Hallo,

EBICS ist von der technischen Verschlüsselung her gesehen das sicherste Banking-Verfahren.

Zusätzlich lautet unsere Empfehlung, das Zugangsmedium (DATEV mIDentity / DATEV SmartCard) bei Nichtbenutzung vom System zu trennen.

Trotzdem wird es vermutlich keine hundertprozentige Sicherheit vor einem Hackerangriff geben. Sofern sich ein Hacker bereits auf Ihren System befindet, würde er möglicherweise auch bei einer hinterlegten PIN Zahlungen ausführen können.

Sie können Ihren Verbesserungsvorschlag gerne in DATEV Ideas einstellen: https://www.datev-community.de/community/ideas/ideen-zu-unternehmen-online

Mit freundlichem Gruß

Gerlinde Hübl

Service DATEV Unternehmen online

DATEV eG

diese Aussage ist absolut UNRICHTIG

Bei jedem Zahlungsvorgang MUSS die PIN der Smartcard eingegeben werden. Insofern ist dieses Verfahren (mindestens) so sicher - auch hinsichtlich der "Anmeldestufen" wie das PIN/TAN-Verfahren.

Für eine Zahlung wird benötigt:

- der Bankzugang (mit dem entsprechenden Zahlungssystem)

- die Smartcard (Besitz)

- die PIN der Smartcard (Wissen)

Ich kann daher nicht erkennen, weshalb eine angebliche "Unsicherheit" behauptet wird.

wir setzen EBICS seit Jahren in der Kanzlei und bei den Mandanten ein - genau so, wie von mir beschrieben.

Im (vermuteten) Gegensatz zu DATEV-Mitarbeitern arbeiten wir täglich mit den Systemen und kennen diese daher "in- und auswendig".

Außerdem schlägt der Fragesteller vor, "man sollte einen PIN hinterlegen können" - was ja eindeutig zu einer Einschränkung der Sicherheit führen würde.

Auch im PIN/TAN-Verfahren wurde ausdrücklich vor der Hinterlegung der PIN gewarnt! Dies wurde entgegen der Warnung vermutlich wegen der ansonsten nicht möglichen Umsatzabfragen für die lfd. Fibu unterlaufen.

Hallo,

es ist richtig, bei EBICS muss bei jeder Zahlung die PIN eingegeben werden.

Meine Antwort bezog sich auf den Vorschlag eine PIN hinterlegen zu können und war in dieser Hinsicht vermutlich missverständlich. Entschuldigung!

Mit freundlichem Gruß

Gerlinde Hübl

Service DATEV Unternehmen online

DATEV eG

Hallo,

ich kann mich Herrn Renz nur anschließen. Auch wir haben auf EBICS umgestellt. Ohne SmartCard PIN zur Ausführung eines Zahlungsvorgangs läuft nichts.

Was Bildschirmsperren und Handhabung von SmartCards oder Sticks angeht, bin ich immer wieder erstaunt. Wie halten Sie es mit der DS-GVO? Bildschirmsperren kann man netzwerktechnisch leicht einstellen, d.h. nicht der Mitarbeiter entscheidet über Sperren oder nicht Sperren, sondern der Admin entscheidet!

In unserer Kanzlei werden die Bildschirme automatisch gesperrt (was natürlich am Anfang nicht unbedingt für Begeisterung gesorgt hat). Und Mitarbeiter, die Rechte für den Zahlungsverkehr besitzen und in den Banken als Benutzer angelegt sind, wurden noch einmal ausdrücklich sensibilisiert, was den Umgang mit SmartCard oder Stick angeht. Und die PIN dafür sollte jeder Mitarbeiter in seinem Kopf und nur in seinem Kopf haben!

MfG

Claudia Stoller

CLS_

Sorry wenn Sie das falsch verstanden haben. Ich wollte Sie auf keinen Fall persönlich angehen. Konnte nicht ahnen, dass das falsch rüber kommt ...

MfG

Claudia Stoller

CLS_

Gleichfalls!

Wir verwenden keine SmartCard/mIDentity (also einen Stick) sondern SmartLogin per Mobil Telefon. In diesem Fall kann jemand, der Zugriff auf den Rechner hat, wenn ich mich einmal per SmartLogin angemeldet habe. Ohne weitere Autorisierung mit Ebics Überweisungen ausführen. Auch einen Erneute Legitimierung per SmartLogin ist beim Überweisen nicht nötig und da man sich bei Datev nicht abmelden kann, könnte jemand auch nach meiner Abwesenheit, für 30 Minuten, Datev im Browser öffnen (Anmeldung besteht ja noch) und Überweisungen ausführen.

Datev sollte vor der Überweisung mit EBICs einen vorher von mir festgelegten PIN abfragen oder mich nochmals per SmartLogin legitimieren. (Das meinte ich mit Pin hinterlegen. Natürlich nicht die Pin im Browser speichern...)

Ich habe hier eine Idee erstellt:

Ebics erscheint mir gerade auch nicht mehr so sicher..  „hacker“ können ja mit jedem logger die Pin auslesen und bei Zugriff auf dem pc überweisungen tätigen. unwahrscheinlich, aber möglich.

den midentity immer abziehen macht vermutlich niemand.. dafür wird das dingen mittlerweile zu oft gebraucht.

den midentity immer abziehen macht vermutlich niemand.. dafür wird das dingen mittlerweile zu oft gebraucht.

Na und ob!

Externer Slot (sehr schönes DATEV-Gehäuse) auf dem Schreitisch und dann nach Feierabend in den Schreibtisch. Der dann abgeschlossen wird. Fertig.

TOM nach DS-GVO....

Herr Renz, ich habe EBICS seit rund 7 Jahren im Einsatz und es definitiv eben nicht so, dass Sie bei jeder Überweisung oder Lastschrift die Smart Card PIN eingeben müssen.

Mitnichten ! Zumindest bei mir.

Die Smart Card PIN wird an sich einmal abgefragt, wenn bspw. das System neu gestartet wird und man im DATEV-Umfeld unterwegs ist.

Wie gesagt, mache ich meinen Kanzleizahlungsverkehr ausschließlich über Bank online und EBICS. Hierfür musste ich noch NIE bei einer Zahlung extra nochmals die SC-PIN eingeben.

Vielleicht gibt es in der Tat eine Hinterlegung, wenn Sie das anders berichten.

Aber hey:
Mein Freund und Softwarehaus bläut seinen Mitarbeiterin ständig ein, sich einfach "abzumelden", auch wenn Sie nur kurz aufs Klo gehen.

Wer das vergisst, dem wird mit dem Text-Editor eine Nachricht auf den Desktop geschrieben und zahlt 10,00 € in die Mitarbeiterkasse. Läuft !

Hallo,

Läuft !

in welche Richtung? Ist die Kasse am Überlaufen oder sieht man den Boden?

SCNR

herr hofmeister: sie machen das nach feierabend.. und sonst so?

Sonst auch . Vor Feierabend ist ja noch Arbeitszeit.

Anfangs füllte Sie sich wohl recht zügig, aber es wandert wohl immer mal wieder ein Schein rein.

Das ein oder andere Mal rettet eben noch ein knappes timing beim lockscreen.

Ein Restrisiko bleibt dennoch ...

Es geht ja nicht nur darum, dass einer schnell an den Rechner geht, wenn der kurzfristig verlassen wird, die Anwendung startet, eine Überweisung ausfüllt und diese irgendwo hinüberweist (Dauer !). Das Problem EBICS ist doch untergeordnet.

Es darf generell niemand anderes einen nicht legitimierten Zugriff auf einen Desktop/Konto erhalten; damit wäre EBICS ja "inkludiert".

Ganz andere Schäden können mit einem offenen Desktop angerichtet werden. Da sind nicht legitimierte Zahlungen ja fast schon eine Kleinigkeit.

Die Lösung muss doch in der Sicherung des gesamten Zugriffes erfolgen und nicht erst bei einer einzelnen Anwendung !

An Kanzleirechnern wäre der Abzug der SC bei Feierabend schon sehr sinnvoll.

"Ganz andere Schäden können mit einem offenen Desktop angerichtet werden. Da sind nicht legitimierte Zahlungen ja fast schon eine Kleinigkeit."

Kommt auf das Limit an..

"Es darf generell niemand anderes einen nicht legitimierten Zugriff auf einen Desktop/Konto erhalten; damit wäre EBICS ja "inkludiert"."

Kommt auf die Rechte an..

Warum die SC abgezogen werden soll, versteh ich nicht. Hat unser Datenschutzbeauftragter auch noch nie was von erwähnt.

Wenn der Rechner aus ist, ist es auch kein Sicherheitsproblem und ohne PIN geht eh nichts.

EBICs wäre mir zu unsicher..

Bildschirm sperren kann auch mal vergessen werden... 10€ hin oder her.

Warum die SC abgezogen werden soll, versteh ich nicht. Hat unser Datenschutzbeauftragter auch noch nie was von erwähnt.

Echt jetzt ?

Hallo DeusEx

bei uns ist DATEV-Zahlungsverkehr (aus dem Arbeitsplatz) im Einsatz und bei unseren Mandanten BankOnline in DUO und hier wie dort ist definitiv jeder Zahlungsvorgang mit EBICS gesondert zu autorisieren.

Nicht jede Überweisung - bei Sammelüberweisungen geht das natürlich mit einem Anmeldevorgang

Wenn Sie damit meinen, dass die elektronische Unterschrift vergeben werden muss, ist das richtig. Die muss ich natürlich auch bei jedem Zahlungsvorgang "bestätigen".

Eine Abfrage der PIN erfolgt bei mir NIE, wenn ich bereits angemeldet bin und DATEV-Datenverkehr hatte. Wie erwähnt, wird die PIN nur dann abgefragt, wenn ich nicht bereits verbunden war.

Seltsam . . .

Warum die SC abgezogen werden soll, versteh ich nicht. Hat unser Datenschutzbeauftragter auch noch nie was von erwähnt.

[Ironie]

Man darf auch den Hausschlüssel in der Tür stecken lassen : Wichtig ist nur der Zettel daneben : Umdrehen verboten!

Wow, ein Iron(ie)Man

was kann man denn mit dem ding ohne pin machen?!

die PIN bleibt 'im Gedächtnis' des Rechners bis zur Abmeldung oder bis zu einer neuen Anforderung der SmartCard