Hallo,

vielleicht hilft Ihnen das Dokument 1045320 aus der Info-Datenbank weiter: http://www.datev.de/info-db/1045320

Hallo,

das Bild habe ich, als ich meine Antwort geschrieben habe, gar nicht gesehen.

Für die Fehlermeldung TI4312 gibt es auch ein Dokument:

http://www.datev.de/info-db/1043380

Hallo,

ich glaube nicht das es daran liegt.

Haben Sie mal das von mir verlinkte Dokument 1043380 angesehen und dort den Punkt 5 durchgeführt?

Sie erhalten weitere Informationen zu der Meldung und mögliche Ursachen und Abhilfen

Ist es der DATEV bekannt, daß der Kommserver regelmäßig die fest hinterlegte PIN der gesteckten SC verschusselt?

Gibt es mittlerweile ein Tool, welches dem Admin mitteilt, wenn der Kommserver wieder einmal die Pin der Smartcard verschusselt hat?

Wird bereits daran geforscht, eine Möglichkeit zu finden, daß dem Kommserver vollautomatisch die verschusslete PIN wieder ins Gedächtnis gebracht werden kann?

Hier kam gerade folgende Email vom Inst. Manager rein:

________________________________

Kanzlei, Installationsmanager, neue Zugriffsrechte.

Der automatische RZ-Abruf für die Beraternummer #####
konnte nicht abgeschlossen werden.

Es ist der folgende Fehler aufgetreten:

#RZK82019

Die Kommunikation mit dem DATEV-Rechenzentrum funktioniert nicht.

Es gab ein Problem bei der PIN-Eingabe oder bei der SmartCard.

» Machen Sie einen Funktionstest in der RZ-Kommunikation und achten Sie auf die Hinweise aus dem Test.

» Prüfen Sie die DATEV-SmartCard im Sicherheitspaket.

» Prüfen Sie die Funktion Ihres Internetanschlusses.

$TI4312F Keine Verbindung zum RZ;DFÜ-Journal 01A16:02:31

Weiterführende Informationen und mögliche Abhilfen finden Sie in der Informations- Datenbank unter https://www.datev.de/lexinform/selectSearch.html?searchtext=RZK82019&forcePublic=true.

Hallo Herr Kolberg,

bei der gerätebezogenen Absicherung wird ein sogenannter Maschinen-PIN als Sicherheitsanker verwendet. Dieser Maschinen-PIN wird individuell auf jedem Rechner berechnet. In die Berechnung fließen verschiedene Hardware-Parameter des Rechners ein.

Ein Parameter ist die MAC-Adresse. Bei der Aktivierung der gerätebezogenen Absicherung wird diese Maschine-PIN errechnet und auf die SmartCard direkt abgelegt. Aus diesem Grund muss auch die persönliche PIN eingegeben werden, da ja ein Schreibzugriff auf die SmartCard selbst erfolgt.

Im laufenden Betrieb des KommServers wird nun vor jedem Verbindungsaufbau diese Maschinen-PIN neu errechnet und mit der auf der SmartCard abgelegten Maschinen-PIN verglichen. Stimmen beide Maschinen-PINs überein ist alles gut und die Verbindung wird aufgebaut.

Hat sich nun jedoch an der KommServer Maschine ein Parameter verändert (wie z.B. die MAC-Adresse in virtuellen Umgebungen) stimmt der errechnete PIN nicht mehr mit dem auf der SmartCard hinterlegten PIN überein. In diesem Fall gilt die Maschinen-PIN auf der SmartCard sofort als kompromittiert und wird dadurch ungültig. Die gerätebezogene Absicherung geht verloren und muss vom Anwender neu aktiviert werden. Es wird eine neue Maschinen-PIN auf die SmartCard geschrieben. Der Prozess beginnt wieder von vorne.

Sollten Sie beim Kommunikationsserver das von Ihnen beschriebene Problem regelmäßig haben, würde ich Sie bitten, sich mit unserem Service unter der Telefonnummer 0911 / 319 34445, damit wir zusammen eine Lösung finden.

Mit freundlichen Grüßen

Thomas Puritscher

Datev eG

Sehr geehrter Herr Puritscher,

Das Problem tritt unregelmäßig ca. 2 * pro Woche auf.

Es handelt sich um einen normalen PC mit fest verbauter Hardware und einer ewig gesteckten Smartcard. Regelmäßig erfolgen Aufschaltungen für Fernwartungen, es besteht aber keinerlei Zusammenhang mit dem Rauskicken.

Fragen:

• Wo liegt das Protokoll, welches sekundengenau angibt, wann die Kompromittierung festgestellt wurde? (Zum Abgleich mit dem System- Ereignissen)
• Läßt sich die Maschinen-PIN mit Hilfe eines DATEV- Tools auslesen, um ein Protokoll zu führen?
• Gibt es ein Tool, welches erkennt, wenn die gerätebezogene Absicherung verloren ging um sofort eine Email los zu senden?
• Läßt sich das irgendwie verhindern, daß die Absicherung vom Anwender neu aktiviert werden muß, denn mittlerweile kennt jeder im Haus das geheime SC- Kennwort und das ist ein untragbarer Zustand.

Ich vermute jedoch einen timeout der einfach die korrekte Maschinen-PIN nicht mit der SC abgleichen kann, wenn das System unter Last steht.

Hallo Herr Kolberg,

tut mir leid, dass ich mich erst jetzt melde.

Leider gibt es keine Tools bzw. Protokolle, die die gerätebezogene Absicherung / Maschinenzertifikate überwachen. Evtl. können Sie durch die Windows-Ereignisanzeige bzw. dem DFÜ-Journal der RZ-Kommunikation (Fehlermeldung beim Zugriff auf die SmartCard ist $ST1144F) das Problem weiter eingrenzen.

Eine mögliche Ursache wäre noch die Nutzung des RDP-Protokolls. Nach Abmeldung der RDP-Sitzung wird die SmartCard-Pin gelöscht:

Remotedesktopverbindung fürht zu Problemen im Zusammenhang mit DATEV SmartCard/mIDentity

Um dem Fehler final auf die Spur zu kommen würde ich Sie bitten, sich mit unserem Service unter der Telefonnummer 0911 / 319 34445 in Verbindung zu setzen.

Mit freundlichen Grüßen

Thomas Puritscher