Zu schneller Logout bei Smartlogin

flöge schon längst mal etwas aus dem Fenster ...

 

Gestern die "Kabelkiste" sortiert und genüsslich ein Paar durchgekniffen. Einfach mal so Kraft und rohe Gewalt anwenden.

---> Sehr meditative Wirkung sage ich dir.

CDs einhänding biegen bis sie brechen. Auch so eine Sache.

Habe noch 4 alte Festplatten hier die Datenschutzkonform entsorgt werden müssen. 🔨⚡ 😎

... irgendwo im Text ist die folgende Aussage gefallen

Ernsthaft. Das ist ein riesen Thema.

... das Thema "Zu schneller Logout bei Smartlogin" ist anscheinend tatsächlich ein Riesenthema. 

... was mir bisher gar nicht so bewusst war 😎

Hallo zusammen,

Danke dass Ihr hier so offen und fleißig Feedback gebt. Ich denke, wir sind in den angesprochenen Punkten auch nicht weit auseinander. Vielleicht fühlt es sich in der digitalen Distanz nicht immer so an. Das ist mir auch klar geworden.
Zusammengefasst habe ich verstanden, dass wir es in der Zukunft noch besser schaffen müssen, dass Datenschutz & Informationssicherheit und Komfort sich nicht gegenseitig behindern.

Jetzt wünsche ich erst mal einen angenehmen Übergang in das Wochenende.

Viele Grüße aus der DATEV
Thomas Müller

IT-Security und Privacy

---

@metalposaunist schrieb:

Und wo wir gerade beim Thema Usability vs. Sicherheit sind: Kannst Du uns sagen, wie es dazu gekommen ist 🤔? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte 😞.

---

Knapp 4W sind vorbei; bestimmt habe nicht nur ich heute geflucht und leider keine Aussage von DATEV: warum? wieso? weshalb? man einen sauberen Workflow derart kaputt machen muss 👎.

Schade. Viele andere Fragen & Bitten sind auch noch offen. 

Warum ist der automatische Logout beim DATEV-Leistungsprofil auf 10min gesetzt 🤔? Hat das also eine höhere Vertraulichkeitsstufe oder ähnlich?

Und da ein F5 der Webseite ausreicht: klappen dann auch Browser AddOns, die diese Webseite automatisch nach x Minuten neu laden? 🤓 

Moin Herr Müller,
Moin Moin Thomas

Ist jetzt 1 Monat her, aber hey, besser spät als nie 😉

"Ich hoffe das #Du ist ok?"
Ist es. Außerhalb der Community ist es u.U. anders, das wird aber für alle wohl so gelten 🙂

Zitat: "Auch das CCC spielt bei unseren Überlegungen und Entscheidungen eine Rolle. "
Hm, es heißt der CCC. Klingt für mich schon so, als ob du antwortest, ohne die Frage zu verstehen. Ich bin richtig drüber gestolpert beim Lesen. Als wenn du den CCC nicht kennst, bzw. nicht mit der Frage verbunden hattest. Derartige Antworten haben ohnehin heutzutage meist keinen echten Inhalt, sondern dienen nur der Beschwichtigung. Hätte ich auch ohne den falschen Artikel schon vermutet. Aber so ...

Zitat: "Euer Lob, das Ihr immer wieder aussprecht ..."
Gerade hier (wie auch bei anderen Themen) sehe ich kein Lob (wie @metalposuanist).

Zitat: "... wir sind mit Euch zusammen auf einem guten Weg in die Zukunft."
Sehen viele hier eher anders. Dazu setzt Datev viel zu wenig von den Ideen, den Problemen, den Sorgen, den Vorschlägen der Community um.

Zitat: "Natürlich spielt das Interesse unserer Kunden in neuen und etablierten Lösungen eine wichtige Rolle für uns."
Ich nehme diesen Satz aus dem Absatz. Und ich meine für eine "wichtige Rolle" wird das doch recht lausig umgesetzt. OK, die Online Angebote werden sicherlich agil erstellt, sprich, man lernt beim programmieren. Bedeutet aber auch: Man hat keinen echten Plan. Und das nervt! Wenn etwas neues auf den Markt kommt, bitte bereits mit vielen eingebauten Standardfunktionen. Besser später und gut zu gebrauchen, als dieses Stückwerk!
Ebenso, auch wenn Cloud, die Strategie und der Fokus der Entwicklung ist, stellt Ressourcen für die On Premise-Software bereit. On Premise ist wichtiger, als der Vorstand denkt! Es ist zumindest ein Fall back für Kanzleien. Datev Cloud ist nicht nur für russische Hacker ein interessantes Ziel, egal ob staatliche Hacker oder freischaffende Banden. Plan B ist m.E. im Ernstfall: On Premise weiter werkeln.
On Premise ist auch unabhängig von den Wartungszeiten der Datev. On Premise bedeutet auch, die Kontrolle über die gespeicherten Daten. Datev Cloud bedeutet im Grunde, diese Kontrolle abzugeben. Mögt ihr anders sehen - bis zum ersten Gerichtsurteil. Oder zweiten, je nach Gericht. Aber meine Vorhersage: Zwei verschiedene Gerichte reichen, damit dies ein Diskussionsfall wird.

Zitat: "Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist"
Was tatsächlich eher unsicher ist: HDD/SSD sind wunderbare Angriffspunkte. Mit meiner Frage wollte ich aber nicht diese Trivialitäten einbringen, sondern anstoßen zu hinterfragen, ob das als sicher gedachte auch wirklich sicher ist? Und zusätzlich auch sicher bezüglich welchen Angriffen? Sicher über welchen Zeitraum muss es sein?
Aus diesem Zusammenhang kann sich durchaus ergeben, dass nicht alles, was der Sicherheit angeblich dient, der Sicherheit dient.
Nicht unbedingt neu, aber MS hat inzwischen auch eingesehen, ein regelmäßiger Passwortwechsel dient der Sicherheit nicht, solange das betreffende System nicht möglicherweise kompromittiert wird. Eher schwächt es die Sicherheit, weil wir Menschen keine Computer sind.
Oder Thema Passwörter: Die Nist hat vor einigen Jahren bereits gesagt, lange Passworte, die man sich merken kann, sind besser als komplizierte Passworte mit say 10 oder mehr Zeichen. Hier und da einen Fehler und/oder Blender eingebaut - ist unangenehm für einen Cracker.

OK, das Thema ist natürlich noch viel umfangreicher. Können wir aber gerne vertiefen.

Zitat: "Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, ..."
Das ist es doch nicht. Weder bei der Smartcard noch beim SmartLogin, es sei denn Datev weis von Designschwächen, von denen ich nichts weis.
Sprich: Der Benutzer autorisiert sich, die Verbindung steht, IP-Adresse und https-Schlüssel sind festgelegt: Bliebe nur ein Man-in-the-Middle Angriff. Ich sehe nicht, wie da eine Sekunde mehr die Sicherheit untergräbt - oder 10 Minuten oder 1 Stunden. Ggf. wird noch ein "Keep alive"-Paket ausgetauscht dafür, dass man immer noch verbunden ist.
Die Autorisierung klappt doch, mit Ausnahme eines mitm-Angriff (was eh auf ein ernstes Problem beim Nutzer-Device hinweist), sehe ich da kein ernstes Problem. Und ändert sich die IP-Adresse muss man sich neu anmelden.
Mag ja sein, dass ich etwas übersehe. Da aber andere Systeme, die ebenso der Sicherheit verschrieben sind, längere Verbindungszeiten zulassen, gehe ich davon aus, dass ich nichts signifikantes übersehe.

Ich fasse zusammen: Für mich war deine Antwort recht unbefriedigend, ich habe eher den Eindruck, du bist jemand aus der PR-Abteilung. Betrifft sowohl die Antworten zu mir - und noch mehr den nicht gegebenen Antworten -  also auch zum @metalposaunist.

Insbesondere hast du recht wenige Punkte von mir aufgenommen

Du hast den Tenor "Datev erklärt sich nicht" fortgeführt, anstatt mal Klartext zu bringen. Insbesondere hast du nichts zu den Kriterien geschrieben. Warum, wenn Security through Obscurity nicht funktionieren kann, laut eigener Aussage?

Sorry im Endeffekt bin ich enttäuscht!

QJ

@quantenjoe: Wie man schick, übersichtlich und gut leserlich Mehrfachzitate einbauen kann 😎🤓, steht hier: Tipp für Power-Zitierer zur Nutzung von Mehrfachzitaten

So macht das Lesen Deiner Antwort wenig Spaß, sorry 👎. 

Hallo @quantenjoe 

@quantenjoe  schrieb:

Ich fasse zusammen: Für mich war deine Antwort recht unbefriedigend, ich habe eher den Eindruck, du bist jemand aus der PR-Abteilung.

Ob ich aus der PR-Abteilung bin oder doch was mit Security am Hut habe, können wir gerne in einem persönlichen Gespräch erörtern 😊

Melde dich dazu gerne via PN mit deinen Kontaktdaten bei mir.

Viele Grüße aus der DATEV,

Thomas Müller

@quantenjoe: Dann bitte kurz zusammengefasst ein Ergebnis bitte 🙏. Ich bin kein Freund von 1:1 Gesprächen. Dann weißt nur Du wieder mehr als andere - das torpediert den Community Gedanken 👎.

Moin Moin

Vielleicht nicht angemessen ausgedrückt. Was da steht (worauf ich mich beziehe) ist für mich eine typische PR-Antwort, bzw. bei Politiker und ähnlichen Manipulatoren ( nicht meckern natürlich manipulieren sie, das gehört zum Handwerk - und es muss nicht mal schlimm sein) ein typisches Ausweichen.

Und das brauchen wir nicht - ist meine Meinung. Ich ziehe da ein "Hä?", "weiß nicht" oder schweigen vor.

Vielleicht ist es aber auch von Thomas Müller unglücklich formuliert (jedenfalls für mich).

Aber eins möchte ich klar stellen: Ich hatte nicht die Absicht, Unlauterbarkeit (also PR) zu unterstellen. Und es soll schon gar kein persönlicher Angriff sein! Es wirkte - wie ich schrieb - auf mich so.  Tut es auch jetzt noch. 

Ich meckere, bin manchmal bin ich auch sauer (meist, wenn in der Woche mal wieder - unnötig, wie ich aus guten Gründen meine - Datev-Software mich Nerven gekostet hat). Das lasse ich durchaus aus raus. Aber ich bin auch froh, dass sich viele Datev-Mitarbeiter hier beteiligen und mitmachen. Und ja, eigentlich kriegen sie bzw. Sie Herr Müller da etwas ab, wofür Sie nicht können und was Sie nicht zu vertreten haben. 

Wenn SIe, Herr Müller, dies als persönlichen Angriff empfunden haben: Dann bitte ich um Entschuldigung, das sollte es nicht sein!

QJ

Nachtrag: Welches Wechselbad der Gefühle Datev so hervorrufen kann, zeigte sich gerade heute. Ich hatte 2 Anfragen zu Funktionen in den Steuerprogrammen. Bei der ersten Funktion fand und fand ich keinen Ansatz, wo die Ursache zu finden sei. Die Hilfe war keine. An Ende stand die Lösung hier in der Community - von einem Datev-Mitarbeiter gepostet. Bis hierher hatte ich aber richtig Nerven gelassen. Die 2. Funktion hingegen war ein Genuß: In der Hilfe an Top-Stelle das Dokument, dass den Lösungsweg aufzeigte, der Rest war nicht nur noch folgerichtiges abklären. Danach waren die Nerven auch wieder im Lot 🙂

Hallo @quantenjoe ,

vielen Dank für deine offenen Worte. Ich kann dir versichern, dass ich mich nicht persönlich angegriffen fühle. Dass eine Antwort einen Eindruck/ eine Vermutung zur Tätigkeit oder Einstellung in der Sache hinterlässt, finde ich ganz normal. Die digitale Distanz fordert immer wieder ihren Tribut 😎 Das persönliche Gespräch ist einfach ein freundliches Angebot an Dich. Ich würde mich freuen, wenn wir uns mal in einem pers. Austausch kennenlernen. Dabei geht es weder um "information hiding" in Richtung der Community noch darum sich rechtfertigen zu müssen. Ein guter altmodischer, persönlicher Austausch. Ich denke auch dafür muss sich keiner von uns rechtfertigen. Ich würde mich freuen 😉

Natürlich nur wenn du magst.

Ansonsten werde ich auch gerne weiterhin mit Rat und Tat in der Community dabei sein. Als Info zu mir sei noch erwähnt, dass ich nicht zu den Personen gehöre, die zu allem etwas schreiben müssen, nur weil ich selbst noch nichts dazu gesagt oder geschrieben habe. 😉

Posts, in denen ich erwähnt werde, lese ich aufmerksam und tausche mich mit meinen Kolleginnen und Kollegen in der DATEV darüber aus, wer in der Sache zielführend antworten oder direkt helfen kann. Es kann also immer wieder sein, dass Euch in der Sache von meinen Kolleginnen oder Kollegen aus den Produkten geholfen wird, ohne dass ich mich persönlich dazu melde. Ich sehe hier meine Aufgabe nicht im Sammeln von Antwortpunkten oder Kudos. Auch wenn ich mich sehr freue, wenn meine Antworten mit diesen honoriert werden. Am meisten freue ich mich aber, wenn euch in der Sache geholfen wird, unabhängig davon, wer die Antwort gibt. 

Viele Grüße hier aus der DATEV,

Thomas Müller

Hallo Herr Müller

Können wir gerne machen und auch gerne per "du". Werde ich jetzt auch wieder hinüberwechseln.

Ich habe nur ein Problem: Wo finde ich Persönliche Nachrichten? Hab ich bisher nicht gefunden. Mag an mir, vielleicht auch an den Browser-Einstellungen liegen.

Ich habe die Datev-Hilfe gefragt: Die interessant geantwortet:

Weitere Antworten waren noch weiter entfernt. Ist eigentlich Thema in einem anderen Thread (richtig die Suche)

Jedenfalls, ich habe PNs nicht gefunden - bis heute.

Ich bin zwar recht unregelmäßig hier, aber das steht einem Austausch nicht entgegen. 

QJ