---

@Magda1980  schrieb:

Die Info habe ich auch schon von unglücklichen Mandanten erhalten, die es bemängelt haben, dass so ein Login nach dem Verlassen der Sitzung immer noch möglich ist (kritisch, wenn PC-Wechsel in der Firma stattfindet).

Ich bitte um Info, wie man das vermeiden kann?

---

Solche Lücken sind absolut ein no-go! Dazu bedarf es keiner Info zur Vermeidung, sondern eines Patches zur Beseitigung dieser Sicherheitslücke!

Ich hab einen ähnlichen Fall bei einem anderen Unternehmen, wo ich nur die webseite mit dem hashwert aufrufen muss und ich bin in einem Adminbereich. Info ging raus, man ändert nichts... Ich rate da gerne zur Nutzung ab.

Bei DATEV ist es umso schlimmer, hier geht es dann doch um teils sehr sensible Daten. DSGVO?

---

@Magda1980 schrieb:

Ich bitte um Info, wie man das vermeiden kann?

---

---

@renek schrieb:

Dazu bedarf es keiner Info zur Vermeidung, sondern eines Patches zur Beseitigung dieser Sicherheitslücke!

---

Alles schon bekannt: kein Login nach Logout vom UO möglich

---

@Magda1980 schrieb:

Zusätzlich wäre schön, wenn wir bald einen Kontoauszugsmanager der Bank N26 erhalten könnten.

---

N26 ist eine rein digitale Bank und wird wohl mit einer Wahrscheinlichkeit von 0,1% am Verfahren teilnehmen. Der Kontoauszugsmanager basiert auf dem MT940 Format / EBICS, welches bei solch finTech Banken mehr Aufwand als Nutzen generiert. Andere finTech Banken verhalten sich ähnlich. 

N26 könnte aber mittlerweile via HBCI und DUO abrufbar sein.  

---

@Magda1980  schrieb:

Hallo an Alle,

bei der Nutzung des UO ist mir aufgefallen, dass ich die Cloud betreten kann, auch wenn die SmardCard nicht am PC angeschlossen ist. D.H. wenn ich mich auslogge, Fenster schließe, die SmartCard rausnehme und die DATEV-Anwendung erneut starte (SmardCard immer noch draußen), lässt mich das Programm immer noch in die Cloud rein.

Ich konnte Ihr Anliegen nicht nachstellen, hab eher das Problem, dass die Sitzung geschlossen wird, obwohl die SmartCard steckt. Siehe dazu auch hier.

@metalposaunist vielleicht kannst du es ja nachstellen?

Edit: Daniel war schneller 😄

---

@metalposaunist  schrieb:

Alles schon bekannt: kein Login nach Logout vom UO möglich

Geht es in dem Thread nicht um das "Lougout" und dann nicht wieder reinkommen?


 @Magda1980 kommt trotz Logout und rausziehen der SC noch in DUO rein.

---

@metalposaunist  schrieb:

Alles schon bekannt: kein Login nach Logout vom UO möglich

 

... hier geht es aber um den umgekehrten Fall:

Login ohne SmartCard möglich, obwohl bereits ausgeloggt.

... hatte ich auch schon...  

Hallo @Magda1980,

Ihr Vorgehen hört sich eigentlich richtig an und dann dürfen Sie nicht mehr einfach so in Unternehmen online kommen.

Damit man bei Anmeldung mit SmartCard sicher ausgeloggt ist, sind alle der folgenden Punkte zu beachten:

• Rechts oben auf Abmelden klicken
• Alle Browser-Fenster schließen
• SmartCard bzw. mIDentity ziehen

Siehe auch DATEV Hilfe-Center, Dok.-Nr. 1080164 .

Insbesondere wenn man nicht auf Abmelden geht oder die SmartCard nicht zieht kommt man einfach so wieder rein.

Gehen Sie wirklich so vor und geht es tatsächlich um Unternehmen online (https://duo.datev.de bzw. URL nach Anmeldung: webapps.datev.de/duo-start/...)? Falls ja, melden Sie sich bitte per Servicekontakt bei uns und verweisen am besten auf diesen Community-Beitrag.

@Andreas_Bär ,

... "alle Browserfenster /-Tabs schließen" ist eine ziemlich "harte" Vorgabe.

Ich habe oft auch mehrere oder gar viele Browserfenster geöffnet, mit denen ich "Website-Hopping" betreibe.

Gibt es keine Möglichkeit, sämtliche Spuren der "Datev Unternehmen Online"-Nutzung inkl. der PINs mit einem Klick zu löschen ?

.. wäre mir am liebsten ...

Unternehmen Online im Inkognito Modus öffnen könnte eventuell helfen, aber die Pin bleibt solange im Speicher des Sipa bis man die Karte/Mydentity zieht.

---

@vogtsburger  schrieb:

 

@Andreas_Bär ,

 

... "alle Browserfenster /-Tabs schließen" ist eine ziemlich "harte" Vorgabe.

 

Ich habe oft auch mehrere oder gar viele Browserfenster geöffnet, mit denen ich "Website-Hopping" betreibe.

 

Gibt es keine Möglichkeit, sämtliche Spuren der "Datev Unternehmen Online"-Nutzung inkl. der PINs mit einem Klick zu löschen ?

 

.. wäre mir am liebsten ...

---

Nein, so eine Funktion gibt es nicht.

Meine persönliche Meinung: alle Browserfenster schließen ist der am wenigsten wichtige Punkt. Bei modernen Online-Anwendungen kommt man auch nicht mehr einfach zurück und sieht irgendwelche Daten, also ein Normalo ist da raus. Ob es noch irgendwelche älteren Anwendungen gibt oder spezielle Angriffsverfahren weiß ich nicht.

Aber wenn man sich auch sonst nicht völlig fahrlässig verhält und z.B. den PC beim verlassen sperrt ist ein Missbrauchspotential ohnehin gleich viel geringer.

---

@Andreas_Bär schrieb:

und z.B. den PC beim verlassen sperrt

---

Dafür wurde doch SmartVerify entwickelt 😜 . Im Ernst. Diese Cache & Cookie und Browserthematik muss DATEV dringend in den Griff bekommen. Mittlerweile nutze ich als Step1 DATEV nur noch im Inkognitomodus, damit ich das umgehen kann. Step2 wird ein eigener DATEV Browser sein. 

Ich habe mir auch Gedanken um eine GPO gemacht, die im Browser alle Cookies und Co. von *.datev.de beim Beenden löscht. Nur, um proaktiv Probleme vorzubeugen. 

---

@metalposaunist  schrieb:
Diese Cache & Cookie und Browserthematik muss DATEV dringend in den Griff bekommen. Mittlerweile nutze ich als Step1 DATEV nur noch im Inkognitomodus, damit ich das umgehen kann. Step2 wird ein eigener DATEV Browser sein. 

Da hat sich aber einiges getan. Ich will jetzt nicht behaupten dass es gar keine Probleme mehr gibt, aber es könnte sich lohnen nochmal einen Versuch ohne "DATEV-Browser" oder Inkognito zu machen 😅

---

@Andreas_Bär schrieb:

aber es könnte sich lohnen nochmal einen Versuch ohne "DATEV-Browser" oder Inkognito zu machen 😅

---

Nein, danke. Habe lange genug in der Kanzlei rumgeeiert und mich genug geärgert und aufgeregt 😕. Bitte einfach melden, wenn alle Probleme laut DATEV final gelöst sind und man endlich zu 100% sauber arbeiten kann. Ob das mit SmartCards je der Fall sein wird, wenn diese auch nicht zuverlässig via RDP arbeiten - fraglich. 

Das SmartLogin ist da kein bisschen besser, wie ich gestern leidlich feststellen musste: DATEV Erlebnis mit Mandanten per Fernwartung

Ich plädiere immer noch für: Benutzername + Passwort + verpflichtende 2FA App - done. Man meldet sich ab. Klappt. man meldet sich gleich wieder an. Klappt. DATEV fragt nach jedem Login nach der 2FA App - don't trust. Always verify. Done. 

Aber ich weiß: Wird nie kommen. DSGVO oder andere Gründe sprechen strikt dagegen. Ist aber 1 Schlüsselfaktor zur Akzeptanz der DATEV Software. Bei ganz vielen DATEV Partnern im Ökosystem wird das oben genannte Verfahren erfolgreich gefahren. Und da geht es kaum um minder wichtige Daten. 

---

@Andreas_Bär  schrieb:

 

Da hat sich aber einiges getan. 

Da gebe ich Ihnen recht, man muss ab & zu mal die F5 Taste spamen, aber den gesamten Browser schließen, musste ich lange nicht mehr 🙂

@JonasThiel Danke für die Rückmeldung 🙂

---

@metalposaunist  schrieb:

 

Ich plädiere immer noch für: Benutzername + Passwort + verpflichtende 2FA App - done. Man meldet sich ab. Klappt. man meldet sich gleich wieder an. Klappt. DATEV fragt nach jedem Login nach der 2FA App - don't trust. Always verify. Done. 

 

Aber ich weiß: Wird nie kommen. DSGVO oder andere Gründe sprechen strikt dagegen.

---

Doch, das wird kommen. Die Frage ist eher wann bzw. vor allem wann für welche Anwendungen.  DATEV Hilfe-Center, Dok.-Nr. 1022936 

---

@Andreas_Bär  schrieb:

@JonasThiel Danke für die Rückmeldung 🙂

 

---

Doch, das wird kommen. Die Frage ist eher wann bzw. vor allem wann für welche Anwendungen.  DATEV Hilfe-Center, Dok.-Nr. 1022936 

---

Danke @Andreas_Bär , im Dokument 1022936 ist ja zu lesen:

Authenticator App mit DATEV nutzen

---

@Andreas_Bär schrieb:

Die Frage ist eher wann bzw. vor allem wann für welche Anwendungen.

---

Sofort und überall dort, wo es technologisch möglich ist. Und dann sind wir wieder beim Thema, dass DATEV im Kern sehr viel Software neu schreiben muss, um dem gerecht zu werden, right? Steuerkonto online will ja noch bis St. Nimmerleinstag die SmartCard haben 🙄. 

Und eine Bitte: Stiftet nicht noch mehr Verwirrung es es schon gibt. Hier nur SmartCard only; dort geht auch SmartLogin; hier geht auch dein DATEV Benutzerkonto; für die Funktion brauchst Du den RZ-Benutzer, ... 

---

@andreashofmeister schrieb:

Bedeutet dies, dass das neue ANO (Arbeitnehmer online), welches ja im 2Q22 angekündigt ist, schon auf dieser 2FA basiert?

---

Ja.  

Hallo! N26 machen wir mit speetax von SBCO. 

Liebe Grüße

Julian

... beim Stichwort "N26" kommt reflexartig eine Werbung für SBCO

... zugegeben, dieser Reflex kam diesmal mit einiger Verzögerung.

Aber das Suchen mit der Community-Suchmaschine ist ja auch nicht sooo 'easy'