Hallo zusammen,

wir haben am lokalen PC (Windows 10) das Sicherheitspaket 6.1 installiert und dort in den Einstellungen den Haken "PIN verschlüsselt im Arbeitsspeicher halten" aktiviert.

Auch unsere WTS-Sitzungen sind so eingestellt.

Wir melden uns am WTS (Windows Server 2016 und 2019) nicht mit dem miDentity, sondern mit Name und Passwort an.

Auf dem WTS ist Zahlungsverkehrs 7.69 installiert.

Über eine Gruppenrichtlinie haben an den lokalen PC´s den Bildschirmschoner nach 10 Minuten aktiviert (Ausnahme in der Gruppenrichtlinie der PC in den Präsentationsräumen). In der Zwischenzeit tauschen wir die Tastaturen nach einander aus, so dass dort mit einem Fingerprint (damit geht das entsperren schneller als über das Passwort beim Ausschalten des Bildschirmschoners).

Die erste Anwendung der lokal installierten Programme von DATEV, die es benötigt fragt ein einziges mal am Tag (bzw. je WTS Anmeldung) nach den PIN, aber vor jeder Transaktion in Zahlungsverkehr wird nochmal die PIN (Funktion wurde nach meinen Erinnerungen in einem älterem Updates eingeführt - hatten damals Servicekontakt mit Verbesserungsvorschlag nagelegt) abgefragt.

Bei uns passt es also.

Nachtrag (konnte ich mir jetzt nicht verkneifen):

Leider muss man aber bei der Anmeldung hier an der Community nochmal den PIN eingeben und zwar jedes mal, wenn man den Browser geschlossen hat (eine DATEV Ideas Unmöglichkeit Re: Expedition Zukunft DATEV Eigenorganisation der etwas andere Weg = Weiterentwicklung) - Anscheinend kennen die Programmierer der Community nicht die Einstellung im Sicherheitspakt; auch funktioniert die Anmeldung an der Community leider nicht mit dem SmartLogin (DATEV Ideas Verbesserungsvorschlag; gleicher Link wie oben).

Gruß

Ralf Blum

Hallo Herr Blum,

vielen Dank für den sehr informativen Beitrag, der hier Licht ins Dunkel bringt. Hier liegt tatsächlich die Lösung:

Insofern wäre der sichere Zugang zum EBICS-Verfahren gesichert und die Zweifel ausgeräumt.

Eine kleine Anekdote von gestern Abend:

Beim Familientreffen mit einem Freund, seines Zeichen ISO-zertifizierter Datenschutzverantwortlicher, abteilungsübergreifend mit mehreren Datenschutzbeauftragten in den jeweiligen Abteilungen, eines mittelständischen Unternehmens (Soft- und Hardware elektronische Mess- und Wiegesysteme) mit ca. 700 Mitarbeitern am Standort, trafen wir uns gestern zum gemütlichen Wochenausklang.

Wir kamen zwangsläufig auch auf dieses Thema und er erzählte mir, dass bei Ihnen in der Abteilung (ca. 20 EDV-ler) bezüglich des logg-off ein nettes Spielchen eingführt wurde, um die Kollegen anzuhalten, sich abzumelden, bevor sie den Arbeitsplatz verlassen.

Jeder der Mitarbeiter hat eine Standard-E-Mail auf dem Rechner, mit allen Adressaten aus der Abteilung vorbelegt. Wenn nun jemand seinen Platz ohne logg off verlässt, huscht der Nächstbeste an dessen Arbeitsplatz und löst diese E-Mail an die Kollegen aus:

"Morgen gibt es Kuchen" und als Hintergrund ein Stück Kuchen (gif). Zunächst ist natürlich das Gelächter abteilungsweit sehr groß und der "Vergessliche" kommt in die Pflicht und muss dann tatsächlich Kuchen zum Kaffee für die anderen mitbringen.

Es gäbe übrigens jede Woche Kuchen.

Er sagte indes auch. Das A und O eines Zugriffsschutzes beginnt "ganz oben" und jeder seinen Arbeitsplatz verlässt, sei es auch nur für ganz kurze Zeit, muss sich die Tastenkombi "WIN + L" in Fleisch und Blut übergehen lassen.

Der Sperrbildschirm in den Abteilungen sei indes auf eine Minute aktiviert.

Ich hatte ja behauptet, es wäre wichtig und richtig, zunächst die übergeordneten Sicherheitsaspekte zu beachten; hier also bspw. das Ausloggen und somit den Rechner sichern. Eine Sicherung für Zahlungsverkehr EBICS wäre ja dann "inkludiert".

Sprich: Es macht keinen Sinn, die Haustür, die Zimmertür und die Safetür offen zu lassen, um sich damit zu beruhigen, dass die Schmuckschatulle abgeschlossen ist.

Die Annahme, vorrangig nur "die Haustür" zu schließen wäre zwar prioritär und es stets vorrangig wichtig, die ersten Zugänge zu sichern, aber datenschutzrechtlich müssen sämtliche Komponenten, die das System und die Einzelanwendungen bieten und/oder dem Zugriffs- und Missbrauchsschutz dienen, funktional vollständig eingesetzt werden.

Dies würde (theoretisch) ggf. sogar das Abziehen der Smartcard beim Verlassen des Arbeitsplatzes bedeuten . . .

Dies beginnt mit einem stetigen Ab- und Anmeldung am Arbeitsplatz und endet ggf. sogar an der Nicht-Speicherung von Passwörtern und ggf. automatischen Logins in Anwendungen, aus dem Cache; insofern wäre auch die "Vorhaltung der PIN im Arbeitsspeicher" schon schädlich.

… ich halte die PIN der SC fortan nicht mehr im Arbeitsspeicher.

Wünsche allen ein schönes Wochenende.

Kein System ist zu 100% sicher und wenn jemand genug kriminelle Energie nebst Fachwissen und Tools aufwendet, ist jedes System angreifbar.

Einen 100% Schutz gibt es m.E. auch nicht, aber es gilt ja den Prozentsatz möglichst weit oben zu halten.