02.08.2021 22:40
Als Admin möchte ich Smart Verify als Recht in der RvO vergeben können. In Rücksprache mit dem Mandanten wünsche ich mir entscheiden zu können ob Smart Verify benötigt wird oder nicht.
Es macht einen Unterschied ob Ei. Mandant alleine in seinem Büro sitzt und seine drei Angestellten unterwegs sind oder der Rechner im Großraumbüro eingeloggt im DUO steht und Zahlungen vorgenommen werden könnten ( was vorraus setzt, dass der Anwender Regel eins nicht befolgt)
Nach dem Über Bord werfen ja abgelehnt wurde wünsche ich mir und unseren Mandanten unsere Mündigkeit zurück.
DATEV kann es egal sein ob der Mandant seine Banking Pin auf der Stirn tätowiert hat oder nicht. Genauso kann es DATEV egal sein ob der Anwender seinen Rechner sperrt oder nicht.
Hallo Community,
gerne möchten wir Ihnen ein Update zu dieser Idee geben.
Anders als von Manchen vermutet, war nicht die Idee mit der einen Kudo-Stimme für die Einführung von SmartVerify ausschlaggebend. Es geht daher auch nicht um ein Wettrennen von Gegenstimmen. Vielmehr haben wir die strategische Entscheidung getroffen, das Bezahlen für EBICS-Nutzer in Bank online so sicher wie möglich zu machen. Daher haben wir auch für diese Bezahlmethode das am Markt gegenwärtige und etablierte Verfahren der Zwei-Faktor-Authentifizierung gewählt.
Wir bedauern, dass sich Einige durch diese Entscheidung als verantwortungsbewusste Anwender unserer Programme bevormundet fühlen. Dieses Gefühl ist sehr individuell und wir möchten es nicht abtun. Wir stehen jedoch weiterhin fest zu unserer Entscheidung.
Die Einführung einer Wahlmöglichkeit für die Nutzung des Zwei-Faktor-Prozesses würde eine Minderung dieser Sicherheitsvorkehrung darstellen und unserem Sicherheitskonzept entgegenlaufen. Aus diesem Grund lehnen wir diese Idee ab.
Da es auch Stimmen gibt, die sagen, SmartVerify sei gar kein echter Zwei-Faktor-Prozess, weil dieselbe SmartCard-PIN bzw. dasselbe SmartLogin-Passwort genutzt wird, möchten wir diesen Punkt ebenfalls adressieren.
Es gibt zwei wesentliche Säulen der Zwei-Faktor-Authentifizierung, welche der SmartVerify-Prozess sehr eindeutig erfüllt:
Selbstverständlich bringen die nochmalige Kontrolle und explizite Bestätigung der elektronischen Unterschrift eine höhere Sicherheit für dieses Verfahren – und genau das ist unser Ziel!
Beste Grüße
Nina Naßler
12.08.2021 11:11
Wenn jeder von uns, die Anzahl der Mandanten die er betreut und die es betrifft als Gewicht in diese Abstimmungen der Ideas mitbringen dürfte, wären wir alle glücklicher. Vielleicht sollten auch Community-Mitglieder, die als KOB gekennzeichnet sind und Kanzleien mit Key-Account-Manager gewichtet werden. Die reine Quantität an Wünschen und Zustimmungen alleine war noch nie ein sinnvoller Gradmesser, vor allem wenn alle den Wunsch haben von der Brücke zu springen 😉
12.08.2021 11:13
@jjunker : jetzt sinds schon 24, aber wer weiß schon was EBICS ist - die Banken verratens zumindest keinem....
07.10.2021 16:59 zuletzt bearbeitet am 07.10.2021 17:00
Hallo Community,
gerne möchten wir Ihnen ein Update zu dieser Idee geben.
Anders als von Manchen vermutet, war nicht die Idee mit der einen Kudo-Stimme für die Einführung von SmartVerify ausschlaggebend. Es geht daher auch nicht um ein Wettrennen von Gegenstimmen. Vielmehr haben wir die strategische Entscheidung getroffen, das Bezahlen für EBICS-Nutzer in Bank online so sicher wie möglich zu machen. Daher haben wir auch für diese Bezahlmethode das am Markt gegenwärtige und etablierte Verfahren der Zwei-Faktor-Authentifizierung gewählt.
Wir bedauern, dass sich Einige durch diese Entscheidung als verantwortungsbewusste Anwender unserer Programme bevormundet fühlen. Dieses Gefühl ist sehr individuell und wir möchten es nicht abtun. Wir stehen jedoch weiterhin fest zu unserer Entscheidung.
Die Einführung einer Wahlmöglichkeit für die Nutzung des Zwei-Faktor-Prozesses würde eine Minderung dieser Sicherheitsvorkehrung darstellen und unserem Sicherheitskonzept entgegenlaufen. Aus diesem Grund lehnen wir diese Idee ab.
Da es auch Stimmen gibt, die sagen, SmartVerify sei gar kein echter Zwei-Faktor-Prozess, weil dieselbe SmartCard-PIN bzw. dasselbe SmartLogin-Passwort genutzt wird, möchten wir diesen Punkt ebenfalls adressieren.
Es gibt zwei wesentliche Säulen der Zwei-Faktor-Authentifizierung, welche der SmartVerify-Prozess sehr eindeutig erfüllt:
Selbstverständlich bringen die nochmalige Kontrolle und explizite Bestätigung der elektronischen Unterschrift eine höhere Sicherheit für dieses Verfahren – und genau das ist unser Ziel!
Beste Grüße
Nina Naßler
08.10.2021 09:52 zuletzt bearbeitet am 08.10.2021 10:06
Ausnahmsweise aus der Sendepause aus gegebenem Anlass:
Sehr geehrte Frau Naßler,
bei allem Respekt, aber sie erzählen uns hier Unfug und beleidigen unsere Intelligenz. Möglicherweise ist Letztere bei mir doch nicht ausreichend, weil ich´s nicht verstehe.
Vorher:
Login via Smartcard und PIN -> Startseite Bank -> Lastschrift ausführen -> Zahlung auswählen -> "An Bank senden" -> elektronische Unterschrift hinzufügen -> An Bank senden
Jetzt:
Login via Smartcard und PIN -> Startseite Bank -> Lastschrift ausführen -> Zahlung auswählen -> elektronische Unterschrift hinzufügen -> Smart Verify öffnen -> Smart Card PIN eingeben -> Unterschreiben -> "An Bank senden"
Sie wollen jetzt nicht ernsthaft eine 2FA-Authentifikation verkaufen, die unter Ihrer Argumentation, ja damit bereits vorher schon bestand. Eine zweifache Abfrage derselben PIN ist kein weiteres Sicherheitsmerkmal !
Wenn Sie konsequent eine höheren Sicherheitsstandard herstellen wollten, hätte bspw. Mydentity UND Smart Login zum Einsatz kommen müssen; dann hätten wir eine 3FA gehabt. So bleibt es m.E. vollkommen sinnlos.
Wenn Sie natürlich so argumentieren, müssen Sie sich nicht wundern, warum die versierten Teilnehmer hier in eine Sendepause gehen, weil Aktionen wie diese einfach nicht nachvollziehbar sind und offensichtlich keinen Sicherheitsmehrwert, jedoch mehr Umständlichkeit in den Arbeitsablauf bringen.
Ihre Ablehnung dieser Idee besitzt ein perfektes Timing zu dem heute angesetzten Online-Meeting mit Geschäftsleitung und Co. zum Thema " Sendepause " und belegt wunderbar DAS, was die Sendepause verursachte. Selbstverständlich werde ich exakt dies nachher als Paradebeispiel vorbringen.
Vielleicht verstehe ich technisch tatsächlich nicht, wo hier der Sicherheits-Mehrwert versteckt sein soll. Ihre Erläuterungen klären es jedoch nicht.
"Selbstverständlich bringen die nochmalige Kontrolle und explizite Bestätigung der elektronischen Unterschrift eine höhere Sicherheit für dieses Verfahren – und genau das ist unser Ziel!"
Sicher, man könnte auch noch einen Retsina- und Fingerabdruck und eine Gesichtserkennung sowie eine PUK und TAN abfragen . . . *facepalm*
Wie so oft, wird man diese Kröte nun auch wieder schlucken müssen und die Fehler- und Mängelkarawane zieht derweil weiter.
09.10.2021 22:14
@deusex DATEV und DAU haben ja immer hin zwei identische Buchstaben. Mir ist nur nicht ganz klar ob die Kollegen uns für DAUs halten 🤔
Um sich einen solchen Dreck wie Smart Verify einfallen zu lassen* muss man ja wenigstens die Gedankengänge eines DAUs nachvollziehen können... 🤷
@Nina_Naßler treffender als die Kritik von deusex kann man es nicht auf den Punkt bringen.und höflich schaff ich bei dem Thema einfach nicht. 😳 dafür nervt mich dieser Mist einfach in der eigenen täglichen Arbeit zu sehr.
Bei einer 2FA wird durch Wiederholung nicht 2*2 daraus.
Ich finde ihre Argumentation hinsichtlich der mehr Sicherheit ja ganz nett aber nicht zutreffend. Eher wird andersherum ein Schuh daraus. Die Mandantschaft fragt nach Pin und Tan Verfahren weil Smart Verify lästig sei....
Wer ist denn der Produktverantwortliche für diesen Softwaretechnischen Workflowkiller?
Ich mag Dreieckskommunikation nicht wirklich.
Ihnen einen schönen Sonnabend.
Mit gerade wenig entspannten aber nichts desto trotz herzlichen Grüßen,
JJUNKER
*(Und an anderer Stelle, ich finde den Text nicht wieder (Danke auch DATEV Suchalgorithmus) , die Frechheit zu haben und Smart Verify als Alternative zur Regel eins an zu preisen)
10.10.2021 22:00
Hallo @Nina_Naßler,
ich glaube in diesem Ideas-Thread gibt es ein Missverständnis bezüglich der Begrifflichkeit Zwei-Faktor-Authentifizierung in Bezug auf die Anmeldung in DATEV Unternehmen online (Bank online) und der Authentifizierung im Rahmen der Transaktionskontrolle.
Eventuell etwas präzisieren?!
Beste Grüße
Christian Wielgoß
11.10.2021 10:20
Sirius Black sagte:"Beeindruckend, Snape. Du hast wiederum Deinen klaren messerscharfen Verstand eingesetzt und bist wie üblich zum falschen Schluss gekommen."
Sehr geehrter Herr Wielgoß,
nein, wir benötigen keine weitere Belehrung zur 2-Faktor-Authentifizierung.
Wir benötigen einen Workflow.
18.10.2021 10:45
Sehr geehrte Frau Naßler,
mit diesem Zitat haben Sie sich selbst geoutet, dass keiner von DATEV tatsächlich selbst mit den Programmen tag täglich arbeitet.
"Selbstverständlich bringen die nochmalige Kontrolle und explizite Bestätigung der elektronischen Unterschrift eine höhere Sicherheit für dieses Verfahren – und genau das ist unser Ziel!"
Wissen Sie wie oft man die Zahlungen sieht und weiter bestätigen muss, bevor man die elektronische Unterschrift setzen kann? Mindestens zweimal - es tut mir leid, aber die weitere Sicherheitsfunktion hätte auch organisatorisch gelöst werden können, indem man den bestehenden Klickmarathon (mehrfach mit dem Button an Bank senden) schöner aufbereitet und gestaltet hätte - dafür in kurzer Zeit eine eigene Softwarelösung zu integrieren ist .... naja das Thema wurde ja schon beleuchtet.
Falls SmartVerify in Zukunft nur für die EBICS-Zahlungen in Bank online genutzt wird und keinen weiteren Anschluss an andere Programme erhält - bin ich nachhaltig enttäuscht, wie strategische Entscheidungen der DATEV getroffen werden und wie hier der Fokus für die Praxis zur "Verbesserung" gesetzt wird. Können Sie uns wenigstens hierzu eine Aussicht geben?
Wird SmartVerify in Zukunft auch für andere 2FA-Varianten als zentrales Authentifizierungsmodul oder Signaturmodul?
Wenn das ganze wirklich nur für EBICS mit Bank online war, dann werde ich es nie verstehen und muss ernüchternd feststellen, dass DATEV hier leider von vielen Möglichkeiten eine der schlechtesten umgesetzt hat um den Zweck der Sicherheit zu erreichen - Aus Anwendersicht!
MfG
Tobias Ettl
19.10.2021 11:21
Die Probleme wurden von den Kollegen ausgezeichnet dargestellt.
Die Mandanten, die ich mühsam von der Vorteilen der Zahlung über DUO und Bank online durch den früher einigermaßen vernünftigen Workflow überzeugen konnte, haben aufgrund der Einführung von SmartVerify kapituliert und machen den Zahlungsverkehr jetzt wieder manuell.
Danke DATEV!!!
So kann Zahlungsverkehr auch sicher gestaltet werden, indem ihn keiner mehr verwendet.
20.10.2021 08:55
Na? Haben sich Mandanten seit gestern schon gemeldet? 😎
27.10.2021 15:57
Hallo @Tobias_Ettl,
vielen Dank für die Nachfrage. Wie unter www.datev.de/smartverify oder auch in der Leistungsbeschreibung DATEV SmartVerify, Version 1.0 erläutert dient die Funktion „SmartVerify“ dazu, den Anwender in Transaktionsprozesse von DATEV Onlineanwendungen einzubeziehen. Zur Authentifizierung kann der Anwender dabei den DATEV SmartLogin auf dem Smartphone oder die DATEV SmartCard am PC verwenden.
Bei Verwendung der SmartCard muss das Programm DATEV SmartVerify installiert werden.
Die Anwendung ist als Basissoftware für beliebige DATEV Onlineanwendungen konzipiert, so werden zum Beispiel die Texte oder die Beschriftung der Schaltflächen in DATEV SmartVerify aus der verwendenden Onlineanwendung gesteuert.
Bank online ist der erste Verwender von SmartVerify.
Zukünftig können noch weitere Onlineanwendungen dazukommen, wenn dort Transaktionsprozesse zusätzlich abgesichert werden müssen.
Beste Grüße
Nina Naßler
27.10.2021 18:34 zuletzt bearbeitet am 27.10.2021 18:39
edit:
Ach, egal.
Jetzt hätte ich fast wieder groß das Schreiben angefangen und habe da so einen schönen Fall liegen... Uiuiui, grade nochmals die Kurve gekriegt. 🤗
27.10.2021 18:38
@deusex Made my day. 😅
27.10.2021 18:44
27.10.2021 18:48
@Nina_Naßler :Uh wow!Bank online ist der erste Verwender von SmartVerify.
Zukünftig können noch weitere Onlineanwendungen dazukommen, wenn dort Transaktionsprozesse zusätzlich abgesichert werden müssen.
27.10.2021 18:54
@Gelöschter Nutzer als wenn DATEV das selber wüsste. Jedes Team entwickelt sein MVP. Ach nein eMVP. 😜 Der eine hat Lust dem Projektleiter von Smart Verify die Daseinsberechtigung zu geben der andere nicht.
27.10.2021 20:40
@Gelöschter Nutzer schrieb:
Darf ich fragen, in welchen weiteren Anwendungen die sinnlose Zerstörung des Workflows angedacht ist?
Fragen dürfen wir immer alles. Antworten wären cool 😎. Verlässlich. Und nach Möglichkeit mit einem Datum versehen.
@deusex: ✌️ Nachher tanze ich noch meinen Namen, wenn ich mit DATEV arbeite. Und das will keiner sehen. Vielleicht schaffen wir so ein Umdenken 😂.
Alles, nur weil man sich nicht mit Google oder Microsoft ins Boot setzen kann/will/muss, um deren gute 2FA Apps zu nutzen. DSGVO oder so'n Quatsch 👎. Seit 4 Monaten und 2 Tagen hat sich da auch niemand zu geäußert. Scheint ja schwierig zu sein. Oder man scheut die Antwort, dass es nie kommen wird, weil DATEV den Datenschutz hochhält und sich damit vom Rest der Welt abkoppelt aber mit finAPI auch die tolle SCHUFA an Bord hat.
Diese Diskrepanzen ...
27.10.2021 22:01
Wird dieses Programm eigentlich über die DATEV-Updates gepflegt oder muss das analog Belegtransfer manuell aktualisiert werden, wenn Updates anstehen?
27.10.2021 22:24
SmartVerify aktualisiert sich via AutoUpdate Funktion (angeblich) selbstständig. Selbst erlebt habe ich das noch nicht, mangels fehlender Installation / Feedback vom Mandanten.
Der Belegtransfer v5 aktualisiert sich auch selbstständig.
28.10.2021 08:18
Bei einem überflüssiges Programm ist es imho egal, ob es sich automatisch aktualisiert ...