Smart Verify Wahlmöglichkeit programmieren

Wenn jeder von uns, die Anzahl der Mandanten die er betreut und die es betrifft als Gewicht in diese Abstimmungen der Ideas mitbringen dürfte, wären wir alle glücklicher. Vielleicht sollten auch Community-Mitglieder, die als KOB gekennzeichnet sind und Kanzleien mit Key-Account-Manager gewichtet werden. Die reine Quantität an Wünschen und Zustimmungen alleine war noch nie ein sinnvoller Gradmesser, vor allem wenn alle den Wunsch haben von der Brücke zu springen 😉

@jjunker : jetzt sinds schon 24, aber wer weiß schon was EBICS ist - die Banken verratens zumindest keinem....

Hallo Community,

gerne möchten wir Ihnen ein Update zu dieser Idee geben.

Anders als von Manchen vermutet, war nicht die Idee mit der einen Kudo-Stimme für die Einführung von SmartVerify ausschlaggebend. Es geht daher auch nicht um ein Wettrennen von Gegenstimmen. Vielmehr haben wir die strategische Entscheidung getroffen, das Bezahlen für EBICS-Nutzer in Bank online so sicher wie möglich zu machen. Daher haben wir auch für diese Bezahlmethode das am Markt gegenwärtige und etablierte Verfahren der Zwei-Faktor-Authentifizierung gewählt.

Wir bedauern, dass sich Einige durch diese Entscheidung als verantwortungsbewusste Anwender unserer Programme bevormundet fühlen. Dieses Gefühl ist sehr individuell und wir möchten es nicht abtun. Wir stehen jedoch weiterhin fest zu unserer Entscheidung.

Die Einführung einer Wahlmöglichkeit für die Nutzung des Zwei-Faktor-Prozesses würde eine Minderung dieser Sicherheitsvorkehrung darstellen und unserem Sicherheitskonzept entgegenlaufen. Aus diesem Grund lehnen wir diese Idee ab.

Da es auch Stimmen gibt, die sagen, SmartVerify sei gar kein echter Zwei-Faktor-Prozess, weil dieselbe SmartCard-PIN bzw. dasselbe SmartLogin-Passwort genutzt wird, möchten wir diesen Punkt ebenfalls adressieren.
Es gibt zwei wesentliche Säulen der Zwei-Faktor-Authentifizierung, welche der SmartVerify-Prozess sehr eindeutig erfüllt:

• Die Gerätetrennung (SmartLogin) bzw. Trennung der Ausführungsumgebungen, d. h. zwei technisch voneinander unabhängige Kommunikationswege (SmartVerify in Verbindung mit SmartCard)
• Die Kontrolle der zur Übermittlung selektierten Daten bei der Ausführung (what you see is what you sign)

Selbstverständlich bringen die nochmalige Kontrolle und explizite Bestätigung der elektronischen Unterschrift eine höhere Sicherheit für dieses Verfahren – und genau das ist unser Ziel!

Beste Grüße

Nina Naßler

Ausnahmsweise aus der Sendepause aus gegebenem Anlass:

Sehr geehrte Frau Naßler,

bei allem Respekt, aber sie erzählen uns hier Unfug und beleidigen unsere Intelligenz. Möglicherweise ist Letztere bei mir doch nicht ausreichend, weil ich´s nicht verstehe.

Vorher:

Login via Smartcard und PIN -> Startseite Bank -> Lastschrift ausführen -> Zahlung auswählen -> "An Bank senden" -> elektronische Unterschrift hinzufügen -> An Bank senden

Jetzt:

Login via Smartcard und PIN -> Startseite Bank -> Lastschrift ausführen -> Zahlung auswählen -> elektronische Unterschrift hinzufügen -> Smart Verify öffnen -> Smart Card PIN eingeben -> Unterschreiben ->  "An Bank senden"

Sie wollen jetzt nicht ernsthaft eine 2FA-Authentifikation verkaufen, die unter Ihrer Argumentation, ja damit bereits vorher schon bestand. Eine zweifache Abfrage derselben PIN ist kein weiteres Sicherheitsmerkmal !

Wenn Sie konsequent eine höheren Sicherheitsstandard herstellen wollten, hätte bspw. Mydentity UND Smart Login zum Einsatz kommen müssen; dann hätten wir eine 3FA gehabt. So bleibt es m.E. vollkommen sinnlos.

Wenn Sie natürlich so argumentieren, müssen Sie sich nicht wundern, warum die versierten Teilnehmer hier in eine Sendepause gehen, weil Aktionen wie diese einfach nicht nachvollziehbar sind und offensichtlich keinen Sicherheitsmehrwert, jedoch mehr Umständlichkeit in den Arbeitsablauf bringen.

Ihre Ablehnung dieser Idee besitzt ein perfektes Timing zu dem heute angesetzten Online-Meeting mit Geschäftsleitung und Co. zum Thema " Sendepause " und belegt wunderbar DAS, was die Sendepause verursachte. Selbstverständlich werde ich exakt dies nachher als Paradebeispiel vorbringen. 

Vielleicht verstehe ich technisch tatsächlich nicht, wo hier der Sicherheits-Mehrwert versteckt sein soll. Ihre Erläuterungen klären es jedoch nicht.

"Selbstverständlich bringen die nochmalige Kontrolle und explizite Bestätigung der elektronischen Unterschrift eine höhere Sicherheit für dieses Verfahren – und genau das ist unser Ziel!"

Sicher, man könnte auch noch einen Retsina- und Fingerabdruck und eine Gesichtserkennung sowie eine PUK und TAN abfragen . . . *facepalm*

Wie so oft, wird man diese Kröte nun auch wieder schlucken müssen und die Fehler- und Mängelkarawane zieht derweil weiter.

@deusex DATEV und DAU haben ja immer hin zwei identische Buchstaben. Mir ist nur nicht ganz klar ob die Kollegen uns für DAUs halten 🤔

Um sich einen solchen Dreck wie Smart Verify einfallen zu lassen* muss man ja wenigstens die Gedankengänge eines DAUs nachvollziehen können... 🤷

@Nina_Naßler treffender als die Kritik von deusex kann man es nicht auf den Punkt bringen.und höflich schaff ich bei dem Thema einfach nicht. 😳 dafür nervt mich dieser Mist einfach in der eigenen täglichen Arbeit zu sehr.

Bei einer 2FA wird durch Wiederholung nicht 2*2 daraus.

Ich finde ihre Argumentation hinsichtlich der mehr Sicherheit ja ganz nett aber nicht zutreffend. Eher wird andersherum ein Schuh daraus. Die Mandantschaft fragt nach Pin und Tan Verfahren weil Smart Verify lästig sei....

Wer ist denn der Produktverantwortliche für diesen Softwaretechnischen Workflowkiller? 

Ich mag Dreieckskommunikation nicht wirklich. 

Ihnen einen schönen Sonnabend.

Mit gerade wenig entspannten aber nichts desto trotz herzlichen Grüßen,

JJUNKER

*(Und an anderer Stelle, ich finde den Text nicht wieder (Danke auch DATEV Suchalgorithmus) , die Frechheit zu haben und Smart Verify als Alternative zur Regel eins an zu preisen) 

Hallo @Nina_Naßler,

ich glaube in diesem Ideas-Thread gibt es ein Missverständnis bezüglich der Begrifflichkeit Zwei-Faktor-Authentifizierung in Bezug auf die Anmeldung in DATEV Unternehmen online (Bank online) und der Authentifizierung im Rahmen der Transaktionskontrolle.

Eventuell etwas präzisieren?!

Beste Grüße

Christian Wielgoß

Sirius Black sagte:

"Beeindruckend, Snape. Du hast wiederum Deinen klaren messerscharfen Verstand eingesetzt und bist wie üblich zum falschen Schluss gekommen."

---

Sehr geehrter Herr Wielgoß,

nein, wir benötigen keine weitere Belehrung zur 2-Faktor-Authentifizierung.

Wir benötigen einen Workflow.

Sehr geehrte Frau Naßler,

mit diesem Zitat haben Sie sich selbst geoutet, dass keiner von DATEV tatsächlich selbst mit den Programmen tag täglich arbeitet.

"Selbstverständlich bringen die nochmalige Kontrolle und explizite Bestätigung der elektronischen Unterschrift eine höhere Sicherheit für dieses Verfahren – und genau das ist unser Ziel!"

Wissen Sie wie oft man die Zahlungen sieht und weiter bestätigen muss, bevor man die elektronische Unterschrift setzen kann? Mindestens zweimal - es tut mir leid, aber die weitere Sicherheitsfunktion hätte auch organisatorisch gelöst werden können, indem man den bestehenden Klickmarathon (mehrfach mit dem Button an Bank senden) schöner aufbereitet und gestaltet hätte - dafür in kurzer Zeit eine eigene Softwarelösung zu integrieren ist .... naja das Thema wurde ja schon beleuchtet.

Falls SmartVerify in Zukunft nur für die EBICS-Zahlungen in Bank online genutzt wird und keinen weiteren Anschluss an andere Programme erhält - bin ich nachhaltig enttäuscht, wie strategische Entscheidungen der DATEV getroffen werden und wie hier der Fokus für die Praxis zur "Verbesserung" gesetzt wird. Können Sie uns wenigstens hierzu eine Aussicht geben?

Wird SmartVerify in Zukunft auch für andere 2FA-Varianten als zentrales Authentifizierungsmodul oder Signaturmodul?

Wenn das ganze wirklich nur für EBICS mit Bank online war, dann werde ich es nie verstehen und muss ernüchternd feststellen, dass DATEV hier leider von vielen Möglichkeiten eine der schlechtesten umgesetzt hat um den Zweck der Sicherheit zu erreichen - Aus Anwendersicht!

MfG

Tobias Ettl 

Die Probleme wurden von den Kollegen ausgezeichnet dargestellt.

Die Mandanten, die ich mühsam von der Vorteilen der Zahlung über DUO und Bank online durch den früher einigermaßen vernünftigen Workflow überzeugen konnte, haben aufgrund der Einführung von SmartVerify kapituliert und machen den Zahlungsverkehr jetzt wieder manuell.

Danke DATEV!!!

So kann Zahlungsverkehr auch sicher gestaltet werden, indem ihn keiner mehr verwendet.

Na? Haben sich Mandanten seit gestern schon gemeldet? 😎

Hallo @Tobias_Ettl, 

vielen Dank für die Nachfrage. Wie unter www.datev.de/smartverify oder auch in der  Leistungsbeschreibung DATEV SmartVerify, Version 1.0 erläutert dient die Funktion „SmartVerify“ dazu, den Anwender in Transaktionsprozesse von DATEV Onlineanwendungen einzubeziehen. Zur Authentifizierung kann der Anwender dabei den DATEV SmartLogin auf dem Smartphone oder die DATEV SmartCard am PC verwenden.

Bei Verwendung der SmartCard muss das Programm DATEV SmartVerify installiert werden.

Die Anwendung ist als Basissoftware für beliebige DATEV Onlineanwendungen konzipiert, so werden zum Beispiel die Texte oder die Beschriftung der Schaltflächen in DATEV SmartVerify  aus der verwendenden Onlineanwendung gesteuert.

Bank online ist der erste Verwender von SmartVerify.

Zukünftig können noch weitere Onlineanwendungen dazukommen, wenn dort Transaktionsprozesse zusätzlich abgesichert werden müssen.

Beste Grüße

Nina Naßler

edit:

Ach, egal.

Jetzt hätte ich fast wieder groß das Schreiben angefangen und habe da so einen schönen Fall liegen... Uiuiui, grade nochmals die Kurve gekriegt. 🤗

@deusex Made my day. 😅

@jjunker   🤜🤛  👋

@Gelöschter Nutzer als wenn DATEV das selber wüsste. Jedes Team entwickelt sein MVP. Ach nein eMVP. 😜 Der eine hat Lust dem Projektleiter von Smart Verify die Daseinsberechtigung zu geben der andere nicht. 

https://youtu.be/s9QGqeEIINA 

---

@Gelöschter Nutzer schrieb:

Darf ich fragen, in welchen weiteren Anwendungen die sinnlose Zerstörung des Workflows angedacht ist?

---

Fragen dürfen wir immer alles. Antworten wären cool 😎. Verlässlich. Und nach Möglichkeit mit einem Datum versehen. 

@deusex: ✌️ Nachher tanze ich noch meinen Namen, wenn ich mit DATEV arbeite. Und das will keiner sehen. Vielleicht schaffen wir so ein Umdenken 😂.  

Alles, nur weil man sich nicht mit Google oder Microsoft ins Boot setzen kann/will/muss, um deren gute 2FA Apps zu nutzen. DSGVO oder so'n Quatsch 👎. Seit 4 Monaten und 2 Tagen hat sich da auch niemand zu geäußert. Scheint ja schwierig zu sein. Oder man scheut die Antwort, dass es nie kommen wird, weil DATEV den Datenschutz hochhält und sich damit vom Rest der Welt abkoppelt aber mit finAPI auch die tolle SCHUFA an Bord hat. 

Diese Diskrepanzen ... 

Wird dieses Programm eigentlich über die DATEV-Updates gepflegt oder muss das analog Belegtransfer manuell aktualisiert werden, wenn Updates anstehen?

SmartVerify aktualisiert sich via AutoUpdate Funktion (angeblich) selbstständig. Selbst erlebt habe ich das noch nicht, mangels fehlender Installation / Feedback vom Mandanten. 

Der Belegtransfer v5 aktualisiert sich auch selbstständig. 

Bei einem überflüssiges Programm ist es imho egal, ob es sich automatisch aktualisiert ...