@thorstenmüller 

Der mIdentity-Stick muss am Laptop erkannt werden (im Geräte-Manager).

Auf dem Datev-PC (remote) kann der SC-Treiber ggfs. noch einmal nachinstalliert werden.

Geht über datev.de/sc-treiber (wie von dir beschrieben) oder über DVD 1 -> start.exe -> Weitere Installation -> Smartcard-Treiber oder so ähnlich heißt der Punkt.

Dann im RDP anklicken, dass Smartcards mit durchgereicht werden.

Habe übrigens einen Rückruf der Datev erhalten.

Aussage war nur, dass es nun eben nicht mehr geht. 🤔

Einen "Registry-Hack" gibt es nicht.

Workarounds (wie in der KB beschrieben):

- mIdentity am Thin Client, Laptop u.a. (das Gerät, vor dem man sitzt)

- Fernwartungssoftware (VNC, Teamviewer usw.). Aber die Performance ist ja gruselig.

- WTS

- Nicht supported: MyUTN und die mIdentity-Sticks an den PC (wo die RDP-Session gestartet wird) routen.

---

@thorstenmüller  schrieb:

... Randnotiz.

 

---

Hat DATEV, z.B. in der Frühjahresrunde des Admin-Workshops. Somit waren alle Admins informiert, die sich an dem Workshop angemeldet haben. 

Und schon da ging ein "Aufschrei" durch die Reihen... 

Grüße

Chr.Ockenfels

Hallo Community,

tatsächlich berichtet DATEV seit Monaten von den nötigen Anpassungen mit der 14.0:

-abgekündigte Betriebssysteme
-abgekündigte Office-Versionen

-neuer SQL-Server

-Smartcard nur noch in echten Terminalserverumgebungen.

also neu und überraschend ist das definitiv nicht.

Ich sehe das so:

Zumindest wir Kanzleien nutzen das DATEV-System professionell, und da verbieten sich (eigentlich) irgendwelche „Bastellösungen“ - und zwar aus einer Vielzahl von Argumenten, zuvorderst Betriebs- und Datensicherheit.

Wer mit dem DATEV-System professionell arbeitet, hat eine Vielzahl von offiziell unterstützten Systemvarianten zur Auswahl. Wir werden hier nicht müde, der DATEV schnelle Produktentwicklung abzufordern, aber mit der Forderung nach Unterstützung von „Bastellösungen“ stehen wir uns damit selbst im Weg. 

Einziger „Vorwurf“ den ich in diesem Zusammenhang tatsächlich als berechtigt ansehe ist, dass die Warnung zwar schon lange erfolgt, aber offenbar nicht gezielt an die potentiellen Betroffenen gerichtet war. Vermutlich hätte man das über die Programmstatistik etwas besser eingrenzen und damit auch besser kommunizieren können. Dass ganz viele betroffen sein werden, war zu erwarten.

.. wäre interessant zu wissen, ob Datev die technischen Ausstattungen ihrer Genossen und deren selbstbuchenden Mandanten kennt, ob sie also wissen könnte, wer mit welchen 'offiziellen' oder mit 'experimentellen' Lösungen unterwegs ist.

Dass offenbar Viele mit den 'kreativsten' oder sagen wir mit den 'abenteuerlichsten' Konstruktionen unterwegs sind, kann ich mir nur dadurch erklären, dass es entweder besonders ehrgeizige oder besonders it-affine oder besonders 'sparsame' Kanzleien gibt.

Externe IT-Techniker werden wohl eher 'offizielle' Lösungen präferieren, schon aus Haftungsgründen.

Aber dass man von Datev verlangt, dass eine ausdrücklich nicht supportete Lösung ewig weiterläuft, ist mMn nicht ok.

@martin1969 Ich habe auch gerade den Rückruf der DATEV erhalten. Die lokale Installation konnte nun durchgeführt werden, nachdem in den Eigenschaften der exe-Datei der Haken für die Installation auch aus unsicheren Quellen gesetzt wurde. Auf einem Rechner läuft das ganze wieder.

@chrisocki wenn ich mal gaaaaanz viel Zeit über habe melde ich mich da auch mal an... 😉

@Michael-Renz Sie haben ja Recht, dass DATEV es kommuniziert hat, aber - wie Sie schreiben - eine Auswahl der Betroffenen mit gezieltem Kontakt wäre deutlich erfreulicher gewesen. Selbst die Installations-Hotline der DATEV wusste heute Morgen keine Lösung und erwähnte das hohe Anrufaufkommen wegen dieses Problems. Ich würde mir auch grundsätzlich einen Weg weg von der physischen DATEV SmartCard wünschen (z.B. SmartLogin als Ersatz für die SmartCard), aber das ist wahrscheinlich zuviel verlangt.

Grundsätzlich stimme ich Ihnen hier auch zu. Früher gab es ein lokales Netzwerk mit einem PC, an dem die SC angesteckt wurde. Heute arbeiten wir im Jahre 2020 und da ist RDP nun mal keine Seltenheit. Also wäre eine (von DATEV offiziell unterstützte) Lösung erfreulich, mit der man auch remote vernünftig arbeiten kann. Die Lösung mit "Remote=2" ist schließlich auch keine offiziell unterstützte Lösung, wenngleich sie auch im Moment funktioniert.

Zielführend ist aber nicht, die remote arbeitenden Kanzleien in einen Terminalserver hineinzudrängen.

SmartLogin wäre vermutlich das Sinnvollste.

In meiner Firma arbeiten wir seit Jahren mit Virtual Badges und nicht mehr mit irgendwelchen USB-Sticks.

Ist vermutlich ein gutes Zusatzgeschäft für die DATEV. 😉

Professionell wäre ein Lodas update auf Basis der 13.1 gewesen - dann hätte sich das Problem deutlich zeitlich entzerrt.

Aber immerhin hat Datev professionell vorgesorgt und bepreist nun endlich die oft doppelt erforderlichen Smartcards / mIDentitys.

Wie viele hatte ich auch einen Plan, der bis Oktober reichte. Rechner tauschen, Office auf aktuellen Stand, dann Datev wenn die Info Doks für die ganzen kleinen Fehler bereit stehen.  Ist nun in dieser Zeitschiene nicht zu machen.

Hallo @thorstenmüller 

 das „Zulassen“ der von Datev downgeladenen Dateien ist mit der Installation der aktuellen DAZO.exe auch Geschichte.

hier das Info-dok dazu: https://www.datev.de/dnlexom/client/app/index.html#/document/1080164?hitMarkTerms%5B%5D=rw40_1080164&hitMarkTerms%5B%5D=Dazo.exe

Hallo @thorstenmüller ,

naja - Remote ist eben am Besten mit einen echten Terminalserver umzusetzen, denn genau dafür ist der da. 
warum diese Lösung nicht zielführend ist, verstehe ich nicht! Sie ist die offiziell korrekte und von DATEV unterstützte Lösung. 

Natürlich führen viele Wege zum Ziel, aber wenn man alle gehen will, kommt man eben nie an. Insofern halte ich es für sinnvoll, dass sich DATEV da festlegt.

@Gelöschter Nutzer 

Das ist schon mal interessant. Welcher Treiber bzw. welche Software wurde dafür unter Ubuntu installiert, dass der Stick erkannt wird?

Hallo,

DATEV 14 läuft auf einen per HyperV virtualisierten Win 10 Pro, Softwareschutz und Autorisierung ist auf einem einzigen mIDentity-Stick, der in einem SEH USB-Server steckt.

Um weiterhin per RDP arbeiten zu können, habe ich mir für den RDP-Client einen zweiten mIDentity-Stick samt SIM-Card von DATEV senden lassen. Auf dem Client habe ich den SC-Lesertreiber leserins.exe installiert und erst dann den myDentity eingesteckt. In der Systemsteuerung/Geräe-Manager wird nun als Smartcard-Leser der mIDentity KOBIL mIDentity light, als Smartcards "unbekannte Smartcard" angezeigt. Schritte in https://apps.datev.de/dnlexka/document/1009322 wurde befolgt.

Dort heißt es jedoch: Je System darf immer nur ein DATEV mIDentity bzw. eine DATEV SmartCard gesteckt sein.

Damit ich am Client einen mIDentity einsetzen kann, muss ich am Remotecomputer den Softwareschutz dann über einen anderen USB-Dongle als einen MyDentity realisieren? Z. B. SWM-Mini?

Reicht am Client die Installation des SC-Lesertreibers leserins.exe oder muss dort auch z. B. das Sicherheitspaket installiert werden?

(Ziel später wird dann noch sein, den USB-Dongle des Clients auch auf den SEH-Server zu verbannen ...)

Vorerst behelfe ich mir mit VNC anstelle von RDP, da dort ja der am Remotecomputer steckende mIDentity ausreicht.

---

@Gelöschter Nutzer  schrieb:

bei uns würden dann zwei terminalserver, vermutlich noch ein extra broker sowie viele viele lizenzkosten mit nahezu null mehrwert hinzukommen. das ganze dann noch mit einschränkungen, da wir nicht nur wts-fähige software im einsatz haben. 

hinzu kommt dann unter umständen noch die ewige suche nach fehlern, da das system komplexer ist als client/server.

dazu dann noch die hohen kosten für die wts und ggfs eine höhere ausfallwahrscheinlichkeit (komplexität..)

also die pflege unserer25 systeme ist echt überschaubar.. mit gpos und co auch sehr gut administrierbar.

deshalb sollte rdp bzw der midentity auch von zuhause aus laufen.. wie auch immer.

---

Dem muss ich 100% zustimmen, wir arbeiten auch noch mit der klassischen Server/Client Umgebung und der administrative Aufwand ist absolut überschaubar und gut von mir persönlich zu verwalten. Ich sehe nicht ein erhebliche Kosten zu investieren und anschließend null Mehrwert zu haben. Bei uns wird zu 90% lokal und ca 10% remote gearbeitet. Aber die Möglichkeit, sich auch mal per remote anzumelden, ist unverzichtbar. Gerade auch bei der Arbeit vor Ort beim Mandanten oder bei einer ungeplanten Nachtschicht zu Hause, wenn einem wichtigen Mandanten spontan abends noch einfällt, dass er ganz dringend was braucht.

Ich finde die jetzige Lösung, den midentity immer dabei zu haben, schon als Einschränkung, denn der war bisher in der Kanzlei immer gut aufgehoben. Wenn die Lösung aber, wie angekündigt, evtl in Zukunft auch noch wegfallen sollte, dann wäre das noch deutlich gravierender. Es wäre toll, wenn es bis dahin eine Alternative über Smartlogin etc geben würde. Wobei wir regelmäßig Steuerkonto online und die vorausgefüllte Steuererklärung nutzen. Das müsste dann natürlich auch noch funktionieren...

Hallo Herr @Michael_Klein und @Gelöschter Nutzer ,

zugegeben ist die Umstellung auf WTS mit Lizenzkosten verbunden. Ich schätze mal 

• ca 600 € Server 2019 Std
• ca. 90 € je RDP-CAL
• der Broker ist ein Dienst / Rolle im WTS und m.E. Kostenfrei und bei einem WTS auch nicht nötig. 

der Erstinvestitionsaufwand ist also durchaus überschaubar.

Wer einen aktuellen Server und Windows 2016/2019 Standard hat und sich in diesem Zug zur virtualisierung entschließt, kann das mit der vorhanden Lizenz abdecken. Die Windows Server Standard enthält die Lizenz für

1 Host und auf diesem Host 2VMs = also sind Fileserver und WTS als virtualisierte Maschinen auf einem Hardware-Host möglich. Nur die Officelizenz ist teuer- da würde ich allerdings das Mietmodell (Microsoft 365 Businessplan) wählen.

Es wird wegen der Ausfallsicherheit von Datev zwar nicht empfohlen, läuft aber völlig ohne Einschränkungen. Und bis 15 Arbeitsplätze auch mit einem WTS (würde ich zwar auch nicht empfehlen, aber geht) 

Die Ersparnis tritt bei der Pflege und künftig bei dem kaum noch erforderlichen Hardwareaufwand je Arbeitsplatz ein. Bei uns sind lüfterlose Minipcs von HP ( ca. 300,— je Gerät) im Einsatz.(Reinvestitionszeitraum für diese Geräte ca. 6 Jahre). 

Und wer ganz flexibel bei den Kosten sein will, kann ja Smart-IT oder ASP wählen. Client-Server-Umgebungen in Zeiten von Homeoffice zu bevorzugen, ist m.E. weder begründet noch zeitgemäß. 

Guten Morgen,

---

@Michael-Renz  schrieb:

Hallo Herr @Michael_Klein und @Gelöschter Nutzer ,

 

zugegeben ist die Umstellung auf WTS mit Lizenzkosten verbunden. Ich schätze mal 

• ca 600 € Server 2019 Std
• ca. 90 € je RDP-CAL
• der Broker ist ein Dienst / Rolle im WTS und m.E. Kostenfrei und bei einem WTS auch nicht nötig. 

der Erstinvestitionsaufwand ist also durchaus überschaubar.

---

Den grössten Brocken haben Sie leider nicht erwähnt... Office als Open-Lizenzen oder M365 (mind. Business wegen TS-OnPremise). Da kommen noch ordentlich Anschaffungen oder monatliche Kosten drauf.

Grüße

Chr.Ockenfels

Hallo @chrisocki 

doch! Officelizenz als sehr teuer - deshalb Mietlizenz = ausdrücklich erwähnt.

lt. Microsoft = 10,50 € User/Mtl. für den Standardplan mit Outlook und installierbarer Version.

https://www.microsoft.com/de-de/microsoft-365/business?market=de#compareProductsRegion

Dafür aber immer aktuell.

Kaufversion bei Nutzungsgerechter Lizenzierung im Professionellen Bereich kostet für Einen Arbeitsplatz ca. 180,— = Ca. 1 1/4 Jahre Lizenzkosten.

---

@Gelöschter Nutzer  schrieb:

Aktuell wird ein WTS bei diesem Problem ja auch nicht benötigt!

 

Ein per FRITZ!Box USB-Fernanschluss, SEH UTN Manager, USB-Passthrough oder anderer SW verbundener mID würde auch dort nicht mehr in einer RDP Sitzung bei den vom Benutzer gestarteten Programmen funktionieren.

DAS ist genau unser Problem. In der DokID 1080080 wird unter Punkt 5.2.2 beschrieben, dass bei einer Virtualisierungslösung über einen USB-Server Softwareschutzmodul und mIdentity bereitgestellt werden können ("USB-Server eignen sich dazu, mehrere USB-Geräte über das Netzwerk einer virtuellen Maschine fest zuzuweisen. Für das USB-Softwareschutz-Modul und für den DATEV mIDentity müssen Sie der virtuellen Maschine eine permanente USB-Verbindung zuweisen.").

Das haben wir mit dem dort aufgeführten USB-Server von W&T realisiert. Vor dem Update 14.0 lief genau diese Lösung problemlos, jetzt nicht mehr. Das ist mehr als ärgerlich, weil nach einer damaligen Rückfrage bei der DATEV keine andere Lösung existierte (scheinbar auch nicht die "Remote=2"-Lösung).

Hi,

---

@thorstenmüller  schrieb:

---

DAS ist genau unser Problem. In der DokID 1080080 wird unter Punkt 5.2.2 beschrieben, dass bei einer Virtualisierungslösung über einen USB-Server Softwareschutzmodul und mIdentity bereitgestellt werden können ("USB-Server eignen sich dazu, mehrere USB-Geräte über das Netzwerk einer virtuellen Maschine fest zuzuweisen. Für das USB-Softwareschutz-Modul und für den DATEV mIDentity müssen Sie der virtuellen Maschine eine permanente USB-Verbindung zuweisen.").

auch wenn es dort nicht super genau ausgeführt ist, aber die Anbindung mit einem USB-Server bezieht sich NUR und ausschließlich auf die SWM-Funktion des USB-Mini-SMW oder des mIDentity. 

Die SmartCard-Funktion (nur bei dem mIDentity) ist hiermit nicht und nie gemeint gewesen! Und genau diese fällt nun weg.

Ich war und bin noch nie ein Freund der Kopplung beider Funktionen gewesen. Das gibt bei Mandanten mit mehreren Benutzern immer Stress, da der LiMa nur mit einem Master arbeitet. Ja, man kann mit Notfallfunktion u.s.w. tricksen, ist aber im laufenden Betrieb und wechselnden mIDentity nicht praktikabel. Da ist das Mini-USB-SWM immer noch die erste Wahl für den LiMa. -das aber nur am Rande -

Lösung für Sie dürfte nun sein:

1. Mini-USB-SWM an den USB-Server und dem LiMa heranreichen

2. mIDentity an den Schlüsselbund und immer an den zu verwendenen RDP-Client anstecken.

Grüße

Chr.Ockenfels

auch wenn es dort nicht super genau ausgeführt ist, aber die Anbindung mit einem USB-Server bezieht sich NUR und ausschließlich auf die SWM-Funktion des USB-Mini-SMW oder des mIDentity. 

 

Die SmartCard-Funktion (nur bei dem mIDentity) ist hiermit nicht und nie gemeint gewesen! Und genau diese fällt nun weg.

 

Ich war und bin noch nie ein Freund der Kopplung beider Funktionen gewesen. Das gibt bei Mandanten mit mehreren Benutzern immer Stress, da der LiMa nur mit einem Master arbeitet. Ja, man kann mit Notfallfunktion u.s.w. tricksen, ist aber im laufenden Betrieb und wechselnden mIDentity nicht praktikabel. Da ist das Mini-USB-SWM immer noch die erste Wahl für den LiMa. -das aber nur am Rande -

 

Lösung für Sie dürfte nun sein:

1. Mini-USB-SWM an den USB-Server und dem LiMa heranreichen

2. mIDentity an den Schlüsselbund und immer an den zu verwendenen RDP-Client anstecken.

 

 

Grüße

Chr.Ockenfels

 

 

---

Habe ich (ehrlich gesagt) dem Dokument so nicht entnommen. Aber in der Tat ist die Lösung aktuell genauso wie von Ihnen geschildert. Das USB-SWM steckt am USB-Server und reicht die Verbindung zum Windows-Server durch, die SC's stecken lokal am Rechner über den wir uns dann auf die virtuellen Maschinen aufschalten.

In Summe keine so schöne Lösung - lokal an den Laptops fällt nun ein USB-Steckplatz weg und wir brauchen dann USB-Hubs...

---

@thorstenmüller  schrieb:

...

In Summe keine so schöne Lösung - lokal an den Laptops fällt nun ein USB-Steckplatz weg und wir brauchen dann USB-Hubs...

---

Oder Notebooks mit eigenen SC-Schacht verwenden und den mIDentity komplett abschaffen.

Grüße

Chr.Ockenfels

Hallo zusammen,

Ich möchte meine jetzige Situation darstellen, auch die, die vor dem 11.09 funktioniert hat.

• Datev läuft virtuell "ESXI 6.7" auf zwei Server 2012 R2 Datacenter
• einer davon als Datenbankserver und für die geforderte Freigabe
• einer als Remotedesktopserver als Applikationsserver für die Anwender
• zusätzlich ist ein myUTN-80 an dem die mIDentity angeschlossen für
  1x Betriebsstätte ->Datenbankserver
  3x Anwender ->Remotedesktopserver

Der Zugriff der Mitarbeiter erfolgt per Remotedesktop alle 4 mIDentity werden in der Sitzung jeweils verbunden und ist funktionstüchtig "vor dem 11.09"

Nach dem Update am 15.09 auf das aktuelle Sicherheitspaket 6.8 erfolgt nun im Sicherheitspaket das "Keine SmartCard gesteckt" ist.

Wird der mIDentity gesteckt und man verfolgt die Aktion im Gerätemanager wird dieser auch eingerichtet!
Aber das Sicherheitspaket meint das Sicherheitspaket weiterhin "Keine SmartCard gesteckt"

Als Workaround musste ich einen anderen Weg bestreiten um Datev überhaupt lauffähig zu bekommen.

1. am Datenbankserver per Console anmelden --> auch schau "SmartCard gesteckt" Betriebsstätten ID eingerichtet.
2. am lokalen Client die den Mitarbeiter zur Verfügung stehen das Sicherheitspaket installieren und Software vom myUTN-80 installieren und den USB Port einrichten.
   Sicherheitspaket meldet "SmartCard" gesteckt.
3. vom lokalen Client die RDP-Verbindung zum Remotedesktopserver herstellen "unter lokale Ressourcen muss die Option für "Smarcards oder Windows Hello für Business" aktiv gesetzt sein.
   jetzt kommt auch am Remotedesktopserver die Meldung SmartCard gesteckt.
   sowas "MiniTreiber🤣"

Warum Remotedesktopserver, damit die Zeit für das Update kurz gehalten wird. 1 mal Zeit für das Update investieren und nicht 4 mal für lokale Installation vor Ort.

Wir haben gute Erfahrungen mit den Remotedesktopservern, da wir seit etwa 20 Jahren eine Remotedesktop-Farm für ein Warenwirtschaftssystem mit 8 Remotedesktopserver im Einsatz haben, hier ist es mit dem Update gleich lieber 8 mal installieren, als auf 260 Clients das Update ausführen. Time is money

Thema USB-Dongle-Server myUTN-80 finde ich gut, warum die Dongle dem Mitarbeiter weiterreichen, der den verliert vergisst oder keinen freien USB-Port am Notebook hat weil bereits alle USB-Port belegt sind.

PS: warum wird der mIDentity nicht virtuell? Andere Firmen siehe Banken können das auch, einfach aus der SIM ein Zertifikat erstellen  

grüße

Hi,

ist doch alles gut... den Minitreiber (sofern notwendig) müssen Sie einmal installieren. Fertig. Ein Standard-Windows-10 hat den Treiber ggf. auch schon im Bauch und reicht diesen über die PC/SC-Schnittstelle über RDP weiter. 

Lokal also keine Administration notwendig.

Der USB-Server reicht nur noch die Funktion des SWM weiter. 

Virtuelle Zertifikate sind halt nicht so sicher wie eine Besitz-und-Wissens-Komponente. Und Banken als "Sicherheitslatte" anzuführen, halte ich für gewagt. Bis vor all zu kurzer Zeit gab es bei Banken auch noch TAN-Listen... 

Die Zukunft wird wohl eher ein ordentlich eingerichteter DATEV-Benutzer sein, der alle notwendigen Rechte beinhaltet. Der wird dann mit dem AD-Konto verknüpft (oder ist schon) und fertig. Gar keine SIM mehr oder nur noch für den KommServer, der das Sicherheitstoken erstellt.

Grüße

Chr.Ockenfels