Hallo zusammen,
wegen der Umstellung im September und der eingeschränkten Funktionalität des Pins/Tan Zahlungsverkehrs über den Drittanbieter haben wir auf EBICS umgestellt. Leider stelle ich nun fest, dass das Verfahren aus Anwendersicht unsicherer ist, als das PIN/Tan verfahren.
Bei EBICS muss man sich nur einmal bei Datev anmelden, mit SmartCard oder mIDentity. Danach gibt es keine weiteren Sicherheitsstufen mehr. Ich spreche wie gesagt aus der Anwender Perspektive. Welche Sicherheiten es im Hintergrund gibt weiß ich nicht. Aber bei PIN/Tan habe ich zusätzlich zu der Anmeldung in Datev selbst mit SmartCard oder mIDentity noch einen Pin die ich eingeben muss und schließlich die zugeschickte Tan. Das sind also 3 Sicherheitsstufen im Vergleich zu EBIC mit nur einer Stufe.
Natürlich haben wir eine Firewall und einen Virenscanner aber 100% sicher sind auch die nie.
Wenn also ein Hacker zugriff auf einen Rechner bekommt, wo der Dongel dran steckt und authentifiziert ist, kann er Überweisungen ohne jede weitere Hürde ausführen.
Hier hätte ich einen Verbesserungsvorschlag. Man sollte in Datev für Ebics einen Pin hinterlegen könnte, so wie man es auch in anderen Bankprogrammen machen kann.
Beste Grüße
Alexander D.
Hallo,
EBICS ist von der technischen Verschlüsselung her gesehen das sicherste Banking-Verfahren.
Zusätzlich lautet unsere Empfehlung, das Zugangsmedium (DATEV mIDentity / DATEV SmartCard) bei Nichtbenutzung vom System zu trennen.
Trotzdem wird es vermutlich keine hundertprozentige Sicherheit vor einem Hackerangriff geben. Sofern sich ein Hacker bereits auf Ihren System befindet, würde er möglicherweise auch bei einer hinterlegten PIN Zahlungen ausführen können.
Sie können Ihren Verbesserungsvorschlag gerne in DATEV Ideas einstellen: https://www.datev-community.de/community/ideas/ideen-zu-unternehmen-online
Mit freundlichem Gruß
Gerlinde Hübl
Service DATEV Unternehmen online
DATEV eG
Wenn Sie Ihren PC kurz "verlassen" ohne ihn zu sperren oder den DATEV-Stick abzuziehen, kann also jeder Fremde eine Überweisung ausführen ohne eine weitere Sicherheitsabfrage/Eingabe?
Wenn das stimmt, wäre dies für jedes Unternehmen ein großes Riskio, den jeder verlässt mal seinen Platz und den Stick jedesmal mitzunehmen dürfte nichts mit der Realität zu tun haben.
diese Aussage ist absolut UNRICHTIG
Bei jedem Zahlungsvorgang MUSS die PIN der Smartcard eingegeben werden. Insofern ist dieses Verfahren (mindestens) so sicher - auch hinsichtlich der "Anmeldestufen" wie das PIN/TAN-Verfahren.
Für eine Zahlung wird benötigt:
- der Bankzugang (mit dem entsprechenden Zahlungssystem)
- die Smartcard (Besitz)
- die PIN der Smartcard (Wissen)
Ich kann daher nicht erkennen, weshalb eine angebliche "Unsicherheit" behauptet wird.
Warum wurde dies nicht gleich von DATEV richtiggestellt?
wir setzen EBICS seit Jahren in der Kanzlei und bei den Mandanten ein - genau so, wie von mir beschrieben.
Im (vermuteten) Gegensatz zu DATEV-Mitarbeitern arbeiten wir täglich mit den Systemen und kennen diese daher "in- und auswendig".
Außerdem schlägt der Fragesteller vor, "man sollte einen PIN hinterlegen können" - was ja eindeutig zu einer Einschränkung der Sicherheit führen würde.
Auch im PIN/TAN-Verfahren wurde ausdrücklich vor der Hinterlegung der PIN gewarnt! Dies wurde entgegen der Warnung vermutlich wegen der ansonsten nicht möglichen Umsatzabfragen für die lfd. Fibu unterlaufen.
Hallo,
es ist richtig, bei EBICS muss bei jeder Zahlung die PIN eingegeben werden.
Meine Antwort bezog sich auf den Vorschlag eine PIN hinterlegen zu können und war in dieser Hinsicht vermutlich missverständlich. Entschuldigung!
Mit freundlichem Gruß
Gerlinde Hübl
Service DATEV Unternehmen online
DATEV eG
Hallo,
ich kann mich Herrn Renz nur anschließen. Auch wir haben auf EBICS umgestellt. Ohne SmartCard PIN zur Ausführung eines Zahlungsvorgangs läuft nichts.
Was Bildschirmsperren und Handhabung von SmartCards oder Sticks angeht, bin ich immer wieder erstaunt. Wie halten Sie es mit der DS-GVO? Bildschirmsperren kann man netzwerktechnisch leicht einstellen, d.h. nicht der Mitarbeiter entscheidet über Sperren oder nicht Sperren, sondern der Admin entscheidet!
In unserer Kanzlei werden die Bildschirme automatisch gesperrt (was natürlich am Anfang nicht unbedingt für Begeisterung gesorgt hat). Und Mitarbeiter, die Rechte für den Zahlungsverkehr besitzen und in den Banken als Benutzer angelegt sind, wurden noch einmal ausdrücklich sensibilisiert, was den Umgang mit SmartCard oder Stick angeht. Und die PIN dafür sollte jeder Mitarbeiter in seinem Kopf und nur in seinem Kopf haben!
MfG
Claudia Stoller
CLS_
Außerdem schlägt der Fragesteller vor, "man sollte einen PIN hinterlegen können" - was ja eindeutig zu einer Einschränkung der Sicherheit führen würde.
Dieser Vorschlag passt in der Tat gar nicht zur restlichen Aussage über das Sicherheitsbedenken. Will man hier Stimmung machen? Vielleicht hat sich der Fragesteller aber nur missverständlich ausgedrückt?
Was Bildschirmsperren und Handhabung von SmartCards oder Sticks angeht, bin ich immer wieder erstaunt. Wie halten Sie es mit der DS-GVO?
Hey, was machen Sie mich denn jetzt an? Wir schreiben solche Dinge groß!
Sorry wenn Sie das falsch verstanden haben. Ich wollte Sie auf keinen Fall persönlich angehen. Konnte nicht ahnen, dass das falsch rüber kommt ...
MfG
Claudia Stoller
CLS_
Kein Ding, wenn Sie es so gar nicht gemeint haben! Schönen Feierabend!
Gleichfalls!
Wir verwenden keine SmartCard/mIDentity (also einen Stick) sondern SmartLogin per Mobil Telefon. In diesem Fall kann jemand, der Zugriff auf den Rechner hat, wenn ich mich einmal per SmartLogin angemeldet habe. Ohne weitere Autorisierung mit Ebics Überweisungen ausführen. Auch einen Erneute Legitimierung per SmartLogin ist beim Überweisen nicht nötig und da man sich bei Datev nicht abmelden kann, könnte jemand auch nach meiner Abwesenheit, für 30 Minuten, Datev im Browser öffnen (Anmeldung besteht ja noch) und Überweisungen ausführen.
Datev sollte vor der Überweisung mit EBICs einen vorher von mir festgelegten PIN abfragen oder mich nochmals per SmartLogin legitimieren. (Das meinte ich mit Pin hinterlegen. Natürlich nicht die Pin im Browser speichern...)
Ebics erscheint mir gerade auch nicht mehr so sicher.. „hacker“ können ja mit jedem logger die Pin auslesen und bei Zugriff auf dem pc überweisungen tätigen. unwahrscheinlich, aber möglich.
den midentity immer abziehen macht vermutlich niemand.. dafür wird das dingen mittlerweile zu oft gebraucht.
den midentity immer abziehen macht vermutlich niemand.. dafür wird das dingen mittlerweile zu oft gebraucht.
Na und ob!
Externer Slot (sehr schönes DATEV-Gehäuse) auf dem Schreitisch und dann nach Feierabend in den Schreibtisch. Der dann abgeschlossen wird. Fertig.
TOM nach DS-GVO....
Herr Renz, ich habe EBICS seit rund 7 Jahren im Einsatz und es definitiv eben nicht so, dass Sie bei jeder Überweisung oder Lastschrift die Smart Card PIN eingeben müssen.
Mitnichten ! Zumindest bei mir.
Die Smart Card PIN wird an sich einmal abgefragt, wenn bspw. das System neu gestartet wird und man im DATEV-Umfeld unterwegs ist.
Wie gesagt, mache ich meinen Kanzleizahlungsverkehr ausschließlich über Bank online und EBICS. Hierfür musste ich noch NIE bei einer Zahlung extra nochmals die SC-PIN eingeben.
Vielleicht gibt es in der Tat eine Hinterlegung, wenn Sie das anders berichten.
Aber hey:
Mein Freund und Softwarehaus bläut seinen Mitarbeiterin ständig ein, sich einfach "abzumelden", auch wenn Sie nur kurz aufs Klo gehen.
Wer das vergisst, dem wird mit dem Text-Editor eine Nachricht auf den Desktop geschrieben und zahlt 10,00 € in die Mitarbeiterkasse. Läuft !
Hallo,
Läuft !
in welche Richtung? Ist die Kasse am Überlaufen oder sieht man den Boden?
SCNR
herr hofmeister: sie machen das nach feierabend.. und sonst so?
Sonst auch . Vor Feierabend ist ja noch Arbeitszeit.
Anfangs füllte Sie sich wohl recht zügig, aber es wandert wohl immer mal wieder ein Schein rein.
Das ein oder andere Mal rettet eben noch ein knappes timing beim lockscreen.
Ein Restrisiko bleibt dennoch ...
Es geht ja nicht nur darum, dass einer schnell an den Rechner geht, wenn der kurzfristig verlassen wird, die Anwendung startet, eine Überweisung ausfüllt und diese irgendwo hinüberweist (Dauer !). Das Problem EBICS ist doch untergeordnet.
Es darf generell niemand anderes einen nicht legitimierten Zugriff auf einen Desktop/Konto erhalten; damit wäre EBICS ja "inkludiert".
Ganz andere Schäden können mit einem offenen Desktop angerichtet werden. Da sind nicht legitimierte Zahlungen ja fast schon eine Kleinigkeit.
Die Lösung muss doch in der Sicherung des gesamten Zugriffes erfolgen und nicht erst bei einer einzelnen Anwendung !
An Kanzleirechnern wäre der Abzug der SC bei Feierabend schon sehr sinnvoll.
"Ganz andere Schäden können mit einem offenen Desktop angerichtet werden. Da sind nicht legitimierte Zahlungen ja fast schon eine Kleinigkeit."
Kommt auf das Limit an..
"Es darf generell niemand anderes einen nicht legitimierten Zugriff auf einen Desktop/Konto erhalten; damit wäre EBICS ja "inkludiert"."
Kommt auf die Rechte an..
Warum die SC abgezogen werden soll, versteh ich nicht. Hat unser Datenschutzbeauftragter auch noch nie was von erwähnt.
Wenn der Rechner aus ist, ist es auch kein Sicherheitsproblem und ohne PIN geht eh nichts.
EBICs wäre mir zu unsicher..
Bildschirm sperren kann auch mal vergessen werden... 10€ hin oder her.
Warum die SC abgezogen werden soll, versteh ich nicht. Hat unser Datenschutzbeauftragter auch noch nie was von erwähnt.
Echt jetzt ?
Hallo DeusEx
bei uns ist DATEV-Zahlungsverkehr (aus dem Arbeitsplatz) im Einsatz und bei unseren Mandanten BankOnline in DUO und hier wie dort ist definitiv jeder Zahlungsvorgang mit EBICS gesondert zu autorisieren.
Nicht jede Überweisung - bei Sammelüberweisungen geht das natürlich mit einem Anmeldevorgang
Wenn Sie damit meinen, dass die elektronische Unterschrift vergeben werden muss, ist das richtig. Die muss ich natürlich auch bei jedem Zahlungsvorgang "bestätigen".
Eine Abfrage der PIN erfolgt bei mir NIE, wenn ich bereits angemeldet bin und DATEV-Datenverkehr hatte. Wie erwähnt, wird die PIN nur dann abgefragt, wenn ich nicht bereits verbunden war.
Seltsam . . .
Warum die SC abgezogen werden soll, versteh ich nicht. Hat unser Datenschutzbeauftragter auch noch nie was von erwähnt.
[Ironie]
Man darf auch den Hausschlüssel in der Tür stecken lassen : Wichtig ist nur der Zettel daneben : Umdrehen verboten!
Wow, ein Iron(ie)Man
was kann man denn mit dem ding ohne pin machen?!
die PIN bleibt 'im Gedächtnis' des Rechners bis zur Abmeldung oder bis zu einer neuen Anforderung der SmartCard