... aber nach Abmelden / Wiederanmelden des Datev-Benutzers ist doch die erneute PIN-Eingabe erforderlich.

Reicht das Login-Passwort und die SmartCard-PIN nicht als Absicherung für den Zugang zum RZ ?

... natürlich wäre es schön, wenn man auf mehrere SmartCards im Wechsel zugreifen könnte, aber ein 'Home-Officer' arbeitet ohne WTS ja vermutlich i.d.R. mit seinem 'eigenen' Büro-Arbeitsplatz, oder übersehe ich hier etwas ?

Am  Kommserver kann sich das Sipa bei der korrekten Installation die PIN merken, so daß auch ein automatisiertes Ausschalten und späterer Neustart des PC ohne Benutzer- login keinen manuellen Eingriff erfordert.

Sipa- Installation "als Dienst"

Die Pin wird lediglich dann abgeworfen, wenn es einen undefinierten Zustand bei dem RZ- Login  gibt.

... ok, stimmt, mit Kommunikationsserver hat man andere Gegebenheiten.

Ich war davon ausgegangen, dass jeder Mitarbeiter seine eigene "DFÜ über Internet" mit der eigenen SmartCard hat.

.... es war von Mandanten, Rechnungswesen Compact usw. die Rede. Bei uns sind das nur die ganz kleinen Mandate mit einzelnen Datev-Arbeitsplätzen. Da gibt es i.d.R. keinen Kommunikationsserver.

Hallo Herr Kolberg,

von einer RDP-Verbindung auf einen Kommserver hat DATEV schon immer abgeraten. Insbesondere wenn Aktionen mit der SmartCard ausgeführt werden, wie z.B. die Aktivierung der gerätebezogenen Absicherung. In Servicefällen haben sich durch RDP-Verbindungen immer wieder Probleme ergeben, so dass im Allgemeinen eine Unterstützung im Fehlerfall nur erfolgt, wenn eine Konsolen-Sitzung besteht.

Mit den DATEV-Programmen 14.0 bzw. dem Sicherheitspaket 6.7 wird ein Zugriff auf eine am Zielsystem (z.B. Kommserver) gesteckte SmartCard in einer RDP-Sitzung definitiv nicht mehr möglich sein!

Das Dokument Remotedesktopverbindung führt zu Problemen im Zusammenhang mit DATEV SmartCard / mIDentity wurde erst vor wenigen Tagen erneut überarbeitet und listet die nicht unterstützen Szenarien, sowie die jeweilige Empfehlung dazu auf.

Das „Homeoffice-Szenario“ ohne Terminalserver (SmartCard steckt lokal, RDP auf einen Windows 10 PC in der Kanzlei) wird zwar offiziell weiterhin nicht unterstützt, ist aber nach manueller Konfiguration ab dem Sicherheitspaket 6.7 möglich. Informationen hierzu finden Sie im Dokument DATEV SmartCard in einer Remotedesktopsitzung ohne Terminalserver nutzen (Pilotierungsversion / Stabilisierungsversion).

Noch ein schönes Wochenende!

Thomas Puritscher

Datev eG

---

@Thomas_Puritscher  schrieb:

Das „Homeoffice-Szenario“ ohne Terminalserver (SmartCard steckt lokal, RDP auf einen Windows 10 PC in der Kanzlei) wird zwar offiziell weiterhin nicht unterstützt, ist aber nach manueller Konfiguration ab dem Sicherheitspaket 6.7 möglich.

---

Wie sinnvoll ist das? Ist das von DATEV eine offizielle Lösung oder muss man dann bei jedem Update manuell nacharbeiten oder kann auch ein Windows Update die manuelle Änderung zurücksetzen? 

Hallo metalposaunist,

bei der "offiziellen Lösung" handelt es sich um einen Workaround für ein von DATEV nicht unterstütztes Szenario. Leider muss die Einstellung nach einem Update bzw. Reparatur des Sicherheitspakets neu vorgenommen werden. Ein Windowsupdate beeinflusst die Konfiguration nicht.

Noch einen schönen Nachmittag!

Thomas Puritscher

DATEV eG

Zu erstens:
Auf dem Komm.Server laufen u.a. DFÜ-Komm.Server-Dienste die u.a. von der (lokal gesteckten) SC abhängig sind. Und ggf. sogar Programme in einer angemeldeten Konsolensitzung, z.B. Zahlungsverkehr online o.ä.  - und die PIN für die SC am Komm.Server wird über die gerätebezogene Absicherung der RZ-Verbindung hinterlegt. Meldet sich ein Benutzer per RDP mit SC an, könnten diese Dienste, die angemeldete Konsolensitzung und die darin laufenden Programme bis hin zum Sicherherheitspaket-Dienst u.U. nicht oder nicht mehr richtig arbeiten. RDP und das Sicherheitspaket unterstützen auch nicht mehrere, gleichzeitige Benutzersitzungen am Win10-PC. Es gilt daneben der Grundsatz: never try 2 verschiedene SC gleichzeitig an einem System. Eine lokale und eine Remote-SC zusammen für verschiedene Dienste und Anwendungen funktionieren definitiv nicht und der Komm.Server, ggf. auch der eventuell dort gleichzeitig laufende Lizenz-Manager würden u.U. inkonsistent werden. Deshalb ist von RDP-Verbindungen mit dem Ziel Komm.Server grundsätzlich abzuraten. Einzige Ausnahme wäre zu gelegentlichen, administrativen Zwecken für Installationen oder Updates, wobei ich anschließend immer auch neustarten würde (shutdown -r auf der Befehlszeile). Ergo ist die einfachste Lösung um Inkonsistenzen am Komm.Server zu vermeiden, sich im Produktivbetrieb nicht (mehr) per RDP draufzuschalten. 

Zu zweitens:
Ja, siehe: never try 2 verschiedene SC zur gleichen Zeit, auch nicht eine lokal und eine remote.

Zu drittens:
Ja. (ggf. ab SIPA Version 6.7 siehe weiter oben einstellbar)

Schlusssatz: ja, ist jedem selbst überlassen. Aber nein: Ein Einzelplatz oder 2-3 Systeme sind relativ schnell aktualisiert. Eine WTS-Umgebung ist um Faktor 25-50% schneller aktualisiert als eine klassische Client-Server-Umgebung mit > 4 PCs. Weil an 2 oder 3 Systemen eben deutlich weniger zu tun, zu überwachen und zu prüfen ist als bei >4. 

Sorry, 25 Clients ohne WTS, das ist eine späte Form der RDP-Turnschuhadministration. Jede Wette, dass ein Update in einer WTS-Umgebung VIEL schneller geht: Ein Kasten Bier, ein Eimer Bratkartoffeln!

Und die Merksätze mit den zwei SC und nie Remote-SC am Komm.Server mit lokaler SC im Produktivbetrieb sind einfach auch Fakten und keine Religion. Dringende Empfehlung in Richtung akzeptiere oder lass' es. 

Das MUSS helfen oder es hilft nix. 

---

 

momentan sind zwei scs nutzbar. eine für den vpn zum datevnet, eine für das steuerkonto usw. auch hatte ich nie probleme mich am kommserver per rdp anzumelden, auch wenn die „literatur“ etwas anderes sagt.

 

 

---

Hi,

Zufall... So richtig supported war das von Microsoft noch nie. Hat in vielen Fällen funktioniert, war aber auch nicht immer gegeben.

DATEV hält sich (im Gegensatz zu anderen SW-Herstellern) nun an die neuen Styleguides zur Softwareentwicklung, die Microsoft vorgibt. Und da wird nun aus Sicherheitsgründen konsequent die lokal gesteckte SC des RDP-Clients durchgereicht. Eine gesteckte SC am RDP-Server ist dann raus. 

Alternativ geht da nur noch VNC. Das war auch eigentlich schon immer die bessere Wahl im Bezug auf SC's. 

---

@Gelöschter Nutzer  schrieb:

ist letztlich ne glaubensfrage.. bei uns, mit 25 clients, brauch ich nicht viel überwachen. der instman zeigt mir ja alles.. und ob ich 5 oder 50gb durchs gbit-netz schicke ist auch ziemlich egal.

 

---

Möglich. Aber in dem Punkt würde ich den anderen Schreibern tatsächlich zustimmen. Bei 25 Clients die Updates auszurollen, ist zwar deutlich angenehmer geworden, birgt aber immer noch "lustige" Effekte.... Da ist ein oder zwei Terminalserver deutlich angenehmer. 

Aber hier gilt: Jeder so wie er mag. Ich mach hier keine Vorschriften, lediglich Vorschläge / Empfehlungen.

Grüße

Chr.Ockenfels

Hallo, ich kann mich Deinen Ausführungen voll und ganz anschließen, wir sind ein kleiner Betrieb der die Buchhaltung im Hause macht und wurde nicht Informiert vor dem update, danach ging nichts merh. Nach einen Anruf bei den Göttern von Datev wurde mir labidar erklärt das wäre noch nie gegangen obwohl das bei uns schon 4 Jahre läuft.

Jetzt mus ich jedesmal per ANydesk oder Konsolensitzung von der HyperV drauf was sehr komfortabel ist und wir Du schon sagst ein Sicherheitsgewinn der fragwürdig ist. Das die IT-ler keine andere Lösung hevrorufen ist ernüchternt.

Hallo Herr Laux @Stefan_Laux 

nur als Frage und nicht weil ich ihren berechtigten Ärger über die fehlende Information zur Smartcard-Umstellung als Mandantw abtun will!

Wäre es für Sie eine gangbare Alternative, mit Smartcard auf einem bei Ihrem Steuerberater gehosteten System (ggf dem Server der Kanzlei) zu buchen?

Ich kenne einige Kanzleien, die so ein Modell ganz erfolgreich anbieten. Dabei wäre dann wichtig zu wissen, ob Sie auch Über Darev fakturieren?

So ein Zugang ist - ohne Fakturierung - relativ schnell eingerichtet, wenn der StB über eigene Server verfügt!

Die DATEV- und jede andere Smartcard ist eine Wissen+Besitz-Sicherheitskomponente, im Normalfall auf eine natürliche Person ausgestellt, die Berechtigungen hat (die nicht jeder haben sollte, der möglicherweise auch die PIN kennt oder errät). Schon immer.

Benutzer von WTS/RDP-Servern haben ihre Smartcard oder Midentity schon immer am eigenen Schlüsselbund und benutzen diese von dort, wo sie konkret sind. Soweit bekannt, funktioniert das weiter auch ohne WTS/RDP-Server mit beschriebenen Workaround siehe verlinkte Dokumente unten. 

Das Dokument http://www.datev.de/lexinform-infodb/1009322 ist inhaltlich schon viele Jahre alt und wird nur an aktuelle Verhältnisse angepasst. Das angeblich "neue" Problem oder Szenario ist unter den Kundigen und Interessierten hier schon seit vielen Monden bekannt und wurde u.a. auch hier angekündigt und diskutiert, genauso wie der Umstand, dass die architektonische Anpassung an MS-Sicherheitskonzepte notwendig ist und weder DATEV noch MS die bisher u.U. noch "funktionierende Funktionalität" offiziell unterstützt haben.

Natürlich kann man darüber Emotionen pflegen und diese hier auch gern lüften. Der objektive Nutzen abseits dem eigenen eigenen Ärger wegen Uninformiertheit Luft zu machen ist zweifelhaft. Der Workaround DATEV SmartCard in einer Remotedesktopsitzung ohne Terminalserver nutzen http://www.datev.de/lexinform-infodb/1009322  funktioniert ODER man meldet sich direkt an der Konsole an (Berechtigung erforderlich). Alles andere ist eigentlich genügend erklärt. Diskussion ziemlich müßig. Trotzdem einen schönen Tag @all.

Hallo Community!

DATEV stellt am 30.10.2020 das Service-Release Sicherheitspaket 6.82 per DFÜ und Internetdownload bereit.

Voraussetzung für die Installation ist ein vorhandenes Sicherheitspaket 6.8 oder 6.81.

Neben kleinerer Fehlerbehebungen ist die wichtigste Neuerung, dass mit dieser Version die Mitnahme einer am lokalen System gesteckten SmartCard in eine Remotedesktopverbindung auch außerhalb einer WTS-Sitzung möglich ist. 

Anders ausgedrückt, der derzeit im  DATEV SmartCard in einer Remotedesktopsitzung ohne Terminalserver nutzen beschriebene Workaround wird flächendeckend an alle Anwender ausgeliefert. 

Anwender, die diesen Workaround bereits manuell eingerichtet haben, müssen nichts weiter beachten, das Update wirkt sich nicht auf die bereits konfigurierte Einstellung aus.

Es ist aber weiterhin nicht möglich eine SmartCard, die am Zielsystem steckt, innerhalb einer Remotedesktopverbindung zu nutzen. Dies wird auch zukünftig nicht möglich sein!

mit besten Grüßen

Thomas Neumeier

DATEV eG Nürnberg

Vielen Dank  thomasdneumeier

Terminalserver sind für uns keine alternative zu VM,s, wir sind kein Steuerberater sondern ein Wasserbau unternehmen.

Wenn wir alles auf Terminalserver umstellen müssten... die Softwarekosten für uns wären enorm.

Mit der Lösung können wir sehr gut leben.

---

@BKOP schrieb:

die Softwarekosten für uns wären enorm.

---

Gibt's doch alles gebraucht bei UsedSoft oder VendoSoft oder ... das würde sich in Grenzen halten, nehme ich an, je nach dem wie viele User und welchen Server man hat. Hat man schon eine aktuelle M365 Lizenz, kann man die auch auf WTS/RDS nutzen.  

Es geht nicht um Windows und Office sondern einige Programme die wir benötigen die als Einzelplatzlösung einmalig 5000€ kosten + Jährliches Upgrade 450€

Als Terminalserver Lizenz aber bevor überhaupt einer Arbeitet schon mal 25.000 Kostet ( Lizenz kosten je nach Kern und 1GB Ram ) und jeder Terminalmitarbeiter dann weitere 500€ Pro Monat 

Bei uns ist alles andere als eine VM Lösung zudem sinnloses gefrickel. 

Man könnte ja rein DATEV als WTS/RDS betreiben oder muss DATEV mit lokalen Programmen reden? Ein Ex- und Import kann via Datei und Netzlaufwerk stattfinden. 

@Thomas_Neumeier: Weiß man, wie lange DATEV das so lässt? Nicht, dass das mit DVD 15.0 nächstes Jahr doch endgültig nicht mehr möglich ist? Dann müsste sich @BKOP vielleicht doch mal Gedanken machen und etwas planen. 

Die von mir weiter oben dargestellte Situation wird nach derzeitigem Kenntnisstand so bleiben.

Natürlich immer unter der Voraussetzung, dass Microsoft keine neuen "Beschneidungen" im RDP Protokoll einführt.

mit besten Grüßen

Thomas Neumeier 

DATEV eG Nürnberg