Jungs & Mädels: Laut @Julia_Bangerth sollen wir "offiziell" Elefant 🐘 als Umschreibung nutzen 😉. 

Elefanten können aus dem Stand einen ganz beachtlichen Sprint hinlegen. Bei DATEV bin ich mir da nicht so sicher.

---

@metalposaunist  schrieb:

Jungs & Mädels: Laut @Julia_Bangerth sollen wir "offiziell" Elefant 🐘 als Umschreibung nutzen 😉. 

---

Trotz der Erwähnung von @einmalnoch gefällt mir Tanker als Elefant besser. 🙂 Aber wenn DATEV das möchte, dann soll es so sein (wie vieles andere, was DATEV auch möchte).

Und wie Daniel immer so gern sagt: BackToTopic bitte.

Zu wenig Phantasie! Na logisch wird der Berater bei einer unbekannten Firma nicht tätig.

Nehmen wir an, der "Faker" kennt die Firma und kennt bzw. vermutet den StB und eröffnet einen Fragebogenprozess mit den Daten dieser Fremdfirma und einer eigenen ggf. ähnlichen Mailadresse.

Wahrscheinlich nur Theorie, aber Theorie ist ausreichend um Prozesse in Frage zu stellen.

Ich wollte an dieser Stelle gerne noch darauf hinweisen, dass ich morgen am Donnerstag, den 13. September ein Webinar gebe, in dem ich den fastdocs Service vorstelle.

Es ist keine reine Präsentation und damit dine Trocken Übung, sondern wir werden einen Mitarbeiter einstellen und sämtliche Prozesse durchspielen.

Am Ende uns das PDF ansehen und die Funktionen und auch die Sprachen etc. die wir mittlerweile bei fastdocs haben durchgehen.

Sollte also der eine oder die andere Lust haben, würde ich mich freuen.

Hier der Link:

https://events.teams.microsoft.com/event/2fe2e62b-d268-49e4-9995-bddd141a3a1b@3e800c05-b544-469b-b4c9-823a8a501a09

14 Uhr geht es los für eine Stunde.

guten Start in den Tag,

Dieser Kommentar mag eventuell unprofessionell erscheinen, aber diese Aussage ist so ein bisschen wie: hätte hätte Fahrradkette…

Das ist aus meiner Sicht nicht korrekt (die Aussage, der StB - oder jeder andere Lohnabrechner - muss zwingend Arbeitsverträge bekommen) und entspricht m.E. auch nicht mehr einer modernen Kanzleiführung (vor 10 Jahren hätte ich noch recht gegeben).  

Wir benötigen für die Lohnabrechnung keine Arbeitsverträge, für den Fall wenn wir alle Angaben für die Abrechnung vom Arbeitgeber bekommen und uns dieser auch alle zur Verfügung stellen muss (Auftragsumfang), dafür haben wir Fragebögen.

Im Prinzip ist die reine Lohnabrechnung bzw. der bloße Lohn-Auftrag nur eine Abrechnung nach Angaben des Auftraggebers und beinhaltet keinen Blick in einen Arbeitsvertrag. 

Ausnahme ist nur wenn die Arbeitsverträge auch geprüft werden sollen (steuerrechtlich und bezgl. sonstiger Angaben für die Lohnabrechnung) und - soweit zulässig - zum Lohn beraten werden sollen (Auftrag). Ausnahme ist auch, wenn der Auftrag lautet: Die Angaben zur Lohnabrechnung sind dem Arbeitsvertrag zu entnehmen. Das kostet natürlich extra, weil dies über die reine Lohnabrechnung hinausgeht und dies möchte nicht jeder Auftraggeber. 

Zudem ist eine Schriftform nicht vorgesehen, es muss also nicht zwingend ein schriftlicher Arbeitsvertrag bestehen (Nachweisgesetz regelt hier Mindestanforderungen). 

Wer (zumindest als StB) Arbeitsverträge per sé anfordert muss diese m.E. ggf. auch prüfen (insbesondere bei einem umfassenden Steuerberatungsauftrag), zumindest könnte dies vom Auftraggeber erwartet werden. Die Urteile in den letzten Jahren zu den umfassenden Pflichten/Belehrungspflichten könnten das zumindest vermuten lassen.

Es ist aus meiner Sicht daher rechtlich und taktisch eher unklug, sich ohne Prüfauftrag Arbeitsverträge geben zu lassen, wenn doch alle Informationen vom Arbeitgeber/Mandant bereitgestellt werden/werden können. 

Für das Vorhalten von Arbeitsverträgen bei Prüfungen ist der Arbeitgeber zuständig (ggf. durch digitale Aufbewahrung) und nicht der Steuerberater, auch das ist m.E. ein verbesserungswürdiger Gedankenansatz um das Erhalten eines Arbeitsvertrages als zwingend begründet anzusehen. 

Aber: Anderer Spielplatz, andere Regeln..

Ihren Ansatz kann ich durchaus verstehen... nur wenn der AG alle Angaben in einen standardisierten Fragebogen packt. Wofür braucht er dann noch Sie?

Wenn man Lohn macht dann kann man den nach unserem dafür halten nur mit einem All in Service erfolgreich auf Dauer vermarkten. 

Wenn man den Service nicht bietet ist man durch eine biliebige Lohnabrechnungssoftware/KI zu ersetzen.

Vorher war von "zwingend" die Rede, damit korrekt abgerechnet werden kann und nun geht es um Marketing.

Ja, ich gebe Ihnen da vollkommen Recht, als StB sollte man auch Services bieten, um sich auf Dauer vom reinen Datenerfasser abzuheben. Genau das bieten wir an für diejenigen, die das möchten.

******

---

@Emmy_Kraemer_Fastdocs  schrieb:

Dieser Kommentar mag eventuell unprofessionell erscheinen, aber diese Aussage ist so ein bisschen wie: hätte hätte Fahrradkette…

---

Falls sich dieser Kommentar auf den beschriebenen - derzeit technisch möglichen - Social Engineering Angriff bezieht, dann entspricht das dem bekannten "wird schon nix passieren". (Und falls doch, haftet ja vermutlich jemand anders.)

Ergänzung: ich bin auch erschrocken (aber nicht sehr verwundert) über diesen Umgang mit dem Thema.

---

@jjunker  schrieb:

Ihren Ansatz kann ich durchaus verstehen... nur wenn der AG alle Angaben in einen standardisierten Fragebogen packt. Wofür braucht er dann noch Sie?

Wenn man Lohn macht dann kann man den nach unserem dafür halten nur mit einem All in Service erfolgreich auf Dauer vermarkten. 

Wenn man den Service nicht bietet ist man durch eine biliebige Lohnabrechnungssoftware/KI zu ersetzen.

---

Und hier beschreibst Du genau den Ansatz von Pers...

Der fachlich versierte Nutzer (=Empfänger der Daten) lernt das System ein und bezahlt auch noch dafür. Brave new world.

Ich bin mir nicht sicher, wo hier die Verschwiegenheit / Datensicherheit betroffen ist? Ihrem Szenario nach gibt ein "Fremder" sich als Mandant des StB aus und füllt einen AN-Fragebogen mit falschen aber glaubwürdigen Daten aus, um dann das Gehalt ausgezahlt zu bekommen? Oder wo soll das ganze hinführen?

Also ist der Kritikpunkt, dass es keine validierte Mailadresse des Mandanten sein muss oder der Mandant als Bestätigung nicht einen persönlichen 5-Stelligen Code eingeben muss, damit er den Fragebogenprozess starten kann?  

Oder, dass es beim Steuerberater keinen Prozess gibt, der bei neuen Meldungen über Fastdocs eventuelle "Fake"-Fragebögen auffliegen lässt.

Das gleiche Szenario lässt sich ja bei allen anderen Übertragungswegen darstellen, sei es Mail, Fax oder Telefon - sofern der "Böse Bub" genügend Informationen über den Ablauf beim Mandanten oder beim Steuerberater hat. Da ist es immer ein Abwägen über das Risiko, möglichen Schaden und die Wahrscheinlichkeit des Angriffsszenarios und dem Aufwand, der betrieben wird solche Angriffe zu unterbinden bzw. zu erkennen. 

Es geht zunächst nur um die bloße Reaktion des StB auf den - hier konstruierten - neuen (gefakten) MA an den ebenso gefakten Mandanten. 

An die weiteren Folgen - z.B. wenn tatsächlich falsche MA angemeldet und abgerechnet werden, ggf. auch Gelder ausbezahlt werden (á la "Das Geheimnis meines Erfolges" mit Michael J.- Fox) habe ich noch gar nicht gedacht.

Der StB muss im Prozess auf Grund einer Mail vom Anbieter der Lösung in der Online-Plattform Daten des Mandanten aktiv ergänzen und hat somit dem Faker offengelegt (der dann auch eine Mail bekommt), dass er (der StB) tatsächlich der Steuerberater des fraglichen Mandanten ist. Das allein wäre ein Verstoß gegen die Verschwiegenheit - meine ich. Ob das dann tatsächlich schlimm ist, weil ja in betrügerischer Absicht geschehen?

Ja, auch bei Mail, Fax und Telefon muss der StB höllisch aufpassen. Der "Antwortweg" auf einen solchen Versuch (generell auf alle Mails) sollte daher nie die möglicherweise gefakte Absenderadresse sein (Fehler bei Mail: "Antworten"), sondern immer die in der Akte gespeicherten und verifizierten Kontaktdaten.

Beim Antworten auf die Mail vom Anbieter lässt sich der Absender (Fake-Mandant) aber gar nicht sicher identifizieren (bis auf die angegebene Mail, die man prüfen und kennen muss - das wird aber wohl meist der Fall sein), durch die Eingabe des (missbrauchten) Mandantennamens in der Mail wird hier zumindest trügerisches Vertrauen erweckt.

Ich meine trotzdem, der Mandant dürfte nur Zugang zum Prozessstart haben, wenn er sich vorher im Portal mit seinem Kennwort o.ä. identifiziert. 

Möglicherweise habe ich die Vorgänge aber falsch verstanden und diese Szenario kann so gar nicht passieren.

Und eins habe ich gelernt. Der Phantasie von Betrügern, Phishern und anderen Halunken sind keine Grenzen gesetzt. Ich möchte da nur an die Fake-Anrufe in großen Firmen erinnern, wo um eine eilige Überweisung an den "Geschäftsführer" gebeten wird. Das hat tausendfach funktioniert.  

Aber das ist ja nur meine (Laien)Meinung (möglicherweis liege ich auch völlig falsch).

Aber davon abgesehen ist die Idee super und die grafische Darstellung sowie die Abfragen und die Infos zu den Abfragen wirklich gelungen. 

@Neu_hier 

Wenn solche Szenarien in den Bereich des Möglichen genommen werden, dann stimmt in der Kommunikation der Beteiligten etwas nicht. Das ist also der Bereich in dem Social Engeneering funktioniert.

Unabhängig wer den Workflow initiert sollten alle Beteiligten über den Start des Verfahrens Kenntnis haben.

Kümmere ich mich nicht, bin ich als Steuerberater, nicht mehr als beratender Dienstleister tätig sondern als reiner Gewerbetreibender. Siehe die Rechtsprechung zum Labormediziner.

Ein Personalfragebogen per Snailmail kann genauso gefaked sein, nur mal so nebenbei.