Sicherheitspaket compact -> bitte endlich automatische Updates mit Hinweis an Anwender realisieren

marcohüwe · ‎03.05.2023

Wir hatten in letzter Zeit wieder vermehrt Anfragen von Mandanten in der Art "Gibt es eine Störung bei Unternehmen Online - wir kommen nicht rein". Es erschien im Edge z.B. diese Meldung (für die spätere Suche "Fehler - gesicherte Verbindung fehlgeschlagen - SSL_ERROR_DECRYPT_ERROR_ALERT"):

Ich habe das Dokument ERR_SSL_DECRYPT_ERROR_ALERT beim Aufruf einer DATEV-Cloud-Anwendung - DATEV Hilfe-Center dazu gefunden, die Lösung war mal wieder: manuelles Update des Sicherheitspaketes.

Solche Aktionen führen dann u.a. dazu, dass wir uns damit beschäftigen, wie wir ein CRM-System (mit DATEV Bordmitteln ist das eindeutig nicht vernünftig machbar - Stichwort "Haupt-Emailadresse") einführen, um gezielt alle UO-Anwender zu informieren.

Da könnten wir auch gerne drauf verzichten.

@DATEV:

Bitte verpasst dem Sicherheitspaket endlich eine Art Auto-Update-Funktion!
Kaum ein Mandant kommt bei dieser Meldung (die übrigens erst NACH der PIN-Eingabe erscheint, davor sieht alles gut aus) auf die Idee, den Fehlercode im Hilfecenter zu suchen (wie ich grade) oder das Sipa von sich aus zu aktualisieren
als Notlösung: ändert doch wenigstens den Text auf der vorgeschalteten Anmeldeseite, wenn sich wieder eine Mindestversion ändert

Danke 🙂

Thomas_Neumeier · ‎03.05.2023

Sehr geehrter Herr @marcohüwe ,

das für Unternehmen online Anwender empfohlene Sicherheitspaket compact ist seit vielen Jahren mit einem Autoupdate ausgestattet.

Der Anwender wird per Meldung darauf hingewiesen, dass eine neue Version des Sicherheitspaket compact zur Verfügung steht und diese bis zu einem bestimmten Zeitpunkt installiert sein muss.

Der letzte Installationskorridor für das Update auf die Version Sicherheitspaket compact 7.32 begann am 18.10.2022 und endete am 18.11.2022.

Nach derzeitigen Planungsstand wird nach den DATEV Programmen 17.0 der nächste Updatelauf stattfinden.

Das von Ihnen beobachtete Fehlverhalten deutet darauf hin, dass am Mandantensystem -warum auch immer- eine Vollversion des Sicherheitspakets installiert war, welches über die regulären Mechanismen der DATEV-Programme upgedated wird.

mit besten Grüßen

Thomas Neumeier DATEV eG

metalposaunist · ‎03.05.2023

@Thomas_Neumeier schrieb:
Der Anwender wird per Meldung darauf hingewiesen, dass eine neue Version des Sicherheitspaket compact zur Verfügung steht und diese bis zu einem bestimmten Zeitpunkt installiert sein muss.

Und Apple 🍏 so: Das aktuelle Update wird heute Nacht automatisch installiert. Morgens fragt das iPhone nach der PIN. Der Anwender merkt davon im besten Falle: nichts.

Lasst den Anwender aus allen Prozessen einfach nur raus, weil er in der Kette, und sei sie noch so gut durchdacht, immer der potentielle Fehler ist, den man nicht ausschalten kann. Siehe auch: HowTo: DATEV Sicherheitspaket mit Microsoft365 InT... Gott bin ich froh, dass ich exakt so Software verteilen kann und nicht auf den Anwender angewiesen bin. Da kann ich 5000x schreiben: klicke auf X. An Tag Y kommt: kann ich drauf klicken? 🙄

@Thomas_Neumeier schrieb:
Der letzte Installationskorridor für das Update auf die Version Sicherheitspaket compact 7.32 begann am 18.10.2022 und endete am 18.11.2022.

Das heißt, ab 19.11.2022 sagte das SiPa nicht mehr: Hallo, soll ich das Update installieren? Oder was bedeutet ein Installationskorridor bei DATEV?

@Thomas_Neumeier schrieb:
Das von Ihnen beobachtete Fehlverhalten deutet darauf hin, dass am Mandantensystem -warum auch immer- eine Vollversion des Sicherheitspakets installiert war, welches über die regulären Mechanismen der DATEV-Programme upgedated wird.

So einfach entlaste ich mit @marcohüwe die DATEV nicht.

marcohüwe · ‎03.05.2023

@Thomas_Neumeier : Das kann aber nicht die Lösung sein. Wir müssen vielleicht mal über den Teilbegriff "Auto" als Abkürzung für Automatik (so meine Interpretation sprechen).

Zum Vergleich zoom:

Und dann DATEV - wie ich es erwartet hätte:

Oder zum Vergleich gerne auch das angebotene Update auf Windows 11. Da konnte ich vor vielen Monaten auch was ignorieren und wegklicken. Und finde es trotzdem noch unter den systemeigenen Windows-Updates, ohne jetzt www.microsoft.de/..... aufrufen zu müssen.

Ich erwarte auch im Sicherheitspaket selbst - ergänzend zum Auto-Update ! - eine einfache und intuitive Möglichkeit, nach Updates zu suchen. Grade für den Fall, dass diese Hinweismeldung ignoriert wurde. Siehe auch die Frage von @metalposaunist : wie unterstützt DATEV den Anwender, der Update-Meldungen ignoriert und dann doch noch gefühlt monatelang fehlerfrei arbeiten kann?

Und wenn schon das Servicetool nach Hause telefoniert und Daten mit DATEV austauschen kann (den Sinn und Zweck stelle ich gar nicht Frage): wieso schafft das diese kleine Programm nicht?

Der einfache Endanwender ohne große technische Vorkenntnisse wird aus meiner Sicht noch längst nicht genug unterstützt.

Nochmal zum ersten Screenshot oben: wenn ich den PC starte und dann zoom automatisch startet steht dort nur (ohne JA/NEIN-Rückfragen): ihre Version wurde aktualisiert - mehr erfahren. -> Da muss DATEV hin!

Thomas_Neumeier · ‎03.05.2023

Hallo Herr Bohle @metalposaunist ,

aus technischen Gründen werden für die Neuinstallation und auch die Updateinstallation Administratorenrechte benötigt.

Eine Silent-Installation im Hintergrund ist deshalb nicht machbar.

Lassen Sie mich den Updateprozess am Beispiel des letzten Updates erklären:

18.10.2022 Beginn des Should Korridors

Jeder Anwender eines Sicherheitspaket compact mit einer Version kleiner 7.31 bekommt ab diesen Tag einen Update-Trigger. Der Update-Trigger wird abgerufen, wenn der Sipa-Host gestartet ist und eine Internetverbindung besteht.

Der Sipa Host ist gestartet, wenn eine DATEV SmartCard steckt (Symbol in der Taskleiste grün). Eine Eingabe der PIN ist für den Start des Sipa-Host nicht notwendig.

Als "Grenzversion" wurde in diesem Fall die 7.31 gewählt, da diese Version nur knapp 10 Tage im Downloadbereich zur Verfügung stand und es nur kosmetische und keine funktionalen Änderungen von der 7.31 auf die 7.32 gab.

Dieser Trigger bewirkt, dass am System folgende Meldung täglich angezeigt wird:

#SPP12402

Eine neue Version des Sicherheitspaket compact wurde bereitgestellt. Bitte installieren Sie das Update bis zum 18.11.2022, um die Lauffähigkeit der DATEV Smartcard/des DATEV mIDentity auch künftig sicherzustellen. Wenn das Update bis zum 18.11.2022 nicht installiert wurde, wird das Sicherheitspaket deaktiviert. Sie können dann Ihre DATEV Smartcard/Ihren DATEV mIDentity bis zur Installation der neuen Version nicht mehr nutzen. Für die Installation benötigen Sie Administratorenrechte. Wenn Sie 'Installieren' klicken wird die neue Version im Hintergrund heruntergeladen und das Update ausgeführt.

Entschuldigen Sie bitte an dieser Stelle, dass ich aufgrund meiner Infrastruktur gerade keinen Original-Screenshot machen kann.

18.11.2022 Start des Mustupdates

Ab diesem Zeitpunkt wird ein neuer Update-Trigger ausgeliefert.

Dieser zeigt nun folgende Meldung an:

#SPP12403

Eine neue Version des Sicherheitspaket compact mit wesentlichen Änderungen ist verfügbar. Installieren Sie diese neue Version zeitnah, um die Deaktivierung des Sicherheitspakets zu vermeiden. Ohne die neue Version ist die Nutzung Ihrer DATEV SmartCard/mIDentity nicht mehr möglich. Für die Installation benötigen Sie Administratorenrechte. Wenn Sie 'Installieren' klicken wird die neue Version im Hintergrund heruntergeladen und das Update ausgeführt.

Außerdem aktiviert der Trigger einen Timer von 3 Tagen.

Wenn innerhalb dieser 3 Tage die Updateinstallation nicht erfolgt, wird das Sicherheitspaket deaktiviert und folgende Meldung angezeigt:

#SPP12415

Ihr Sicherheitspaket compact wurde deaktiviert, da eine neuere Version mit sicherheitsrelevanten Änderungen bisher nicht installiert wurde. Um Ihre DATEV Smartcard/mIDentity wieder nutzen zu können müssen Sie diese neue Version installieren! Für die Installation benötigen Sie Administratorenrechte. Wenn Sie 'Installieren' klicken wird die neue Version im Hintergrund heruntergeladen und das Update ausgeführt.

Über diesen Mechanismus wird jeder Bestandsanwender "sanft gezwungen" auf die neue Version upzudaten.

Nun zu der Frage "Was passiert ab dem 19.11.2023?" ...

Sollte ein System zum Beispiel aufgrund von einer längeren Abwesenheit des Anwenders im oben beschriebenen Installationskorridor nicht online gewesen sein, dann passiert das Gleiche.

Zu dem Zeitpunkt wenn das System mit gesteckter SmartCard online ist (z.B. am 08.12.) wird der Update-Trigger für das Must-Update ausgeliefert. Die entsprechende Meldung wird angezeigt, der Anwender hat 3 Tage Zeit zu installieren.

Der Vollständigkeit halber möchte ich noch folgende Zusatzinformationen geben:

DATEVasp Kunden installieren das Sicherheitspaket compact auf den lokalen Systemen über das ASP Zugangspaket.

Hier ist das Autoupdate des Sicherheitspakets deaktiviert. Genauso wie bei DATEV SmartIT Kunden, die DATEV SmartIT connect verwenden.

Ich hoffe ich konnte damit die Funktionsweise des automatischen Updates des Sicherheitspaket compact verständlich machen.

mit besten Grüßen

Thomas Neumeier DATEV eG

metalposaunist · ‎03.05.2023

Lieber @Thomas_Neumeier,

wie immer geht DATEV davon aus, dass jeder DATEV Anwender alle DATEV Meldungen mit Obacht und Argusauge exakt durchliest, versteht und dann handelt. Bei den ewig langen Texten - irgendwas muss Apple anders machen.

@Thomas_Neumeier schrieb:
aus technischen Gründen werden für die Neuinstallation und auch die Updateinstallation Administratorenrechte benötigt. Eine Silent-Installation im Hintergrund ist deshalb nicht machbar.

Auch wenn es sicherheitstechnisch nicht sauber ist aber DATEV könnte im Installationsprozess aka beim nach Hause telefonieren feststellen, ob der angemeldete Benutzer Admin-Rechte hat aber das einzige Konto am PC ist. Geht bestimmt irgendwie. Erst vor 2 Wochen noch an einem PC das SiPa installiert, weil der einzige Benutzer passende Rechte hat.

Dann könnte DATEV automatisch versuchen das Update zu installieren. Es kommt die UAC von Windows, wo steht: DATEV braucht höhere Rechte: ja/nein. Dann sagt der Anwender: ja und das Update ist installiert.

@Thomas_Neumeier schrieb:
Über diesen Mechanismus wird jeder Bestandsanwender "sanft gezwungen" auf die neue Version upzudaten.

Scheint nicht so gut zu funktionieren, wenn @marcohüwe eine extra Idea dazu aufmacht?

Und warum muss eine SmartCard stecken? Im Beispiel von zoom von @marcohüwe aktualisiert sich zoom auch nicht nur, wenn man eine Videokonferenz startet 🤔. MS Word aktualisiert sich auch nicht nur, wenn man einen Brief schreibt. Verstehe den Zusammenhang nicht.

@Thomas_Neumeier schrieb:
DATEVasp Kunden installieren das Sicherheitspaket compact auf den lokalen Systemen über das ASP Zugangspaket.
Hier ist das Autoupdate des Sicherheitspakets deaktiviert. Genauso wie bei DATEV SmartIT Kunden, die DATEV SmartIT connect verwenden.

Weil die beiden Produkte selbst ein Update im Bauch haben, richtig? Wieso gibt es von DATEV dazu keine MSI-Pakete, die es Administratoren einfacher machen, Software zu verteilen und auf 1 Stand zu halten?

metalposaunist · ‎03.05.2023

Und @Thomas_Neumeier, solche Meldungen helfen dem "normalen" Anwender nun auch nicht weiter:

SiPa v7.34 ist drauf, leuchtet grün. DATEV: nö, da passt was nicht. Hm.

Thomas_Neumeier · ‎03.05.2023

Hallo Herr Bohle @metalposaunist ,

ehrlich gesagt erschließt sich mir jetzt nicht was das Posten dieser Fehlermeldung mit dem eigentlichen Inhalt dieses Threads zu tun hat.

Dieser Fehler kann mannigfaltige Ursachen haben.

Diese werden in folgenden Hilfe-Center Dokument inklusive Lösungsansätzen behandelt:

ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED beim Aufruf einer DATEV-Cloud-Anwendung

Ihren anderen Beitrag oben werde ich beantworten, benötige dazu aber noch etwas Zeit.

mit besten Grüßen

Thomas Neumeier DATEV eG

chrisocki · ‎03.05.2023

@metalposaunist schrieb: Dann könnte DATEV automatisch versuchen das Update zu installieren. Es kommt die UAC von Windows, wo steht: DATEV braucht höhere Rechte: ja/nein. Dann sagt der Anwender: ja und das Update ist installiert.

Bitte nicht.. als nächstes kommt xyz-Trojaner und gaukelt dem Anwender vor "ich bin DATEV klick mich ja!"... Wie Du schon geschrieben hast, Anwender lesen nicht...

ob der angemeldete Benutzer Admin-Rechte

Nö, lass mal. Ein ordentlicher Hinweis mit der Möglichkeit die Installation jetzt zu starten würde in den meisten Fällen völlig ausreichen. Siehe Belegtransfer 5.x

Mit Start des Updates weis der Anwender vor dem Rechner dann hoffentlich auch, dass nun die UAC mit einer entsprechenden Meldung aufgeht.

@Thomas_Neumeier schrieb: Ich hoffe ich konnte damit die Funktionsweise des automatischen Updates des Sicherheitspaket compact verständlich machen.

Entweder habe ich es überlesen, aber ich habe nur gelesen, dass Hinweise auf ablaufende Version verteilt werden. Es wird kein Hinweis ausgegeben "Update verfügbar, möchten Sie jetzt hier starten?".

Es wäre aus meiner Sicht besser neben dem Hinweis auch den Download schon durchzuführen und den Anwender an dieser Stelle die Installation zu ermöglich. Sobald ein Anwender erst noch irgendwo einen Download durchführen muss und dann noch die Installation, macht er es nicht...

@metalposaunist schrieb: Wieso gibt es von DATEV dazu keine MSI-Pakete, die es Administratoren einfacher machen, Software zu verteilen und auf 1 Stand zu halten?

Da bin ich voll bei Dir... Würde die Sache in Netzen deutlich vereinfachen.

Und btw.: Zoom, WhatsApp, etc. sind für mich einfach kein passender Vergleich. Die 💩 auf die Styleguides von M$. Da werden ziemlich komische Dinge im Hintergrund eingebaut, die der Anwender und auch teilweise der Admin einfach nicht mehr in den Griff bekommt.

Beste Grüße
Christian Ockenfels

Thomas_Neumeier · ‎04.05.2023

Hallo Herr Hüwe @marcohüwe , Herr Bohle @metalposaunist , Herr Ockenfels @chrisocki !

vorausschicken möchte ich, dass wir bei dieser Thematik die sehr heterogenen EDV-Kenntnisse der Unternehmen Online Anwender berücksichtigen müssen.

Wir haben Anwender, die im Service landen, weil sie versuchen bei der UAC von Windows die PIN der SmartCard einzugeben oder meinen das geforderte Kennwort bei der DATEV erfahren zu können.

Von daher bin ich überzeugt, dass eine komplettautomatische Installation im Hintergrund, die dann aufgrund von mangelnden Administratoren-Rechten eine UAC "aus heiterem Himmel" auf den Bildschirm bringt, keine Verbesserung bringt.

marcohüwe schrieb:
Und dann DATEV - wie ich es erwartet hätte:

Oder zum Vergleich gerne auch das angebotene Update auf Windows 11. Da konnte ich vor vielen Monaten auch was ignorieren und wegklicken. Und finde es trotzdem noch unter den systemeigenen Windows-Updates, ohne jetzt www.microsoft.de/..... aufrufen zu müssen.

Ich erwarte auch im Sicherheitspaket selbst - ergänzend zum Auto-Update ! - eine einfache und intuitive Möglichkeit, nach Updates zu suchen. Grade für den Fall, dass diese Hinweismeldung ignoriert wurde. Siehe auch die Frage von @metalposaunist : wie unterstützt DATEV den Anwender, der Update-Meldungen ignoriert und dann doch noch gefühlt monatelang fehlerfrei arbeiten kann?

Und wenn schon das Servicetool nach Hause telefoniert und Daten mit DATEV austauschen kann (den Sinn und Zweck stelle ich gar nicht Frage): wieso schafft das diese kleine Programm nicht?

Die von Ihnen geforderte "nach Updates suchen" Funktionen ist nicht implementiert, da sie meines Erachtens nicht notwendig ist. Der oben beschriebene Updatemechanismus sorgt erstens dafür, dass jeder Anwender über eine neue Version informiert wird. Und zweitens dafür, dass jeder Anwender innerhalb eines definierten kurzen Installationskorridors diese neue Version auch installiert.

Hier noch 2 echte Screenshots dazu nachgeliefert:

Dies ist die durch den derzeitigen Must-Trigger generierte Meldung, wenn auf einem System ein Sicherheitspaket compact kleiner Version 7.31 installiert sein sollte.

Hier die Meldung, die dann nach 3 Tagen erscheint, wenn das Update nicht durchgeführt wurde:

Im letzten Installationskorridor Oktober/November haben wir mit diesem Mechanismus knapp 200.000 Bestandssysteme auf die Version 7.32 upgedatet. 50.000 davon schon in den ersten beiden Tagen 18. und 19. Oktober.

Überhaupt beobachten wir, dass die Installationen sehr zeitnah durchgeführt werden. Nur sehr sehr wenige Kunden lassen es zu der oben gezeigten SPP12415 Meldung kommen. Der Installationskorridor führte weder beim SmartCard- noch beim Unternehmen online- Service zu einem Service-Peak.

Da aber offensichtlich bei einigen Ihrer Mandanten das Update nicht gezogen hat möchte ich Ihnen anbieten diese Fälle zu untersuchen. Bitte senden Sie mir per PN Ihre Kontaktdaten. Ich würde mich dann mit Ihnen in Verbindung setzen.

metalposaunist schrieb:
Scheint nicht so gut zu funktionieren, wenn @marcohüwe eine extra Idea dazu aufmacht?

Und warum muss eine SmartCard stecken? Im Beispiel von zoom von @marcohüwe aktualisiert sich zoom auch nicht nur, wenn man eine Videokonferenz startet . MS Word aktualisiert sich auch nicht nur, wenn man einen Brief schreibt. Verstehe den Zusammenhang nicht.

Aus unserer Sicht funktioniert das sehr gut, was auch die oben genannten Zahlen verdeutlichen.

Weshalb bei einzelnen Mandanten von Herrn Hüwe nicht, werden wir hoffe ich herausfinden.

Das Sicherheitspaket ist ein Stück Software, welches ausschließlich für die SmartCard benötigt wird.

Deshalb halte ich es für äußerst sinnvoll, wenn der Updatemechanismus nur losläuft, wenn denn auch tatsächlich eine SmartCard am System steckt. Stellen Sie sich einen Anwender vor, der von einer SmartCard auf den SmartLogin umgestiegen ist, aber sein Sicherheitspaket nicht deinstalliert hat. Warum sollten wir diesen Anwender mit einem nicht benötigten Update konfrontieren.

metalposaunist schrieb:
Weil die beiden Produkte selbst ein Update im Bauch haben, richtig? Wieso gibt es von DATEV dazu keine MSI-Pakete, die es Administratoren einfacher machen, Software zu verteilen und auf 1 Stand zu halten?

Nein, beide Produkte tragen nach meinem Kenntnisstand keinen eigenen Updatemechanismus im Bauch. Die Pakete beinhalten aber verschiedenen Komponenten, die aufeinander abgestimmt sind. Deshalb soll verhindert werden, dass die Einzelkomponente Sicherheitspaket unabhängig von den anderen Komponenten aktualisiert wird.

chrisocki schrieb:
Entweder habe ich es überlesen, aber ich habe nur gelesen, dass Hinweise auf ablaufende Version verteilt werden. Es wird kein Hinweis ausgegeben "Update verfügbar, möchten Sie jetzt hier starten?".

Es wäre aus meiner Sicht besser neben dem Hinweis auch den Download schon durchzuführen und den Anwender an dieser Stelle die Installation zu ermöglich. Sobald ein Anwender erst noch irgendwo einen Download durchführen muss und dann noch die Installation, macht er es nicht...

Wie sie oben an den Screenshots erkennen können, hat der Anwender bei jedem Fenster sofort die Möglichkeit auf "Installieren" zu klicken. Die Meldung ist also mehr als nur der Hinweis auf eine neue Version.

Abschließend noch zum Thema MSI Pakete.

Wir bieten zwar kein MSI-Paket für das Sicherheitspaket compact an, aber es gibt für Admins durchaus Möglichkeiten die Software auszurollen. Infos dazu im Kapitel 2.2 in Sicherheitspaket compact installieren

mit besten Grüßen

Thomas Neumeier DATEV eG

Nina_Naßler · ‎09.05.2023