Wenn Sie z. B. eine Exceldatei mit Makros bekommen (Extension XLSM) filtert DATEVnet die heraus und Sie bekommen eine entsprechende Benachrichtigung.

Vielen Dank für die schnelle Antwort!

Trotzdem nachgefragt: DOC...- und XLS....-Dateien, die wir als Mailanhang durch DATEVNet erhalten, müssen stets durch eine Schaltfläche erst aktiviert werden, wenn diese benutzt werden sollen. Hierbei handelt es sich m.W. um eine Sicherheitsvorkehrung von Microsoft. 

Kann man als DATEVNet-Anwender solche durch DATEVNet gefilterte Mailanhänge "bedenkenlos" öffnen, wenn ansonsten "sämtliche" Sicherheitsroutinen (passt die Mail zum Absender?, Plausibilität?, ...) eingehalten wurden?

VG Jens Dauen

---

@JDauen  schrieb:

 

Kann man als DATEVNet-Anwender solche durch DATEVNet gefilterte Mailanhänge "bedenkenlos" öffnen, wenn ansonsten "sämtliche" Sicherheitsroutinen (passt die Mail zum Absender?, Plausibilität?, ...) eingehalten wurden?

 

VG Jens Dauen

---

Bedenkenlos? Nein. Denn dann wäre die Meldung ja hinfällig..

Ich kann Ihnen gern mal eine solche Meldung in Textform zeigen. 

Ihre erwähnten "Sicherheitsroutinen" gibts so nicht...das wäre ja fast KI...

Bedenkenlos kann man heutzutage kaum etwas öffnen, leider auch wenn die Absenderadresse stimmt. Wir hatten mal einen Mandanten mit gehacktem E-Mail-Konto und bekamen quasi als Antwort auf eigene Mails Mails mit glücklicherweise seltsam anmutenden und auch vom Virenscanner als infiziert erkannte Anhänge (zip mit Passwort und Passwort in Mail).

Falls die Anlage unverschlüsselt ist und die Übermittlung vom Mandant erwartet wurde (sonst im Zweifelsfall diesen rückrufen) besteht nur ein geringes Risiko (der Virenscanner sollte spätestens bei Öffnen dieses Dokument scannen - aber auch das ist keine 100 % Gewähr).

Makros sollten, wenn nicht vereinbart, immer mit Vorsicht betrachtet werden (nur aktivieren, wenn vertrauenswürdig und notwendig - kein Mandant muss sowas - außer vlt. die Datev-Kasse und Warenerfassung - per mail schicken.

Keine Ahnung wie gut DatevNet in Bezug auf alte .doc und .xls reagiert, die ja auch ohne zusätzliche m-Kennung Makros enthalten können.

PS: Auch der Sender könnte ohne es zu wissen eine infizierte Datei senden.

Man sollte also immer vorsichtig und bedacht sein sowie aktuelle oder einfache TXT-Formate (csv) nutzen.

Es gibt leider nie ein echtes "unbedenklich", bei entsprechender Vorsicht (die höre ich hier aber raus) aber ein nur geringes Restrisiko.

Viele Grüße 

---

@Nutzer_8888 schrieb:

außer vlt. die Datev-Kasse und Warenerfassung 

---

Noch viel schlimmer: Lohn Vorerfassung auf Excel Basis mit Makros 🤢. Damit man das Label digitale Kanzlei bekommt ...  Will nicht wissen, was DATEV noch alles mit Office und Makros umsetzt. 

@JDauen: Wir weisen alle Mails ab, die Anhänge enthalten, die nicht PDF oder TXT lauten. Konsequent. Dafür wollen wir noch mehr unser Austauschportal nutzen: https://kanzlei.land ist da ein Anbieter.  

...."bedenkenlos" war entsprechend gemeint und deshalb bereits in Anführungszeichen gesetzt. 

Vielleicht könnte die DATEV hier einmal aufklären wie "sicher" entsprechende Mailanhänge (xls.. / doc..) nach dem Durchlaufen von DATEVNet sind? Vielleicht auch gleich, ob grundsätzlich unerwünschte Anhänge (z.B. ZIP) durch eine individuelle Einstellung abgelehnt werden können?

VG Jens Dauen

Moin Moin

xls, doc sollte eine Kanzlei nicht akzeptieren! "Sollte" - leider. Auf Virenscanner kann man sich nicht verlassen, die hinken neuen Makro-Varianten immer hinterher. Weiß ich aus Erfahrung.

Vertrauen? Grundsätzlich nicht.

Zip-Dateien: Unverschlüsselt kann der Virenscanner den Inhalt scannen. Ihm unbekannte, neue Varianten bleiben natürlich unerkannt. Verschlüsselte Zip-Dateien, die nicht abgesprochen sind: Inakzeptabel, unbesehen löschen. Am Besten mit Mitteilung an den Absender - der schließlich gehackt sein kann. Verschlüsselte Zip-Datei mit Passwort im Emailtext: Unbesehen löschen und insgeheim ärgern, für wie doof die Kriminellen einen halten.

Am Besten: All diese Mails mit den Anhängen  - und sowieso diejenigen vom Datev-Mailradar - mißtrauen, von einem Admin in gesicherter Umgebung prüfen lassen und den Mandanten schreiben, dass es in Zukunft nicht mehr akzeptiert wird.

QJ

---

@quantenjoe  schrieb:

 

Am Besten: All diese Mails mit den Anhängen  - und sowieso diejenigen vom Datev-Mailradar - mißtrauen, von einem Admin in gesicherter Umgebung prüfen lassen und den Mandanten schreiben, dass es in Zukunft nicht mehr akzeptiert wird.

QJ

---

Nur so, @quantenjoe !

In gewisser Weise lässt der DATEVnet-Scan ja schon nicht viel durch. Hin und wieder kommt dann doch noch eine Spam durch. Diese sollte man dann (meistens merkt man ja, dass da was nicht stimmen kann), an 

spam@datev.de senden und (kostenlos) checken lassen. DATEVnet ist für dieses Checken nicht erforderlich, im Gegenteil, datevnet wird dadurch ggfls. sogar noch verbessert angepasst!

Hi,

je nach Machart des Makro, kann hier DATEVnet gar nicht zugreifen. Insbesondere bei dem verschleiern von nachträglichen Downloads, die dann den Schadcode erst mitbringen.

Kanzleien die ich betreue, bekommen per Gruppenrichtlinie den Makroschutz vor eingestellt. Hier dann eben die Einstellung "Makro ja, wenn digital signiert - alle anderen aus". Durch die Vorgabe durch die Gruppenrichtlinie wird dies sicher auf alle Benutzer/PCs ausgerollt und die Benutzer können dann die Einstellung nicht mehr verändern.

Zudem haben ein paar Kanzleien noch von JAM die Exchange-Toolbox installiert. Alle eingehenden Mails werden nach angehängten Dateien durchsucht. DOC, XLS, DOCM, XLSM, etc. werden blockiert. Die Mail wird komplett verworfen und der Absender sowie Empfänger hierüber informiert. In der Info-Mail ist zudem der Hinweis enthalten, dass ein anderes Format genutzt werden soll.

Je nach Mandant sorgt das zwar für "Stirnrunzeln", wird aber tatsächlich letztendlich akzeptiert. Es geht ja hier um IT-Sicherheit und somit auch um die Daten des betreffenden Mandanten. Es soll sogar Mandanten gegen, die dann ähnliche Systematiken eingeführt haben.

Zu guter Letzt bleiben dann noch die Kanzleimitarbeiter. Die müssen immer wieder belehrt werden. Ob es dann wirklich reicht, bleibt immer abzuwarten.

Am besten lebt man mit der Einstellung: Es ist NIE die Frage ob, sondern nur wann. Und dass WANN müssen wir solang wie möglich hinauszögern und für den WorstCase gerüstet sein.

Wenn es denn dann doch passiert... bei Kanzleien habe ich teilweise eine stündliche Sicherung zum normalen Nacht-Backup eingerichtet. Die Backupziele sollten nach derzeitigen Kenntnisstand nicht erreicht werden können... einem gezielten Angriff hält aber dann doch (fast) keiner stand... 

Beste Grüße
Christian Ockenfels

---

@andreashofmeister schrieb:
[...]

an spamt@datev.de senden und (kostenlos) checken lassen.

[...]

---

... ich bezweifle stark, dass das klappen wird 😎

... mit 'ungefähren' Adressen kann die Datev wahrscheinlich nichts anfangen

---

@vogtsburger  schrieb:

---

@andreashofmeister schrieb:
[...]

an spamt@datev.de senden und (kostenlos) checken lassen.

[...]

---

... ich bezweifle stark, dass das klappen wird 😎

 

... mit 'ungefähren' Adressen kann die Datev wahrscheinlich nichts anfangen

---

Na, dann nimmt man halt

spam@datev.de

Natürlich gibt es dazu auch ein Dokument, in diesem Fall:

Spam-Mails filtern: Mit dem DATEVnet-Spam-Schutz 

Dazu dann vorab aber schon mal hier Punkt 

4.1 Wenn trotz aktivem Spam-Schutz Spam zugestellt wurde

Wenn Sie den Spam-Schutz aktiviert, alle Vorsichtsmaßnahmen beachtet und eine Spam-Mail erhalten haben. Erstellen Sie eine neu E-Mail an die Adresse: spam@datev.de und fügen über die Schaltfläche Element anfügen die Spam-Mail ein. Beschreiben Sie kurz, weshalb Sie der Meinung sind, dass es sich bei dieser E-Mail um Spam handelt. Wir verwenden die eingesandten Daten ausschließlich zur Verbesserung des Spam-Schutzes.

... mich würde eine Methode interessieren, wie man Excel und Word-Dateien, die Makros enthalten, trotzdem sicher öffnen bzw. anzeigen und den Makro-Quelltext lesen kann.

So ganz ohne den Austausch von Original-MS-Office-Dateien kann man in einer Steuerkanzlei kaum leben.

Ich hatte schon mal sämtliche Original-MS-Office-Formate kanzleiweit für den E-Mail-Eingang gesperrt .... und das Geschrei war groß

Der Umweg über Änderung von Dateinamen, über Zip-Dateien, PDF-Container usw. ist ja auch keine wirkliche Lösung, wenn man sich die 'bösen Buben und Mädels' dann durch die Hintertür in's Haus holt

---

@andreashofmeister schrieb:

Beschreiben Sie kurz, weshalb Sie der Meinung sind, dass es sich bei dieser E-Mail um Spam handelt.

---

Das hast Du Dir ausgedacht @andreashofmeister, oder? 😂 Wertet DATEV das auch manuell aus? Industrie 4.0, 5G, Automatisierung und Co. und wir sollen der DATEV einen Prosatext schreiben, den DATEV liest und daraus manuell eine Entscheidung führt? 

Werden dafür Mitarbeiter abgestellt? Ich glaube, für solche Spielereien haben wir keine Zeit mehr aber das ist vermutlich aus einer anderen Zeit der Genossenschaft. 

---

@metalposaunist  schrieb:

---

@andreashofmeister schrieb:

Beschreiben Sie kurz, weshalb Sie der Meinung sind, dass es sich bei dieser E-Mail um Spam handelt.

---

Das hast Du Dir ausgedacht @andreashofmeister, oder?

 

Nein, grins, habe ich mir nicht ausgedacht, ist dem Text zu entnehmen. Aus der Erfahrung mit diesem "Vorgehen": nutzt hin und wieder schon, wenn man da schreiben kann, dass die Mail von "dem oder der, oder von da oder da kam"...

Ich selbst gebe meinem Umfeld immer den Hinweis, solche Mails an die spam@DATEV.de - Adresse zu schicken. Kommt dann später die Erläuterung zum "Inhalt" ist das eine ganz gute Methode, auf die "Brisanz" von solchen

Mails aufmerksam zu machen.

Ob man das nun als Lerneffekt bezeichnen kann, mögen andere beurteilen. Ich finds klasse! 

---

@metalposaunist  schrieb:

Werden dafür Mitarbeiter abgestellt? Ich glaube, für solche Spielereien haben wir keine Zeit mehr aber das ist vermutlich aus einer anderen Zeit der Genossenschaft. 

---

Kann ich auch nicht beurteilen. Musst Du mal dein DATEV-Netzwerk fragen...., @metalposaunist !

Moin Moin

Also bevor ich die Office-Datei mir anschaue, prüfe ich erstmal die Transport-Email.

Den Text z.B. auf Fehler, fehlende Merkmale, wie sie in Geschäftsemails vorhanden sein sollten. Oder wird mir ein "guter Grund" angegeben, warum ich Makros freigeben soll (und sei es in der Form bitte auf die Schaltfläche klicken um das Dokument anzuzeigen).

Dann den Email-Header. Zeitstempel, Transportwege und die Adressen der einzelnen Stationen geben oft schon Hinweise.

Grundsätzlich sollte eine Office-Datei, die nicht aus einer vertrauenswürdigen Quelle stammt mit Makros deaktiviert gestartet werden. Das sollte unbedingt Kanzleiweit eingerichtet sein - ohne Ausnahme. Auch hier, wird ein Bild / Text mit Schaltfläche angezeigt, dass eine Anzeigeaktivierung/-Aktion vom Benutzer erwartet.

XLS- und DOC-Dateien z.B. in Notepad öffnen und sich alles anschauen.

XLSM, XLSB und die Word-Pendants sind im Grund Zip-Dateien. In z.B. 7zip öffnen, dann die Struktur und die einzelnen Elemente untersuchen, ob etwas auffällt.

Ich weiß bei weitem auch nicht alles darüber, aber ich gehe davon aus (bislang wie es scheint zu Recht), dass der Aufwand an diesen Stellen auch Malware zu tarnen sich nicht mehr lohnt. 

Was auch noch geht: Eine virtuelle Testmaschine einrichten und in dieser die Datei öffnen - und im Hintergrund beobachten was passiert. Da Malware schon seit längerer Zeit versucht, herauszufinden, ob sie gerade in einer virtuellen Umgebung startet und dann nicht ihre Schadwirkung entfaltet, ist ein negatives Ergebnis bei der Beobachtung nicht unbedingt  korrekt. Immerhin bedeutet es, dass das Öffnen auf einem Terminalserver in einer virtuellen Maschine wahrscheinlich zum gleichen Verhalten führt.

Ich muss allerdings zugeben: Die Beobachtung in einer virtuellen Maschine haben wir gerade erst begonnen und sammeln erste Erfahrungen gerade.

Der beste Schutz ist allerdings, nur Makrofreie Office-Formate zu zu lassen. Wenn dies mit einem Mandanten gar nicht geht (Bequemlichkeit rechne ich nicht unter "gar nicht gehen"), dann sollte unbedingt eine klare Absprache getroffen werden, wie die Datei als authentisch und wissentlich verschickt identifiziert werden kann. 

Wer noch weitere Ideen hat, wie die Dateien/Emails geprüft werden können: Ich bin dankbar für jede weitere Idee!

QJ

... die individuellen Entscheidungen, ob eine E-Mail als 'vernünftig' oder 'gefährlich' betrachtet wird, ist (mir) viel zu unsicher.

Die E-Mail-Texte können sogar aus einem tatsächlichen eigenen Kommunikationsverlauf kopiert sein, mit einer virenverseuchten Anlage versehen und/oder mit gefährlichen Links im Html-Text etc.

... und die vorherige Warnung vor der Aktivierung von Makros (z.B. in Excel-Dateien) nützt oft auch nichts, weil man ja weiß, dass einige Excel-Dateien Makros enthalten und ohne Makros nicht funktionieren können.

Nein, das Auge und das eigene Gehirn lässt sich genauso gut täuschen und betrügen wie die Software.

Ich denke hier an spezielle Tools, Dokumenten-Viewer etc. oder Tools in anderen Betriebssystemen, die potentiell gefährliche E-Mail-Anlagen inkl. dem Makro-Code anzeigen aber den Makro-Code nicht ausführen können

Ich habe im Lauf der Zeit so manche virenverseuchte Datei eingesammelt und vorsichtshalber aufbewahrt.

Aber selbst wenn man 1000 Kandidaten (Malware) sicher erkennen würde, kann der 1001. Kandidat durch das Raster schlüpfen und großen Schaden anrichten

Nachtrag:

Ich hatte auch schon nach einem Tool gesucht, das das 'wahre' Format einer Datei erkennen kann und nicht nur davon ausgeht, dass die Dateiendung der 'Wahrheit' entspricht

Es wäre ja z.B. für jeden möglich, eine ausführbare Datei so umzubenennen, dass sie harmlos aussieht. In Wirklichkeit wird beim Doppelklick auf diese Datei aber ggfs. irgendein schädlicher Code ausgeführt

Im Zweifelsfall:

... ich finde den "Test" durch virustotal.com an sich sehr gut. Anhang dort hochladen und man bekommt eine sehr zuverlässige Aussage zum Anhang der Mail.

Kostet kaum Mühe, kein Geld und ist simpel.

... kenne ich auch und finde diesen Service gut

... hatte aber auch schon Fälle, die so neu waren, dass nichts gefunden wurde und ich trotzdem gespürt habe, dass da was 'faul' ist.

... was sich dann auch auf einem isolierten System bestätigt hat

---

@vogtsburger schrieb: 

Ich habe im Lauf der Zeit so manche virenverseuchte Datei eingesammelt und vorsichtshalber aufbewahrt.

Aber selbst wenn man 1000 Kandidaten (Malware) sicher erkennen würde, kann der 1001. Kandidat durch das Raster schlüpfen und großen Schaden anrichten

---

Und deshalb hatte ich mal an anderer Stelle geschrieben: Das System der "VirenScanner" ist grundlegend kaputt... Wir hecheln mit Virensignaturen den Virenerstellern/-schreibern hinterher. Und der "Gegner" ist in diesem Falle immer schneller und somit im zeitlichen Vorteil.

---

Nachtrag:

Ich hatte auch schon nach einem Tool gesucht, das das 'wahre' Format einer Datei erkennen kann und nicht nur davon ausgeht, dass die Dateiendung der 'Wahrheit' entspricht

---

Das nutzt im Bezug auf die Makroviren auch nur bedingt, da man zunächst nur das Word-Format als solches erkennt. Die DOCM auszupacken (7-Zip) und dann den Inhalt durchzugehen, kann man machen. Dürfte aber auch eine Endlosaufgabe sein. 

---

Es wäre ja z.B. für jeden möglich, eine ausführbare Datei so umzubenennen, dass sie harmlos aussieht. In Wirklichkeit wird beim Doppelklick auf diese Datei aber ggfs. irgendein schädlicher Code ausgeführt

---

Ich würde mir ja wünschen, dass Windows in den Standard-Einstellungen die Dateiendungen einblendet. Dieses per Standard ausblenden der Dateiendungen hat m.E. doch diesem Irrsinn noch weiteren Nährboden gegeben. Die Anwender verlassen sich blind darauf, dass eine Datei mit einem Word-Symbol auch ein Word-Dokument ist. Das ist meiner Meinung nach grober Unfug.

Beste Grüße
Christian Ockenfels

---

@chrisocki schrieb:

Ich würde mir ja wünschen, dass Windows in den Standard-Einstellungen die Dateiendungen einblendet. Dieses per Standard ausblenden der Dateiendungen hat m.E. doch diesem Irrsinn noch weiteren Nährboden gegeben. Die Anwender verlassen sich blind darauf, dass eine Datei mit einem Word-Symbol auch ein Word-Dokument ist. Das ist meiner Meinung nach grober Unfug.

---

Dito 👍. Lässt sich bestimmt per GPO lösen, oder? 😬 Jaja, die schöne ich-mache-nichts.pdf.exe 🙄. 

@chrisocki: Dann geht das mit einer Schulung los: Was ist .pdf, .exe, .zip. .xlsx oder .xlsm, ... 

@metalposaunist 

GPO:  Gruppenrichtlinienverwaltung -> Gruppenrichtlinie wählen -> Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Ordneroptionen -> Neu -> Windows Vista oder höher -> Häkchen bei ‚Erweiterung bei bekannten Dateitypen ausblenden‘ entfernen

---

Dann geht das mit einer Schulung los: Was ist .pdf, .exe, .zip. .xlsx oder .xlsm, ... 

---

OmG... Das funktioniert nie... Viele können und wollen schon den DAP nicht bedienen... 

Beste Grüße
Christian Ockenfels

---

@chrisocki schrieb:

OmG... Das funktioniert nie...

---

Dann braucht man das nicht einblenden. Dann hat das keinen Mehrwert und stiftet nur noch mehr Support 😇. 

Hallo Herr Dauen, hallo liebe Community,

die vielen richtigen und hilfreichen Antworten in diesem Beitrag möchte ich gern noch um eine offizielle Perspektive ergänzen.

Grundsätzlich: E-Mail-Anhänge mit Makros durchlaufen den gleichen mehrstufigen Überprüfungsprozess wie alle anderen Dateiformate. Dateien mit Makros filtern wir nur bei erkannter Schadsoftware automatisch aus.

Sollte sich im Makro lediglich Code befinden, der Schadsoftware nachlädt, so sind Sie als Anwender durch den DATEVnet HTTPS-Scan geschützt, sofern Sie ihn nicht deaktiviert haben. Hierbei werden auch verschlüsselte Verbindungen überprüft.

Da E-Mails häufig nach Erhalt nicht sofort geöffnet werden, bietet der Reverse Scan noch einen zusätzlichen Schutz. E-Mails werden bei uns zwischengespeichert und nach dem Empfang nochmals gescannt. Für die erneute Prüfung werden jeweils die aktuellsten Virensignaturen verwendet, um zuvor unbekannte Bedrohungen erkennen zu können.

Eine Möglichkeit, bestimmte Dateiformate beim Empfang pauschal abzulehnen, gibt es nicht.

Die generellen Empfehlungen aus der Community können wir zudem nur bestätigen: Im Zweifel ist es immer sinnvoll anzunehmen, dass eine E-Mail kompromittiert ist. Dabei alle verfügbare Barrieren zu nutzen (Office-Warnmeldung, lokaler Virenscanner…) können wir ebenfalls empfehlen.

Noch zwei weitere Infos zu Themen, die ebenfalls angesprochen wurden:

Excel-Dateien mit Makros, die aus unserem Hause stammen (z.B. von Lohn Vorerfassung), sind grundsätzlich signiert.

E-Mails an spam@datev.de werden zunächst immer automatisiert geprüft. Wenn sie von den Systemen nicht wegen einer Schadsoftware-Erkennnung direkt abgelehnt werden, schaut immer nochmal ein Mensch drauf und gibt ein Feedback zum Inhalt der Mail.

Weitere Rückfragen beantworten wir gern 😊

@Stefan_Maetz schrieb: 

[...] Eine Möglichkeit, bestimmte Dateiformate beim Empfang pauschal abzulehnen, gibt es nicht. 

Ich hatte mal in Outlook kanzleiweit eine recht laaange Liste von potentiell gefährlichen Dateiendungen (ausführbare Dateien) 'pauschal' blockiert (abgelehnt). 

Allerdings ist diese Methode (per Windows Registry-Eintrag) relativ "dumm", weil die Dateiendungen ja auch gefälscht sein könnten und das wahre Format so nicht erkannt wird.

Daher wäre aus meiner Sicht ein Tool oder AddIn oder Ähnliches hilfreich, das das wahre Dateiformat einer E-Mail-Anlage erkennen und anzeigen kann.

Außer Word- und Excel-Dateien gibt es nämlich noch zig andere potentiell gefährliche Dateiformate, die ausführbaren Code enthalten können.

'Transportieren' bzw. verstecken kann man Schadcode sowieso in vielen Dateien, z.B. auch in JPEGs

---

@Stefan_Maetz schrieb:

Sollte sich im Makro lediglich Code befinden, der Schadsoftware nachlädt, so sind Sie als Anwender durch den DATEVnet HTTPS-Scan geschützt, sofern Sie ihn nicht deaktiviert haben.

---

Das finde ich eine mutige Aussage. Das hätte ich mir selbst nicht getraut zu sagen 🤐. Nicht, dass das im Nachhinein noch Ansprüche ergibt.

---

@Stefan_Maetz schrieb:

Hierbei werden auch verschlüsselte Verbindungen überprüft.

---

Komisch, dass DATEV das aber selber nicht mag, wenn z.B. der Kaspersky SSL Verbindungen untersucht 😉.

---

@Stefan_Maetz schrieb:

Da E-Mails häufig nach Erhalt nicht sofort geöffnet werden,

---

Auf welche Basis stützt sich diese Begründung? Das kann ich nicht so ganz glauben, wenn E-Mail DAS Format bei DATEV ist, weil man bisher kaum Alternativen hat und DATEV die E-Mail auch in Zukunft als sehr wichtig betrachtet.

---

@Stefan_Maetz schrieb:

bietet der Reverse Scan noch einen zusätzlichen Schutz.

---

Weil DATEV Kosten vs. Nutzen immer abwägt, muss das ja allgemein wohl passen und wenig Ressourcen in Anspruch nehmen bzw. der Nutzen derart hoch, dass ein gewisser nennenswerter %-Satz schadhafter E-Mails dadurch herausgefiltert wurden. Kann man nachlesen, wie lange man E-Mails nicht öffnen soll, damit der Reverse Scan denn greift? Oder reichen 5min nicht aus und nach 10min sagt DATEV: Na die E-Mail war aber schadhaft. 

---

@Stefan_Maetz schrieb:

Eine Möglichkeit, bestimmte Dateiformate beim Empfang pauschal abzulehnen, gibt es nicht.

---

Gelobe mir meinen eigenen Exchange (online) und eigene Sicherheitseinstellung 🤗. Wenn es sogar vereinzelt Mandanten gibt, die Anhänge von ZIPs und Office dicht machen ... kann ja nicht so falsch sein. 

---

@Stefan_Maetz schrieb:

Dabei alle verfügbare Barrieren zu nutzen (Office-Warnmeldung, lokaler Virenscanner…) können wir ebenfalls empfehlen.

---

Kann man ja mit DATEVnet dann wohl nicht? Und dass Virenscanner out of date sind, hatte @chrisocki schon angemerkt.  

---

@Stefan_Maetz schrieb:

Excel-Dateien mit Makros, die aus unserem Hause stammen (z.B. von Lohn Vorerfassung), sind grundsätzlich signiert.

---

Auch nur eine kleine Abhilfe, wenn es schon Schadsoftware gab, die offizielle Signaturen nutzte, weil die Zertifikate gestohlen wurden oder auf anderen Wegen bekannt wurden.  

Also persönlich werde ich das Gefühl nicht los, dass DATEV auch hier der Technik hinterher hinkt - wenn gleich DATEV sicherlich einen erheblichen %-Satz vom Umsatz in die E-Mail Sicherheit investiert. Ob das der Zukunft ist?! 

Hi,

---

@metalposaunist schrieb: Auf welche Basis stützt sich diese Begründung? Das kann ich nicht so ganz glauben, wenn E-Mail DAS Format bei DATEV ist, weil man bisher kaum Alternativen hat und DATEV die E-Mail auch in Zukunft als sehr wichtig betrachtet.

---

Bei mir: Lebenserfahrung... Anwender klicken alles und sofort an, was nicht bei drei auf dem Baum ist. Gefragt wird erst hinterher, wenn es "komische" Meldungen gibt. Dass Anwender im Vorfeld stutzig werden, ist leider nicht der Regelfall... und "witzigerweise": je höher im Rang, desto schneller klick...

@Stefan_Maetz schrieb:

Eine Möglichkeit, bestimmte Dateiformate beim Empfang pauschal abzulehnen, gibt es nicht.

 

Gelobe mir meinen eigenen Exchange (online) und eigene Sicherheitseinstellung 

. Wenn es sogar vereinzelt Mandanten gibt, die Anhänge von ZIPs und Office dicht machen ... kann ja nicht so falsch sein. 

Die Kunst ist es nicht eine Erkennung an der Dateiendung durchzuführen (macht meines Wissens auch der Exchange so), sondern den MIME-Type. Und hier scheiden sich leider schnell die Geister... 

Also persönlich werde ich das Gefühl nicht los, dass DATEV auch hier der Technik hinterher hinkt - wenn gleich DATEV sicherlich einen erheblichen %-Satz vom Umsatz in die E-Mail Sicherheit investiert. Ob das der Zukunft ist?! 

Solang für die Anwender der Outlook das "must-have" ist, wird sich hier nicht soviel ändern. Es ist halt einfach... Alle anderen Lösungen sind nicht einfach und unkompliziert. Und dieses Problem hat nicht nur DATEV. 

Beste Grüße
Christian Ockenfels

Letztlich zählt ja erstmal nur das Ergebnis und deswegen fände ich Statistiken dazu durchaus interessant:

https://www.datev-community.de/t5/Technisches-zu-Software/Ransomware-Statistik-der-betroffenen-Kanzlein/td-p/248185

Wir haben neben DATEVnet die Makros eingeschränkt, halten alles Uptodate und auch werden ein paar eMails noch rausgefiltert die ab und an dann bei mir landen und ich selbst erstmal anschaue.

Was kann man denn sonst noch machen (ausser schulen)?

Vor etwa zwei Jahren ist mal ein Schädling durchgekommen.. der Anhang wurde aber nicht geöffnet, wäre aber auch an den Markoeinstellungen gescheitert und wird mittlerweile auch von DATEVnet abgewiesen.

Früher gab es mal einen Sicherheitsreport.. warum gibt es den nicht mehr?

Hallo Daniel,

vielen Dank für die Rückfragen 🙂 Anbei einige Antworten.

@metalposaunist  schrieb:

Das finde ich eine mutige Aussage. Das hätte ich mir selbst nicht getraut zu sagen 🤐. Nicht, dass das im Nachhinein noch Ansprüche ergibt.

Ich hatte mir hier den Disclaimer gespart, dass wir natürlich keinen vollständigen Schutz garantieren können, sondern die erwähnten Mechanismen lediglich darauf abzielen, eine möglichst hohe Sicherheit zu gewährleisten 😀

@metalposaunist  schrieb:
Komisch, dass DATEV das aber selber nicht mag, wenn z.B. der Kaspersky SSL Verbindungen untersucht 😉.

In welchen Konstellationen treten denn hier Probleme auf? Ich kann gerne mal versuchen herauszufinden, wo der Grund dafür liegt.

@metalposaunist  schrieb:

---

@Stefan_Maetz schrieb:

Da E-Mails häufig nach Erhalt nicht sofort geöffnet werden,

---

Auf welche Basis stützt sich diese Begründung? Das kann ich nicht so ganz glauben, wenn E-Mail DAS Format bei DATEV ist, weil man bisher kaum Alternativen hat und DATEV die E-Mail auch in Zukunft als sehr wichtig betrachtet.

Die Aussage basiert auf unserer (nicht-wissenschaftlichen) Beobachtung des typischen Nutzer-Workflows beim Bearbeiten von E-Mails. In vielen Fällen bleibt eine Mail erstmal einige Stunden im Posteingang liegen, bis sie geöffnet bzw. gelesen und bearbeitet wird. Im Falle von Makro-Viren, die sich in einem Anhang befinden, vergeht hier wertvolle Zeit, in der unser Reverse-Scan tätig werden kann. Zudem: wenn zum Beispiel zwischen 8 und 18 Uhr gearbeitet wird, werden in der restlichen Zeit die Mails permanent gescannt.

Das trifft natürlich nicht auf alle Settings und Arbeitsweisen zu. Wie verhält sich denn der/die Mitarbeiter:in einer Steuerberatung typischerweise beim "Mail-Konsum"? Vielleicht gibt es hier ja auch noch etwas zu lernen für uns.

@metalposaunist  schrieb:

---

@Stefan_Maetz schrieb:

bietet der Reverse Scan noch einen zusätzlichen Schutz.

---

Weil DATEV Kosten vs. Nutzen immer abwägt, muss das ja allgemein wohl passen und wenig Ressourcen in Anspruch nehmen bzw. der Nutzen derart hoch, dass ein gewisser nennenswerter %-Satz schadhafter E-Mails dadurch herausgefiltert wurden. Kann man nachlesen, wie lange man E-Mails nicht öffnen soll, damit der Reverse Scan denn greift? Oder reichen 5min nicht aus und nach 10min sagt DATEV: Na die E-Mail war aber schadhaft. 

Der Reverse Scan läuft jedes Mal, wenn wir ein Virensignatur-Update erhalten, in der Praxis mehrmals pro Stunde.

@metalposaunist  schrieb:
@Stefan_Maetz schrieb:
Eine Möglichkeit, bestimmte Dateiformate beim Empfang pauschal abzulehnen, gibt es nicht.

Gelobe mir meinen eigenen Exchange (online) und eigene Sicherheitseinstellung 🤗. Wenn es sogar vereinzelt Mandanten gibt, die Anhänge von ZIPs und Office dicht machen ... kann ja nicht so falsch sein. 

Dem können wir uns anschließen - je restriktiver diese Einstellungen, desto sicherer. Die Abwägung zwischen Komfort und Sicherheit, die hier auch schon ein paarmal angeklungen ist, muss natürlich jede Kanzlei für sich treffen.

@metalposaunist  schrieb:

---

@Stefan_Maetz schrieb:

Dabei alle verfügbare Barrieren zu nutzen (Office-Warnmeldung, lokaler Virenscanner…) können wir ebenfalls empfehlen.

---

Kann man ja mit DATEVnet dann wohl nicht? Und dass Virenscanner out of date sind, hatte @chrisocki schon angemerkt.

Hier brauche ich noch etwas Kontext zum Verständnis - was funktioniert genau mit DATEVnet nicht? Hier stehe ich möglicherweise gerade auf dem Schlauch.

Dass Virenscanner an Stellenwert verloren haben, ist in vielen Kontexten durchaus möglich und wahrscheinlich. Nichtsdestotrotz sind sie allgegenwärtiger denn je. Auch das BSI empfiehlt weiterhin einen Einsatz, sodass ich davon ausgehe, dass es zumindest nicht schaden kann, einen lokalen Virenscanner zu haben.  

@metalposaunist  schrieb:

---

@Stefan_Maetz schrieb:

Excel-Dateien mit Makros, die aus unserem Hause stammen (z.B. von Lohn Vorerfassung), sind grundsätzlich signiert.

---

Auch nur eine kleine Abhilfe, wenn es schon Schadsoftware gab, die offizielle Signaturen nutzte, weil die Zertifikate gestohlen wurden oder auf anderen Wegen bekannt wurden.  

Korrekt, vollständigen Schutz bietet eine Signierung nicht - sie verringert aber immerhin die Angriffsfläche erheblich. Ein Zertifikat zu entwenden und zur Signierung einzusetzen bedeutet in der Regel einen erheblichen Mehraufwand für einen Angreifer. Klar ist, dass es sicherlich Alternativen gibt, die eine noch geringere Angriffsfläche bieten. Unser Ziel ist, (möglichst sicher!) anzubieten, was nachgefragt wird. Das heißt auch, dass wir häufig mehrere Alternativen anbieten oder an solchen arbeiten.

@metalposaunist  schrieb:

Also persönlich werde ich das Gefühl nicht los, dass DATEV auch hier der Technik hinterher hinkt - wenn gleich DATEV sicherlich einen erheblichen %-Satz vom Umsatz in die E-Mail Sicherheit investiert. Ob das der Zukunft ist?! 

---

Wie in einigen anderen Threads schon mal diskutiert - ob das der Zukunft ist, wage ich in diesem Kontext nicht zu beurteilen 🙂 Fakt ist, dass für unsere Nutzer die E-Mail eine große Rolle spielt, wie @chrisocki schon angemerkt hat. Insofern ist unser hohes Investment hier unserer Ansicht nach absolut gerechtfertigt, und macht sich insofern auch bezahlt, als dass wir uns hinsichtlich z.B. der Erkennungsraten nicht vor der Konkurrenz verstecken müssen.

Natürlich ist die E-Mail ist in vielen Kontexten nicht alternativlos - auch das berücksichtigen wir bei der Entwicklung von neuen Angeboten.