einen solchen "Mist" (Cyberangriffe, bewusste Sabotage, Manipulationen etc.) braucht kein Mensch und schon gar nicht die Betroffenen (Kunden und Dienstleister)

Dass man einen größeren Vorfall nicht komplett "unter der Decke halten" kann, ist klar.

Aber wenn wenigstens die Betroffenen, aber auch die Öffentlichkeit zeitnah informiert werden, dass intensiv an der Lösung der Probleme gearbeitet wird, sollte das reichen.

Man würde damit auch den wilden Gerüchten und Spekulationen von Voyeuren, Neidern, Konkurrenten und Katastrophentouristen vorbeugen.

Niemand kann eine "Live-Berichterstattung" erwarten.

Die Dienstleister, IT-Forensiker und Cyber-Spezialisten tun natürlich ihr Bestes.

@andreashofmeister 

Moin,

Decke drüber und in ein paar Tagen interessiert es keinen mehr, hilf vielleicht im Moment der dem betroffenen ASP—Partner, ist aber insgesamt der falsche Weg. Um jeder Kanzlei und jedem Mitarbeiter die Gefahren eines solchen Hacks deutlich zu mache, hilft nichts mehr als Publizität jetzt. Zudem ist Druck auf die zuständigen aber gefühlt untätigen Behörden notwendig, der nur entsteht wenn solche Vorfälle öffentlich diskutiert werden.

Schönes Wochenende!

https://www.borncity.com/blog/2023/11/23/neues-vom-cybervorfall-bei-convotis-geigercloud-geigerasp-desaster-fr-steuerberater/

Da gibt es eine tendenz Richtung Citrix bleed.

Insbesondere zu beachten:

https://www.golem.de/news/citrix-bleed-forscher-spuert-20-000-kompromittierte-netscaler-systeme-auf-2310-178973.html

Darüber hinaus sollten alle betroffenen Netscaler-Systeme sicherheitshalber als kompromittiert betrachtet werden. Nach dem Einspielen der jeweiligen Patches ist es also sinnvoll, sämtliche Anmeldeinformationen zu ändern und alle bestehenden Session-Token für ungültig zu erklären. Weitere Untersuchungen auf eine mögliche Infiltration der mit dem jeweiligen Netscaler-System verbundenen Infrastruktur bieten sich ebenfalls an. Mandiant hat diesbezüglich in einem Dokument (PDF) weitere Empfehlungen veröffentlicht.

Während das erste mit den Token und Anmeldeinfos noch relativ einfach möglich ist (wenn man es denn weiß), ist das zweite ("Untersuchungen") imho sehr viel schwieriger. Mit "wegptachen" ist es da nicht getan...

.. insgesamt richtig **bleep**e..

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-275276-1032.pdf?__blob=publicationFile&v=2

Der Fall zeigt aber doch sehr schön, dass die DATEV (public) Cloud doch eine Lösung gewesen wäre, weil alle Anwendungen (DUO, meineSteuern, myDATEV, ...) durch DATEV bestmöglich geschützt werden und sich DATEV selbst solch ein Ausmaß niemals erlauben darf. Aus dieser Sicht sollte sich auch viele "DATEV Cloud Skeptiker" überzeugen lassen, oder nicht? 🤔 Ja, man macht sich noch drastischer abhängig. Der Sicherheitsgewinn ist aber nicht weg zu diskutieren. Und die wird noch sehr viel wichtiger in den nächsten Jahren. Wer allein 2023 alles gehäckt wurde, ist nicht mehr feierlich 👎. 

Sicherlich, die 100% Sicherheit wird es nie geben. Dennoch ist die DATEV in dem Bereich noch besser als jeder Solution Partner aufgestellt, sodass die Daten z.B. in Lohn online nicht sicherer "hinterlegt" werden könnten. 

Oder Exchange online. Auch da kann Microsoft schneller reagieren als wenn es bis heute noch etliche Exchange Server 20XX gibt, die nicht auf dem aktuellen Stand sind und Sicherheitslücken aufweisen. Das hat auch Microsoft erkannt und schränkt teils schon den E-Mail Verkehr von unsicheren Servern ein. 

Seit heute sind die ersten Kanzleien wohl wieder online oder arbeitsfähig. Das ging schnell 🏎. 

bestmöglich geschützt werden und sich DATEV selbst solch ein Ausmaß niemals erlauben darf

ist das hier anders gewesen?

selbst mfa konnte umgangen werden..

Ich stimme Ihnen zu und gehe auch davon aus, dass die DATEV Cloud letztlich eine höhere Sicherheit aufweisen kann/wird. Dafür ist DATEV in der Kommunikation und individuellen Hilfe, vor allem für kleinere Kanzleien, nicht selten sehr träge.

Wir sind seit rund 40 Jahren sehr zufriedene Geiger/Convotis- Kunden. In dieser langen Zeit gab es bei uns äußerst selten Probleme.

Die bisherige Kommunikation, Erreichbarkeit und Transparenz gegenüber den Kunden durch Convotis in der aktuellen Situation beurteile ich als vorbildlich.

Der Umstieg auf Microsoft 365 hat sich in der letzten Woche als Glücksgriff herausgestellt. Convotis hat uns kurzfristig einen lokalen Arbeitsplatz bereitgestellt, auf dem wir über LODAS alle Löhne fristgerecht abrechnen konnten.

Wir haben unsere Mandanten ebenfalls sehr zeitnah und transparent informiert und haben ausschließlich aufmunterndes, positives Feedback erhalten. Trotzdem hätte ich auf die letzte Woche gerne verzichtet 🙂

Unser ASP-Zugang ist aktuell noch nicht wieder freigegeben, aber wir hoffen stündlich darauf…

---

@boomboom  schrieb:

selbst mfa konnte umgangen werden..

 

---

😲Hui. Implementiere ich hier gerade. Egal, wird trotzdem gemacht.

---

@boomboom  schrieb:

 

selbst mfa konnte umgangen werden..

Was jetzt - im Fall Citrix Bleed - aber kein Problem von "MFA" war: Citrix Bleed: Leaking Session Tokens with CVE-2023-4966 (assetnote.io)

Wenn man remote und unauthentifiziert auf Speicher zugreifen kann, wo dann unglücklicherweise Session Cookies (bzw. laut Citrix "sensitive information") drin sind, kann "MFA" nichts dafür.

richtig... es wurde umgangen.

Wozu Session Cookies führen können: My Channel Was Deleted Last Night

Schade, dass die Großkunden von Geiger/Convotis zuerst ans Netz genommen werden.
Wir als langjährige Kunden würden auch gerne unseren Mandanten die Lohnabrechnungen bereitstellen.

Man könnte sich ja auch bei den Kunden informieren, welche aufgrund von Einzelplatzlizenzen arbeiten können.

Wie sagt man immer so schön, Geld regiert die Welt🤷🏽‍♂️

---

@oliverstippe  schrieb:

---

@boomboom  schrieb:

selbst mfa konnte umgangen werden..

 

---

😲Hui. Implementiere ich hier gerade. Egal, wird trotzdem gemacht.

---

Dann hoffen wir mal für die Mandaten, das es sich nicht um die externen Zugangssysteme handelt. Das würde dann ja schon Fahrlässigkeit grenzen. 😡

---

@metalposaunist  schrieb:

 

Sicherlich, die 100% Sicherheit wird es nie geben. Dennoch ist die DATEV in dem Bereich noch besser als jeder Solution Partner aufgestellt, sodass die Daten z.B. in Lohn online nicht sicherer "hinterlegt" werden könnten. 

 

---

Da lehnt sich aber jemand ganz gewaltig aus dem Fenster 😉

---

@MBehrens schrieb:

Das würde dann ja schon Fahrlässigkeit grenzen. 😡

---

Immerhin ist eine 2FA dort technisch implementierbar. Hier in der Community wird's eine 2FA auf absehbare Zeit nicht geben. Wohl allen, dass sie nicht gehäckt wird und die PNs nicht ausgelesen werden können 😶. Andernfalls hätte wohl nicht nur ich was bei wem genau zu melden? Gibt es ein HowTo für uns Anwender oder einen Notfallplan dafür @Dirk_Jendritzki? 

---

@MBehrens schrieb:

Da lehnt sich aber jemand ganz gewaltig aus dem Fenster 😉

---

Naja, wenn ich sehe, was fürn irrer Aufwand allein beim Thema E-Mails betrieben wird, wird das nicht der einzige Bereich bei DATEV sein. Selbst beim LAO muss DATEV manuell nachfassen, weil Automatisierung hier so viele Risiken bergen kann, dass Daten beim falschen Berater laden. Zum Teil hat DATEV den Anspruch Fehler der Genossen zu verhindern. Wer im LAO was falsch angibt, sollte dafür auch "haften". Aber diese Einstellung hat DATEV nicht; zumal mal dann den LAO ich auf bestimmte Personen freigeben kann, oder? Alles - irgendwie - sehr kompliziert. 

---

@nordlicht  schrieb:

Zudem ist Druck auf die zuständigen aber gefühlt untätigen Behörden notwendig, der nur entsteht wenn solche Vorfälle öffentlich diskutiert werden.

 

---

Und was soll sich hierdurch für ändern? Es wird auch hierdurch keine "Komme aus dem Gefängnis frei Karte" geben.

Ich komme immer mehr zu der Überzeugung, dass eine Datev-OnPremises-Infrastruktur ohne (wirklich) professionelle IT-Unterstützung nicht mehr zuverlässig beherrschbar ist.

Ich möchte gar nicht so genau wissen, wieviele Datev-Kanzleien mehr schlecht als recht 'irgendwie verwaltet' werden und permanent (unwissentlich) große Risiken eingehen.

Aber auch Cloud-Sourcing à la "PARTNERasp" scheint ein Minenfeld zu sein, da die IT-Infrastruktur nicht streng standardisiert ist und genügend Angriffsfläche für bekannte und noch unbekannte Angriffsvektoren bietet.

Aus meiner nichtprofessionellen Sicht ist PARTNERasp nichts Anderes als das Auslagern der eigenen OnPremises-IT-Infrastruktur in die Hände eines Dienstleisters und an einen räumlich entfernten Ort.

Aber man tauscht vielleicht die eigenen lokalen Fehlerquellen und den Mangel an Netzwerk- und Security-Fachwissen gegen neue Risiken und neue Fehlerquellen ein.

Jede Hard- und jede Software mit Zugang zum Internet könnte Schwachstellen haben und z.B. über die Einschleusung von Malware, manipulierten Updates, Scripts etc. zum Ausgangspunkt eines Cyberangriffs werden.

Man wird die eigenen Notfallpläne wohl nochmal genau überarbeiten müssen

---

@JonasThiel  schrieb:

Schade, dass die Großkunden von Geiger/Convotis zuerst ans Netz genommen werden.
Wir als langjährige Kunden würden auch gerne unseren Mandanten die Lohnabrechnungen bereitstellen.

 

Man könnte sich ja auch bei den Kunden informieren, welche aufgrund von Einzelplatzlizenzen arbeiten können.

 

Wie sagt man immer so schön, Geld regiert die Welt🤷🏽‍♂️

---

Kann ich so nicht bestätigen dass nach "Größe" vorgegangen wurde.

Kenne größere und kleinere Kanzleien die VOR MIR DRANWAREN.

VG Michael Huber 

@metalposaunist  schrieb:

Der Fall zeigt aber doch sehr schön, dass die DATEV (public) Cloud doch eine Lösung gewesen wäre, weil alle Anwendungen (DUO

DATEV und die PartnerASP-Partner kümmern sich gemeinsam unter der Ägide von DATEV um das Thema IT-Sicherheit beim Hosting. 

Das ist auch gut so.

Aus meiner nichtprofessionellen Sicht ist PARTNERasp nichts Anderes als das Auslagern der eigenen OnPremises-IT-Infrastruktur in die Hände eines Dienstleisters und an einen räumlich entfernten Ort.

 

Nicht ganz. Hatte es weiter oben schon geschrieben, DATEV und die , PartnerASP - Partner (was für ein Wort 😂) arbeiten gemeinsam am Thema Sicherheit.

@marco_keuthen 

?

geiger nutzt wohl kein datevnet und füttert die infrastruktur z.B.  auch nicht mit sampels für pattern…

---

@marco_keuthen schrieb:

PartnerASP - Partner (was für ein Wort 😂)

---

Sind es nicht eher Solution Partner, die PARTNERasp anbieten? 🤔 

---

@metalposaunist  schrieb:

---

@marco_keuthen schrieb:

PartnerASP - Partner (was für ein Wort 😂)

---

Sind es nicht eher Solution Partner, die PARTNERasp anbieten? 🤔 

---

ja, früher gab‘s ja Lösungspartnerschaften, heute einen Zusatz zum „Solution Partner“

Also vielleicht: „DATEV Solution Partner PartnerASP, die früher mal DATEV Lösungspartner PartnerASP waren, nicht zu verwechseln mit DATEV Lösungspartner Cloud, was DUO war“ 😂😂

Na immerhin nimmst Du die DATEV als Solution Partner selbst ein bisschen auf die Schippe 👍. Das beruhigt mich ja. Dachte schon, ich bin der einzige, den die Namensgebung ab und zu irritiert. Aber Begriffe wie BETA, CAN und DEV will DATEV trotzdem nicht 😂. 

---

@marco_keuthen  schrieb:

 

---

DATEV und die PartnerASP-Partner kümmern sich gemeinsam unter der Ägide von DATEV um das Thema IT-Sicherheit beim Hosting. 

---

Puh, da ist aber für jeden Partner noch mehr als genug "Security" übrig, um die er sich selber kümmern muss (bzw. sollte).

Stehen die kompromittierten Server im Datev Rechenzentrum oder stehen sie woanders? Ich frage für einen Freund.

Hallo theo,

inwieweit tatsächlich die Kundensysteme (Server des ASP-Partners im DATEV-Rechenzentrum) kompromittiert wurden ist unklar. Nach dem heutigen Stand sind/waren die Daten der Kundensysteme durch unverzügliches Abschalten nicht von der Attacke betroffen.

Wenn Dein Freund dazu Fragen hat, kann er sich ja am besten direkt an Convotis wenden - dort erhält er bestimmt fundiertere Auskünfte als in diesem Thread...

Beste Grüße

Christian Wielgoß

Hallo zusammen,

wir sind auch eine kleine Kanzlei und können seit heute 11 Uhr wieder ins ASP🎉 Alles läuft bisher einwandfrei, nur der Zugriff aus dem Homeoffice steht derzeit noch nicht zur Verfügung.

Wir müssen bei Lodas ein wenig nacharbeiten, damit RZ-Bestand und Datenbestand im ASP übereinstimmen (wir hatten Lodas ja lokal installiert und Abrechnungen erstellt, die Auswertungen musste ich für den Ausfallzeitraum manuell im RZ abrufen). Bisher sind wir seeehr happy 😁 und dankbar, relativ glimpflich davongekommen zu sein.

Schönen Sonntag

Andrea

---

@marco_keuthen  schrieb:

[...]

---

DATEV und die PartnerASP-Partner kümmern sich gemeinsam unter der Ägide von DATEV um das Thema IT-Sicherheit beim Hosting. 

[...]

---

... 'sich zu kümmern' heißt (für mich) noch nicht viel.

Da sich "DATEVasp" und "PARTNERasp" wohl auch bezüglich der User-Berechtigungen und der Installationsmöglichkeiten von 'Fremd-Software' deutlich unterscheiden, deckt das gemeinsame Sicherheitskonzept bzw. der 'Sicherheits-Schutzschirm' der DATEV vermutlich nur das Nötigste ab.

Sind diese gemeinsamen Basis-Sicherheitsfunktionen bei DATEVasp und PARTNERasp irgendwo dokumentiert oder zählt das als 'Betriebsgeheimnis', um 'Gauner und Ganoven' nicht noch auf dumme Gedanken zu bringen ?

Anbieter von "PARTNERasp" werben ja auch gerne mit der größeren Flexibilität bei Soft- und Hardware-Installationen, mit mehr administrativen Rechten für die Kunden und mehr Individualisierung bei der Anbindung an weitere Online-Dienste oder externe Cloud-Anwendungen etc.

Vielleicht sollte man dieses 'gelockerte Korsett' besser wieder deutlich fester schnüren 😎