Guten Abend zusammen, @metalposaunist & @quantenjoe vielen Dank für Eure Reaktion. Ich hoffe das #Du ist ok? Ein Du und Sie im Wechsel würde ich verbocken 😎 Danke im Voraus! Interessant dabei auch in der Summe Eure persönliche Meinung oder Einschätzung zu lesen. Danke für die Offenheit. Wie bereits geschrieben, Feedback ist willkommen. Da wo ich es aus dem Kontext Privacy und IT-Security kann, gehe ich gerne noch auf die direkten Fragen von Euch ein. @metalposaunist schrieb: Das verstehe ich nicht so ganz (auch nicht nachdem ich weiter gelesen habe) und für mich liest es sich so, dass DATEV hier herausstechen will und immer "noch einen drauf setzt", weil das andere Unternehmen nicht müssen/wollen/können? Sind DATEV Daten also allgemein "wichtiger" als jene von Microsoft, Apple und Co. ? Nein und ja 😉 "noch einen drauf setzen" werden wir da, wo eine explizite Kundenwertschöpfung stattfinden kann oder wir durch Veränderungen in der gesetzlichen Grundlage dazu verpflichtet sind. @metalposaunist schrieb: Was ist mit dem CCC? Auch das CCC spielt bei unseren Überlegungen und Entscheidungen eine Rolle. Warum denn nicht 👍 @metalposaunist schrieb: Übertrieben gesagt arbeiten also "alle" anderen bekannten Unternehmen dran vorbei; nur die DATEV hält sich dran? Es gibt immer wieder schwarze Schafe. Ich würde das aber nicht so pauschalisieren wollen. DATEV ist nicht der Nabel der Welt 😁 Euer Lob, das Ihr immer wieder aussprecht, zeigt uns aber, wir sind mit Euch zusammen auf einem guten Weg in die Zukunft. @metalposaunist schrieb: Verstehe mich bitte nicht falsch aber das liest sich danach, als wüsstest Ihr um Eure eigenen online Anwendungen nicht? ... Und DATEV will etwa nicht wissen, wie man out-of-the-box ein neues Programm benutzt und ob der ausgedachte Workflow auch ganz ohne DHC auskommt? So ist das natürlich nicht gemeint. Du sprichst da einen sehr wichtigen Punkt an. Natürlich spielt das Interesse unserer Kunden in neuen und etablierten Lösungen eine wichtige Rolle für uns. Auch wie Veränderungen und Weiterentwicklungen vom Kunden genutzt werden können. Über die Online-Lösungen hinaus wird das auch mit Benutzerlaboren gemacht. Alles aber im Rahmen der gesetzlichen Grundlage. Einfach so aus Interesse darf da keiner personenbezogene Daten erheben. Aber das wisst Ihr ja auch. @metalposaunist schrieb: Und mit der "Einstellung" kann ich mir auch erklären, warum man DATEV online Anwendungen nicht so mit Freude wie Lösungen von Microsoft und Apple nutzt, weil der DATEV erklärte Ziel gar nicht ist, den User so lange in der DATEV Welt zu halten, weil es Freude und Spaß macht? Also ich kenne schon die Kunden denen die Arbeit mit den DATEV-Lösungen Spaß und Freude bereitet. Und mal unter uns: Auch wenn es sehr gewählt und wohl überlegt ausfällt, Dein Lob an uns sagt mir persönlich - da ist schon auch Spaß und Freude vorhanden. Wer wäre sonst hier in dieser Community so loyal und engagiert wie Du 😊 @metalposaunist schrieb: Kannst Du uns sagen, wie es dazu gekommen ist ? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte Nein das kann ich leider nicht. Ich kann intern aber gerne das Thema ansprechen. @metalposaunist schrieb: Aus unserer Anwendersicht ist das tatsächlich nur schwer nachzuvollziehen. Gerne können wir auch über die im Thread genannten "Umgehungsmöglichkeiten" quatschen . Also wenn es Dein Ziel ist, mit mir die Härtungsmaßnahmen zu besprechen, damit im Sinne der Security "Umgehungsmöglichkeiten" nicht mehr möglich sind - gerne. Nicht vergessen - wir sind die Security 🤓 @quantenjoe schrieb: Ist "Sicher" eigentlich sicher? Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist. Ich bin absolut bei Dir, es gibt keine hundertprozentige Sicherheit. Wer sich darauf verlässt wird eines Tages böse erwachen. @quantenjoe schrieb: Darf es auch! Es muss halt nur der Datenschutz sichergestellt sein. Das ist m.E. meist auch möglich - es sei denn Firmeninteressen versuchen - natürlich ganz legal (laut Vereinbarung - ob die vor einem Gericht standhalten kann, ist erstmal uninteressant) - den Nutzer zu einer weitergehenden Einwilligung zu bringen. Sprich es geht, aber passt nicht unbedingt zum Firmeninteresse. Mein Frage: Muss Datev das Spiel mit machen? Ich sag mal so: die DATEV muss nicht jedes Spiel mitmachen. Das Thema Datenschutz und Informationssicherheit ist aber schon im Code of Business Conduct der DATEV eG verankert. Darin heißt es: "Für DATEV als berufsständischen DV-Dienstleister haben Datensicherheit und Datenschutz oberste Priorität und sind von grundlegender Bedeutung. DATEV steht für außergewöhnlich hohe Standards in diesem Bereich. Dies gilt in besonderer Weise für personenbezogene Daten, aber auch für Geschäftsdaten. Allen Mitarbeitern obliegt in diesem Zusammenhang eine besondere Verantwortung." Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist. Hatte ich schon, deshalb nur die Frage: Was sind die Kriterien für die Vertretbarkeit? Auf konkrete Details zu unseren Kriterien kann ich hier nicht eingehen. Sorry. Aber gerne mal die Sicht aus der Security in der Sache: Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, wächst die Gefahr eines Missbrauchs oder einer Datenschutzverletzung. 30 Minuten Inaktivität hat schon viel Potential. Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können. Warum nicht? Mein erster Gedanke war "Security durch Obscurity" und das funktioniert eher schlecht. Wäre es nicht vielleicht besser, ruhig ins Detail zu gehen und mit dem Wissen der Community die Sicherheit weiter zu härten? 😭dabei fühle ich mich doch wie 007 wenn ich sagen kann "Wenn ich Ihnen das verrate, dann muss ich sie leider ..." 😂 Aber mal im Ernst. Wir arbeiten daran genau dafür einen passenden Rahmen zu schaffen. Ich bin bei Dir, Security by Obscurity wird nicht funktioniert. Also dann, ich wünsche an dieser Stelle noch einen entspannten Abend. Herzliche Grüße aus der DATEV Thomas Müller IT-Security und Privacy
... Mehr anzeigen