@antje_bütow , mal die diversen Beiträge in der Community verfolgen, z.B. den hier:

https://www.datev-community.de/t5/Technisches-zu-Software/Privates-Datev-Konto-verkn%C3%BCpfen/m-p/514805

@Thomas_Neumeier  hat dazu echt viel erklärt.

Oder auch hier:

https://www.datev-community.de/t5/Technisches-zu-Software/Privates-Datev-Konto-verkn%C3%BCpfen/m-p/515954/highlight/true#M37886

Ja, aber meine Frage ist nicht explizit beantwortet. Daher hier der Post. Ich habe das von Tobias Baier und von Thomas Neumeier schon gelesen, aber der Unterschied wird mir und anderen Kollegen leider nicht ganz klar.

@antje_bütow 

https://www.datev.de/web/de/berufsgruppenuebergreifend/mydatev/cloud-sicherheit/anmeldeverfahren-bei-datev/datev-konto

Dazu hat @Thomas_Neumeier aber diverse Ausführungen im zitierten Beitrag gebracht.

DATEV-Konto ist die zukünftige, neue Identität im DATEV "Ökosystem". 

Hallo @antje_bütow ,

ich denke viele Ihrer Fragen sind alleine hier adressiert:

1038521 Antworten auf häufige Fragen zum DATEV-Konto 

---

@antje_bütow  schrieb:

Nun scheint es ja zusätzlich noch das Datev Konto geben zu müssen.

 

Lassen Sie es mich so ausdrücken: "zusätzlich" ist nicht ganz passend.
Das DATEV-Konto fungiert zukünftig als "die" Identität im DATEV Ökosystem.

Langfristig wird man ohne SmartCard / SmartLogin auskommen können, aber nicht ohne DATEV-Konto.

---

@antje_bütow  schrieb:

Und wie lautet die offizielle Datev Empfehlung für das Anlegen des neuen Datev Kontos ==> Mailadresse anders als die geschäftliche Mailadresse - also faktisch privat? - und was macht man mit Mitarbeitern, die das nicht mischen wollen?

---

DATEV empfiehlt (nachzulesen in den oben geteilten Häufigen Fragen) bei der Registrierung eines DATEV-Kontos eine persönliche E-Mail-Adresse zu verwenden. Persönlich heißt eine E-Mail-Adresse, die nur dem Kontoinhaber zugänglich ist.

Ob dafür eine private  oder geschäftliche E-Mail-Adresse verwendet wird, bleibt komplett der Entscheidung des Kontoinhabers überlassen. 

 
 

---

@Thomas_Neumeier schrieb: Langfristig wird man ohne SmartCard / SmartLogin auskommen können, aber nicht ohne DATEV-Konto.

---

Ich hoffe, dass die Kanzleizugänge auch dauerhaft mit SmartCard und SmartLogin möglich sein werden. Das Auslagern in private Datev-Konten schafft doch Einfallstore.

Zusätzlich bitte ich zu beachten, dass im Gegensatz zur SmartCard die alternativen 2FA zumeist ein mobiles Gerät erfordern.

Nicht jeder MA oder Mandant akzeptiert das Anlegen von eigenen Konten oder die Installation von Software auf dem privaten Handy (hier ist das Kompromittierungsrisiko noch größer), die Kanzleien wollen nicht allen nur deswegen extra Geräte stellen.

Bin sonst kein Freund von den teilweise hochkomplizierten "sicheren" Zugangsoptionen. Hier aber bitte die Cybersicherheit im Ganzen nicht aus den Augen verlieren. Das schwächste Glied ist hier bestimmend und dies könnte dann das Handy, die fehlende 2FA oder ein ungenügendes PW sein...

Viele Grüße

---

@Nutzer_8888  schrieb:

---

....

Zusätzlich bitte ich zu beachten, dass im Gegensatz zur SmartCard die alternativen 2FA zumeist ein mobiles Gerät erfordern.

Nicht jeder MA oder Mandant akzeptiert das Anlegen von eigenen Konten oder die Installation von Software auf dem privaten Handy (hier ist das Kompromittierungsrisiko noch größer), die Kanzleien wollen nicht allen nur deswegen extra Geräte stellen.

 

Das ist ja der Sinn des ganzen: das DATEV Konto ist "Privateigentum". (Siehe FAQs; Punkt 2.6).

Die betrieblichen "DATEV-Zugangsmedien" (wenn man z.B. mal die Kanzlei wechselt) werden dann mit dieser Identität verknüpft.

DATEV geht wahrscheinlich davon aus, dass die 2FA Standard wird (selbst t-online bietet das jetzt schon an, ebenso PayPal).

Von daher entfällt das Argument mit dem "privaten" Handy. Wohl aber die Tatsache, dass man sein Smartphone  nach Einrichtung des DATEV-Kontos immer dabei haben muss. Sonst klappt das nicht.

Was momentan noch überschaubar ist: die erste APP, die das DATEV-Konto zwingend haben wollte, die SmartLogin-Administration. Nun ja, die nutzten so viele wahrscheinlich nicht.

Aber: die E-Rechnungsplattform will es auch, das DATEV-Konto. Man wird nicht daran vorbeikommen. 

Wurde aber schon lange vorgestellt.

---

@andreashofmeister  schrieb:

 

DATEV geht wahrscheinlich davon aus, dass die 2FA Standard wird (selbst t-online bietet das jetzt schon an, ebenso PayPal).

Da simmer dabei, dat wird primaaa!

Und das, nachdem die 2FA schon seit einiger Zeit als unsicher betrachtet wird (Chaos Computer Club - Zweiter Faktor SMS: Noch schlechter als sein Ruf ) und viele mittlerweile auf Passkeys setzen, sie teilweise sogar erzwingen wollen. 

Aber das kennen wir ja von DATEV - immer etwas hinterher. Außer bei den Cloud-Lösungen natürlich. Da will man endlich mal wieder nach vorne preschen, egal ob's funktioniert oder eher nicht (so richtig).

---

@ulli_preuss  schrieb:

Und das, nachdem die 2FA schon seit einiger Zeit als unsicher betrachtet wird (Chaos Computer Club - Zweiter Faktor SMS: Noch schlechter als sein Ruf ) und viele mittlerweile auf Passkeys setzen, sie teilweise sogar erzwingen wollen. 

 

Aber das kennen wir ja von DATEV - immer etwas hinterher. Außer bei den Cloud-Lösungen natürlich. Da will man endlich mal wieder nach vorne preschen, egal ob's funktioniert oder eher nicht (so richtig).

---

In dem CCC-Artikel geht es um die 2FA per SMS. Ein spannender Teil aus dem Artikel:

Der Chaos Computer Club (CCC) demonstriert nun einen bisher vernachlässigten Angriff auf 2FA-SMS: Zum Versenden der Nachrichten ist die Nutzung von Dienstleistern üblich. Diese Anbieter versenden große Mengen an SMS für viele unterschiedliche Unternehmen und Services. Sie haben dabei Einblick in die SMS. Die Sicherheit des Authentifizierungsverfahrens hängt also auch von der Sicherheit der Dienstleister ab.

In dem Abschnitt wird schön dargestellt, was genau das Problem bei einer 2FA per SMS ist. 

Für das DATEV-Konto muss eine Authenticator-App verwendet werden, was einen Unterschied zur 2-Faktor-Authentifizierung per SMS ausmacht, da die Authenticator-Apps lokal zum Einsatz kommen.

Damit will ich nicht sagen, dass der von DATEV gewählte Weg der richtige ist. Der Verweis auf den Artikel, stellt m.E. die 2FA für das DATEV-Konto schlechter da, als sie ist. 

@314159 

Der Artikel war nur ein Beispiel für den Themenkomplex 2FA. Natürlich ist es mit einer zusätzlichen Authenticator-App sicherer, aber es ändert nichts an der Tatsache als solcher.

Denn nur mit einer Authenticator-App, die standardmäßig biometrisch abgesichert ist (Face o. ä.) oder manuell entsprechend konfiguriert wird, ist ein einigermaßen vernünftiger Schutz möglich.

Hallo Herr Neumeier,

vielen Dank für die Rückmeldung. Eine Frage bleibt mir noch. Ich hatte zu Beginn der E-Rechnungsplattform für Testzwecke bereits ein Datev Konto mit meiner Privatadresse angelegt. (Damals war mir nicht klar, was das für Auswirkungen später hat).

Nun hab ich in der Kanzlei nochmal ein zweites Konto angelegt. Mit der Mailadresse von mir in der Firma. Bei der Firmenadresse sind Smart-Login und Smart-Card verknüpft.

Nun würde ich das gerne bei der privaten Adresse auch machen (und danach das geschäftliche Konto löschen), das Verknüpfen mit den beiden Anmeldemethoden scheint aber nicht zu gehen. Haben Sie eine Idee, ob und wie das gehen könnte?

Vielen Dank.

Guten Morgen Frau Bütow,

ich hatte das gleiche Problem.

Den Auftrag zur Löschung meines Firmenkontos musste ich über ein Serviceformular einreichen. Anschließend erhielt ich noch eine Rückfrage per E-Mail, die ich bestätigen musste.

Sobald das Konto gelöscht wurde, bekommt man eine Bestätigungsmail.

Im Anschluss konnte ich die Firmenzugangsmedien dann problemlos mit meinem privaten Konto verknüpfen.

https://www.datev-community.de/t5/Technisches-zu-Software/Privates-Datev-Konto-verkn%C3%BCpfen/m-p/516651/highlight/true#M37961 

Beste Grüße

Jörg Kreuzer

Natürlich ist die 2FA nicht per se unsicher. Dennoch halte ich SmartLogin und SmartCard als Standardzugangsmedium für die potenziell sicherste Lösung. Insbesondere bleibt die Verantwortung für die ggf. genutzten Apps und die Herausgabe und Verifikation der SmartCard bei Datev.

@andreashofmeister habe die letzte Zeit nicht unbedingt nach neuen weiteren Datev-Konten und Nutzern gesucht (davon gibt es eine große Menge - besonders, wenn man in der SmartIT ist). Bisher hat mit das auch kaum interessiert, außer dass die verschiedenen "Nutzer bzw. Benutzer" für ein und die gleiche Person mich immer schon irritiert hat. Befürchte aber, dass die exklusive Umstellung auf ein Datev-Konto in den Kanzleien viele Diskussionen sorgen wird (z.B. Datenschutz) und die Mitarbeitenden auf betriebliche Smartphones pochen werden...Und ja, sicher mehr als 90 % der SmartPhone-Nutzenden verkaufen wissentlich oder unwissentlich Ihre Datenschutz-Seele um das Gerät zu nutzen (bzw. nutzen zu können) - aber auch diese Nutzenden lehnen schnell alles ab, was IT und Apps für die Arbeit auf dem eigenen Handy angeht (ich fände das übrigens auch nicht toll)...Zusammen mit dem Thread zur "Abschaffung" bzw. "In die Cloudverbringung" von ReWe bleibt nur die Hoffnung, dass alles sehr sehr langsam voranschreitet, nie eine richtiger Übergang erfolgt und die Rente vor dem ganzen aufkommenden Ärger und Gewurschtel rettet 😉...

Viele Grüße

---

@Nutzer_8888  schrieb:

 

 

@andreashofmeister habe die letzte Zeit nicht unbedingt nach neuen weiteren Datev-Konten und Nutzern gesucht (davon gibt es eine große Menge - besonders, wenn man in der SmartIT ist).

 

Bisher hat mit das auch kaum interessiert, außer dass die verschiedenen "Nutzer bzw. Benutzer" für ein und die gleiche Person mich immer schon irritiert hat.

 

Befürchte aber, dass die exklusive Umstellung auf ein Datev-Konto in den Kanzleien viele Diskussionen sorgen wird (z.B. Datenschutz) und die Mitarbeitenden auf betriebliche Smartphones pochen werden...

 

Und ja, sicher mehr als 90 % der SmartPhone-Nutzenden verkaufen wissentlich oder unwissentlich Ihre Datenschutz-Seele um das Gerät zu nutzen (bzw. nutzen zu können) - aber auch diese Nutzenden lehnen schnell alles ab, was IT und Apps für die Arbeit auf dem eigenen Handy angeht (ich fände das übrigens auch nicht toll)...

 

Zusammen mit dem Thread zur "Abschaffung" bzw. "In die Cloudverbringung" von ReWe bleibt nur die Hoffnung, dass alles sehr sehr langsam voranschreitet, nie eine richtiger Übergang erfolgt und die Rente vor dem ganzen aufkommenden Ärger und Gewurschtel rettet 😉...

 

Viele Grüße

 

 

---

Die Rentenzeit kann man ja auch mit einem nützlichen Nebenbeschäftigung ergänzen. Schließlich muss ja das Wissen an die nächst Generation weitergegeben werden.

Die Sache mit dem "privaten Smartphone" wird zunehmends verwässert. Wenn man es so mach, wie DATEV es vorschlägt,  sollte man ja eine Emailadresse nehmen (für das DATEV-Konto) auf die man pesönlichen Zugriff hat. Das kann ja nicht die individuelle Kanzleiemailadresse sein, sondern eine private. Und zack, landet man beim "privaten Authentifikator". 

So bekommt man die Menschen auf sanfte Umwege zu den Authentifikatoren. Und dann hat man mal sein Handy zuhause vergessen. Zack, ist der Tag gelaufen (hatten wir alles schon...., auch ohne DATEV-Konto)

---

@Nutzer_8888  schrieb:

aber auch diese Nutzenden lehnen schnell alles ab, was IT und Apps für die Arbeit auf dem eigenen Handy angeht (ich fände das übrigens auch nicht toll)...

---

In vielerlei Hinsicht stimme ich da auch zu, aber gerade beim Thema 2FA sehe ich es umgekehrt. Ist der Authenticator auf meinem privaten Smartphone installiert, habe auch nur ich darauf Zugriff. Vom Arbeitgeber gestellte dienstliche Smartphones werden i.d.R. auch von diesem verwaltet, mit allen Möglichkeiten, die damit einher gehen. Wenn am DATEV-Konto dann auch ANO mit meinen Lohnabrechnungen (evtl. sogar vom zweiten oder Vorarbeitgeber) hängt - will ich das?

Möchte diesen Thread nochmals aufnehmen. Wir sind SmartIT-Nutzer und werden bald gezwungen (unnötige zusätzliche) Datev-Konten für die Mitarbeiter einzurichten.

#Ironie an#

Dafür sind wir sehr dankbar, weil uns ein solches weiteres Konto einfach schon lange gefehlt hat (haben bisher ja nur Datev-Benutzerkonto, SmartIT-Konto, Windows-Konto, E-Mail-Konto und RZ-Konto).

#Ironie aus#

Wir werden diese - so wie im beruflichen Umfeld eigentlich typisch - versuchen zentral zu verwalten und soweit es geht von den Mitarbeitern fern halten, bis diese ggf. einen echten Zweck erfüllen (wir wollen den Zugang solange es in unserer Macht liegt auf die SmartCard begrenzen). Dazu muss - leider - für jedes Mitarbeiterkonto eine eigene E-Mail-Adresse her. Dafür lege ich ein extra e-mail-Konto außerhalb der SmarIT und damit der Kanzleidomain an (sonnst könnte es mal ein Henne-Ei-Problem in Zusammenhang mit der unter SmartIT abzurufenden Mails kommen) und dort dann Aliasse für jeden Mitarbeiter. Der Zugang wird natürlich auch per 2FA abgesichert. Zusätzlich muss man sich mal wieder Passwörter ausdenken...

Dann die Datev-Konten noch mit der SmartCard verknüpfen, die 2FA aktivieren - alles auf ein handy mit 'ner tollen freeOTP app, dass Ganze auf einem Zweitgerät (für den Notfall) übertragen und dann erstmal alles schlummern lassen und langsam wieder (hoffentlich lange) vergessen...Alle Mitarbeitenden können sich die nächsten Jahre hoffentlich - wie bisher - mit ihrer SmartCards anmelden....

PS: Wenn man sich an der SmartIT mit dem Datev-Nutzerkonto anmeldet müsste man wohl einmal die Anmeldaten und (Nutzername, Passwort und 2FA) eingeben und anschließend nochmal das Passwort für die SmartIT - also immer einen kleinen Aufsatz tippen - oder alles im Browser speichern, womit dann dieser zum Sicherheitsrisiko würde, der einen Faktor der 2FA - wo vorhanden - aushebeln würde.

Ob das Datev-Konto von den Mandanten angenommen wird - insbesondere, wenn die SmartLogin oder SmartCard haben - bleibt abzuwarten. Kann die frustrierten Rückmeldungen von Mandanten welche nun für viele ihrer Zugangsmedien Datev-Konten auf extra Mail-Adressen erstellen sollen kaum erwarten. Letztere werden aber bestimmt bald abgekündigt, womit bei Datev Kosten gespart werden (keine Hardware, keine spezifische Software und keine Verantwortung für die Sicherheit der Zugänge mehr bei Datev). Vermute der geldwerte Vorteil wird den Genossen zugute kommen (wir werden also die ersten Preisreduzierungen erleben).

All dieses nur um unserm Dienstleister gerecht zu werden und dessen neuen Strukturen zu entsprechen. Vielen Dank dafür. Freue mich vorab schon auf die nächste dieser Luftschläge.

Also vorwärts und viele Grüße zum WE

---

@Nutzer_8888  schrieb:

Möchte diesen Thread nochmals aufnehmen. Wir sind SmartIT-Nutzer und werden bald gezwungen (unnötige zusätzliche) Datev-Konten für die Mitarbeiter einzurichten.

 

#Ironie an#

Dafür sind wir sehr dankbar, weil uns ein solches weiteres Konto einfach schon lange gefehlt hat (haben bisher ja nur Datev-Benutzerkonto, SmartIT-Konto, Windows-Konto, E-Mail-Konto und RZ-Konto).

#Ironie aus#

 

Wir werden diese - so wie im beruflichen Umfeld eigentlich typisch - versuchen zentral zu verwalten und soweit es geht vom den Mitarbeitern fern zu halten. Dazu muss - leider - für jedes Mitarbeiterkonto eine eigene E-Mail-Adresse her. Dafür lege ich ein extra e-mail-Konto außerhalb der SmarIT und damit der Kanzleidomain an (sonnst könnte es mal ein Henne-Ei-Problem in Zusammenhang mit der unter SmartIT abzurufenden Mails kommen) und dort dann Aliasse für jeden Mitarbeiter. Der Zugang wird natürlich auch per 2FA abgesichert. Zusätzlich muss man sich mal wieder Passwörter ausdenken...

 

Ist das Sinn der Sache? Das DATEV-Konto gehört den Mitarbeitenden und ist personenbezogen - somit auch in deren Verantwortung/Administration. No front, aber die benötigen das ja auch zukünftig für die Anmeldung. Wie soll das denn funktionieren, wenn die Kanzlei extra E-Mail-Adressen, PWs und 2FA unabhängig von denen einrichtet? Oder raff ich den Post nicht (wenn nicht, sorry - bald ist Wochenende).

Nein - es entspricht nicht dem Sinn, den Datev uns bzw. den Mitarbeitenden aufdrängt.

Mit dem verknüpften Medium (hier SmartCard) kann man sich anmelden und das Datev-Konto muss "nur" da sein. So hab ich die Verknüpfung jedenfalls verstanden und so funktioniert diese zumindest bei meinem SmartLogin-Administrations-Zugang (ich brauche nur mein SmartLogin).

Erst wenn SamrtCard bzw. SmartLogin (für uns die sichere Zugangslösung) nicht mehr unterstützt werden, werden wir wohl gezwungen die Datev-Konten ggf. direkt zu nutzen. Mal sehen, wie dann die Abrufe bei der Finanzverwaltung organisiert werden.

Falls jemand für die Mitarbeiter der Kanzleien (haben bei uns alle SmartCards) irgendeinen Mehrwert außer Mehraufwand sieht - der möge ihn mir nahe bringen. Unsere Mitarbeitenden sind im Übrigen auch nicht wirklich bestrebt ihre Zugänge selbst zu administrieren...

Und die Zugänge zu den Datev-Anwendungen, welche die Kanzlei betreffen, möchten wir nicht über privat angelegte Konten verknüpft wissen...

Viele Grüße

Das ist ja der Quatsch. Kanzlei = Beruf = berufliches Konto. Privat ist privat. Daher bekommen meine Mitarbeiter auch ein Konto auf die Kanzlei Domain. Allein die Diskussionen hier zeigen, dass das Konto wieder eine typische Datev-Verkomplizierung ist. Wenn die Mandaten ein Konto anlegen müssen, wird es richtig lustig. Es reicht ja schon, wenn man versucht einen Lexoffice Anwender von UO zu überzeugen... Vielleicht sollte der Vorstand für die Ideenfindung hinsichtlich benutzerfreundlicherer Gestaltung mal reinschauen

Aber interessiert bei Datev sowieso niemanden

Edit: Ich war zu langsam...

---

@Nutzer_8888  schrieb:

Nein - es entspricht nicht dem Sinn, den Datev uns bzw. den Mitarbeitenden aufdrängt.

 

Mit dem verknüpften Medium (hier SmartCard) kann man sich anmelden und das Datev-Konto muss "nur" da sein. So hab ich die Verknüpfung jedenfalls verstanden und so funktioniert diese zumindest bei meinem SmartLogin-Administrations-Zugang (ich brauche nur mein SmartLogin).

 

Erst wenn SamrtCard bzw. SmartLogin (für uns die sichere Zugangslösung) nicht mehr unterstützt werden, werden wir wohl gezwungen die Datev-Konten ggf. direkt zu nutzen. Mal sehen, wie dann die Abrufe bei der Finanzverwaltung organisiert werden.

 

Ja genau das meine ich mit meinen Ausführungen. Aktuell schwebt das DATEV-Konto im Hintergrund und die Anmeldemaske ändert sich in den einzelnen Anwendungen nach und nach optisch. Das wird aber irgendwann wohl nicht mehr so sein.

 

Falls jemand für die Mitarbeiter der Kanzleien (haben bei uns alle SmartCards) irgendeinen Mehrwert außer Mehraufwand sieht - der möge ihn mir nahe bringen. Unsere Mitarbeitenden sind im Übrigen auch nicht wirklich bestrebt ihre Zugänge selbst zu administrieren...

Und die Zugänge zu den Datev-Anwendungen, welche die Kanzlei betreffen, möchten wir nicht über privat angelegte Konten verknüpft wissen...

 

Viele Grüße

---

Ich sehe beim Thema privates E-Mail-Konto mittlerweile keine Probleme mehr. Passte mir am Anfang auch nicht und ich habe protestiert. Zumindest sieht die DATEV das nach der anfänglichen "1-Konto- und am-besten-private-E-Mail-Politik" nicht  mehr so streng. 

---

@d_z_  schrieb:

Das ist ja der Quatsch. Kanzlei = Beruf = berufliches Konto. Privat ist privat. Daher bekommen meine Mitarbeiter auch ein Konto auf die Kanzlei Domain. Allein die Diskussionen hier zeigen, dass das Konto wieder eine typische Datev-Verkomplizierung ist. Wenn die Mandaten ein Konto anlegen müssen, wird es richtig lustig. Es reicht ja schon, wenn man versucht einen Lexoffice Anwender von UO zu überzeugen... Vielleicht sollte der Vorstand für die Ideenfindung hinsichtlich benutzerfreundlicherer Gestaltung mal reinschauen

 

Aber interessiert bei Datev sowieso niemanden

 

Edit: Ich war zu langsam...

---

Vllt. meinen Text noch Mal genau lesen, bevor man lospoltert.

Habe das Thema verfolgt.

Datev hat zu Beginn definitiv von privaten EMail Adressen gesprochen - nun wird es anders formuliert. Der Sachverhalt hat sich nicht geändert.

Hallo Herr Neumeier, 

Sie schreiben in der Community im Thread zum DATEV Konto:

Langfristig wird man ohne SmartCard / SmartLogin auskommen können, aber nicht ohne DATEV-Konto.

wir sind seit fast 20 Jahren dabei, so ziemlich alle wesentlichen Mandanten mit Sicherheitsmedien auszustatten (anfangs noch mit SmartCards, jetzt mit SmartLogins) Es sind jetzt schon eine unzählige Anzahl an SmartLogin-Verträgen...

Alle neuen Anwendungen wie DATEV Meine Steuern oder myDATEV Kommunikation benötigen auch Sicherheitsmedien wie SmartLogin für den Zugriff. 

Im Großen und Ganzen funktioniert SmartLogin. 

Sie schreiben aber, dass man langfristig ohne SmartLogin auskommen wird. 

Bei der flächendeckenden Einführung von Anwendungen wie myDATEV Kommunikation steigt auch die Anzahl an SmartLogin-Verträgen Stand heute noch deutlich weiter an, da nicht nur die wesentlichen Unternehmensmandate (die sowieso schon lange ihre Sicherheitsmedien haben), sondern auch eine viel breite Mandantengruppe angesprochen wird.

Wir brauchen eine hohe Planungssicherheit. 

• Wie sieht es mit DATEV SmartLogin langfristig aus? 
• Wird es in Verbindung mit dem DATEV Konto ggf. bald so sein, dass mit Authenticator-Apps apps ähnlich wie bei Arbeitnehmer Online gearbeitet wird ?
• Was für einen Zeithorizont sehen Sie dass SmartLogin nicht mehr das vorrangige Authentifizierungsmedium ist? 
• Will DATEV perspektivisch weg von einer eigenen 2FA-Lösung wie SmartLogin und auf generelle Auth.-Apps setzen?

Hintergrund meiner Frage: Bevor ich für die neuen Anwendungen eine weitere große Anzahl an SmartLogin-Verträgen abschließen lasse und die Mandanten bald eh perspektivisch auf eine andere App wechseln (wie z.B. Authenticator Apps von google oder Microsoft) , würde ich mit einer massiven weiteren Verbreitung noch warten wahrscheinlich. 

Also Kurzform: Jetzt im großen Stil noch Mandanten ohne bisheriges Sicherheitsmedium mit SmartLogin ausstatten oder warten bis das DATEV-Konto vollständig läuft?   

In jedem Fall berichten viele Mandanten, dass sie deren SmartLogin mit dem neuen DATEV Konto verknüpfen müssen...

Oder verstehe ich das vollkommen falsch und SmartLogin wird auch in vielen Jahren noch die App sein, um sich bei DATEV-Anwendungen anzumelden? 

Vielen Dank für Ihre Rückmeldung

Soweit ich das in der Herbstrunde vom Admin-Workshop verstanden habe möchte sich die DATEV hier zukünftig diverse Optionen offen lassen.

Es wäre schon praktisch, wenn man hier z.B. Microsoft Entra als Identitätsprovider mit dem Microsoft Authenticator nutzen könnte. Und wenn man dann auch noch den Zugang zu den Cloud-Anwendungen der DATEV mittels Conditional-Access einschränken kann . . . . 

Im Moment ist es mir ein Dorn im Auge, dass unsere Benutzer sich theoretisch überall auf der Welt von einem beliebigen PC nur mit dem Smartlogin an DUO anmelden können! 

Für SmartIT-Nutzer wäre der Zugriff auf die E-Mail-Adresse nur mit dem Zugang, welcher ja bald über das Datev-Konto erfolgen soll, möglich.

Dies kann perspektivisch zu Problemen führen, womit die Nutzung unserer notwendigerweise über Datev-umgeleitete E-Mail-Domain ausgeschlossen ist.

Somit darf man sich 'ne neue E-Mail-Domains und separate Adressen pro MA organisieren. Das Datev-Konto kann vom Nutzer auf jede (beliebige) Mail-Adresse gelegt werden. Und die Art der 2FA und die Geräte dazu und deren Integrität ist alles in den Händen des Kontoinhabers. Es ist quasi ein schwacher Schlüssel, der perspektivisch oder auch schon bald Zugänge erlaubt, die momentan starke Schlüssel benötigen.

Aktuell ist mir unklar, ob das Datev-Konto mit dem schwächeren Schlüssel auch die Nutzung der starken Schlüssel erlaubt?!

Wie auch immer, wir legen die Konten erstmal nur an, weil sie da und mit den Zugangsmedien verknüpft sein müssen.

Und bevor Datev uns die Vorteile dieser tollen Idee darlegt - das Ziel ist es unterm Strich Kosten zu sparen, Mehrfachnutzung von Zugangsmedien zu erschweren um künftige Lizenzmodelle einnahmesteigernd einzusetzen und die Verantwortung der Zugangssicherheit in die Hand der Kontoinhaber auszulagern.

Ich glaube nicht, dass man hier versucht etwas für die Kanzlei-Benutzer zu vereinfachen.

Für Mitarbeiterzugänge für die Lohnzettelabrufe könnte dieses Modell zugegebener Weise auch Vorteile mit sich bringen - evtl. auch für Mondanten, speziell, wenn die mehrere Firmen haben.

Aber Vorteile für die Kanzlei - sehe ich nicht??

Viele Grüße

Hallo @mosachse ,

Vielen Dank für Ihre ausführliche Fragestellung. 

Sorry, Ich bin leider erst jetzt dazugekommen eine Antwort zu verfassen.

"Langfristig wird man ohne SmartCard / SmartLogin auskommen können, aber nicht ohne DATEV-Konto"

Meine von Ihnen zitierte Aussage bezieht sich auf das Identitätsmanagement bei DATEV zum Zeitpunkt, wenn DATEV das komplette Produktportfolio in die Cloud umgezogen haben wird. 

Dieses Zielbild sieht vor, dass ein Anwender mit einem einzigen DATEV-Konto alle von ihm benötigten Anwendungen öffnen und Leistungen beziehen kann.

Ein „nacktes“ DATEV-Konto (damit meine ich ein Konto ohne weitere zugeordnete Anmeldeverfahren) wird dies nicht leisten können. Die meisten Anwendungen/Leistungen werden einen höheren Sicherheitsgrad bei Authentifizierung und Identifizierung erfordern, als "nur" E-Mail-Adresse/Passwort.

Deshalb kann und muss ein DATEV-Konto mit weiteren Anmeldeverfahren verknüpft oder die Anmeldung mit Passwort mit einem Zweiten-Faktor verstärkt werden. Die derzeit laufende Umstellung der DATEV-Cloud-Anwendungen auf das DATEV-Konto ist der erste Schritt in diese Richtung. Damit erreichen wir, dass jeder Bestandsanwender mit einer SmartCard oder einem SmartLogin mit einem DATEV-Konto ausgestattet wird und seine vorhandenen Anmeldeverfahren mit diesem Konto verknüpft werden.

Heute kann sich am DATEV-Konto mit folgendermaßen angemeldet werden: 

• E-Mail-Adresse / Passwort 

• E-Mail-Adresse /Passwort + 2FA (Authenticator) 

• DATEV SmartCard 

• DATEV SmartLogin 

• DATEV Benutzer  

Dies ist nur eine Aufzählung. Derzeit unterstützt nicht jede Anwendung jedes Verfahren am Konto. 

Nun zu Ihren konkreten Fragen:

• Wie sieht es mit DATEV SmartLogin langfristig aus?  

Der DATEV SmartLogin wird auch in den nächsten Jahren für die Anmeldung am DATEV-Konto verwendet werden können.

• Wird es in Verbindung mit dem DATEV Konto ggf. bald so sein, dass mit Authenticator-Apps ähnlich wie bei Arbeitnehmer Online gearbeitet wird? 

Ja, das Zielbild sieht genau das vor. In der Endausbaustufe wird die Anmeldung am DATEV-Konto via E-Mail-Adresse/Passwort + 2FA (Authenticator) genauso verwendet werden können wie eine SmartCard oder ein SmartLogin.  Wann dies genau der Fall sein wird, kann ich Ihnen aber heute noch nicht genau sagen.

(Soviel zu dem „bald“ in Ihrer Frage 😉)

• Was für einen Zeithorizont sehen Sie, dass SmartLogin nicht mehr das vorrangige Authentifizierungsmedium ist?  

Das ist eine schwierige Frage. Heute ist der DATEV SmartLogin das vorrangige Authentifizierungsmedium im Mandantensegment, weil damit die alte Welt aber auch die neue Welt mit DATEV-Konto komplett abgebildet werden kann.  

Welches Authentifizierungsverfahren zukünftig am DATEV-Konto vorrangig eingesetzt wird, entscheidet der Anwender.

• Will DATEV perspektivisch weg von einer eigenen 2FA-Lösung wie SmartLogin und auf generelle Auth.-Apps setzen? 

DATEV ist bestrebt zukünftig am Markt etablierte Verfahren zu unterstützen.  
Authenticator Apps sind hier aber nur eine Möglichkeit. Wir schauen uns auch andere Dinge an.

Deshalb mein Fazit: 

Der DATEV SmartLogin ist das empfohlene Anmeldeverfahren für den Mandantenmarkt. 

Statten Sie Ihre Mandanten jetzt mit einem SmartLogin aus. 

Ein Warten macht aus meiner Sicht keinen Sinn.

Anwender, die zu einem späteren Zeitpunkt vielleicht lieber mit einer Authenticator Lösung arbeiten wollen, können diese in der DATEV-Konto Verwaltung aktivieren. 

Wichtig in diesem Zusammenhang, immer wenn weitere Anmeldeverfahren an ein bestehendes DATEV-Konto hinzugefügt werden, muss dieser Vorgang mit einem bereits bestehenden Anmeldverfahren bestätigt werden.
Somit stellen wir sicher, dass das Konto nicht durch Auspionieren des Passworts gekapert werden kann. 
 

---

@Thomas_Neumeier schrieb: Ja, das Zielbild sieht genau das vor. In der Endausbaustufe wird die Anmeldung am DATEV-Konto via E-Mail-Adresse/Passwort + 2FA (Authenticator) genauso verwendet werden können wie eine SmartCard oder ein SmartLogin.

---

Und hier liegt für mich das Problemchen begraben. Ich mag mich ja irren, aber die SmardCard als haptisch vorliegender Schlüssel und in gewissen Grenzen auch der SmartLogin (beides ausgegeben von der Datev und verwaltbar über die Online-Anwendungen) sind sicherer als ein vom Nutzer selbst verwaltetes Konto.

Speziell die SmartCard erreicht m.E. ein eigenes Sicherheitsniveau und adressiert die Anforderungen in den Steuerkanzleien - und wohl auch bei Mandanten, die Datev-Software einsetzen.

Verstehe nicht, dass dies nun auf Drittanbieter-Apps und private E-Mail-Accounts ausgelagert werden soll?!

Aber - weil ich schon eine Weile hier dabei bin - weiß ich auch, dass das mit viel Werbesprech am Ende so durchgezogen wird, wie da irgendwo (häufig nicht wirklich Anwenderorientiert) bei der Datev entschieden wurde.

Wann müssen eigentlich die Kanzleimitarbeiter direkt die Arbeits- oder Softwareverträge mit der Datev abschließen - oder ist so etwas aktuell noch nicht vorgesehen?

Die Vereinheitlichung der vielen verschiedenen Nutzerbegriffe ist ja sicher eine gute Sache, wobei deren Entstehen ja schon aufzeigt, dass hier nicht immer so gesamthaft gedacht wurde.

Das Kondensieren auf SmartCard und SmartLogin für das Kanzlei-Umfeld (und auch Unternehmen mit den Mittelstandsanwendungen) wäre m.E. wünschenswert.

Für die Services der Privatpersonen (keine Unternehmen) wäre die hier angedeutete Zukunftsoption m.E. durchaus denkbar.

Und noch zum Vorschlag mit den SmartLogin. Die Antwort impliziert auch, dass nun immer zwei Konten erstellt werden müssen und für das Zweite eine exklusive E-Mail-Adresse vorliegen muss.

Viele Grüße

ein Querulant