Hallo zusammen,   bei dieser Mail handelt es sich leider um eine Phishing-Attacke.   Diese Mail kommt nicht von DATEV. Solche Mails, auch die Art des Betreff, werden nicht von DATEV versendet.   Ich habe dazu mehr Infos für Euch in diesem Beitrag bereitgestellt: Phishing-Attacke-im-Januar-2023-mit-DATEV-E-Mail-Adresse    Viele Grüße hier aus Nürnberg,   Thomas Müller ... Mehr anzeigen

@metalposaunist schrieb: Echt? DATEV Ist Keylogger sicher? Der kam bei S-Protect ja auch zum Einsatz und konnte relativ einfach umgangen werden. Das lädt zum Ausprobieren ein 😀 .   Hallo metalposaunist,   grundsätzlich kann ein kompromittiertes System nicht durch eine einzige Software zu 100% geschützt werden. Wenn das S-Protect versucht zu verkaufen, ist das die Entscheidung des Softwareherstellers. Ich würde diese Aussage nie treffen.   Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen. Nur wenn alle Teile der Verteidigungslinien zum Schutz vor Cyber-Attacken zusammenspielen, kann man sich angemessen verteidigen.   Nochmals, einen 100%igen Schutz gibt es nicht. Trotzdem hast Du natürlich Recht, man darf sich nicht hinter anderen Verteidigungslinien verstecken. Jeder ist in diesem Spiel gefordert und muss seinen Beitrag leisten. Wir sind uns dessen absolut bewusst.   Gerne kannst Du dir die DATEV-Software ansehen und uns auf potenzielle Schwachstellen melden. Solltest Du Hinweise auf potentielle Schwachstellen finden, würden wir Dich um einen vertraulichen Informationskanal bitten. So haben wir Gelegenheit angemessen zu reagieren. Dieses Verfahren praktizieren wir schon seit Jahren sehr erfolgreich. Wir scheuen uns nicht vor externen Meldungen, freuen uns an der Stelle über eine enge Zusammenarbeit mit kompetenten Sicherheitsexperten.  @metalposaunist schrieb: Schade, dass Du nicht konkret auf die Fragen aus den zahlreichen Kommentaren der Idea eingehst und eher allgemein bleibst. Ich quatsche den Günter Born mal an. Der hat ja immer ein offenes Ohr für sowas. Da wo ich konkret, bzw. tiefer in Details zu DATEV-Security-Themen einsteigen kann, da werde ich das immer tun!   Ich lese hier im Forum die Nachrichten an mich, in Bezug auf Security-Themen oder Beiträge, in denen ich zitiert werde. Bitte hab dafür Verständnis, dass nicht immer ich persönlich antworten kann, meine Kolleginnen und Kollegen aus den Produkten, machen aber hier in der Community einen super Job. Ganz offen gestanden bin ich auch nicht der Typ, der bereits gegebene Antworten, die in der Sache passen noch einmal wiederholen muss, nur damit ich sie selbst geschrieben habe. 😎   Viele Grüße aus der DATEV,   Thomas Müller   ... Mehr anzeigen

Hallo metalposaunist,   vielen Dank, dass du dir über die Berichte zu den Schwachstellen im Banking-Browser S-Protect Gedanken machst und vor allem, dass du sie hier mit uns und allen anderen teilst. Allein das führt zu einer größeren Security-Awareness 😊   Die bekannten bei S-Protect gefundenen Schwachstellen und Möglichkeiten zum potentiellen Abzug von Daten sind bei DATEV-Produkten nicht vorhanden.   Alle unsere Softwarelösungen werden in genau definierten Zyklen immer wieder einer Sicherheits-Penetration unterzogen und potenzielle Schwachstellen umgehend beseitigt. Es ist aber auch klar und wir haben es ja auch schon oft erwähnt – eine 100% Sicherheit gibt es nicht. Darum setzen wir bei DATEV auf Weiterentwicklung in der Security und wie wir unsere Sicherheitstests durchführen.     Zu Deinen Anmerkungen bezüglich der Kombination von SmartCard und SmartVerify. Grundsätzlich geht es bei jeder Anwendung einer 2Faktor-Authentifizierung um Besitz und Wissen. Beide Komponenten müssen grundsätzlich voneinander trennbar sein. Eine SmartCard kann ich vom Rechner abziehen, das Wissen kann den Raum verlassen. Das eine und das andere ist aber immer nur so sicher, wie der Zugang dazu. Hängt mein Wissen auf einem Post-It am Monitor und ist der Zugang zum Besitz nicht ausreichend geschützt, wird jeder 2Faktor-Schutz ausgehebelt. Egal ob der Besitz eine SmartCard oder ein Handy ist. OK, man könnte jetzt meinen, dass jedes Handy mit einem weiteren Password gesichert sein sollte – Ist das tatsächlich so? Wer sorgt dafür das die Smartphones tatsächlich ausreichend vor einem fremden Zugriff geschützt werden? Bitte nicht falsch verstehen, ich will die Umsetzung von 2Faktor-Lösungen mit SmartPhones als weitere Besitzkomponenten nicht – aus einer persönlichen Haltung heraus – ausschließen. Ich möchte nur verdeutlichen, dass ein zweiter Faktor immer nur dann funktioniert, wenn auch im Umgang mit diesen eine ausreichende Security-Awareness vorhanden ist. Egel um welche Art des zweiten Faktors es sich konkret handelt.     Mit freundlichen Grüßen aus der DATEV Thomas Müller ... Mehr anzeigen

Hallo @quantenjoe ,   vielen Dank für deine offenen Worte. Ich kann dir versichern, dass ich mich nicht persönlich angegriffen fühle. Dass eine Antwort einen Eindruck/ eine Vermutung zur Tätigkeit oder Einstellung in der Sache hinterlässt, finde ich ganz normal. Die digitale Distanz fordert immer wieder ihren Tribut 😎 Das persönliche Gespräch ist einfach ein freundliches Angebot an Dich. Ich würde mich freuen, wenn wir uns mal in einem pers. Austausch kennenlernen. Dabei geht es weder um "information hiding" in Richtung der Community noch darum sich rechtfertigen zu müssen. Ein guter altmodischer, persönlicher Austausch. Ich denke auch dafür muss sich keiner von uns rechtfertigen. Ich würde mich freuen 😉   Natürlich nur wenn du magst. Ansonsten werde ich auch gerne weiterhin mit Rat und Tat in der Community dabei sein. Als Info zu mir sei noch erwähnt, dass ich nicht zu den Personen gehöre, die zu allem etwas schreiben müssen, nur weil ich selbst noch nichts dazu gesagt oder geschrieben habe. 😉 Posts, in denen ich erwähnt werde, lese ich aufmerksam und tausche mich mit meinen Kolleginnen und Kollegen in der DATEV darüber aus, wer in der Sache zielführend antworten oder direkt helfen kann. Es kann also immer wieder sein, dass Euch in der Sache von meinen Kolleginnen oder Kollegen aus den Produkten geholfen wird, ohne dass ich mich persönlich dazu melde. Ich sehe hier meine Aufgabe nicht im Sammeln von Antwortpunkten oder Kudos. Auch wenn ich mich sehr freue, wenn meine Antworten mit diesen honoriert werden. Am meisten freue ich mich aber, wenn euch in der Sache geholfen wird, unabhängig davon, wer die Antwort gibt.    Viele Grüße hier aus der DATEV, Thomas Müller ... Mehr anzeigen

Hallo @quantenjoe    @quantenjoe  schrieb: Ich fasse zusammen: Für mich war deine Antwort recht unbefriedigend, ich habe eher den Eindruck, du bist jemand aus der PR-Abteilung. Ob ich aus der PR-Abteilung bin oder doch was mit Security am Hut habe, können wir gerne in einem persönlichen Gespräch erörtern 😊   Melde dich dazu gerne via PN mit deinen Kontaktdaten bei mir.   Viele Grüße aus der DATEV,   Thomas Müller ... Mehr anzeigen

Hallo zusammen,   Danke dass Ihr hier so offen und fleißig Feedback gebt. Ich denke, wir sind in den angesprochenen Punkten auch nicht weit auseinander. Vielleicht fühlt es sich in der digitalen Distanz nicht immer so an. Das ist mir auch klar geworden. Zusammengefasst habe ich verstanden, dass wir es in der Zukunft noch besser schaffen müssen, dass Datenschutz & Informationssicherheit und Komfort sich nicht gegenseitig behindern.   Jetzt wünsche ich erst mal einen angenehmen Übergang in das Wochenende.   Viele Grüße aus der DATEV Thomas Müller IT-Security und Privacy ... Mehr anzeigen

Guten Abend zusammen,   @metalposaunist  & @quantenjoe  vielen Dank für Eure Reaktion. Ich hoffe das #Du ist ok? Ein Du und Sie im Wechsel würde ich verbocken 😎 Danke im Voraus!   Interessant dabei auch in der Summe Eure persönliche Meinung oder Einschätzung zu lesen. Danke für die Offenheit. Wie bereits geschrieben, Feedback ist willkommen.   Da wo ich es aus dem Kontext Privacy und IT-Security kann, gehe ich gerne noch auf die direkten Fragen von Euch ein.   @metalposaunist  schrieb: Das verstehe ich nicht so ganz (auch nicht nachdem ich weiter gelesen habe) und für mich liest es sich so, dass DATEV   hier herausstechen will und immer "noch einen drauf setzt", weil das andere Unternehmen nicht müssen/wollen/können? Sind DATEV Daten also allgemein "wichtiger" als jene von Microsoft, Apple und Co. ? Nein und ja 😉 "noch einen drauf setzen" werden wir da, wo eine explizite Kundenwertschöpfung stattfinden kann oder wir durch Veränderungen in der gesetzlichen Grundlage dazu verpflichtet sind.   @metalposaunist schrieb: Was ist mit dem CCC? Auch das CCC spielt bei unseren Überlegungen und Entscheidungen eine Rolle. Warum denn nicht 👍   @metalposaunist schrieb: Übertrieben gesagt arbeiten also "alle" anderen bekannten Unternehmen dran vorbei; nur die DATEV hält sich dran?   Es gibt immer wieder schwarze Schafe. Ich würde das aber nicht so pauschalisieren wollen. DATEV ist nicht der Nabel der Welt 😁 Euer Lob, das Ihr immer wieder aussprecht, zeigt uns aber, wir sind mit Euch zusammen auf einem guten Weg in die Zukunft.   @metalposaunist  schrieb: Verstehe mich bitte nicht falsch   aber das liest sich danach, als wüsstest Ihr um Eure eigenen online Anwendungen nicht? ... Und DATEV will etwa nicht wissen, wie man out-of-the-box ein neues Programm benutzt und ob der ausgedachte Workflow auch ganz ohne DHC auskommt?  So ist das natürlich nicht gemeint. Du sprichst da einen sehr wichtigen Punkt an. Natürlich spielt das Interesse unserer Kunden in neuen und etablierten Lösungen eine wichtige Rolle für uns. Auch wie Veränderungen und Weiterentwicklungen vom Kunden genutzt werden können. Über die Online-Lösungen hinaus wird das auch mit Benutzerlaboren gemacht. Alles aber im Rahmen der gesetzlichen Grundlage. Einfach so aus Interesse darf da keiner personenbezogene Daten erheben. Aber das wisst Ihr ja auch.   @metalposaunist schrieb: Und mit der "Einstellung" kann ich mir auch erklären, warum man DATEV online Anwendungen nicht so mit Freude wie Lösungen von Microsoft und Apple nutzt, weil der DATEV erklärte Ziel gar nicht ist, den User so lange in der DATEV Welt zu halten, weil es Freude und Spaß macht?  Also ich kenne schon die Kunden denen die Arbeit mit den DATEV-Lösungen Spaß und Freude bereitet. Und mal unter uns: Auch wenn es sehr gewählt und wohl überlegt ausfällt, Dein Lob an uns sagt mir persönlich - da ist schon auch Spaß und Freude vorhanden. Wer wäre sonst hier in dieser Community so loyal und engagiert wie Du 😊   @metalposaunist schrieb: Kannst Du uns sagen, wie es dazu gekommen ist  ? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte   Nein das kann ich leider nicht. Ich kann intern aber gerne das Thema ansprechen.   @metalposaunist schrieb: Aus unserer Anwendersicht ist das tatsächlich nur schwer nachzuvollziehen. Gerne können wir auch über die im Thread genannten "Umgehungsmöglichkeiten" quatschen  . Also wenn es Dein Ziel ist, mit mir die Härtungsmaßnahmen zu besprechen, damit im Sinne der Security "Umgehungsmöglichkeiten" nicht mehr möglich sind - gerne. Nicht vergessen - wir sind die Security 🤓     @quantenjoe schrieb: Ist "Sicher" eigentlich sicher? Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist. Ich bin absolut bei Dir, es gibt keine hundertprozentige Sicherheit. Wer sich darauf verlässt wird eines Tages böse erwachen.   @quantenjoe schrieb: Darf es auch! Es muss halt nur der Datenschutz sichergestellt sein. Das ist m.E. meist auch möglich - es sei denn Firmeninteressen versuchen - natürlich ganz legal (laut Vereinbarung - ob die vor einem Gericht standhalten kann, ist erstmal uninteressant) - den Nutzer zu einer weitergehenden Einwilligung zu bringen. Sprich es geht, aber passt nicht unbedingt zum Firmeninteresse. Mein Frage: Muss Datev das Spiel mit machen? Ich sag mal so: die DATEV muss nicht jedes Spiel mitmachen. Das Thema Datenschutz und Informationssicherheit ist aber schon im Code of Business Conduct der DATEV eG verankert. Darin heißt es:   "Für DATEV als berufsständischen DV-Dienstleister haben Datensicherheit und Datenschutz oberste Priorität und sind von grundlegender Bedeutung. DATEV steht für außergewöhnlich hohe Standards in diesem Bereich. Dies gilt in besonderer Weise für personenbezogene Daten, aber auch für Geschäftsdaten. Allen Mitarbeitern obliegt in diesem Zusammenhang eine besondere Verantwortung."   Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist. Hatte ich schon, deshalb nur die Frage: Was sind die Kriterien für die Vertretbarkeit? Auf konkrete Details zu unseren Kriterien kann ich hier nicht eingehen. Sorry. Aber gerne mal die Sicht aus der Security in der Sache: Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, wächst die Gefahr eines Missbrauchs oder einer Datenschutzverletzung. 30 Minuten Inaktivität hat schon viel Potential.   Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können.  Warum nicht? Mein erster Gedanke war "Security durch Obscurity" und das funktioniert eher schlecht. Wäre es nicht vielleicht besser, ruhig ins Detail zu gehen und mit dem Wissen der Community die Sicherheit weiter zu härten? 😭dabei fühle ich mich doch wie 007 wenn ich sagen kann "Wenn ich Ihnen das verrate, dann muss ich sie leider ..." 😂 Aber mal im Ernst. Wir arbeiten daran genau dafür einen passenden Rahmen zu schaffen. Ich bin bei Dir, Security by Obscurity wird nicht funktioniert.   Also dann, ich wünsche an dieser Stelle noch einen entspannten Abend.   Herzliche Grüße aus der DATEV Thomas Müller IT-Security und Privacy ... Mehr anzeigen

Hallo zusammen,   @Thorsten_Jedlitzke: Danke für die Einladung hier noch etwas zur Sache beizutragen. Das mach ich natürlich gerne.   Den Wunsch nach Individualisierung können wir auch aus der IT-Security sehr gut nachvollziehen. Es ist nicht unser Ziel, Sicherheitsmechanismen als Gängelei zu implementieren. Der Sicherheitsstandard, den wir erfüllen müssen, ist aber sehr hoch. Beim Vergleich mit Lösungen anderer Hersteller ist es wichtig, die Ziele und die zu schützende Sache zu unterschieden. Dazu aber gleich mehr.   Bei der DATEV eG erhält schon in der Satzung der Datenschutz und die Informationssicherheit einen besonders hohen Stellenwert. Um den Stand der Technik - welcher in den Vorgaben der DS-GVO gefordert wird - umzusetzen, orientiert sich DATEV weiterhin an den etablierten Institutionen und Expertengremien wie dem BSI, OWASP oder NIST.   Kurz gesagt: die Vorgaben zum automatischen Logout, die Zeit zum Auslaufen einer Session, setzen wir gezielt als Vorgabe für die Entwicklung bei DATEV. Sie richten sich nach etablierten und international anerkannten Vorgaben. Es gibt eben auch eine klare Erwartungshaltung zu Datenschutz und Informationssicherheit in unseren Lösungen, die sehr deutlich an uns herangetragen wird.   Der Vergleich mit Unternehmen wie Apple, Microsoft o.Ä. ist aus unserer Sicht schwierig auf eine Linie mit der DATEV eG zu bringen. Diese Unternehmen verfolgen ein anderes Interesse und andere Business-Modelle als die DATEV eG. Nach meiner Einschätzung steht bei diesen Unternehmen besonders die „Online-Zeit“ der Privatanwender im Fokus. Je länger Du online oder eingeloggt bist, umso besser. Man möchte ja wissen was wir alle so online tun. Und bitte nicht falsch verstehen. Ich will hier dieses Vorgehen nicht werten. Mir persönlich gefällt es auch sehr gut, wenn ich mich ohne großen Medienbruch und mit viel Komfort durch die Online- und Cloud-Lösungen meiner Wahl arbeiten kann. 👍   Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist.   Bei der DATEV eG steht die rechts- und datenschutzkonforme Nutzung und Verarbeitung der sensitiven Daten der Kunden und Genossenschaftsmitglieder im Mittelpunkt. Ein Vergleich der umgesetzten Sicherheitsmaßnahmen ist eher mit den Branchen Banken oder Gesundheitswesen zielführend. Meine Banking-App zum Beispiel ist da sehr restriktiv. Selbst ein Screenshot auf meinem Smartphone führt sofort zu einem Ende der aktuellen Sitzung. Da kann man drüber streiten – ich weiß 😉   PS: Auch wir aus dem Bereich IT-Security und Datenschutz schätzen die Anregungen und Diskussionen hier aus der Community sehr. Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können. Das, was hier und in anderen Diskussionen von Euch allen angesprochen wird, nehmen wir aber sehr ernst. Was wir tun können, um auch den Komfort der DATEV-Lösungen zu steigern, das machen wir gerne. Feedback ist aber auf jeden Fall immer willkommen, auch wenn Feedback ab und zu mal weh tut.   Viele Grüße hier aus Nürnberg, Thomas Müller IT-Security & Privacy ... Mehr anzeigen