Geht mit ein bisschen Fummeln trotzdem noch: DATEV SmartCard in einer Remotedesktopsitzung ohne Terminalserver nutzen 

Danke vorab fürs Feedback und gerne das auch per Mail an DATEV, wie im Info-DB steht. 

Funktioniert nur leider nicht mit einem Mac. Szenario: VPN Server auf dem Server eingerichtet. Zugriff mit Microsoft Remote Desktop vom MacBook Air. In Den Einstellungen lokale Ressourcen Smartcard ausgewählt. In der Sitzung wird die Smartcard nicht erkannt.

der Lösungsvorschlag wird leider nichts bringen.

Das Dokument beschreibt, wie man ohne installierte Terminalserverrolle eine lokal am PC, von dem aus man sich aufschaltet, gesteckte SmartCard über das RDP-Protokoll an den PC, auf den man sich aufschaltet, durchreichen kann.

Das hier beschriebene Szenario (DATEV installiert in einer VM, SmartCard am Remote-Computer direkt angesteckt kann nach meinem Kenntnisstand nur über VNC, AnyDesk, Teamviewer etc weiterhin funktionieren, nicht mehr über eine Aufschaltung per RDP.

Da in diesem Fall der miDentity vermutlich auch als SWM genutzt wird würde sogar ein Umkonfigurieren des Sicherheitspakets und Umstecken der SmartCard hier nichts bringen...

Probieren geht über Studieren. Kann ja nichts kaputt gehen und wenn's nicht hilft: SWM mini bestellen, in der Logistik gegen den mIDentity tauschen und auch in der Installation tauschen und den mIDentity dann lokal via RDP durchreichen. 

Aber ist weder von DATEV unterstützt; noch wohl von Microsoft technisch so vorgesehen. Und ob das DVD 14.1 oder gar 15.0 überlebt, ist auch fraglich. 

Müsste man mal in den Thread schauen, in dem wir uns dazu schon ausgiebig ausgelassen haben, weil das ja auch alle HomeOffice Plätze ohne RDS betrifft und auch ich habe den gleichen Fall wie @stefanmuc.  

Keine RDP-Sitzung mit DATEV-Smartcard ohne WTS ab Herbst 2020 mehr möglich?

Ich nutze den Mac mit Zugriff auf meinen Büro-Rechner insbesondere bei längeren Abwesenheiten. Das kann Urlaub sein, kann aber auch ein Krankenhausaufenthalt sein. Smartcard ist lokal am Bürorechner gesteckt und dient auch zur Unterschrift im Zahlungsverkehr per EBICS. Da kann ich nicht Smartcards hin und her tauschen. Es ist schon traurig, dass in Zeiten von Corona, in der kleinere Kanzleien Home-Office-Szenarien per RDP geschaffen haben, diese einfache Möglichkeit plötzlich und ohne Ankündigung seitens DATEV gekappt wird. Es reicht nicht aus, die Maßnahme in irgendeinem InfoDB Dokument zu verkünden. Wenn ich nur die InfoDB lese, komme ich nicht zur eigentlichen Arbeit als Steuerberater. Folge: Von jetzt auf gleich können kleinere Kanzleien mit 2-3 Arbeitsplätzen nicht mehr im Home-Office arbeiten. Neben der bereits bestehende Arbeitsüberlastung durch Corona kommt jetzt noch ein EDV Problem hinzu, das es zu lösen gilt. Toll!!!! Ich erwarte von DATEV als Genossenschaft, dass die bisherigen Möglichkeiten wieder hergestellt werden.

@hövel: Sie können das Info-DB einmal austesten, wenn es eine "echte" Kanzlei ist, mit einem DATEV SQL-Server, der noch eigenen eigenen mIDentity braucht, weil dann kann man die SmartCard ja ins HomeOffice mitnehmen. 

Klappt es, auch dann einmal hier und per E-Mail der DATEV schreiben: "Info-DB hilft!" Nur so kann DATEV zählen, wie viele das Info-DB anwenden und ob DATEV es daher zum Standard machen wird. 

Die DATEV will seit längerem schon Feedback. Nur so kann man sich und der DATEV helfen. 

Und bzgl. eines RDS: Wenn es kein AiO ist, sondern wirklich "nur" Clients an einem DATEV-Server, müsste man einmal klären, wie ein RDS lizenziert werden will. Ich meine, dass 2x (administrative) Zugänge auch ohne Lizenz funktionieren. Wobei die CALs gegenüber einer Serverlizenz überschaubar sind. Sonst kann man sich günstig auch gebrauchte Server 2012 R2 Lizenzen besorgen und mal eben schnell einen RDS aufsetzen, wenn man virtualisiert. 

Wie soll ich die Smartcard denn an einem MacBook Air betreiben?

Auch wenn's dazu keine Freigabe gibt: Unter DATEVasp wird die lokal gesteckte SmartCard ebenfalls durchgereicht (DATEVasp über Apple Macbook?). Daher sollte die SmartCard auch via VPN und RDP durchgereicht werden. Außer der Citrix Client ist dazu nur allein in der Lage, der fürs DATEVasp genutzt wird. 

Ist das nicht der Fall: Parallels oder BootCamp + Windows installieren. Dann geht's zu 100%. 

Ich weiß, alles nicht schön aber DATEV und Mac war und ist noch nie so wirklich eine gute Freundschaft. Deshalb würde ich, wenn's "nur" ums Aussehen geht eher ein Lenovo ThinkPad X1 Carbon kaufen. Kostet gleich viel, wiegt gleich viel, läuft genauso lange, ... Geschmackssache halt. 

@hövel ,

auf alles, was Datev nicht ausdrücklich freigibt und supportet, hat man keinen Anspruch auf Lauffähigkeit. 

Wir haben z.B. auch MAC-Enthusiasten unter den Mandanten, die lieber auf alles verzichten würden, außer auf die Apple-Geräte.

Wenn aber die eigene Kanzlei-IT-Infrastruktur auf undokumentierten und unsupporteten Funktionen aufgebaut ist, kann man der Datev keinen Vorwurf daraus machen, dass die eigene 'Konstruktion' plötzlich nicht mehr lauffähig ist, meine ich.

Soll ich erst ein Studium absolvieren, was DATEV alles ausdrücklich freigegeben hat? Ich bin Steuerberater und muss mich um andere Dinge kümmern. RDP ist Microsoft. Und Microsoft ist ursächlich für die Änderung. Stichwort Sicherheit!! Wenn ich über VPN ins Kanzlei-Netz gehe, bin ich in einem abgesicherten System. Wenn ich in der Kanzlei auf andere Rechner innerhalb der Domäne über RDP zugreife, ist das alltägliche Praxis. Was hat das mit der Nutzung einer Smartcard zu tun? Und welche Sicherheitsaspekte sind hier gefährdet? Außer vielleicht dass Microsoft WTS CAL's verkaufen möchte?

---

@hövel  schrieb:

Soll ich erst ein Studium absolvieren, was DATEV alles ausdrücklich freigegeben hat? Ich bin Steuerberater und muss mich um andere Dinge kümmern. 

---

Deshalb gibt es DATEV Systempartner - und auch Autohäuser 😊. Es geht um Beratung. Alles, was man nicht selbst kann, muss man einkaufen oder sich einen Rat einholen. Oder wollen Sie etwa, dass jeder selbst die Buchhaltung kann, alle Steuergesetze kennt und Sie am Ende überflüssig sind? So wie Sie Ihre Dienste anbieten, weil Sie Experte auf dem Gebiet sind, gibt es IT-Firmen, die sich darum kümmern und auf dem Laufenden bleiben, damit Sie eine technische Lösung bekommen, wenn Sie eine Frage haben. 

---

@hövel  schrieb:

Was hat das mit der Nutzung einer Smartcard zu tun? Und welche Sicherheitsaspekte sind hier gefährdet? Außer vielleicht dass Microsoft WTS CAL's verkaufen möchte?

---

Bin ich technisch auch raus aber vielleicht kann @Thomas_Puritscher dazu etwas Technisches sagen, wieso es nun so ist? Dass es nun so ist und dass es vorher schon nicht unterstützt war, hatten Sie @Thomas_Puritscher ja schon im anderen Thread erwähnt 😊.

Ob Microsoft nur am Verkauf von CALs verdient, fraglich. Das sind Peanuts für die und würde auch im krassen Kontrast zur aktuellen Cloud Strategie stehen, in denen es weder WTS noch RDS gibt, sondern VDI das Stichwort ist. Das kann man sich dann in der Cloud mieten aber an üblichen CALs wird Microsoft durch diese Änderung der DATEV nicht reich 😂.

Hallo Herr Bohle,

zum Sicherheitsaspekt kann ich noch etwas beitragen:

Im Gegensatz zu einem Softwarezertifikat ist die SmartCard eine echte Besitzkomponente und bietet dadurch natürlich ein höheres Maß an Sicherheit. Wenn jetzt der Zugriff per RDP ermöglicht wird, ist dieser Sicherheitsgewinn aber wieder hinfällig. Daher ist die SmartCard im RDP-Protokoll eigentlich schon immer als lokale Komponente vorgesehen, auch wenn es in der Vergangenheit teilweise anders funktioniert hat.

Welche technischen Maßnahmen Microsoft auf das Remotedesktop-Protokoll angewendet hat damit die bisherige Funktion unterbunden wird, kann ich leider nicht sagen. Da bin ich genau wie Sie ... raus!

Noch einen schönen Tag!

Thomas Puritscher

DATEV eG

Hallo Stefan, bei mir funktioniert es mit ähnlichem Setup (QEMU, RDP im Windows-10-Client, Mac) nach Re-Installation des Sicherheitspaketes über VNC (Tipp von DATEV) und nach zwei Neustarts der Windows-Instanz.

Keine Ahnung, wieso...

Bestgruß

Tino

die Nutzung über VNC würde in jedem Fall funktionieren, das geschilderte Problem tritt bei Nutzung des Remotedesktopprotokolls (RDP) auf...

Ob man dauerhaft mit VNC arbeiten möchte muss man selbst herausfinden

---

Hi,

 

@hövel  schrieb:

Soll ich erst ein Studium absolvieren, was DATEV alles ausdrücklich freigegeben hat? Ich bin Steuerberater und muss mich um andere Dinge kümmern.

 

---

Wie der Kollege schon geschrieben hat, hierfür gibt es Systemhäuser oder Sytempartner, die sich mit DATEV auskennen (sollten). Ansonsten ist die Info-DB eine gute Anlaufstelle. Insbesondere die Fachschriften für Serverinstallationen, Terminalservereinrichtung, etc. 

---

RDP ist Microsoft. Und Microsoft ist ursächlich für die Änderung. Stichwort Sicherheit!! 

 

---

Genau das ist der Punkt. DATEV setzt auf MS auf und MS hat schon seit Jahren im RDP definitiert, das SmartCards lokale Geräte am RDP-Client sind. Das anders funktioniert hat (war auch gelegentlich Zufall) steht auf einem anderen Blatt.

DATEV konnte in der Vergangenheit noch einen anderen Treiber gesetzt. Dies geht nun nicht mehr. Und ich persönlich finde das auch gut! Denn mit dem neuen Treiber kann im Outlook bei S/MIME auch AES zur Verschlüsselung genutzt werden. Da war bei 3DES bisher Schluss.

---

Wenn ich über VPN ins Kanzlei-Netz gehe, bin ich in einem abgesicherten System. 

 

---

Und woran soll ein "Strunz-Dummer-Windows-10-Rechner" das erkennen? An der IP-Adresse? Kommt dann wieder auf den VPN-Server an, ob hier ein Transitnetz (Bsp. Sophos) verwendet wird oder der VPN-Client eine IP aus dem Kanzleinetz (Bsp. Fritz!Box) bekommt. Geht also gar nicht.

---

Wenn ich in der Kanzlei auf andere Rechner innerhalb der Domäne über RDP zugreife, ist das alltägliche Praxis. 

 

---

Hat aber so gar nichts mit VPN zu tun. Ich kann auch mit einem Domänen-Mitgliedsrechner im HomeOffice sitzen. Und dort würden Sie auch vor dem gleichen Problem stehen. Die SmartCard hat genau da zu sein, wo Sie sich befinden.

---

Und welche Sicherheitsaspekte sind hier gefährdet? 

 

---

 Die SmartCard ist eine Besitzkomponente. Nur wer physikalischen Zugriff auf das Medium hat, sollte dies auch nutzen können. 

---

Außer vielleicht dass Microsoft WTS CAL's verkaufen möchte?

 

---

Mag sein, aber MS verdient mit den Cloud-Anwendung mittlerweile mehr Geld. Die Windows-10-RDP-Geschichten gehen denen total ab. Sind halt noch da, aber darauf bauen, dass diese noch in x-Jahren vorhanden sind, würde ich nicht.

Grüße

Chr.Ockenfels

... kleine Zwischenfrage zum Handling der Zitatfunktion:

... habe den 'Trick' noch nicht intuitiv gefunden, wie man ein langes Zitat in mehrere Teilzitate zerlegen kann, um z.B. jeweils nur einzelne Sätze zu kommentieren.

(das mehrfache Klicken des "Zitieren"-Buttons kann es doch nicht sein, oder ?) 

---

@vogtsburger  schrieb:

 

(das mehrfache Klicken des "Zitieren"-Buttons kann es doch nicht sein, oder ?) 

 

---

Da ich megafaul bin zu suchen, hab ich es genau so gemacht... 

---

@chrisocki  schrieb:

Da ich megafaul bin zu suchen, hab ich es genau so gemacht... 

---

Jupp, geht aktuell immer noch nicht anders. Mache ich genauso. Und wenn ich das Zitat aus dem Zitat löschen will, meckert immer der Editor erst rum ... 

Ich habe leider genau das gleiche Problem und gerade jetzt, wo den Mitarbeitern frei gestellt ist, von zu Hause zu arbeiten, lassen sich per DUO eingereichte Buchhaltungen von zu Hause nicht mehr bearbeiten, sofern man nicht seine Smartcard dabei hat. Das ist leider eine echte Einschränkung für die tägliche Praxis. Ich verstehe auch nicht, warum sich das Problem nicht über die Sicherheitseinstellungen in der Gruppenrichtlinie manuell umgehen lässt. Da kann ich ja auch die Stärke der Passwörter frei einstellen und somit selbst bestimmen, welchen Grad von Sicherheit ich für sinnvoll halte. Ähnlich würde ich es hier halten. Da die Smartcards alle in der Kanzlei sind, sind diese besser geschützt, als wenn die Mitarbeiter sie täglich mitnehmen müssen.

Für mich wäre es wirklich wichtig, eine Lösung zu finden, ohne auf Anydesk oder VNC ausweichen zu müssen. Denn der Remotedesktop bietet für die tägliche Arbeit einfach mehr Komfort.

Hi,

---

@Michael_Klein  schrieb:

Ich habe leider genau das gleiche Problem und gerade jetzt, wo den Mitarbeitern frei gestellt ist, von zu Hause zu arbeiten, lassen sich per DUO eingereichte Buchhaltungen von zu Hause nicht mehr bearbeiten, sofern man nicht seine Smartcard dabei hat. Das ist leider eine echte Einschränkung für die tägliche Praxis.

---

Lösung A: Sie verwenden zwei SmartCards. 

Lösung B: Sie verwenden in der Kanzlei den DATEV-Benutzer mit entsprechenden Rechten. Dann fehlt Ihnen aber der Zugriff auf VaSt o.ä. Dann können Sie freigesetzte SmartCard @home parken.

---

Ich verstehe auch nicht, warum sich das Problem nicht über die Sicherheitseinstellungen in der Gruppenrichtlinie manuell umgehen lässt. Da kann ich ja auch die Stärke der Passwörter frei einstellen und somit selbst bestimmen, welchen Grad von Sicherheit ich für sinnvoll halte.

---

Weil es von Microsoft nicht vorgesehen ist. Und Treibereinstellungen sind meines Wissens in den GPO überhaupt nicht einstellbar.

---

Da die Smartcards alle in der Kanzlei sind, sind diese besser geschützt, als wenn die Mitarbeiter sie täglich mitnehmen müssen.

---

Es geht bei den SmartCards um die Besitz-und-Wissens-Komponente. Und der Besitz sollte nunmal dort sein, wo auch das Wissen ist. Sonst macht diese Konstellation überhaupt keinen Sinn. 

Für mich wäre es wirklich wichtig, eine Lösung zu finden, ohne auf Anydesk oder VNC ausweichen zu müssen. Denn der Remotedesktop bietet für die tägliche Arbeit einfach mehr Komfort.

---

Da bin ich bei Ihnen. Diese Produkte/Lösungen VNC & Co. sind für Admins entwickelt worden. Und nicht zur täglichen Arbeit.

Grüße

Chr.Ockenfels

---

@Michael_Klein  schrieb:

Da die Smartcards alle in der Kanzlei sind, sind diese besser geschützt, als wenn die Mitarbeiter sie täglich mitnehmen müssen.

---

Dem kann ich nicht zustimmen; möglich deshalb, weil wir im DATEVasp und der mIDentity von DATEV - ich vergleiche es immer - mit einem Autoschlüssel zu vergleichen ist. Den hat man immer am Mann / der Frau und das ist auch von DATEV so gewünscht, sonst hätte der mIDentity keinen Anhänger.

Und 2 SmartCards pro User bringt vieles durcheinander / macht die Administration nicht einfacher. 

---

@metalposaunist  schrieb:

ich vergleiche es immer - mit einem Autoschlüssel zu vergleichen ist.

Also ich hab bei meinem Auto zwei Schlüssel bekommen... 😉

Ich finde jedenfalls, dass mir als Steuerberater die Entscheidung überlassen werden sollte, wie ich meine Daten schütze und wer auf welche Art und Weise Zugriff darauf hat. Denn ich trage nach außen ja auch die Verantwortung dafür.

Daher ist es für mich nicht akzeptabel, dass ich die bisher funktionierende Variante auf einmal nicht mehr nutzen kann.

Ich denke wir brauchen uns nichts vormachen. So lange es weiterhin über Teamviewer, Anydesk oder VNC funktioniert, werden die Karten auch weiterhin in den Kanzleien liegen. Nur dass man jetzt eben noch eine Drittsoftware nutzen muss, was dann eher ein Minus an Sicherheit ist.

---

@Michael_Klein  schrieb:

Ich finde jedenfalls, dass mir als Steuerberater die Entscheidung überlassen werden sollte, wie ich meine Daten schütze und wer auf welche Art und Weise Zugriff darauf hat. Denn ich trage nach außen ja auch die Verantwortung dafür.

Daher ist es für mich nicht akzeptabel, dass ich die bisher funktionierende Variante auf einmal nicht mehr nutzen kann.

Ich denke wir brauchen uns nichts vormachen. So lange es weiterhin über Teamviewer, Anydesk oder VNC funktioniert, werden die Karten auch weiterhin in den Kanzleien liegen. Nur dass man jetzt eben noch eine Drittsoftware nutzen muss, was dann eher ein Minus an Sicherheit ist.

---

MS zieht das Sicherheitsverhalten hoch und Sie beschweren sich? Ist doch genau in Ihrem Sinne. Verstehe ich nicht... Woher soll denn die arme SC kontrollieren ob der Zugriff remote oder vom angeschlossenen PC erfolgt? Kann sie nicht. Also stellt MS sicher, dass der Zugriff auf ein Sicherheitsmedium nur und ausschließlich von dem lokalen Clientrechner erfolgen kann. 

Dass in der Vergangenheit eine sicherheitsrelevante Funktion ausgehebelt wurde um einen Prozess darumzustricken, ist nun halt Geschichte. Müssen wir auch nicht weiter diskutieren, ist nun so.  Und es ist aus mehreren Gründen auch gut so. <meinDaumenhoch>

Grüße

Chr.Ockenfels

---

@Tino  schrieb:

Also ich hab bei meinem Auto zwei Schlüssel bekommen... 

---

Stimmt. Nutzen Sie also beide? Ich doch aber bestimmt nicht die Regel, wenn man die Gesamtheit der Autos in DE betrachtet, nehme ich an. 

Und neue Autos kann man per Smartphone starten. Warum? Weil man das immer dabei hat 😋. Der "immer dabei" Gedanke ist ja wichtig; um den dreht es sich. Wenn man 2 Autoschlüssel immer dabei hat, ist das OK. Aber ich habe noch niemanden erlebt, der 1 Autoschlüssel zu Hause und 1 am Arbeitsplatz hat 😁.

---

@metalposaunist  schrieb:

---

@Tino  schrieb:

Also ich hab bei meinem Auto zwei Schlüssel bekommen... 

---

Stimmt. Nutzen Sie also beide? 

 

---

Total verrückt: Ja! Einer ich, einer meine Frau! Aber es kann – ebenfalls verrückt! – immer nur einer gleichzeitig am Steuer sitzen.

Das ist doch IMHO genau der Punkt (abgesehen von Sicherheitsaspekten), um den es DATEV hier geht: Dass jede Lizenz nur einmal genutzt werden kann. Deswegen finde ich das Beispiel mit den Autoschlüsseln eher nicht passend.

@Tino  schrieb:

Das ist doch IMHO genau der Punkt (abgesehen von Sicherheitsaspekten), um den es DATEV hier geht: Dass jede Lizenz nur einmal genutzt werden kann. Deswegen finde ich das Beispiel mit den Autoschlüsseln eher nicht passend.

 

---

Vollkommen falsch! Es geht nur und ausschließlich um die Sicherheitsaspekte. 

* Besitz-und-Wissens-Komponente

* höhere Verschlüsselungsarten im Outlook (AES statt 3DES)

Oder wollen Sie auf die 50€ anspielen. Ich glaube kaum dass hier DATEV einen Mehrerlös bei den mIdentity oder SmartCards im Sinn hat. 

Diesbzgl. übrigens noch die Info, dass die digitalen Zertifikate auf den SmartCards durch virtuelle Zertifikate ganz ohne SmartCard ersetzt werden sollen. So zumindest die Planung/Überlegung. Insofern ist die SC bis auf VaSt und SteuKto sogar bald vollkommen überflüssig.

Grüße

Chr.Ockenfels

Hallo zusammen,

heute tagsüber die Version 14.0 installiert. Und nun habe ich dasselbe Problem.

Wir haben nur sechs Arbeitsplätze, aber alle mit mIdentity. Die Sticks sind entweder direkt am VMware-ESX-Host gesteckt (2 Stück) oder an zwei Fritzboxen. Funktionierte über USB-Fernanschluss bisher tadellos mit der Fritzbox. Jetzt nicht mehr. Grrr. ☹️

Und die Fritzboxen werde ich wohl auch nicht dazu bewegen können, sich wie ein Terminalserver zu verhalten.

Tja. Nun ist guter Rat teuer.

Die Dokumente 1009322 und 1015147 haben bisher keine Lösung gebracht. SmartCard wird nicht erkannt.

Falls jemand noch eine Idee hat....

Danke und viele Grüße.

Martin

Hallo @martin1969 

ich denke, es wird nichts anderes übrig bleiben, als eine unterstützte Hard- und Softwareumgebung aufzubauen.

Und - meine persönliche Meinung - dass bisher einige „Bastellösungen“ unterstützt wurden, war keineswegs ein gewünschter Effekt, sondern auch bisher schon einem Sicherheitsleck geschuldet.

Smartcard ist eine nach den anerkannten Sicherheitsregeln als Besitzkomponente ausgestaltete Sicherheitseinrichtung und natürlich dürfen Die damit umgehen, wie sie wollen. So wie sie auch ihre Bankkarte im Bankautomat stecken lassen können, den sie immer aufsuchen. Aber ein Feature als Softwarelösung zu erwarten, das grundlegende Sicherheitsregeln verletzt, ist eher nicht zielführend. Und das von einem Hersteller zu erwarten, der von dem in ihn gesetzten Vertrauen lebt und hochsensible Daten eines erheblichen Teils der deutschen Wirtschaft und Bevölkerung verwaltet, ist m.E. Nicht sinnvoll. 

Und selbst wenn es nicht sicherheitsrelevant wäre. Es gibt IT-Standards- auch für Hard- und Softwarekombinationen - und sich an Standards zu halten ist für jede halbwegs große und mit Markgeltung versehene Einheit einfach unerlässlich. Wer Sonderlocken unbedingt will, kann ja mit Keinstanbietern kooperieren, die evtl. Eine Individuallösung Stricken können. Kostet eben Geld und erfordert dann die Antwort auf die Frage - wie viel ist mir meine Sonderlocke wert? Oder ist nicht sicherer, nachhaltiger und billiger, eine Standardlösung zu wählen.