Hallo,
man soll ja immer seinen Midentity abziehen und mit sich führen... wenn ich das aber nicht mache, könnte jeder eine Überweisung mit EBICS ausführen, der über die "normale" Tastatur eingegebene PIN verfügt?
Ist das so korrekt? Und liegt das sicherheitstechnisch nicht weit hinter einem RSCT Cyberjack/HBCI?
100% sicher gibs ja nicht.. wenn meinetwegen das Bankingprogramm manipuliert wurde usw usw.
Aber das Verfahren...
@boomboom schrieb:
wenn ich das aber nicht mache, könnte jeder eine Überweisung mit EBICS ausführen, der über die "normale" Tastatur eingegebene PIN verfügt?
Provokant: Davor schützt DATEV SmartVerify als 2FA😶. Und jetzt geht's los 😂.
das ding, wo ich die pin auch in die tastatur kloppe?
@metalposaunist schrieb:@boomboom schrieb:
wenn ich das aber nicht mache, könnte jeder eine Überweisung mit EBICS ausführen, der über die "normale" Tastatur eingegebene PIN verfügt?
SmartVerify als 2FA
😂😂😂
Ja, genau - das Ding.
P.S. nicht weiter kommentieren, hatten wir DATEV alles schon lange, breit und ausführlich dargelegt (schon fast bis ins Detail) - bisher keine Einsicht. Hast Du die PIN, kann man überweisen. Auch mit SmartVerify - außer man ist stark vergesslich und löscht die PIN nach Ersteingabe aus dem Kopf; nein vom Papier 📜.
Kennst Du doch bestimmt 😉: EBICS sichere machen
ne.. ich hatte mich vor ein paar Jahren mal damit beschäftigt.
Dann für unsicher befunden und komplett ausgeblendet.
Den Thread habe ich nicht gesehen.. sind echt viele EBICS-Threads.
Danke
P.S.: Ja gut.. statt SC Smartlogin nehmen scheidet ja dann auch aus... und finAPI sowieso.
Nicht cool!
@boomboom schrieb:wenn ich das aber nicht mache, könnte jeder eine Überweisung mit EBICS ausführen, der über die "normale" Tastatur eingegebene PIN verfügt?
Äh ja, ich frage mich aber warum man den nicht abzieht und mitnimmt? Ich meine in jedem UN sollte es eine Regelung zur DSGVO geben. Da ist dann meist auch vom Sperren des Arbeitsplatzes beim Verlassen selbigen die Rede. Ebenso ist meist - zumindest wenn vorhanden - das versperren von sicherheitsrelevanten Geräten geregelt. Bsp sperre ich doch Schlüssel, Handy usw auch in einem Safe oder abschließbaren Schrank weg. Warum also sollte man das bei diesem Stick nicht auch?
Ich war bis 2018 im Steuerbüro tätig und da war es auch vorgeschrieben den Stick abzuziehen. Ausnahme waren Einzelbüros die durch Dritte nicht betreten werden konnten...
@renek schrieb:
Da ist dann meist auch vom Sperren des Arbeitsplatzes beim Verlassen selbigen die Rede.
Bin lieber still dazu 😅 aber genau davor schützt SmartVerify 😜. Ohne SmartVerify kannst Du dann fröhlich aus dem DUO überweisen, wenn Du den PC einfach so verlässt; mit musst Du nochmal die PIN wissen - ha! Nimm' das! ... steht alles im verlinkten Thread.
DATEV will den Genossen vor ... schützen. Möge jeder einsetzen, was er für richtig hält 🙈.
@renek schrieb:
Warum also sollte man das bei diesem Stick nicht auch?
Awareness. Warum soll man nicht auf jede E-Mail wie doof klicken und vorher skeptisch sein? Ist exakt das gleiche Problem. Man muss das Gefühl und Verständnis dazu haben und ggf. vermitteln und, und, und.
Heute die Frage erhalten, was der NUM Block ist. Alles klar? 😶
ja, klar.. und ich hole mir dann meinetwegen 500k vom Mitarbeiter zurück, falls er das versäumt?
Datenschutzregelungen sind nett, wenn sie denn schützen..
Ja, aber nicht jeder nutzt DUO... 😉 Wir tätigen unsere Überweisungen zB aus Zahlungsverkehr heraus.
Ich mache bei nicht gesperrten PC´s gerne eine Powerpoint-Präsentation rein! "Ihr PC wird gelöscht, bitte bestätigen Sie mit OK" 😄 Hat bisher wunderbar funktioniert mit dem Sperren 😂
Wenn Euer Limit bei 500k liegt selber schuld 😄 Im Ernst: Wir können bei jedem individuelle Limits einstellen und haben 4-Augen-Prinzip, also 2 Unterschriften pro Überweisung. Sollte man vielleicht darüber nachdenken wozu man das u.a. macht 😉
wenn der WTS oder das komplette Netz kompromottiert ist, bringen es zwei Unterschriften auch nicht... es gibt Firmen, die benötigen solche oder weit höhere Limits.
Halbwegs sicher ist das nur, wenn alles weitere -immer- mitspielt.. (Stick abziehen, AP sperren (bedingt..)... und das ist mir zu unsicher.
@boomboom schrieb:wenn der WTS oder das komplette Netz kompromottiert ist, bringen es zwei Unterschriften auch nicht...
Dann würde ich als Nicht-IT´ler aber mal behaupten Sie haben ein dickes Problem und sollten das Teil dringend vom Netz nehmen und nichts mehr machen...
@boomboom schrieb:es gibt Firmen, die benötigen solche oder weit höhere Limits.
Solche Unternehmen soll es geben. Allerdings war mir nicht bewusst das Unternehmen die täglich mit Millionen herumhantieren auf Datev setzen...
P.S.: Wir gehen auch über unser Limit. Dann allerdings eben nicht über EBICS, dafür nutzen wir stink normale Online-Zugänge bei denen unsere Bank vor Durchführung eine weitere Bestätigung einfordert...
@boomboom schrieb:Halbwegs sicher ist das nur, wenn alles weitere -immer- mitspielt.. (Stick abziehen, AP sperren (bedingt..)... und das ist mir zu unsicher.
Wenn Ihnen das alles zu unsicher ist, Sie kein Vertrauen zu Ihren Mitarbeitern haben, dürfen diese dann überhaupt verantwortungsbewusste Tätigkeiten übernehmen? Oder warten die Mitarbeiter täglich auf Ihre Instruktionen was und wie genau sie heute tun dürfen?
Sorry, aber das liest sich echt gruselig...
sie verdrehen da ein paar Aussagen und verstehen als Nicht-IT'ler wohl das Problem dann nicht..
@boomboom schrieb:sie verdrehen da ein paar Aussagen und verstehen als Nicht-IT'ler wohl das Problem dann nicht..
Sie dürfen mir jetzt gerne sagen was ich an Ihren Aussagen verdreht haben soll oder nicht verstehe!
Wenn sie davon reden dass Ihr ganzes System verseucht ist, dann würde ich da auch nicht daran arbeiten wollen. Das ist ein Fakt. Wenn Sie da jetzt der IT-ler sind und das aufgrund falscher Darstellung Ihrerseits persönlich nehmen tut es mir leid.
Und wenn Sie Aussagen tätigen die Rückschlüsse darauf zulassen, dass Sie Mitarbeitern nicht zu trauen verantwortungsvoll zu sein, dann stimmt eher bei Ihnen etwas nicht. Jedes Arbeitsverhältnis sollte eine gute Portion Vertrauen beinhalten. Gerade dann wenn man Mitarbeiter in bestimmten Positionen hat ist Vertrauen in das Personal doch wohl essentiell wichtig!
Sorry, das ich da wohl zu emotional gestrickt bin.
sie unterstellen, alle menschen seien programmierbare maschinen und sie wüssten als mensch (unabhändig davon ob itler oder nicht), was auf ihren maschinen los ist… also 🫤?
@boomboom schrieb:sie unterstellen, alle menschen seien programmierbare maschinen und sie wüssten als mensch (unabhändig davon ob itler oder nicht), was auf ihren maschinen los ist… also 🫤?
🤔Das(!) lesen Sie aus meinen Aussagen? Okay. 🤐