Hallo @LS4B ,    ich kann den Unmut über solche Phishing-Mails gut verstehen. DATEV versendet solche Mails aber überhaupt nicht.  Wir, ich setzen auf Transparenz, Lernen und Weiterentwicklung. Wir schätzen jeden konstruktiven Austausch - genau so können wir besser werden und gegenüber den Betreibern solcher Phishing-Attacken Stärke zeigen. Wäre gut wenn ich Dich dazu mit einladen könnte.   „Selber schuld“ hilft weder unseren Kunden noch der Community.     Viele Grüße hier aus Nürnberg, Thomas Müller ... Mehr anzeigen

@vogtsburger sorry, du hast natürlich Recht. Ein paar mehr Informationen können helfen 👍   Dem Screenshot nach gehe ich ganz fest davon aus, dass die E-Mail im HTML-Format versendet wird. Die URL, ist nach aktuellem Stand immer wieder eine andere. Das Wechseln der verlinkten Adressen in solchen Phishing-Mails etabliert sich aktuell immer mehr. Leider!   Das PDF aus der Mail habe ich leider auch noch nicht gesehen. Ich bin nicht im Besitz der originalen Mail. Es kann auch sein, das nur ein Bild angehangen wurde, das eine PDF-Datei vorgaukeln soll. Das Bild ist aber sicher auch mit einem Hyperlink versehen.   Mehr kann ich im Moment leider nicht sagen. Wenn ich mehr Informationen bekommen, schreibe ich hier wieder.   Viele Grüße hier aus Nürnberg, Thomas Müller ... Mehr anzeigen

Hallo Community,     leider geht das Thema Phishing-Mails zum Ende des Januars weiter. Es ist ein ähnliches Vorgehen wie im ersten Beitrag von mir. Es ist dieses Mal ein PDF angehangen und es werden wieder Rechnungsnummern und Mandantennummern verwendet (habe ich im Bild durch 123456 ersetzt). Dieses Mal wird darauf gesetzt, dass der Anhang heruntergeladen wird und dann geöffnet.   Bitte nicht!   Ich möchte hier noch einmal darauf hinweisen, das DATEV solche Mails nicht versendet. Auch diese Art der Aufforderung versendet DATEV nicht. Hier wieder ein Sceenshot einer Mail, die wir freundlicherweise zur Verfügung gestellt bekommen haben:     Bitte leitet die Information weiter. Vielen Dank für Eure Unterstützung.   Viele Grüße hier aus Nürnberg, Thomas Müller ... Mehr anzeigen

Hallo @Neu_hier ,   @Neu_hier schrieb:  Meiner Meinung nach hat da wer bei DATEV nicht wirklich gut nachgedacht, denn ich werde mich davor hüten bei einer Mail, die die gleiche Absenderadresse hat wie die vermeintliche Phishing-Mail, auf irgendeinen Link zu klicken!!!   Ich hätte hier nur einen textlichen Hinweis auf weitere Infos unter DATEV.de angebracht und die Merkmale wie eine  gefälschte Mail zu erkennen ist, aber bestimmt keinen Link "klicken Sie hier", denn genau das ist ja der Trick der Phishing-Betrüger...... Danke! Das ist eine absolut nachvollziehbare Kritik. Ich trage bei der Umsetzung auch mit Verantwortung. Ich nehme das gerne mit auf und lass diesen Input bei der nächsten Info mit einfließen. Die aktuelle wird jetzt in der kritisierten Variante sicher noch etwas verschickt. Ich spreche aber mal mit den Kollegen was wir da noch tun können.   Viele Grüße hier aus Nürnberg, Thomas Müller ... Mehr anzeigen

Servus @metalposaunist ,   das es bei Dir mit dem MAC nicht funktioniert ist interessant. Kannst Du ein bisschen was zu der MAC-Konfiguration verraten? Also Modell und OS-Version? Ich würde das mal gerne ausprobieren.   Unter OWA - Outlook im Web 😉 übernimmt den ToolTip beim Mouseover der Browser. Entweder in der Statusleiste oder unten Links als Tooltip-Bubble. Nicht schön, aber sollte in allen Browsern so angezeigt werden.   Melde Dich bitte noch mal falls das tatsächlich nicht angezeigt wird. Ich habe es gerade bei mir noch mal probiert. Ist hoffentlich nicht nur ein Vorzeigeeffekt 😎    @metalposaunist schrieb: Aber ich arbeite auch in der Zukunft   , wo DATEV noch nicht so ganz ist    Daher sind wir doch ganz froh, wenn Menschen wie Du uns immer wieder antreiben 😋   VG aus Nürnberg, Thomas Müller ... Mehr anzeigen

Hallo Community,   zu der letzte Woche hier kommunizierten Phishing-Attacke gibt es aktuell keine akuten Meldungen mehr. Das heißt natürlich nicht, das wir uns bei diesem Thema, ganz nach dem Motto "Es ist ja nun vorbei", zurücklehnen können. Sicher nicht!   Wir werden heute in der DATEV-Community und auch auf der Webseite datev.de den Banner wieder entfernen. Auf datev.de haben wir heute einen neuen Artikel online gestellt. Mit diesem Artikel möchten wir auf der einen Seite zum Thema Phishing sensibilisieren und auf der anderen Seite geben wir allen interessierten Lesern 6 wichtige Optionen mit, wie man sich grundlegend gegen Phishing-Attacken schützen kann.   Kennen Sie die Datev AG? – DATEV magazin (datev-magazin.de)   Wenn Euch mehr solche Artikel interessieren, gebt mir gerne Rückmeldung dazu. Ich kann dann mit den Kolleginnen und Kollegen bei DATEV weitere Artikel aus dem Bereich Security und Datenschutz veröffentlichen. Intern hatten wir zum Beispiel gerade zum Thema Job-Scamming sensibilisiert und aufgeklärt.   Viele Grüße hier aus Nürnberg, Thomas Müller ... Mehr anzeigen

@metalposaunist schrieb: Da darf DATEV gerne selbst besser werden   .  ...wir können immer besser werden. Ist uns bewusst, danke trotzdem für Deinen Input 🤝     VG aus Nürnberg, Thomas Müller ... Mehr anzeigen

@vogtsburger schrieb: was ist denn jetzt der aktuelle Stand dieser konkreten Phishing-Attacke mit angeblichen E-Mails von Datev ? Hallo @vogtsburger , hallo Community   der Stand ist der, dass wir ab heute die Warnung zur potentiellen Gefahr durch Phishing-Attacken in die Bestätigungsmail für Kunden, die Belege nach DUo hochladen, ergänzt haben. Ähnlich wie der aktuelle Banner hier in der Community.     @vogtsburger schrieb: ist der Urheber bekannt ? welche Gefahr droht (Ransomware, Identitätsdiebstahl, Zugangsdaten usw. ) ? Handlungsempfehlungen speziell bei Erhalt einer solchen Mail ? ... ?   Die Urheber sind bei solchen Phishing-Attacken kaum zu ermitteln. Wir kennen die Urheber leider nicht.  Alle aufgeführten Daten sind denkbar. Nicht immer direkt und unmittelbar. Die Motivation solcher Phishing-Angriffe sind sehr vielfältig. Manchmal werden diese auch nur als Testballon gestartet, damit man dann weiß wie auf solche Situationen reagiert wird. Wir veröffentlichen dazu nächste Woche Tipps zum Schutz vor Phishing-Angriffen. Grundsätzlich ist ein gesundes Misstrauen ein guter Berater. Aber bitte kein paranoides Verhalten 😉   @vogtsburger schrieb: ... es findet sich ja leider immer mal wieder jemand in der Kanzlei, der aus Dusseligkeit oder wegen Stress oder aus sonstigen Gründen auf sowas klickt Dringende Empfehlung: Bitte die Mitarbeitenden nicht als dusselig hinstellen, wenn Fehler gemacht werden. Es ist zielführender zu hinterfragen warum es zu diesem Verhalten kam und was getan werden kann, damit dies nicht mehr passiert. Das kriminelle Geschäft in dem Phishing zum Einsatz kommt ist mittlerweile so professionell, das auch gezielt auf die Psychologie des Menschen gesetzt wird. Unser Gehirn spielt uns manchmal Streiche. Gerade deshalb, weil es so gut wie möglich Bekanntes automatisieren möchte. Das spart Energie und hier setzen die Angreifer an.   Wir alle kennen den Moment im Leben, an dem wir uns fragen: "Warum hab ich das denn jetzt gemacht?   Sprecht mit den Menschen in Euren Kanzleien und fragt sie auch was sie brauchen, damit sie sich in der Sache sicherer fühlen und Fehler vermieden werden können!   P.S. der Warnhinweis hier in der Community ist ein guter Ansatz, aber leider nicht ausreichend und nicht "niederschwellig", also nicht allgemeinverständlich genug   Die Malware-Routiniers bräuchten die Warnung nicht und die Malware-Ahnungslosen können nicht viel mit dieser Warnung anfangen    Danke für den wichtigen Hinweis! Sehen wir mittlerweile auch so. Wir werden nächste Woche die Kommunikation dazu anpassen und verbessern. Gerade für die Unerfahrenen, die neu Im Bereich der IT sind.    VG aus Nürnberg, Thomas Müller ... Mehr anzeigen

Hallo @Nutzer_8888 ,   klar leite ich den Input zum Thema gerne weiter 👍   Sensibilisierung ist in solchen Fällen sehr wichtig. Danke für Eure Unterstützung dabei.     VG aus Nürnberg, Thomas Müller ... Mehr anzeigen

Hallo Community,   aus der DATEV gibt es aktuell zu diesem Thema auch keine Neuigkeiten oder Veränderungen zu melden. Wir haben weiterhin einen sehr konzentrierten und aufmerksamen Blick auf die aktuelle Lage zum Thema "Verwundbarkeiten in OS-Komponenten".   Was wir natürlich nicht hoffen, wovor sich aber niemand zu 100% schützen kann, sollte sich eine ähnliche Situation wie zum Jahreswechsel 2021 auf 2022 abzeichnen, werden wir hier wieder in der DATEV-Community schnell und transparent informieren.   Viele Grüße Nürnberg Thomas Müller ... Mehr anzeigen

Hallo Community,   anbei noch ein neuer Status aus der DATEV. Die Kolleginnen und Kollegen aus der E-Mail-Technik haben mich darüber informiert, dass im Bereich SPF und DMARC, gestern Abend und heute Morgen, noch einmal Härtungsmaßnahmen ergriffen wurden. Damit ist es nun für alle Nutzer der DATEV-Mails noch besser möglich auf Phishing-Attacken zu reagieren - Vertraulich von Nicht-Vertraulich zu unterscheiden. Wird also DMARC und SPF eingesetzt, kann genau festgestellt werden, ob die Mail wirklich von der DATEV kommt oder nicht.   Viele Grüße hier aus Nürnberg, Thomas Müller ... Mehr anzeigen

@metalposaunist schrieb: Muss man wieder von DATEV lesen: geht nicht     . Warum nicht?  Wenn die betroffene Person die Mail endgültig gelöscht hat, bevor die Information an uns weitergereicht wurde, die Infrastruktur nicht der DATEV gehört - was wäre denn Dein Vorschlag?   Hat nichts mit Unfähigkeit oder Widerwillen zu tun, ist dem Verhalten des Users geschuldet, das nicht falsch war!   Wir bekommen schon noch die Gelegenheit der Analyse und wie geschrieben, ich schaue sehr gerne ob ich zu einem anderen Beispiel noch einen besser aufgelösten Screenshot erhalten.   VG ... Mehr anzeigen

Hallo @Nutzer_8888 ,   richtig - die Informationen zur Signatur sind nur als Fake-Text eingefügt worden. Mehr steckt da nicht dahinter.   Blöde nur, dass vielen Nutzern das nicht auffällt. Daher muss man zu dem Phishing-Thema immer wieder informieren und den Nutzern die potentielle Angst nehmen, dass sie zu viel oder etwas falsches melden könnten.   Lieber einmal zu viel an der Stelle über auffälliges Verhalten informieren als zu wenig.   VG aus Nürnberg ... Mehr anzeigen

Hallo @metalposaunist ,   DATEVnet kann davor schützen. Richtig.     @metalposaunist schrieb: Nur an den 2 Merkmalen kann man's erkennen? Das heißt, die E-Mail Signatur, wie sie im Footer steht, ist auch vorhanden und korrekt? Also Menschen die in Bezug auf E-Mail Phishing Experten-Wissen haben, können solche Mails auch noch an anderen Kriterien enttarnen. Dir sind da sicher auch noch andere Parameter eingefallen.   Das Grundproblem bei diesen Phishing-Attacken liegt ja im SMTP-Protokoll. Es gibt keine Authentifizierungsmöglichkeit.   Leider ist der Screenshot nicht hochauflösend. Sobald man ein bisschen heranzoomt, wird's pixelig    Sorry 🙈 - ich habe leider nur diese Auflösung erhalten. Mal sehen ob ich noch eine andere auftreiben kann. Ich denke aber, dass der Absender des Screenshots die Mail vorbildlich gelöscht hat, ohne die Links anzuklicken 😎   Und die SMTP Adresse ist auch nach dem "Nachschauen" noch jene von DATEV? Nur als Beispiel.  Ich habe leider nur den Screenshot, und den Hinweis auf weitere Mails erhalten. Eine originale Mail liegt mir leider nicht vor.   Ich wäre auch sehr gern in die Analyse zum Urheber gegangen - geht aber leider in dem Fall nicht.   VG aus Nürnberg ... Mehr anzeigen

@metalposaunist schrieb: Echt? DATEV Ist Keylogger sicher? Der kam bei S-Protect ja auch zum Einsatz und konnte relativ einfach umgangen werden. Das lädt zum Ausprobieren ein 😀 .   Hallo metalposaunist,   grundsätzlich kann ein kompromittiertes System nicht durch eine einzige Software zu 100% geschützt werden. Wenn das S-Protect versucht zu verkaufen, ist das die Entscheidung des Softwareherstellers. Ich würde diese Aussage nie treffen.   Ist ein Keylogger auf einem System angekommen und besitzt die Rechte Daten abzuziehen, würde ich an Deiner Stelle überlegen wie die vorgeschalteten Verteidigungslinien auf den Systemen aussehen. Dazu zählen, Virenscanner, Anti-Spyware und regelmäßige Awareness-Schulungen der Mitarbeitenden in den Unternehmen. Nur wenn alle Teile der Verteidigungslinien zum Schutz vor Cyber-Attacken zusammenspielen, kann man sich angemessen verteidigen.   Nochmals, einen 100%igen Schutz gibt es nicht. Trotzdem hast Du natürlich Recht, man darf sich nicht hinter anderen Verteidigungslinien verstecken. Jeder ist in diesem Spiel gefordert und muss seinen Beitrag leisten. Wir sind uns dessen absolut bewusst.   Gerne kannst Du dir die DATEV-Software ansehen und uns auf potenzielle Schwachstellen melden. Solltest Du Hinweise auf potentielle Schwachstellen finden, würden wir Dich um einen vertraulichen Informationskanal bitten. So haben wir Gelegenheit angemessen zu reagieren. Dieses Verfahren praktizieren wir schon seit Jahren sehr erfolgreich. Wir scheuen uns nicht vor externen Meldungen, freuen uns an der Stelle über eine enge Zusammenarbeit mit kompetenten Sicherheitsexperten.  @metalposaunist schrieb: Schade, dass Du nicht konkret auf die Fragen aus den zahlreichen Kommentaren der Idea eingehst und eher allgemein bleibst. Ich quatsche den Günter Born mal an. Der hat ja immer ein offenes Ohr für sowas. Da wo ich konkret, bzw. tiefer in Details zu DATEV-Security-Themen einsteigen kann, da werde ich das immer tun!   Ich lese hier im Forum die Nachrichten an mich, in Bezug auf Security-Themen oder Beiträge, in denen ich zitiert werde. Bitte hab dafür Verständnis, dass nicht immer ich persönlich antworten kann, meine Kolleginnen und Kollegen aus den Produkten, machen aber hier in der Community einen super Job. Ganz offen gestanden bin ich auch nicht der Typ, der bereits gegebene Antworten, die in der Sache passen noch einmal wiederholen muss, nur damit ich sie selbst geschrieben habe. 😎   Viele Grüße aus der DATEV,   Thomas Müller   ... Mehr anzeigen

Hallo metalposaunist,   vielen Dank, dass du dir über die Berichte zu den Schwachstellen im Banking-Browser S-Protect Gedanken machst und vor allem, dass du sie hier mit uns und allen anderen teilst. Allein das führt zu einer größeren Security-Awareness 😊   Die bekannten bei S-Protect gefundenen Schwachstellen und Möglichkeiten zum potentiellen Abzug von Daten sind bei DATEV-Produkten nicht vorhanden.   Alle unsere Softwarelösungen werden in genau definierten Zyklen immer wieder einer Sicherheits-Penetration unterzogen und potenzielle Schwachstellen umgehend beseitigt. Es ist aber auch klar und wir haben es ja auch schon oft erwähnt – eine 100% Sicherheit gibt es nicht. Darum setzen wir bei DATEV auf Weiterentwicklung in der Security und wie wir unsere Sicherheitstests durchführen.     Zu Deinen Anmerkungen bezüglich der Kombination von SmartCard und SmartVerify. Grundsätzlich geht es bei jeder Anwendung einer 2Faktor-Authentifizierung um Besitz und Wissen. Beide Komponenten müssen grundsätzlich voneinander trennbar sein. Eine SmartCard kann ich vom Rechner abziehen, das Wissen kann den Raum verlassen. Das eine und das andere ist aber immer nur so sicher, wie der Zugang dazu. Hängt mein Wissen auf einem Post-It am Monitor und ist der Zugang zum Besitz nicht ausreichend geschützt, wird jeder 2Faktor-Schutz ausgehebelt. Egal ob der Besitz eine SmartCard oder ein Handy ist. OK, man könnte jetzt meinen, dass jedes Handy mit einem weiteren Password gesichert sein sollte – Ist das tatsächlich so? Wer sorgt dafür das die Smartphones tatsächlich ausreichend vor einem fremden Zugriff geschützt werden? Bitte nicht falsch verstehen, ich will die Umsetzung von 2Faktor-Lösungen mit SmartPhones als weitere Besitzkomponenten nicht – aus einer persönlichen Haltung heraus – ausschließen. Ich möchte nur verdeutlichen, dass ein zweiter Faktor immer nur dann funktioniert, wenn auch im Umgang mit diesen eine ausreichende Security-Awareness vorhanden ist. Egel um welche Art des zweiten Faktors es sich konkret handelt.     Mit freundlichen Grüßen aus der DATEV Thomas Müller ... Mehr anzeigen

Hallo @quantenjoe ,   vielen Dank für deine offenen Worte. Ich kann dir versichern, dass ich mich nicht persönlich angegriffen fühle. Dass eine Antwort einen Eindruck/ eine Vermutung zur Tätigkeit oder Einstellung in der Sache hinterlässt, finde ich ganz normal. Die digitale Distanz fordert immer wieder ihren Tribut 😎 Das persönliche Gespräch ist einfach ein freundliches Angebot an Dich. Ich würde mich freuen, wenn wir uns mal in einem pers. Austausch kennenlernen. Dabei geht es weder um "information hiding" in Richtung der Community noch darum sich rechtfertigen zu müssen. Ein guter altmodischer, persönlicher Austausch. Ich denke auch dafür muss sich keiner von uns rechtfertigen. Ich würde mich freuen 😉   Natürlich nur wenn du magst. Ansonsten werde ich auch gerne weiterhin mit Rat und Tat in der Community dabei sein. Als Info zu mir sei noch erwähnt, dass ich nicht zu den Personen gehöre, die zu allem etwas schreiben müssen, nur weil ich selbst noch nichts dazu gesagt oder geschrieben habe. 😉 Posts, in denen ich erwähnt werde, lese ich aufmerksam und tausche mich mit meinen Kolleginnen und Kollegen in der DATEV darüber aus, wer in der Sache zielführend antworten oder direkt helfen kann. Es kann also immer wieder sein, dass Euch in der Sache von meinen Kolleginnen oder Kollegen aus den Produkten geholfen wird, ohne dass ich mich persönlich dazu melde. Ich sehe hier meine Aufgabe nicht im Sammeln von Antwortpunkten oder Kudos. Auch wenn ich mich sehr freue, wenn meine Antworten mit diesen honoriert werden. Am meisten freue ich mich aber, wenn euch in der Sache geholfen wird, unabhängig davon, wer die Antwort gibt.    Viele Grüße hier aus der DATEV, Thomas Müller ... Mehr anzeigen

Hallo @quantenjoe    @quantenjoe  schrieb: Ich fasse zusammen: Für mich war deine Antwort recht unbefriedigend, ich habe eher den Eindruck, du bist jemand aus der PR-Abteilung. Ob ich aus der PR-Abteilung bin oder doch was mit Security am Hut habe, können wir gerne in einem persönlichen Gespräch erörtern 😊   Melde dich dazu gerne via PN mit deinen Kontaktdaten bei mir.   Viele Grüße aus der DATEV,   Thomas Müller ... Mehr anzeigen

Hallo zusammen,   Danke dass Ihr hier so offen und fleißig Feedback gebt. Ich denke, wir sind in den angesprochenen Punkten auch nicht weit auseinander. Vielleicht fühlt es sich in der digitalen Distanz nicht immer so an. Das ist mir auch klar geworden. Zusammengefasst habe ich verstanden, dass wir es in der Zukunft noch besser schaffen müssen, dass Datenschutz & Informationssicherheit und Komfort sich nicht gegenseitig behindern.   Jetzt wünsche ich erst mal einen angenehmen Übergang in das Wochenende.   Viele Grüße aus der DATEV Thomas Müller IT-Security und Privacy ... Mehr anzeigen

Guten Abend zusammen,   @metalposaunist  & @quantenjoe  vielen Dank für Eure Reaktion. Ich hoffe das #Du ist ok? Ein Du und Sie im Wechsel würde ich verbocken 😎 Danke im Voraus!   Interessant dabei auch in der Summe Eure persönliche Meinung oder Einschätzung zu lesen. Danke für die Offenheit. Wie bereits geschrieben, Feedback ist willkommen.   Da wo ich es aus dem Kontext Privacy und IT-Security kann, gehe ich gerne noch auf die direkten Fragen von Euch ein.   @metalposaunist  schrieb: Das verstehe ich nicht so ganz (auch nicht nachdem ich weiter gelesen habe) und für mich liest es sich so, dass DATEV   hier herausstechen will und immer "noch einen drauf setzt", weil das andere Unternehmen nicht müssen/wollen/können? Sind DATEV Daten also allgemein "wichtiger" als jene von Microsoft, Apple und Co. ? Nein und ja 😉 "noch einen drauf setzen" werden wir da, wo eine explizite Kundenwertschöpfung stattfinden kann oder wir durch Veränderungen in der gesetzlichen Grundlage dazu verpflichtet sind.   @metalposaunist schrieb: Was ist mit dem CCC? Auch das CCC spielt bei unseren Überlegungen und Entscheidungen eine Rolle. Warum denn nicht 👍   @metalposaunist schrieb: Übertrieben gesagt arbeiten also "alle" anderen bekannten Unternehmen dran vorbei; nur die DATEV hält sich dran?   Es gibt immer wieder schwarze Schafe. Ich würde das aber nicht so pauschalisieren wollen. DATEV ist nicht der Nabel der Welt 😁 Euer Lob, das Ihr immer wieder aussprecht, zeigt uns aber, wir sind mit Euch zusammen auf einem guten Weg in die Zukunft.   @metalposaunist  schrieb: Verstehe mich bitte nicht falsch   aber das liest sich danach, als wüsstest Ihr um Eure eigenen online Anwendungen nicht? ... Und DATEV will etwa nicht wissen, wie man out-of-the-box ein neues Programm benutzt und ob der ausgedachte Workflow auch ganz ohne DHC auskommt?  So ist das natürlich nicht gemeint. Du sprichst da einen sehr wichtigen Punkt an. Natürlich spielt das Interesse unserer Kunden in neuen und etablierten Lösungen eine wichtige Rolle für uns. Auch wie Veränderungen und Weiterentwicklungen vom Kunden genutzt werden können. Über die Online-Lösungen hinaus wird das auch mit Benutzerlaboren gemacht. Alles aber im Rahmen der gesetzlichen Grundlage. Einfach so aus Interesse darf da keiner personenbezogene Daten erheben. Aber das wisst Ihr ja auch.   @metalposaunist schrieb: Und mit der "Einstellung" kann ich mir auch erklären, warum man DATEV online Anwendungen nicht so mit Freude wie Lösungen von Microsoft und Apple nutzt, weil der DATEV erklärte Ziel gar nicht ist, den User so lange in der DATEV Welt zu halten, weil es Freude und Spaß macht?  Also ich kenne schon die Kunden denen die Arbeit mit den DATEV-Lösungen Spaß und Freude bereitet. Und mal unter uns: Auch wenn es sehr gewählt und wohl überlegt ausfällt, Dein Lob an uns sagt mir persönlich - da ist schon auch Spaß und Freude vorhanden. Wer wäre sonst hier in dieser Community so loyal und engagiert wie Du 😊   @metalposaunist schrieb: Kannst Du uns sagen, wie es dazu gekommen ist  ? EBICS sichere machen Leider haben wir von der DATEV bis heute keine Mitteilung bekommen, wie das passieren konnte   Nein das kann ich leider nicht. Ich kann intern aber gerne das Thema ansprechen.   @metalposaunist schrieb: Aus unserer Anwendersicht ist das tatsächlich nur schwer nachzuvollziehen. Gerne können wir auch über die im Thread genannten "Umgehungsmöglichkeiten" quatschen  . Also wenn es Dein Ziel ist, mit mir die Härtungsmaßnahmen zu besprechen, damit im Sinne der Security "Umgehungsmöglichkeiten" nicht mehr möglich sind - gerne. Nicht vergessen - wir sind die Security 🤓     @quantenjoe schrieb: Ist "Sicher" eigentlich sicher? Es gibt bei uns in der IT-Security einen Spruch: Sicher ist, wenn der Computer aus ist. Ich bin absolut bei Dir, es gibt keine hundertprozentige Sicherheit. Wer sich darauf verlässt wird eines Tages böse erwachen.   @quantenjoe schrieb: Darf es auch! Es muss halt nur der Datenschutz sichergestellt sein. Das ist m.E. meist auch möglich - es sei denn Firmeninteressen versuchen - natürlich ganz legal (laut Vereinbarung - ob die vor einem Gericht standhalten kann, ist erstmal uninteressant) - den Nutzer zu einer weitergehenden Einwilligung zu bringen. Sprich es geht, aber passt nicht unbedingt zum Firmeninteresse. Mein Frage: Muss Datev das Spiel mit machen? Ich sag mal so: die DATEV muss nicht jedes Spiel mitmachen. Das Thema Datenschutz und Informationssicherheit ist aber schon im Code of Business Conduct der DATEV eG verankert. Darin heißt es:   "Für DATEV als berufsständischen DV-Dienstleister haben Datensicherheit und Datenschutz oberste Priorität und sind von grundlegender Bedeutung. DATEV steht für außergewöhnlich hohe Standards in diesem Bereich. Dies gilt in besonderer Weise für personenbezogene Daten, aber auch für Geschäftsdaten. Allen Mitarbeitern obliegt in diesem Zusammenhang eine besondere Verantwortung."   Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist. Hatte ich schon, deshalb nur die Frage: Was sind die Kriterien für die Vertretbarkeit? Auf konkrete Details zu unseren Kriterien kann ich hier nicht eingehen. Sorry. Aber gerne mal die Sicht aus der Security in der Sache: Mit jeder Sekunde die ein System scheinbar ohne den autorisierten Benutzer zugänglich für Dritte ist, wächst die Gefahr eines Missbrauchs oder einer Datenschutzverletzung. 30 Minuten Inaktivität hat schon viel Potential.   Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können.  Warum nicht? Mein erster Gedanke war "Security durch Obscurity" und das funktioniert eher schlecht. Wäre es nicht vielleicht besser, ruhig ins Detail zu gehen und mit dem Wissen der Community die Sicherheit weiter zu härten? 😭dabei fühle ich mich doch wie 007 wenn ich sagen kann "Wenn ich Ihnen das verrate, dann muss ich sie leider ..." 😂 Aber mal im Ernst. Wir arbeiten daran genau dafür einen passenden Rahmen zu schaffen. Ich bin bei Dir, Security by Obscurity wird nicht funktioniert.   Also dann, ich wünsche an dieser Stelle noch einen entspannten Abend.   Herzliche Grüße aus der DATEV Thomas Müller IT-Security und Privacy ... Mehr anzeigen

Hallo zusammen,   @Thorsten_Jedlitzke: Danke für die Einladung hier noch etwas zur Sache beizutragen. Das mach ich natürlich gerne.   Den Wunsch nach Individualisierung können wir auch aus der IT-Security sehr gut nachvollziehen. Es ist nicht unser Ziel, Sicherheitsmechanismen als Gängelei zu implementieren. Der Sicherheitsstandard, den wir erfüllen müssen, ist aber sehr hoch. Beim Vergleich mit Lösungen anderer Hersteller ist es wichtig, die Ziele und die zu schützende Sache zu unterschieden. Dazu aber gleich mehr.   Bei der DATEV eG erhält schon in der Satzung der Datenschutz und die Informationssicherheit einen besonders hohen Stellenwert. Um den Stand der Technik - welcher in den Vorgaben der DS-GVO gefordert wird - umzusetzen, orientiert sich DATEV weiterhin an den etablierten Institutionen und Expertengremien wie dem BSI, OWASP oder NIST.   Kurz gesagt: die Vorgaben zum automatischen Logout, die Zeit zum Auslaufen einer Session, setzen wir gezielt als Vorgabe für die Entwicklung bei DATEV. Sie richten sich nach etablierten und international anerkannten Vorgaben. Es gibt eben auch eine klare Erwartungshaltung zu Datenschutz und Informationssicherheit in unseren Lösungen, die sehr deutlich an uns herangetragen wird.   Der Vergleich mit Unternehmen wie Apple, Microsoft o.Ä. ist aus unserer Sicht schwierig auf eine Linie mit der DATEV eG zu bringen. Diese Unternehmen verfolgen ein anderes Interesse und andere Business-Modelle als die DATEV eG. Nach meiner Einschätzung steht bei diesen Unternehmen besonders die „Online-Zeit“ der Privatanwender im Fokus. Je länger Du online oder eingeloggt bist, umso besser. Man möchte ja wissen was wir alle so online tun. Und bitte nicht falsch verstehen. Ich will hier dieses Vorgehen nicht werten. Mir persönlich gefällt es auch sehr gut, wenn ich mich ohne großen Medienbruch und mit viel Komfort durch die Online- und Cloud-Lösungen meiner Wahl arbeiten kann. 👍   Aus der IT-Security der DATEV eG gibt es die klare Vorgabe Onlineverbindungen nur so lange offen zu halten, wie es sicherheitstechnisch vertretbar ist.   Bei der DATEV eG steht die rechts- und datenschutzkonforme Nutzung und Verarbeitung der sensitiven Daten der Kunden und Genossenschaftsmitglieder im Mittelpunkt. Ein Vergleich der umgesetzten Sicherheitsmaßnahmen ist eher mit den Branchen Banken oder Gesundheitswesen zielführend. Meine Banking-App zum Beispiel ist da sehr restriktiv. Selbst ein Screenshot auf meinem Smartphone führt sofort zu einem Ende der aktuellen Sitzung. Da kann man drüber streiten – ich weiß 😉   PS: Auch wir aus dem Bereich IT-Security und Datenschutz schätzen die Anregungen und Diskussionen hier aus der Community sehr. Bitte nehmt es uns nicht krumm, wenn wir aus der IT-Security nicht ganz so tief in die Details gehen können. Das, was hier und in anderen Diskussionen von Euch allen angesprochen wird, nehmen wir aber sehr ernst. Was wir tun können, um auch den Komfort der DATEV-Lösungen zu steigern, das machen wir gerne. Feedback ist aber auf jeden Fall immer willkommen, auch wenn Feedback ab und zu mal weh tut.   Viele Grüße hier aus Nürnberg, Thomas Müller IT-Security & Privacy ... Mehr anzeigen

Hallo Herr Tober,   vielen Dank für die Rückmeldung. Ein sehr guter Punkt den Sie da ansprechen. Es gibt tatsächlich eine Beratung von DATEV, die auch zu den Fragestellungen für das mobile Arbeiten beratend zur Seite stehen kann. Es handelt sich dabei um das Team des DAETV Consulting.   Dieses Team kann unter folgender Mailadresse erreicht werden: Consulting@datev.de Hier können individuelle Beratungsangebote vereinbart werden.   Für das Thema Homeoffice und mobiles Arbeiten gibt es aber auch noch weiter Angebote von DATEV:   Plötzlich Homeoffice – Führen von verteilten Teams (datev.de)   Kanzleialltag im Homeoffice: Wie Führung auf Distanz gelingt (datev.de)   Plötzlich Homeoffice - Tipps zum Datenschutz in Krisenzeiten (datev.de)   Viele Grüße und ich wünsche einen angenehmen Abend. ... Mehr anzeigen

Hallo jjunker,   danke für die pers. Einschätzung zu dem Preis für den Praxisleitfaden. Über Preise lässt sich natürlich immer trefflich diskutieren. Ich weiß aber das man für den aktuellen Preis einen sehr wertvollen und zielführenden Ratgeber bekommt. Und mit einer Wertschöpfung können Preise dann auch als preiswert angesehen werden.   Ach ja, ich stehe tatsächlich den Genossenschaftsmitglieder*innen nicht zum Kauf zur Verfügung und hier in der Community ist mein bescheidender Beitrag kostenlos.   VG und einen erholsamen Abend. ... Mehr anzeigen

Hallo Niklas_Tober,   vielen Dank für die Anregung zu einem Konzept zum mobilen Arbeiten. Sie haben Recht, schon jetzt haben sich unterschiedliche Arbeitstypen entwickelt. Kanzleien, Unternehmen im Allgemeinen sind nicht homogen, sondern in den eigenen Strukturen, den Arbeitsaufgaben und der Verantwortungen heterogen aufgebaut. Und jede Kanzlei für sich genommen ist individuell mit ganz unterschiedlichen Anforderungen.   Um in dieser sehr heterogenen Arbeitswelt eine gute Orientierung zu geben, bietet DATEV seit einiger Zeit einen Praxisleitfaden zum Homeoffice und mobilen Arbeiten an. Dort werden viele Aspekte und auch Best Practices besprochen.   Zitat: „Der Praxisleitfaden beschreibt, was effektive Remotearbeit ausmacht, welche Bedingungen an ein erfolgreiches und gesundes Homeoffice gestellt werden und wie Kommunikation und Führung auf Distanz funktionieren. Ziel ist es, einen erfolgreichen Wechsel in die neue Arbeitswelt zu ermöglichen. „   Der Praxisleitfaden ist sehr umfangreich und spricht sehr wichtige und dringende Fragen an: Praxisleitfaden Homeoffice und mobiles Arbeiten (datev.de)   Ich hoffe, dass ich mit diesem Hinweis auf den Praxisleitfaden weiterhelfen kann.   Ihnen noch einen guten Start in die neue Woche! ... Mehr anzeigen