Bitte nicht wegfallen lassen, sondern Info an Admin zeitgleich mit der Freischaltung der Verlängerung liefern, so daß mit dieser Info die Kollegin "an der Hand genommen" werden kann.

Toll wäre nach 14 Tagen (also 2 Wochen vor Verfall) eine erneute Meldung, wenn die Verlängerung noch nicht vorgenommen wurde.

Hallo Herr Kolberg,

die Meldung soll nicht ganz wegfallen. Sie soll nur nicht schon vier Wochen vor der ersten Verlängerungsmöglichkeit, sondern - wie Sie schon sagen - erst zeitgleich mit der Freischaltung erfolgen. Was soll ich zu dem frühen Zeitpunkt mit der Info? Eine Wiedervorlage zu erstellen macht keinen Sinn; das kann das MitteilungsPROgrämmchen schon alleine (und macht es auch).

Schöne Grüße

Willi Müller

Einen Sinn macht die Mitteilung schon...

Man bekommt die Info über Karten längst ausgeschiedener Mitarbeiter, so daß man die Verträge noch rechtzeitig kündigen kann, bevor diese Karten, die sich irgendwo im Umlauf befinden können, weiter verlängert werden.

Eine Ankündigung bevor die Laufzeitverlängerung möglich ist verwirrt die Anwender nur.

Es reicht eine Erinnerung, wenn die Zertifikate zum Download bereitstehen.

Das Lob kann ich noch nicht ganz nachvollziehen. Wir nutzen in unserem Unternehmen einen zentralen Proxy und eben damit geht eine Laufzeitverlängerung nicht. OTON DATEV: Wenn Sie einen Proxy nutzen, dann schreiben Sie bitte einen Servicekontakt.

Insbesondere hinsichtlich von Proxys würde ich mir endlich mal EINE Lösung wünschen. Je nach DATEV Programm gibt es dafür irgendwo ein Häckchen im Programm, manchmal eine simple ini-Datei oder eben wie im Beispiel der Laufzeitverlängerung der Smart-Cards gehts eben gar nicht.

Hi,

das Problem mit dem Proxy kann hier nicht nachvollzogen werden. Funktioniert bisher ohne Probleme (Squid-Proxy).

Gruß

Chr.Ockenfels

Dazu gibt es sogar ein Info-DB Dokument:

Sehr gehrte Damen und Herren,

das erste Informationsschreiben zur SmartCard-Laufzeitverlängerung wird 70 Tage vor Ablauf des Gültigkeitszeitraumes versendet. Der Versandtermin ist so früh gewählt, damit der Anwender noch vor Bereitsellung der neuen Zertifkate reagieren kann.

Diesem Anschreiben liegt ein Rückfax bei mit dem eine Kartenkündigung, eine kostenpflichtige Folgekartenbestellung und ganz wichtig eine Änderung der E-Mailadresse durchgeführt werden kann. Aus unserer Sicht ist die frühzeitige persönliche Information des Karteninhabers sehr wichtig, in diesem Anschreiben wird auch auf die Besonderheiten beim Nachladen für Anwender des Elster Online Portals hingewiesen! Hier muss der Anwender ja zwingend vor der eigentlichen Laugzeitverlängerung tätig werden.

@Herr Kollberg

Sollte eine SmartCard 21 Tage vor Ablauf des Gültigkeitszeitraumes nicht nachgeladen worden sein, dann wird automatisch ein zweites Erinnerungsschreiben versendet.

@Herr Dombrowski

Die Laufzeitverlängerung funktioniert im Normalfall mit Proxy-Servern.

Es kann zu Problemen mit Proxy-Servern kommen, die eine zusätzliche Authentifizierung fordern. Deswegen die Einträge im gennanten Info-DB Dokument.

mit besten Grüßen

Thomas Neumeier

Produktmanagement SmartCard/mIDentity

DATEV eG

Eine Ankündigung bevor die Laufzeitverlängerung möglich ist verwirrt die Anwender nur.

Es reicht eine Erinnerung, wenn die Zertifikate zum Download bereitstehen.

Das sehe ich auch so. Hier haben anscheinend schon einige Leute rumgesucht u. sinnlos Telefonate geführt (warum die Leute nicht jede Meldung am Monitor komplett durchlesen ist eine andere Frage / beim Datev-Mitteilungswust aber auch nicht verwunderlich). Meldung sobald der Download bereitsteht, alles andere ist Unfug.

Bezügl. des Zertifikat Down-/bzw. Uploads hätte ich noch eine Frage:
Geht der Upload mit jedem SC-Leser? Ich war bisher der Annahme, die SCs seien read-only-Medien ????

Beitrag vom Nutzer gelöscht

Sehr geehrter Herr Hecker,

Sie können sich eine Liste Ihrer SmartCards in den Service-Anwendungen pro unter Vertragsübersicht Hard- und Software generieren. Dort wird auch der Gültigkeitszeitraum angegeben.

mit besten Grüßen

Thomas Neumeier

Produktmanagement SmartCard/mIDentity

DATEV eG

Sehr geehrter Herr Behrens,

der Prozess SmartCard Laufzeitverlängerung funktioniert mit jedem SC-Lesegerät, mit dem die DATEV SmartCard auch im normalen Betrieb funktioniert.

Das Betriebssystem der Karte steuert den Zugriff auf bestimmte Datenfelder, die dann beschrieben werden können.

mit besten Grüßen

Thomas Neumeier

Produktmanagement SmartCard/mIDentity

DATEV eG

Beitrag vom Nutzer gelöscht

Trotzdem danke für den Hinweis.

Ich habe gerade festgestellt, dass eine Abfrage meines Namens (weltweit einmalig) im Verzeichnisdienst schlappe 50+ Treffer liefert. Zertifikate davon gültig: 1

M.E. etwas zu viel Information für die Bots. So genau muss eigentlich keiner wissen, wann ich irgendwann mal welche Emailadresse benutzt hab. Wer löscht das für mich?

Ansonsten ist die SC-Verwaltung für Admins natürlich weiterhin ein Traum

Aber zur eigentlichen Frage,

Sehr geehrter Herr Behrens,

der Prozess SmartCard Laufzeitverlängerung funktioniert mit jedem SC-Lesegerät, mit dem die DATEV SmartCard auch im normalen Betrieb funktioniert.

Das Betriebssystem der Karte steuert den Zugriff auf bestimmte Datenfelder, die dann beschrieben werden können.

kann ich dann auf meiner (einzigen gültigen) SC auch die Email-Adresse ändern / Änderung beantragen ohne eine neue SC zu bestellen? Die hinterlegte Email gefällt mir nämlich nicht mehr.

der Prozess SmartCard Laufzeitverlängerung funktioniert mit jedem SC-Lesegerät, mit dem die DATEV SmartCard auch im normalen Betrieb funktioniert.

Der ist gut!

Sehr geehrter Herr Behrens,

derzeit befindet sich der Prozess Laufzeitverlängerung in der Ausbaustufe 1.

In dieser 1. Stufe kann nur bei ablaufenden Karten nachgeladen werden.

Und dabei kann auch die E-Mail-Adresse geändert werden.

In einer zweiten Ausbaustufe möchten wir zukünftig auch "unterjährige" (der Begriff ist nicht ganz passend) Nachladeprozesse während des kompletten  Gültigkeitszeitraumes anbieten. (z.B. wenn sich eine E-Mail-Adresse geändert hat). Für diese Ausbaustufe wird jedoch eine neue SmartCard Generation benötigt, die dann im Gegensatz zur jetzigen SmartCard Generation mehrmalige Nachladeprozesse zulässt.

Um Ihre eigentliche Frage zu beantworten:

Derzeit kann die Mailadresse auf einer SmartCard nur durch die Bestellung einer kostenpflichtigen Folgekarte (25,- Euro) geändert werden.

Die Mailadresse auf der Karte ist jedoch nur wichtig für das Signieren und Ver- und Entschlüsseln von E-Mails.

mit besten Grüßen

Thomas Neumeier

Produktmanagement SmartCard/mIDentity

DATEV eG

Derzeit kann die Mailadresse auf einer SmartCard nur durch die Bestellung einer kostenpflichtigen Folgekarte (25,- Euro) geändert werden.

Die Mailadresse auf der Karte ist jedoch nur wichtig für das Signieren und Ver- und Entschlüsseln von E-Mails.

Wo kann ich mich für die Pilotierung anmelden?

Nochmal generell zur Technik/Sicherheit: Ich war immer der Annahme, dass die stärkere Sicherheit von SCs im Gegensatz zu reinen Softwarezertifikaten durch read-only (offensichtlich nicht) gegeben sei. Wenn ich nun aber demnächst Smartcards habe, auf denen ich die Zertifikate über einen (potentiell unsicheren) Software-Weg einfach austauschen/erweitern kann, wo ist dann die stärke Sicherheit (im Vergleich)?

derzeit befindet sich der Prozess Laufzeitverlängerung in der Ausbaustufe 1.

In dieser 1. Stufe kann nur bei ablaufenden Karten nachgeladen werden.

Und dabei kann auch die E-Mail-Adresse geändert werden.

In einer zweiten Ausbaustufe möchten wir zukünftig auch "unterjährige" (der Begriff ist nicht ganz passend) Nachladeprozesse während des kompletten Gültigkeitszeitraumes anbieten. (z.B. wenn sich eine E-Mail-Adresse geändert hat). Für diese Ausbaustufe wird jedoch eine neue SmartCard Generation benötigt, die dann im Gegensatz zur jetzigen SmartCard Generation mehrmalige Nachladeprozesse zulässt.

Also könnte ich doch bei der derzeitigen Karte die Email ändern. Lassen Sie doch einfach mein Zertifikat ablaufen!

Der Speicher einer Smartcard ist WORM. Das Zertifikat wird nicht geändert sondern das neue wird zusätzlich auf die Karte geschrieben. Zudem wird die Pinprüfung vom Chip der Smartcard ausgeführt.

Sehr geehrter Herr Behrens,

eine externe Pilotierung der neuen SmartCard Generation ist noch nicht gestartet, geschweige denn terminiert.

Der Prozess der Laufzeitverlängerung ist nicht potentiell unsicher.

Die Verbindung zu den Downloadservern ist mit der SmartCard abgesichert.

Wie Hr. Kinzler oben bereits ausgeführt hat werden vorhandene Zertifikate nicht geändert, sondern neu aufgebracht. Diese neuen Zertifikate gehen nicht einfach über die Leitung.

Übertragen werden Datenpakete aus denen die neuen Zertifikate durch Rechenoperationen auf der SmartCard generiert werden. Diese Datenpakete passen ausschließlich zu einer bestimmten Karte. Innerhalb des Laufzeitverlängerungsprozesses muss dreimal die PIN für die SmartCard eingegeben werden.

Selbstverständlich wurde die Sicherheit dieses Prozesses durch Penetrationsversuche von internen und externen Spezialisten nachgewiesen.

Die Ausbaustufe 1 sieht einen Nachladeprozess zur Änderung der E-Mail-Adresse außerhalb des regulären Wartungskorridors nicht vor. Deshalb muss ich meine Antwort von weiter oben noch einmal wiederholen...

Wenn sich Ihre E-Mail-Adresse geändert und Sie mit diesem E-Mail-Konto Mailsignatur und Mail Ver-und Entschlüsselung betreiben wollen, dann werden Sie sich eine kostenpflichtige Folgekarte bestellen müssen.

mit besten Grüßen

Thomas Neumeier

Produktmanagement SmartCard/mIDentity

DATEV eG

Sehr geehrter Herr Neumeier,

ich wurde als SmartIT-Nutzer am 22.11.2021 von DATEV darüber informiert, dass ich für meine DATEV SmartCard (mIDentity) bis zum 31.1.2022 eine Laufzeitverlängerung durchführen müsse und, da ich das Telemodul DÜ Rechnungswesen nutze, im Vorfeld neue Aktivierungsdaten bei Mein ELSTER anfordern müsse.
Leider ist die Anforderung der neuen Aktivierungsdaten mittels zahlreicher eigener Versuche und mittels Einschaltung von insgesamt fünf DATEV-Mitarbeitern über einen Zeitraum von mehr als einem Monat bis heute nicht gelungen.
Meine telefonische Kontaktaufnahme bei der ELSTER-Hilfe der Finanzverwaltung hat ergeben, dass keinem meiner in der DATEV-Cloud eingerichteten E-Mail-Konten ein ELSTER-Konto der Finanzverwaltung zugeordnet ist, für das neue Aktivierungsdaten für eine Laufzeitverlängerung angefordert werden könnten.
Kann es sein, dass mein Kontakt zur Finanzverwaltung aus der DATEV-Cloud heraus, als Nutzer von DATEV SmartIT, über ein DATEV-Konto bei ELSTER erfolgt und ich deshalb neue Aktivierungsdaten für ein ELSTER-Konto überhaupt nicht anfordern muss (und natürlich auch nicht kann)?
Ist die von DATEV zwischenzeitlich vorgenommene Laufzeitverlängerung meines mIDentity (vor Anforderung neuer Aktivierungsdaten!) insofern für die weitere Nutzung der SmartCard ausreichend und sind deshalb keine weiteren Aktionen von mir erforderlich?
Falls dem nicht so sein sollte: wie komme ich endlich an die Aktivierungsdaten?
Vorab herzlichen Dank für Ihre Antwort,
mit freundlichen Grüßen,
G. Krause

Hallo @godehardkrause ,

neue Aktivierungsdaten bei Elster müssen Sie nur anfordern, wenn Sie die Funktion "Mein Elster" unter www.elster.de nutzen und gleichzeitig dieses Konto mit Ihrer DATEV SmartCard (im Sprachgebrauch von Elster ist die SmartCard eine Signaturkarte) absichern. Hier ein Screenshot:

Wenn für ein Elster-Konto eines der anderen vier genannten Zugangsverfahren verwendet wird oder überhaupt kein Elster-Konto vorliegt, dann benötigen Sie keine neuen Aktivierungsdaten aufgrund der Laufzeitverlängerung.

mit besten Grüßen

Thomas Neumeier

DATEV eG Nürnberg 

Hallo Herr Krause,

im Telemodul wird häufig eine sogenannte Zertifikatsdatei hinterlegt, welche mit einem Elster-Konto verknüpft ist. Über diese werden dann die UVAs versendet, wobei keinerlei SmartCard benötigt wird. M.E. ist dies der typische Zustand.

Zusätzlich kann man weitere ElsterKonten (auf ein Konto kann nicht mit verschiedenen Anmeldeverfahren oder Karten zugegriffen werden) haben, auf die man mit SmartCard zugreift (in unserem Umfeld wohl als Steuerberater, also als Berufsträger) und kann dann zusätzliche Aktivitäten (für die Zertifikatsdatei nicht ausreichet - z.B. Abrufe von Steuerdaten ...) durchführen.

Im Übrigen bekommen Sie auch von Elster und unabhängig von der Datev an die im ElsterPortal hinterlegte E-Mail-Adresse Informationen über ablaufende Zugangsmedien (sowohl Zertifikatsdatei als auch die Karten).

Falls also eine ablaufende SmartCard mit einem ElsterKonto verknüpft ist, dann muss der Wechsel der Signaturkarte in diesem Elsterkonto über das ElsterPortal angestoßen werden, wofür der Zugang mit der "Altkarte und dem ablaufenden Zertifikat erforderlich ist), weil wohl nach Verlängerung die SmartCard aus Sicht der Software eine "Neue" ist, obwohl die die gleiche Hardware verwendet wird. Ein vorschnelles Verlängern würde hier den Zugriff auf das mit der Altkarte verknüpften Kontos nicht mehr ermöglichen (Ggf. könnte in einem solchen Fall aber über ElsterSupport noch etwas versucht werden - aber das sollte man tunlichst vermeiden).

Also:

Prüfen Sie, ob zu Ihren SmartCards Elster-Konten existieren und - falls existent - den Wechsel der Signaturkarte anstoßen (bitte erst, wenn die neuen Zertifikate für den Download bereit stehen).

Prüfen Sie sicherheitshalber auch, ob Sie eine Zertifikatsdatei einsetzen und wann diese abläuft.

Außerdem sollten Sie bei allen Elster-Konten prüfen, welche Mailadresse dort hinterlegt ist (die ist "frei" wählbar und muss nicht der Adresse der SmartCard entsprechen!).

PS: Vielleicht sollte die von Datev aufgeführte Meldung hier zur Vermeidung von Missverständnissen und Verunsicherung optimiert werden. Es sollte berücksichtigt werden, dass dieser Zertifikate-Dschungel für einen gewöhnlichen Nutzer kaum noch übersichtlich ist und man häufig gar nicht mehr versteht wo, wie und wozu welches Zertifikat, welcher Eintrag ... notwendig und abgerufen wird.

Viele Grüße

Hallo Herr Neumeier,

vielen Dank für Ihre schnelle Antwort.

Da ich nie im Zusammenhang mit DATEV SmartIT und mit meiner SmartCard die Funktion "Mein Elster" unter www.elster.de aufgerufen habe und lt. Abfrage bei der Finanzverwaltung auch kein ELSTER-Konto im Zusammenhang mit den im Rahmen von SmartIT genutzten E-Mail-Adressen besteht, benötige ich offenbar entgegen der insoweit irreführenden Beschreibung in dem Schreiben der DATEV zur Laufzeitverlängerung vom 22.11.2021 tatsächlich keine neuen Aktivierungsdaten aufgrund der Laufzeitverlängerung.

Mehr Klarheit seitens DATEV in diesem Schreiben und bei den zahlreichen folgenden Telefonaten mit der Hotline hätte mir einiges an Arbeit erspart.

Freundliche Grüße

G. Krause

Hallo,

herzlichen Dank für Ihre prompte, instruktive und ausführliche Erläuterung.

Ich habe hierzu noch zwei ergänzende Fragen und eine Anmerkung:

1. Meinten Sie am Ende Ihres zweiten Absatzes mit „zusätzlichen Aktivitäten“, z.B. „Steuerdaten“ den Zugriff auf das Steuerkonto? Die Daten zur vorausgefüllten Steuererklärung kann ich nämlich ohne Probleme abfragen.
2. Wo kann ich prüfen, ob ich eine Zertifikatsdatei einsetze und wann diese abläuft (denn im Rahmen von DATEV SmartIT verwende ich nicht "Mein ELSTER")?
   Ich habe diese unter den DATEV-Ordnern (ist ja wohl eine „pfx“-Datei) und in den Einstellungen zum Telemodul DÜ Rechnungswesen gesucht, aber nicht gefunden.
3. Zum dem auch von Ihnen erwähnten „vorschnellen Verlängern“ des DATEV-Zertifikats habe ich im DATEV-Dokument 1070476 unter 3. immerhin die folgende Lösung gefunden:

"Wenn Sie die Laufzeitverlängerung ohne die vorherige Anforderung neuer Aktivierungsdaten durchgeführt haben, wählen Sie Mein ELSTER | Signaturkarte | Signaturkarte verloren? um eine „Zugangserneuerung“ durchzuführen.

Bei Fragen zu Mein ELSTER wenden Sie sich direkt an ELSTER unter Hilfe | Kontakt."

P.S.: Mit Ihrem "P.S." sprechen Sie mir aus dem Herzen.

Beste Grüße,

G. Krause

Hallo Herr Krause,

1. Ich bezog mich auf Möglichkeiten, die dann auch aus dem Elster-Portal möglich wären. Bei Einsatz der Datev-Software ist dies aber eigentlich nicht notwendig (außer als Notlösung), weil die entsprechende Abrufe ohne Elster-Konto tätigt.
   Weil bei der Verlängerung die Karten-ID (Nummer die da draufsteht) unverändert bleibt, muss diese - so glaube ich - wohl auch nicht neu identifiziert oder der Erhalt bestätigt werden (Vorteil gegenüber Folgekarte oder neuer Karte). Demnach sind alle Dinge, wo die Karten ID (und nicht das Zertifikat) registriert ist, ohne Einschränkungen möglich. Beim Elster-Portal wird aber das Zertifikat benutz...
2. Siehe  DATEV Hilfe-Center, Dok.-Nr. 9222397 in Zeile Verfahren unter Zertifikatsdatei - dort sollte der Pfad zur Datei stehen - im Namen der Datei ist m.E. die Gültigkeit enthalten. Falls hier andere Authentifizierungsverfahren eingesetzt werden sollten, müsste das auch sichtbar sein.
   PS: Per Post müssten Sie eigentlich zu jedem Elster-Konto Zugangsdaten erhalten habe, in denen auch die verknüpften E-Mails aufgeführt sind, an die dann mit großem Vorlauf beginnend regelmäßig Informationen bei Ablauf von Gültigkeiten gesendet werden.
3. Guter Hinweis, würde es aber nicht drauf anlegen. Wahrscheinlich gab es da einige Support-Fälle, was diese Option hervorbrachte.

Hallo 8888,

vielen Dank für Ihre erneute Antwort und die weiteren Informationen.

Beste Grüße,

G. Krause