Sehr geehrter Anwender, @mosachse ich kann Ihren Ärger über die Auslieferungsmodalitäten einer Transport-PIN/PUK für eine DATEV SmartCard durchaus nachvollziehen, gerade wenn man die derzeitigen Qualitätsprobleme der Post hinsichtlich der Brieflaufzeiten mit in Betracht zieht. Strikte datenschutzrechtliche Vorgaben zwingen die DATEV jedoch zu dem postalischen Auslieferungsweg. Ich werde im Folgenden versuchen die Hintergründe dazu ausführlich zu erläutern… DATEV betreibt für die Produktion der SmartCards ein Trustcenter. Dieses Trustcenter muss diverse normative Vorgaben erfüllen, damit DATEV SmartCards auch für externe Anwendungsszenarien akzeptiert werden. Solche externen Anwendungsszenarien sind zum Beispiel die Vollmachtsdatenbank, die Abfrage von Steuerkonten oder das Elsterportal. Um die Einhaltung dieser Vorgaben nachzuweisen, wurde das DATEV Trustcenter nach der sogenannten ETSI-Norm erfolgreich zertifiziert. Um diese Zertifizierung beizubehalten, findet jährlich ein Audit durch externe Prüfer statt. Information zu ETSI finden Sie hier: ETSI-Zertifizierung Nebenbei bemerkt, der DATEV Smartlogin erfüllt diese ETSI-Norm nicht. Was unter anderem auch ein Grund dafür ist, dass der Smartlogin nicht für obengenannten Anwendungsszenarien eingesetzt werden kann. Zum Thema „Sichere Zustellung“ enthält die ETSI-Norm unter anderem folgende Vorgaben, die ich der Vollständigkeit halber zitiere: ETSI EN 319 411-1 SDP-6.3.3-09A SDP-6.3.3-09A [NCP+][CONDITIONAL]: If the TSP generated the subject's key pair, the secure cryptographic device containing the subject's private key shall be securely delivered to the registered subject or, in the case of a third party TSP managing the key on behalf of the subject, to that third party TSP. ETSI EN 319 411-1, Kapitel 6.5.4 . SDP-6.5.4-03 [CONDITIONAL]: If the TSP issues a secure cryptographic device, and where the personalized secure cryptographic device (e.g. smartcard) has associated user activation data (e.g. PIN code), the activation data shall be securely prepared and distributed separately from the secure cryptographic device. Um diese Vorgaben zu erfüllen, müssen die Transport-PIN/PUK und die DATEV SmartCard selbst getrennt voneinander übermittelt bzw. versendet werden. Darüber hinaus muss durch organisatorische Maßnahmen sichergestellt werden, dass ausschließlich der Karteninhaber selbst die Kenntnis der Transport-PIN/PUK erlangt. Deshalb versendet DATEV die Transport-PIN/PUK einer SmartCard immer per Brief mit dem Vermerk „Vertraulich- nur vom Adressaten zu öffnen“ an den Karteninhaber selbst. Es werden dabei dieselben hochsicheren Kuverts verwendet, die auch für die Versendung von Lohnabrechnungen auf Papier verwendet werden. Sie haben Recht, in der Vergangenheit (genauer gesagt vor dem 13.06.2019, denn zu diesem Zeitpunkt wurde der derzeitige Prozess eingeführt) konnte eine Transport-PIN/PUK durch einen DATEV Service Mitarbeiter per Fax übermittelt oder telefonisch mitgeteilt werden. Einen offiziellen Prozess für eine Übertragung per SMS hat es jedoch nie gegeben. Damals wurde eine Legitimation des Anrufers durch Nennung der Service-TAN akzeptiert. Die Kenntnis der Service-TAN „beweist“ jedoch nur die Zugehörigkeit eines Anrufers zu einer bestimmten Organisationseinheit (Kanzlei/Unternehmen). Die Identität des Anrufers selbst kann daraus nicht ermittelt werden. Deshalb musste der Prozess angepasst werden. Aus den genannten Gründen werden wir vorerst keine Transport-PIN/PUK in einem Online-Portal anbieten können. Es gibt technisch keine Möglichkeit sicherzustellen, dass „am anderen Ende der Leitung“ der berechtige Karteninhaber selbst sitzt. Zukünftig könnte ich mir vorstellen, dass über Online-Identifizierungsmöglichkeiten (eID oder Video-Ident Verfahren im Zusammenhang mit dem Personalausweis) solche technischen Möglichkeiten geschaffen werden könnten.
... Mehr anzeigen
