @metalposaunist, da kann ich leider nichts dazu sagen 🤔 Ich tausche mich mal mit meinen Kollegen dazu aus und melde mich! Bitte hab etwas Geduld. 

Hallo metalposaunist,

vielen Dank, dass du dir über die Berichte zu den Schwachstellen im Banking-Browser S-Protect Gedanken machst und vor allem, dass du sie hier mit uns und allen anderen teilst. Allein das führt zu einer größeren Security-Awareness 😊

Die bekannten bei S-Protect gefundenen Schwachstellen und Möglichkeiten zum potentiellen Abzug von Daten sind bei DATEV-Produkten nicht vorhanden.

Alle unsere Softwarelösungen werden in genau definierten Zyklen immer wieder einer Sicherheits-Penetration unterzogen und potenzielle Schwachstellen umgehend beseitigt. Es ist aber auch klar und wir haben es ja auch schon oft erwähnt – eine 100% Sicherheit gibt es nicht. Darum setzen wir bei DATEV auf Weiterentwicklung in der Security und wie wir unsere Sicherheitstests durchführen.  

Zu Deinen Anmerkungen bezüglich der Kombination von SmartCard und SmartVerify. Grundsätzlich geht es bei jeder Anwendung einer 2Faktor-Authentifizierung um Besitz und Wissen. Beide Komponenten müssen grundsätzlich voneinander trennbar sein. Eine SmartCard kann ich vom Rechner abziehen, das Wissen kann den Raum verlassen. Das eine und das andere ist aber immer nur so sicher, wie der Zugang dazu. Hängt mein Wissen auf einem Post-It am Monitor und ist der Zugang zum Besitz nicht ausreichend geschützt, wird jeder 2Faktor-Schutz ausgehebelt. Egal ob der Besitz eine SmartCard oder ein Handy ist. OK, man könnte jetzt meinen, dass jedes Handy mit einem weiteren Password gesichert sein sollte – Ist das tatsächlich so? Wer sorgt dafür das die Smartphones tatsächlich ausreichend vor einem fremden Zugriff geschützt werden?

Bitte nicht falsch verstehen, ich will die Umsetzung von 2Faktor-Lösungen mit SmartPhones als weitere Besitzkomponenten nicht – aus einer persönlichen Haltung heraus – ausschließen. Ich möchte nur verdeutlichen, dass ein zweiter Faktor immer nur dann funktioniert, wenn auch im Umgang mit diesen eine ausreichende Security-Awareness vorhanden ist. Egel um welche Art des zweiten Faktors es sich konkret handelt.

Mit freundlichen Grüßen aus der DATEV

Thomas Müller

---

@Thomas_Müller schrieb:

Die bekannten bei S-Protect gefundenen Schwachstellen und Möglichkeiten zum potentiellen Abzug von Daten sind bei DATEV-Produkten nicht vorhanden.

---

Echt? DATEV Ist Keylogger sicher? Der kam bei S-Protect ja auch zum Einsatz und konnte relativ einfach umgangen werden. Das lädt zum Ausprobieren ein 😎. 

Schade, dass Du nicht konkret auf die Fragen aus den zahlreichen Kommentaren der Idea eingehst und eher allgemein bleibst. Ich quatsche den Günter Born mal an. Der hat ja immer ein offenes Ohr für sowas 😊. 

@metalposaunist schrieb: Echt? DATEV Ist Keylogger sicher? Der kam bei S-Protect ja auch zum Einsatz und konnte relativ einfach umgangen werden. Das lädt zum Ausprobieren ein 😀

. 

 Hallo metalposaunist,

grundsätzlich kann ein kompromittiertes System nicht durch eine einzige Software zu 100% geschützt werden. Wenn das S-Protect versucht zu verkaufen, ist das die Entscheidung des Softwareherstellers. Ich würde diese Aussage nie treffen.

Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen. Nur wenn alle Teile der Verteidigungslinien zum Schutz vor Cyber-Attacken zusammenspielen, kann man sich angemessen verteidigen.

Nochmals, einen 100%igen Schutz gibt es nicht. Trotzdem hast Du natürlich Recht, man darf sich nicht hinter anderen Verteidigungslinien verstecken. Jeder ist in diesem Spiel gefordert und muss seinen Beitrag leisten. Wir sind uns dessen absolut bewusst.

Gerne kannst Du dir die DATEV-Software ansehen und uns auf potenzielle Schwachstellen melden. Solltest Du Hinweise auf potentielle Schwachstellen finden, würden wir Dich um einen vertraulichen Informationskanal bitten. So haben wir Gelegenheit angemessen zu reagieren. Dieses Verfahren praktizieren wir schon seit Jahren sehr erfolgreich. Wir scheuen uns nicht vor externen Meldungen, freuen uns an der Stelle über eine enge Zusammenarbeit mit kompetenten Sicherheitsexperten. 

@metalposaunist schrieb: Schade, dass Du nicht konkret auf die Fragen aus den zahlreichen Kommentaren der Idea eingehst und eher allgemein bleibst. Ich quatsche den Günter Born mal an. Der hat ja immer ein offenes Ohr für sowas.

Da wo ich konkret, bzw. tiefer in Details zu DATEV-Security-Themen einsteigen kann, da werde ich das immer tun!

Ich lese hier im Forum die Nachrichten an mich, in Bezug auf Security-Themen oder Beiträge, in denen ich zitiert werde. Bitte hab dafür Verständnis, dass nicht immer ich persönlich antworten kann, meine Kolleginnen und Kollegen aus den Produkten, machen aber hier in der Community einen super Job. Ganz offen gestanden bin ich auch nicht der Typ, der bereits gegebene Antworten, die in der Sache passen noch einmal wiederholen muss, nur damit ich sie selbst geschrieben habe. 😎

Viele Grüße aus der DATEV,

Thomas Müller

@Thomas_Müller Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen. Nur wenn alle Teile der Verteidigungslinien zum Schutz vor Cyber-Attacken zusammenspielen, kann man sich angemessen verteidigen.

 

👍Wenn das nur mal jeder verinnerlichen würde.

---

@Thomas_Müller schrieb:

Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen.

---

Und dann kommt Hak5 Rubber Ducky. Gut, dass uns SmartVerify davor schützt 😂. SmartVerify ist eine ABM. Mehr nicht. Welche technischen Maßnahmen gibt es bei der DATEV in Bezug auf den Umgang mit USB-Sticks?

@metalposaunist 

Welche technischen Maßnahmen gibt es bei der DATEV in Bezug auf den Umgang mit USB-Sticks?

Antwort: Bitte sorgen Sie als Admin dafür, dass die Nutzung eines USB-Gerätes ausgeschlossen ist. 😂