Makroviren und DATEVNet – Seite 2 - DATEV-Community

metalposaunist · ‎25.04.2022

@Stefan_Maetz schrieb:
In welchen Konstellationen treten denn hier Probleme auf? Ich kann gerne mal versuchen herauszufinden, wo der Grund dafür liegt.

Habt Ihr selbst schon dokumentiert: Meldung "Fehlerhafte Authentifizierung"

Wenn anstelle von Thawte <…> ein anderer Aussteller angezeigt wird: Das Zertifikat wird von Fremdsoftware ausgetauscht (‚SSL-Inspection‘) wodurch der Zugriff verhindert wird.

Für folgende Domains oder IP-Adressbereiche muss SSL-Inspection deaktiviert werden:

Aber DATEV darf die SSL Verbindungen aufbrechen, um mir Anwender noch höhere Sicherheit zu geben. Andersrum möchte DATEV das nicht. Klingt ein bisschen so nach A predigen und empfehlen aber B tun.

@Stefan_Maetz schrieb:
Hier brauche ich noch etwas Kontext zum Verständnis - was funktioniert genau mit DATEVnet nicht? Hier stehe ich möglicherweise gerade auf dem Schlauch.

Ich kann mit DATEVnet nicht sagen: Sperre alle Anlagen, sofern sie nicht PDF und TXT lauten. Oder doch?

@Stefan_Maetz schrieb:
Ein Zertifikat zu entwenden und zur Signierung einzusetzen bedeutet in der Regel einen erheblichen Mehraufwand für einen Angreifer.

Werden bestimmt im Draknet zu kaufen angeboten. Ich habe keine Quelle aber in der IT ist immer der Worst Case anzunehmen.

@Stefan_Maetz schrieb:
Unser Ziel ist, (möglichst sicher!) anzubieten, was nachgefragt wird.

Dann go, go, go mit den Bewegungsdaten im neuen DATEV Personaldaten online Programm.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de

quantenjoe · ‎26.04.2022

Moin Herr Maetz

Zitat:"Sollte sich im Makro lediglich Code befinden, der Schadsoftware nachlädt, so sind Sie als Anwender durch den DATEVnet HTTPS-Scan geschützt"

Setzt natürlich voraus, dass auch der gesamte Internet-Verkehr über Datevnet stattfindet. Angesichts der Preise eher unwahrschleinlich, m.E.. Aber es ist schon gut, dass Datev bei Makros ein Warmmail schickt, mit der Orinial-mail als Anhang. Dies ist ehrlich gesagt für mich immer noch der Grund Datevnet weiter zu buchen.

Dass Datev bzw. der Dienstleister nicht immer up to date sind, haben wir schon erlebt. Ist keine Kritik! Bei Virustotal erkannten auch nur 2 Scanner die Malware. Uns reicht, wenn Datev anzeigt: Makros - mit der Originalmail als Anhang. Die wird von mir untersucht und erst wenn ich mir sicher bin, freigegeben.

Will sagen, Nutzer: Vergesst den HTTPS-scan, die Warnungs-Mail durch Datevnet ist viel besser.

Zitat: "Da E-Mails häufig nach Erhalt nicht sofort geöffnet werden ..."Naja, hängt davon ab, wie schnell die Virensignaturen nachziehen können. In dem eben beschriebenen Fall bei uns, erkannte McAfee die Malware erst am nächsten Tag. Zeit genug also die Email trotzdem zu öffnen und den Anhang anzusehen. Wie gesagt, die Email dann als Anhang einer Warnmail zu schicken, ist schon richtig gut. Bei uns gilt: Diese Mail weiterleiten an den Admin und erst nach Freigabe öffnen. Hat sich bewährt. Ansonsten ... eher Glücksspiel.

Will sagen: Datev allein kann es nicht richten (macht euch da nichts vor), aber mit der Warn-Mail "Mailradar" liefert ihr das richtige Werkzeug und die richtige Warnung.

Zitat: "Excel-Dateien mit Makros, die aus unserem Hause stammen (z.B. von Lohn Vorerfassung), sind grundsätzlich signiert."
Sofern man Datevnet für Emails nutzt, sind diese Mails allein auf Grund des direkten Weges sicher ... es sei denn Datev selber wäre kompromittiert.

Zitat: "Ein Zertifikat zu entwenden und zur Signierung einzusetzen bedeutet in der Regel einen erheblichen Mehraufwand "
Es sei denn, Datev ist kompromittiert. Nicht unmöglich heuzutage.

So nebenbei möchte ich noch erwähnen, PDFs mit Javascript sind auch ein Gefahr. Wäre schön, wenn Datev diese PDFs auch mit einer Warnmail ausliefern würde!

QJ