Viele Fragen in einem Post die hier schon, teilweise kontrovers, beantwortet wurden.

Zunächst vorweg, handelt es sich um eine Kanzlei oder um eine Unternehmenslösung? Bei Unternehmen bin ich raus, es gibt in Unternehmen völlig andere Anforderungen als in einer Kanzlei.

DATEV ist es grundsätzlich egal wie es betrieben (Einzelplatz, Client/Server oder Terminalserver) wird, es ist aber darauf zu achten, dass die Lizenzen zur Verfügung stehen.

Für Homeoffice ist die einfachste, beste und stabilste Variante der Terminalserver. Einloggen per VPN und Arbeiten wie im Büro. Zusätzlich wird ein Server (am besten virtuell) benötigt, es ist aber an die notwendigen TS-CALs zu denken (zusätzlich!).

Den VPN Endpunkt würde ich immer in den Router verlegen, hier gibt es nette Geräte, die eine Menge können, es muss nicht immer LanCom sein, Draytek ist bietet eine Menge, vor Allem eine flexible Zugangsverschlüsselung.

Einzelplatz im Büro laufen lassen und per VPN darauf zugreifen ist nicht so meine Wahl, daher kein Kommentar (kann kurzzeitig gemacht werden, aber dann...).

Einzelplatz im Homeoffice ist auch nur eine zeitlich eng begrenzte Alternative, der Datenaustausch mit dem Büro oder anderen Kollegen im eigenen Homeoffice ist arg limitiert. Technisch mit DATEV ohne Probleme machbar, Lizenz auf das jeweilige SWM (mIdentity kann das auch) ausleihen und fertig.

Bleibt noch ASP oder SmartIT, für Kanzleien mit Geld im Überfluss geeignet und würde der Favorit von @metalposaunist sein (Sorry @metalposaunist , den konnte ich mir nicht verkneifen).

Ich persönlich finde die Cloud ist nicht nur für Leute mit Geld im Überfluss geeignet, sondern ein gute udn preiswerter Ansatz für diese Anforderung.

Kleiner Zusatz. Wir sind ein kleines Unternehmen und nutzen "nur" Mittelstand Faktura mit Rechnungswesen mit Anbindung an unsere Steuerkanzlei über DATEV. Die Anforderungen sind also eher sehr klein. Denke auch, dass eine Cloudlösung hier etwas übertrieben wäre.

---

@einmalnoch schrieb:

Einzelplatz im Büro laufen lassen und per VPN darauf zugreifen ist nicht so meine Wahl, daher kein Kommentar (kann kurzzeitig gemacht werden, aber dann...).

---

Aber dann? Was spricht dagegen? Wenn es nur 1 Person ist, die mit DATEV arbeitet, ist ein WTS wohl etwas oversized. Machen auch etliche Kanzleien so, die eine Client-Server Architektur haben und keinen WTS.  

---

@einmalnoch schrieb:

Bleibt noch ASP oder SmartIT, für Kanzleien mit Geld im Überfluss geeignet und würde der Favorit von @metalposaunist sein (Sorry @metalposaunist , den konnte ich mir nicht verkneifen).

---

Alles gut. Kommt drauf an, ob DATEV mit der lokalen Welt reden muss, weil man Auswertungen und Co. lokal für den Vorgesetzen ablegen muss oder Dateien aus anderen System einspielt. Dann ist Smart IT und asp eher nicht so schön. Geht aber je nach Verbindung / DSL Bandbreite nicht unbedingt schön. Vorteil: 0 Wartung was VPN, DATEV und Datensicherung angeht.  

---

@Lyrebird schrieb:

1. VPN

---

Wäre meine Idee, die sich schnell und unkompliziert umsetzen lässt. Dann kann man alles so lassen, wie es ist. VPN erstellen und per RDP auf den PC in der Firma. Achtung: die SmartCard muss ins HomeOffice mitgenommen werden. Das war's. Dann kann die DATEV Installation so bleiben und macht wenig Aufwand. 

---

@Lyrebird schrieb:

2. Lizenz ausleihen

---

Habe ich als DATEV Techniker in 7 Jahren DATEV 1x oder 2x bisher gemacht. Kann man machen aber ist keine schöne Lösung; die letzte, die ich gehen würde. Das Verfahren ist mir zu kompliziert 😋. 

---

@Lyrebird schrieb:

3. komplett auf Einzelplatz wechseln

---

Macht man sich unflexibel mit, wenn doch jemand anderes mit DATEV arbeiten soll oder zusätzlich mit DATEV arbeiten soll oder in DATEV reinschauen soll, wie die aktuellen Zahlen sind. Dann ist man standalone. Uncool. Ganz zu schweigen vom Thema Datensicherung, was aus der Zentrale der Firma auf den PC / Laptop verlagert wird. Wer kümmert sich wie drum? Externe Festplatte? Was ist, wenn eingebrochen wird?  

Hi,

grundsätzlich bin ich für den Lösungsweg von @metalposaunist . 

VPN in die Firma und dann via RDP auf dem Rechner, der schon die DATEV-Installation hat.

Achtung: Wenn der bisherige mIDentity auch den Softwareschutz beinhaltet (ist leider Standard), kann der nicht ins HomeOffice mitgenommen werden. Der Lizenz-Manager stellt dann den Betrieb ein.

Lösung: Bestellen Sie über den Steuerberater ein Mini-SWM und lassen dies von der DATEV auch als Master-SWM eintragen. An den Rechner anstecken und die Software vom RZ abrufen, fertig. Ab dann können Sie die SmartCard (mIDentity) auch ins HomeOffice mitnehmen.

Auf dem HomeOffice-Rechner noch das Sicherheitspacket compact installieren --> https://www.datev.de/sipacom

@marco_keuthen : Auch in einem anderen Thread haben Sie die "Cloud-Lösung" empfohlen. Würden Sie bitte mal hier genauer werden die entsprechenden (ggf. DATEV-) Produkte empfehlen?

Bei DATEV sind mit nur SmartIT oder DATEVasp bekannt. Darüber hinaus wäre noch ggf. PartnerASP, was dem DATEVasp in Teilen nahe kommt. Danke hierfür.

Beste Grüße
Christian Ockenfels

---

@marco_keuthen : Auch in einem anderen Thread haben Sie die "Cloud-Lösung" empfohlen. Würden Sie bitte mal hier genauer werden die entsprechenden (ggf. DATEV-) Produkte empfehlen?

Bei DATEV sind mit nur SmartIT oder DATEVasp bekannt. Darüber hinaus wäre noch ggf. PartnerASP, was dem DATEVasp in Teilen nahe kommt. Danke hierfür.

 

---

Ich spreche von partnerASP, das gibt es je nach Systempartner in unterschiedlichen Ausprägungen.

---

@Lyrebird schrieb:
1. VPN

---

@metalposaunist schrieb:

Wäre meine Idee, die sich schnell und unkompliziert umsetzen lässt. Dann kann man alles so lassen, wie es ist. VPN erstellen und per RDP auf den PC in der Firma. Achtung: die SmartCard muss ins HomeOffice mitgenommen werden. Das war's. Dann kann die DATEV Installation so bleiben und macht wenig Aufwand.

---

 

---

... gibt es irgendwo in der InfoDB oder sonstwo ein 'BestPractice'-Dokument zur VPN-Lösung (ohne Datev-WTS) ?

---

@vogtsburger schrieb:

... gibt es irgendwo in der InfoDB oder sonstwo ein 'BestPractice'-Dokument zur VPN-Lösung (ohne Datev-WTS) ?

---

Von DATEV nicht, weil das jeder Hersteller anders macht: LANCOM mit zu lizenzierten NCP Programm; Sophos setzt auf OpenVPN und am besten SSL VPN; bintec richtet sich nach LANCOM und wird genauso lizenziert - jede Lösung braucht eine andere Vorgehensweise. Fritz!Box setzt auf ein noch anderes Programm. Einer unserer Mandanten setzt ShrewSoft VPN ein ... gibt es Lösungen wie Sand am Meer und alle bedienen sich anders; funktionieren anders und kommunizieren auf anderen Ports. 

---

@metalposaunist  schrieb:

---

Wäre meine Idee, die sich schnell und unkompliziert umsetzen lässt. Dann kann man alles so lassen, wie es ist. VPN erstellen und per RDP auf den PC in der Firma. Achtung: die SmartCard muss ins HomeOffice mitgenommen werden. Das war's. Dann kann die DATEV Installation so bleiben und macht wenig Aufwand. 

---

Das war auch grundsätzlich meine Idee. Es handelt sich dabei aktuell aber schon um einen Laptop, deshalb war die Idee diesen dann auch mitzunehmen, um im Homeoffice nicht noch weitere Rechner anschaffen zu müssen. Ich habe bedenken, dass dann die Verbindung zu schlecht ist. Gerade bei Updates oder so. Gibt es da Erfahrungen?

@metalposaunist ,

danke.

Die VPN-Lösung wird immer etwas oberflächlich und als sehr einfach und schnell einrichtbar dargestellt. Hier scheint es aber auch einige Tücken zu geben.

Diverse Fernwartungstools bieten ja z.B. auch VPN-Kanäle an.

Es geht aktuell oft um das Szenario, dass ein Mandant oder eine Kanzlei ohne DATEVnet und ohne WTS mal kurzfristig einen oder mehrere Home-Office-Arbeitsplätze zur Verfügung stellen will/muss, ohne gleich die IT-Infrastruktur umkrempeln zu wollen.

Mir selbst fällt da als schnellste Lösung nur ein Fernwartungstool ein.

---

@vogtsburger  schrieb:

 

---

---

---

... gibt es irgendwo in der InfoDB oder sonstwo ein 'BestPractice'-Dokument zur VPN-Lösung (ohne Datev-WTS) ?

 

 

---

Von DATEV nicht, warum auch? DATEV setzt auf DATEVnet/Telearbeitsplatz in der Kombination Lancom/NCP Client und liefert die Komponenten. Für andere Lösungen ist Eigeninitiative gefragt. M. E. ist Draytek eine gute Wahl wenn es ein Kombigerät sein soll. Kann alle gängigen Protokolle und liefert einen eigenen Client. Ansonsten gibt es auch stabile VPN Server auf Linux Basis mit OpenVPN, das ist für eine kleinere bis mittlere Kanzlei ein klein wenig oversized.

---

@Lyrebird schrieb:

Ich habe bedenken, dass dann die Verbindung zu schlecht ist. Gerade bei Updates oder so. Gibt es da Erfahrungen?

---

Wenn Sie per VPN arbeiten, holen Sie sich nur die Ansicht ins HomeOffice. Es fließen keine Date zwischen dem HomeOffice PC und der DATEV Installation. Deshalb reichen fürs VPN auch ca. 64KBs Upload aus. Mit Updates hat das nichts zu tun. Sie holen sich nur die Ansicht aus der Firma auf den HomeOffice PC. 

Bitte nicht den DATEV Laptop ins HomeOffice stellen und per VPN anbinden, weil dann tatsächlich alle DATEV SQL Abfragen durch den VPN Tunnel müssen. Das hatte @mscommunity leidvoll erfahren müssen, wie "gut" das klappt:  Zugriffsproblem mit Ferneinwahl über VPN seit September

---

@vogtsburger schrieb:

Diverse Fernwartungstools bieten ja z.B. auch VPN-Kanäle an.

---

---

@einmalnoch schrieb:

M. E. ist Draytek eine gute Wahl wenn es ein Kombigerät sein soll. 

---

Klingt ein bisschen wie: Zyxel hat Backdoor in Firewalls einprogrammiert

Stehe da eher auf bintec: RS353jv & für AiO be.IP

---

@metalposaunist  schrieb:

 

Wenn Sie per VPN arbeiten, holen Sie sich nur die Ansicht ins HomeOffice. Es fließen keine Date zwischen dem HomeOffice PC und der DATEV Installation. Deshalb reichen fürs VPN auch ca. 64KBs Upload aus. Mit Updates hat das nichts zu tun. Sie holen sich nur die Ansicht aus der Firma auf den HomeOffice PC. 

 

Bitte nicht den DATEV Laptop ins HomeOffice stellen und per VPN anbinden, weil dann tatsächlich alle DATEV SQL Abfragen durch den VPN Tunnel müssen. Das hatte @mscommunity leidvoll erfahren müssen, wie "gut" das klappt:  Zugriffsproblem mit Ferneinwahl über VPN seit September

---

---

Der Unterschied zwischen RDP und Gerät im Homeoffice ist mir klar. Das mit den Updates war auf ein Laptop im Homeoffice bezogen. Dann fällt diese Möglichkeit also aus. Gut, dann kenne ich ja die Möglichkeiten. Vielen Dank allen Postern. 🙂

Auch sollte man bedenken: Zugang vom Internet / Außen ins LAN ist auch immer ein Sicherheitsaspekt zu beachten...

Auch bei Bintec gibt es Sicherheitslücken.

... mich würde interessieren, wie die 'selbstgestrickten' ad-hoc-VPN- und RDP-Lösungen auf der Basis von billigen oder gar kostenlosen Produkten (Software und/oder Hardware), DynDNS im heimischen Router etc. aus sicherheitstechnischer Perspektive beurteilt werden.

---

@vogtsburger  schrieb:

 

... mich würde interessieren, wie die 'selbstgestrickten' ad-hoc-VPN- und RDP-Lösungen auf der Basis von billigen oder gar kostenlosen Produkten (Software und/oder Hardware), DynDNS im heimischen Router etc. aus sicherheitstechnischer Perspektive beurteilt werden.

---

Vielleicht so wie ein selbstgestrickter JA ohne Steuerberater.
Läuft irgendwie, aber ob das gepasst hat, zeigt sich später 😂

---

@vogtsburger  schrieb:

 

... mich würde interessieren, wie die 'selbstgestrickten' ad-hoc-VPN- und RDP-Lösungen auf der Basis von billigen oder gar kostenlosen Produkten (Software und/oder Hardware), DynDNS im heimischen Router etc. aus sicherheitstechnischer Perspektive beurteilt werden.

---

So lange keine gravierenden Stockfehler gemacht werden passiert relativ wenig.

Stockfehler 1: Alles gut mischen und dann basteln. Heißt übersetzt, wenn die einzelnen Begriffe getrennt und nacheinander abgearbeitet werden ist es gut.

Stockfehler 2: Einen RDP Endpunkt direkt an das Internet anbinden.

Stockfehler 3: Auf dem Router alle Ports nach außen freigeben.

Ob kostenlos oder nicht spielt keine Rolle, viele Linuxdistributionen sind kostenlos, was zählt ist die richtige Konfiguration. Die FritzBox ist per se ein sicherer VPN Endpunkt, es muss nur das richtige Protokoll (hier IPSec) gewählt werden, der Key muss lang genug sein.

DynDNS Dienste sorgen dafür, dass ein VPN Endpunkt auch bei wechselnden IP Adressen (Stichwort Zwngstrennung) erreichbar ist. Der Router sendet nach einer Trennung seine aktuelle IP Adresse an den Dienst der diese IP in seinem DNS Server einträgt. Wird jetzt dieser eine DNS Server abgefragt erhält der Fragende die IP Adresse (das Speilchen kann mittels nslookup) nachvollzogen werden. Der DynDNS Dienst ist also zunächst ungefährlich oder nicht gefährlicher als eine feste IP Adresse.

Ich bin ein Fan von VPN Endpunkten, die vom eigentlichen Ziel entfernt liegen. Will ich also einen PC erreichen lege ich den Tunnelendpunkt nicht auf dem PC an sondern auf dem Router oder einem VPN Server (=Luxus, Luxus = Aufwand). Am Tunnelendpunkt wird der Nutzinhalt entschlüsselt, geprüft, welche Rechte der Tunnelnutzer hat und das IP Paket an den betreffenden PC weitergereicht. Der Tunnelnutzer besitzt jetzt eine vom Router vergebene interne IP Adresse.

Für den Zugriff auf den PC wird das Protokoll RDP (Remote Desktop Protokoll) genutzt, die Verwendung muss auf dem PC explizit freigegeben sein und lässt sich auf bestimmte Benutzer einschränken (wichtig in einem Domänennetzwerk).

Bleibt am Ende noch der Client, also der, der von irgendwo auf den PC zugreifen möchte. Der VPN client, egal welcher, hat mit Sicherheit eigentlich wenig am Hut, er sorgt für den Komfort. Der Client richtet zunächst einen virtuellen Netzwerkadapter am Client ein damit das Tunnelnetzwerk auch Anschluss an das richtige Netzwerk findet. Der physische Netzwerkadapter am Client PC kennt seine Daten aus dem lokalen Netz welches ihm den Internetzugriff ermöglicht, die Tunnelpakete erkennt er und leitet diese an den virtuellen Tunneladapter weiter. Der VPN Client organisiert den Aufbau und den Erhalt des Tunnels, als erste Aktion erhält er die Daten wohin er den Tunnel aufbauen soll. Er fragt also bei DynDNS Dienst nach der aktuellen IP Adresse. Wenn diese vorliegt fragt er den Nutzer, welches Protokoll verwendet werden soll, nach dem Nutzer und dem Passwort sowie Passphrase oder Zertifikat (die Konfiguration kann gespeichert werden). Liegen die Daten vor wird ein Paket an die Adresse geschickt damit zwischen dem Client und dem Endpunkt ein Schlüsseltausch zur Verschlüsselung des Verbindungsaufbaus ausgehandelt werden kann (üblicherweise IKE Phase 1 und 2). War der Schlüsseltausch erfolgreich werden die Anmeldedaten verschlüsselt übermittelt und der Tunnel steht. Alles, was jetzt durch den Tunnel fließt wird mit dem Zertifikat oder der Passphrase verschlüsselt (die ja Beiden im Vorfeld bekannt ist).

Grundsätzlich ist es egal ob ein kommerzieller, mitgelieferter oder freier Client genutzt wird. Was zählt ist der Komfort und einige "Sondereigenschaften". So soll der NCP Client mit Dual Stack Netzen ganz gut klarkommen, die können z. B. den Shrew ganz schön aus der Spur bringen.

Bei vernünftigen Aufbau sind freie Softwareprodukte nicht unsicherer als Kommerzielle. Der Endpunkt sollte aber genug Leistung haben, bei einem RDP User kein Problem, werden es viele kann es schwierig werden, die Router haben daher auch ihre Beschränkung auf bestimmte Userzahlen, bei einigen (Lancom, Cisco) hat das Lizenzgründe, aber ab einer bestimmten Userzahl ist auch da Schluss - die Leistung reicht nicht.

---

@vogtsburger  schrieb:

 

... mich würde interessieren, wie die 'selbstgestrickten' ad-hoc-VPN- und RDP-Lösungen auf der Basis von billigen oder gar kostenlosen Produkten (Software und/oder Hardware), DynDNS im heimischen Router etc. aus sicherheitstechnischer Perspektive beurteilt werden.

---

Richtig implementiert müssen die 'selbstgestrickten' im Vergleich zu kommerziellen Lösungen nicht schlechter sein. Umgekehrt natürlich ebenso.

Die Verfahren und Konzepte sollten eben dem angestrebten Sicherheitsniveau entsprechen.

noch einmal Danke @einmalnoch für die sehr detaillierte, konkrete und hilfreiche Antwort.