Hallo  @ghof,

damit im RD-Server die Ausweis-App genutzt werden kann, muss ein am lokalen PC vom Betriebssystem erkannter Smartcardleser über das RD-Protokoll mit dem RD-Server verbunden werden.

Die Verbindung zwischen Smartphone und lokalen PC findet aber nicht auf dieser Ebene Betriebssystem statt, sondern nur auf Ebene zwischen lokal installierter Ausweis2-App und der Ausweis2-App am Smartphone.

Daher wird eine Weiterreichung über den lokalen PC an den RD-Server per WLAN-Verbindung nicht möglich sein.

Was theoretisch möglich wäre:

Das Smartphone mit einem USB-Kabel mit dem lokalen PC verbinden.
Wenn der Gerätetreiber für das Smartphone so programmiert ist, dass am lokalen PC die NFC-Funktion des Smartphones als Smartcardleser erkannt wird, könnte dieses Gerät möglicherweise in die RD-Sitzung übertragen werden. Habe ich nicht getestet, mir ist auch kein Positivbeispiel bekannt.

Guten Morgen @ghof,

wenn Sie kein SMART IT/ASP Anwender sind sollte es theoretisch möglich sein.

Auf der Steuerberaterplattform gibt es auch eine Anleitung dazu:

Steuerberaterplattform Verwendung ausweisapp2 mit smartphone

Grüße aus Nürnberg

Anton Friesen
DATEV eG, Service Dokumentenmanagement

Hallo in die Runde,

da doch einiges hier und da zum Thema Smartphone und AusweissApp geschrieben wird.

Anleitung zur Installation in Firmennetzwerken 

Unter 1.3 Anforderungen an die Einsatzumgebung finden Sie konkret beschrieben. welche Netzwerkports etc. notwendig sind.

Für die Verwendung von der „Smartphone als Kartenleser“-Funktion über WLAN müssen außerdem
Broadcasts auf UDP Port 24727 im lokalen Subnetz empfangen werden können. Hierzu muss eventuell
die AP Isolation im Router deaktiviert werden.

Ihre DATEVasp und DATEV-SmartIT Systeme befinden sich nicht im selben Subnetz bzw. können diese Broadcasts nicht empfangen, daher ist die Anbindung der Smartphones nicht möglich.

Viele Grüße
Christian Schmidt
DATEV eG

Teamleiter Produktmanagement DATEVasp und DATEV-SmartIT

Danke für die schon einmal sehr hilfreichen Antworten.

Die Aktivierung des beSt-Postfachs hatte ich lokal mit der von Herrn @Anton_Friesen verlinkten Anleitung bereits hinbekommen, da es hierfür ja nur einen Browser und die AusweisApp2 auf dem Notebook sowie die Verbindung zum selben WLAN braucht.

Für den Betrieb des beSt, insbesondere das Senden, benötige ich ja dann immer eine Freigabe mittels AusweisApp2.

Die Idee von Herrn @noescher, das iPhone mittels USB lokal anzuschließen und somit einen USB-Kartenleser zu haben, hat leider nicht funktioniert. Ich denke, das liegt wohl am Treiber. Danke trotzdem für die Idee...

Den Hinweis von Herrn @Christian_Schmidt mit der Portfreigabe etc. werde ich mit unserem IT-Partner (wir haben kein DATEVasp und DATEV-SmartIT System) abklären und ggf. umstellen lassen.

Danke nochmal und vorab ein schönes WE!

@ghof: Per Papier hätte man schon wie viele Schreiben per Post in der gleichen Zeit verschickt? Digitalisierung ist, wenn's in Deutschland 🇩🇪 länger dauert 😂. 

Hälst Du uns auf dem Laufenden, ob das alles smart, effizient und einfach mit Freude läuft? 🤓

Bei uns hat die Kopplung der App mit dem Smartphone auch nicht funktioniert. Angezeigt wird das iPhone. Beim Koppeln: timeout. beSt - DATEV ist der Partner der BStBK!

Habe nun die Rückmeldung vom IT-Partner: Smartphone als Lesegeräte sind bei uns leider nicht möglich, da unterschiedliche Subnetze auf lokaler Ebene und bei unserem Partner-ASP.

Schade, aber dann müssen wir wohl auf USB-Lesegeräte zurückgreifen.

Hallo zusammen,

hat inzwischen jemand eine Lösung gefunden?

Ich konnte bisher folgendes feststellen:

Auf Terminalservern wird der Dienst AusweisApp2-Proxy installiert, der dazu dient, dass mehrere Personen die App starten und gleichzeitig die Kartenleser verwenden können.

Ist dieser Dienst gestartet, wir kein Smartphone als Kartenleser gefunden (auf anderen PCs mit AusweisApp2 aber schon).

Sobald ich den Dienst AusweisApp2-Proxy beende, wird das Smartphone sofort gefunden. Dann kann die AusweisApp aber nur einmal auf dem Terminalserver genutzt werden - in allen anderen Instanzen wird das Smartphone dann nicht mehr gefunden.

Folgende Ausgangslage:

• Smartphone und Terminalserver befinden sich im gleichen Subnetz
• Firewall testweise auf Terminalserver deaktiviert

So ist die AusweisApp zumindest was das Smartphone als Kartenleser angeht, nicht wirklich terminalserverfähig...

Ich freue mich über Rückmeldungen und Hilfe 🙂

Viele Grüße

André

Hallo Andre,

iPhone als Kartenleser kannst du in der Terminalserver Umgebung vergessen. Die App benötigt zwingend Telefon und WTS im selben vlan. Das ist in einem ordentlich segmentierten lan eigentlich ein Fall der Unmöglichkeit 😉

Wenn das bei dir wirklich der Fall sein sollte, dass das WLAN des Telefons das gleiche Netz ist wie das, dass eure WTS nutzen, dann könnte das noch der lokale Virenscanner sein. Der hat bei uns nämlich auch die Kommunikation dieser App unterbunden.

Gruß, Ronny

So, heute konnte ich auch mal feststellen, dass es nicht geht. Wir arbeiten mit einer Virtualisierungslösung und da geht das scheinbar auch nicht.

Was ist nicht verstehe ich dieses Tam Tam, was da gemacht wird - Zertifikat generiert, importiert - alles gut. Nachrichten an das FG schicken? Jedenfalls mit Smartphone Fehlanzeige.

Nicht nur, dass das unnötig Ressourcen frisst, eine technisch sichere, vernünftige und einfache Lösung wäre wirklich sehr wünschenswert.

Hallo @thorstenmüller ,

also Virtualisierung ist eigentlich nicht das Problem.

Ein wirklicher Spielverderber ist nur, dass eben ein Smartphone nicht am WTS genutzt werden kann und schon gar nicht, wenn dieser sich in einem anderen Netz befindet (ASP-Lösung oder VPN-Einwahl)

Aber mit einem preiswerten Kartenleser (z.B. Reiner-SCT cyberjack basis) klappt das eigentlich alles recht problemlos.

Und ja - die Verantwortlichen (BStBK?, Governikus?, DATEV?) hätten das etwas charmanter umsetzen können. Denkbar wäre eine Art 2-Faktor Lösung mit dem Personalausweis am Smartphone gewesen - so eine Art SmartLogin mit Personalausweis. Das würde dann sehr universell und auch mobil funktionieren.

mfG, F.Lange

Hallo @flange !

Danke für die Rückmeldung. Ich meinte auch das Auslesen mit dem Smartphone. Wenn ich eh schon mit einer Virtualisierungslösung unterwegs bin will ich nicht noch einen Kartenleser im Gepäck haben. Möglichst wenig Peripherie ist zumindest meine Devise, andere bezeichnen es als leichtes Gepäck (womit nicht das Gewicht des Lesers gemeint ist ;-)).

Ich hoffe mal, dass sich das noch benutzerfreundlich gestalten lässt und setze da noch mal auf die DATEV.

Freundliche Grüße,

Thorsten Müller

Guten Morgen,

da ich das gleiche Problem mit der AusweisApp 2 auch bei der Nutzung anderer eGovernment-Dienste (u. A. beA, EGVP) hatte und eine Lösung gefunden habe für die Kommunikation zwischen Smartphone und AusweisApp am Terminal Server, hier eine kurze Anleitung dazu.

Gleich vorab: dieses Tutorial stellt keine IT-Sicherheitsberatung dar, etwaige Angriffspotentiale sind ggf. durch einen IT-Sicherheitsbeauftragten in Firmennetzwerken noch gesondert zu prüfen (u. A. Einrichtung weiterer Firewall-Regeln am Terminal Server, etc.), da durch die hier beschriebene Methode netzwerkseitiger Vollzugriff auf den Terminal Server besteht.

Für die Kommunikation zwischen AusweisApp auf dem Smartphone + AusweisApp auf dem TS ist eine direkte Netzwerkverbindung im gleichen Subnetz erforderlich per UDP-Broadcast. Dazu kommt auch kein Port-Tunneling bspw. per SSH infrage, da hier nur ein TCP-Port getunnelt werden kann.

Eine einfache Lösung ist ein Host-to-Host-VPN zwischen Terminal Server + Smartphone, bspw. per WireGuard durch Installation eines Tunnel Services per Command Line (https://www.henrychang.ca/how-to-setup-wireguard-vpn-server-on-windows/). Dazu wird ein separater Netzwerkadapter mit eigenem Subnetz installiert, in das sich VPN-Clients einwählen. Der Port des VPN-Servers muss dazu noch auf eine Public IP gemappt (bspw. per IPv4-NAT Port-Forwarding) bzw. in der Firewall freigegeben (IPv6) werden. Die Einrichtung eines NAT zwischen dem WireGuard-Subnetz + dem Internet (Default Route auf dem Terminal Server) war im Test hier nicht erforderlich. Das Smartphone konnte dadurch jedoch bei eingewählter VPN-Verbindung nicht auf das Internet zugreifen, die AusweisApp konnte jedoch auch ohne Internet-Zugriff mit dem Terminal Server kommunizieren und der Ausweisvorgang war erfolgreich.

Allein für das Ausweisen über Mobilfunk (LTE, 5G) oder WLAN vom Smartphone zum TS war dies jedoch ausreichend, die Verbindung wird ja nicht dauerhaft gebraucht.

Neben WireGuard bieten sich natürlich ggf. auch noch andere VPN-Lösungen mit ähnlicher Funktionalität an.

Beste Grüße,

Ludwig Pommerenke

Fachinformatiker (IHK)