Jetzt neu: Kommunikationshandbuch ELMA-Standard 2.0 Version 2.1 Datum 09.05.2023 Standardisierte Datenübermittlung an das BZSt über die elektronische Massendatenschnittstelle (ELMA-Standard 2.0 Version 2.1)   https://www.bzst.de/SharedDocs/Downloads/DE/Vorsteuer_Verguetung/khb_elma.html ... Mehr anzeigen

Deswegen muss man ein gesundes Mittelmaß auswählen. Und genau davon sind wir inzwischen teilweise abgekommen. Ein Brief landet auch immer mal wieder beim Nachbar, weil der Postbote sich vertan hat.   Im Idealfalle würde man nur Geräte der Kanzlei an den Mandanten verteilen, bei denen man die Chips selber entworfen hat, natürlich im Peer-Review...   ...oder man trifft sich direkt Offline 😉   Zum Glück kann man feststellen: Auch wenn die Daten der Berater zwar streng vertraulich sind, so sind sie zum Glück für die meisten Angreifer sehr uninteressant (weil nicht monetarisierbar oder skandalös). Quellcodes oder Online-Banking Zugangsdaten sind hier schon interessanter...   Die große Frage ist nur: a) Müssen wir jedem 2FA für ALLES aufdrücken? b) Viel sicherer wäre der TAN Generator mit der Bankkarte... aber den nutzt keiner mehr... warum? Grundsätzlich sollten TAN Generatoren auf Smartphones aus sicherheitsgründen verboten sein. Nur eine Offlinehardware kann ein so hohes Maß an Sicherheit gewähren.. oder ein konsequenter Umgang mit einer iTAN-Liste.. Letztendlich haben alle Methoden ihre Vor- und Nachteile, was aber entscheidet ist die Akzeptanz. Siehe WA, FB,...   Hat sich alles nicht durchgesetzt weil es so sicher ist, weil der Datenschutz so hervorragend ist oder weil man den Anbietern vertraut. Sondern nur weil es kostenlos und bequem ist... und natürlich jeder nutzt..   ... Mehr anzeigen

a) Ich glaube, dass du in einer anderen IT-Welt lebst, das hast du sehr gut erkannt. Ich verstehe und kenne beide Welten, muss mich aber leider der Praxis fügen, so schön deine IT-Träume auch sein mögen.   b) Ich gebe dir ebenfalls recht, dass die meisten IT-Welten nicht oder sehr mangelhaft gewartet werden. Ein Windows 7 PC ohne Internet nur als Werkstatttester ohne Netzwerk ist sicherlich okay. In der Praxis wird aber meist alles vernetzt, dann ist spätestens mit der Abkündigung vom Hersteller der Austausch zeitnah pflicht.   c) Und ja, es gibt noch eine streng gewartete IT. Zumindest eine 😉 Und ich gehe mal davon aus, dass Konzerne wie Google ebenso ihre Hausaufgaben vorbildlich (bedacht auf ihren Vorteil) erfüllen. Aber auch hier gebe ich dir recht, dass die meisten PCs/Netzwerke/etc. extrem unsicher sind. Aber das werden wir zwei nicht ändern, wir können uns nur davon absetzen.   Also mal wieder vieles Off-Topic.. 😉     ... Mehr anzeigen

Es wird hier so dargestellt, als wollte ich die Sicherheitsmechanismen aushebeln. Im Gegenteil, eine Kopplung über Kommserver und AD wäre durchaus sicherer als ein veraltetes Smartphone... Ich unterstelle einfach, dass alle Endgeräte die in der Verfügungsmacht von normalen Nutzern liegen unsicher sind und nur die streng gewartete IT halbwegs sicher ist.   Wenn dann der "Chef-PC" noch in einem abgeschlossenem Raum steht, dann braucht streng genommen nichtmals ein Passwort 😉 (in Anlehnung an Bruce Schneier)   Und noch eine kleine Anmerkung: "Der Thinktank" ist durchaus extrem IT-Sec affin... nur die Diskussionen würden hier dann ausarten... ... Mehr anzeigen

"- DATEV verschlüsselt die PDFs mit dem hinterlegten Schlüssel pro Mitarbeiter/Mandant und hängt diese an"   Einfach ein PDF Passwort... dann meckert auch kein Richter... Und z.B. BWAs kann der Mandant sicherlich unverschlüsselt anfordern, wenn er es denn so wünscht. Oder auch Beitragsnachweise ohne Personendaten..   Und ja, wir sind hier bei Wünsch dir was, es geht ausschließlich darum, so gut es geht dem Mandanten das zu liefern was er möchte und ihm und der Kanzlei möglichst geringsten Aufwand dafür zu bescheren. Alles natürlich begrenzt im rechtlich zulässigen Rahmen.   Und was die E-Mailverschlüsselung betrifft, da könnte man eine lange Diskussion starten. Jedenfalls ist es einfacher einen Brief als eine E-Mail abzufangen 😉 Und wie schon "posaunt" sind viele Übertragungen heute schon relativ gut verschlüsselt.   ... Mehr anzeigen

Es ist super einfach zu realisieren, weil man nur die 2FA abschalten müsste, wenn man es denn wirklich wollte 😉 Natürlich gibt es auch hier tausende Varianten die besser sind und Mehrarbeit (für DATEV) bedeuten.   - Auch 2FA mit TOTP (mit freier Software) oder E-Mail ist super einfach zu realisieren, wenn SmartLogin schon vorhanden ist. - Banken setzen alle paar Monate mal einen Cookie, damit der Browser "vertrauenswürdig" genannt werden kann. - Kreditkartenanbieter (z.B. Amex) verlangen nur gelegentlich ein 2FA, anhand von geheimen Plausibilitäts-/Statistikkritierien.   Es geht nicht darum, direkt UO komplett "unsicher" zu gestalten, sondern einfache Teilprozesse zu erleichtern. Nennen wir diese Lösungsvorschläge mal "Quick-Hacks".   Alternativ - und das wäre mir persönlich lieber - wäre alles schön direkt in DATEV Unternehmen Online hinterlegt. DAU-Variante mit Assistent der fragt, oder direkt mit Menüs. Die jetzige Variante ist ein wenig von beidem...   Jetzt mag das Argument aufkommen, dass DATEV diese "Quick-Hacks" nicht realisieren will, weil sie es nur richtig oder gar nicht machen. Das Argument lasse ich als Einziges gelten.   Dann aber eine Lösung für den "kleinen Musterhobel" anbieten, der nur 1 Chef mit 2 Mitarbeitern hat. Die Mitarbeiter sind vielleicht top Handwerker, aber sind möglicherweise nicht an Technik interessiert bzw. haben keine Lust auf Klickerei. Der Chef hat genug zu tun und hat es immer schon per E-Mail erledigt, ist vielleicht schon von dem PDF Passwort genervt, weil er die PDFs nur in einen Ordner kopiert und den Mitarbeitern ausdruck und abends in die Hand drückt.   Natürlich wünsche ich mir den Mandanten, der sich mit DUO auseinandersetzen, alles nachlesen und mich fast nie fragen wie etwas zu bedienen geht. Die sich SmartLogin selbständig anhand einer Anleitung installieren, gleich noch Belegtransfer dazu... Nur gibt es dafür keine einfache _kurze_ Schritt-für-Schritt Anleitung, die man dem Mandanten schnell in _seiner_ Variante zusammenstellenkann...   Smartcards müssen mühsam bestellt werden... SIPACOM, Belegtransfer, ... diese Installation muss man schon erfahrenen Admins ein paar Minuten lang erklären...   Eine richtige praktikable Lösung wäre: Einfach die Mandantennummer auswählen, kurz schauen ob der Name passt, dann prüfen ob die E-Mail wie hinterlegt passt und dem Mandant eine E-Mail zur Selbstregistrierung schicken. Idealerweise auch NICHT Personengebunden. Da dies in der Praxis sowieso kaum einer konsequent einhält. Personengebunden macht nur dann Sinn, wenn es explizit so gewünscht wird - und/oder - man eine Unterschrift wünscht. Der Nutzer kann dann ggf. noch seinen eigenen Namen eingeben, wenn der nicht vom Berater vorerfasst ist.   Der Berater muss keine Medien mit Rechten verwalten, jeder User hat erstmal unspezifische Rechte auf seine MNR. Es gibt keine Bestellung im DATEV-Shop mit tausend Klicks und AGBs. (Sonderfreischaltungen bei Bedarf im Nachgang möglich) Der Berater kann bei der Bestellung einfach Haken setzen, welche Funktionen für die MNR aktiviert werden sollen und ob der User das Recht bekommt. Eine simple Matrix:                                          Mandant User1 User2 Personalfragebogen JA Nein Ja Dateiaustausch JA alle User nur eigene     Sobald der User die E-Mail erhält klickt er auf einen Link, dort sucht er sich sein Passwort aus. Danach kann er sich entscheiden ob bzw. welches Verfahren er möchte. (ggf. wenn alle 2FA Authentifikation als unabdingbar sehen, wählt man wie bei Google Devs aus mehreren Optionen selbst aus) Dann sollten einige Verfahren angeboten werden, unter Anderem: E-Mail, TOTP, SmartLogin, etc.   Der User kann dann entscheiden ob er eines oder mehrere im Wechsel aktivieren möchte. TOTP, SmartLogin etc versteckt man am besten unter einem Punkt "weitere Methoden". Der normale User sollte also nur E-Mail oder SMS verwenden, wenn er nicht auf mehr klickt..   Fertig wäre die Einrichtung..   Wie ist es im Vergleich dazu aktuell?   - UBNR anlegen - Personendaten erfassen mit Daten wie E-Mail, Telefonnummer etc. die oft nicht alle zur Hand sind oder noch nicht entschieden sind. (ggf. iVm folgendem Schritt) - Im Shop SmartCard oder SmartLogin bestellen, hierzu mühsam selbst authentifizieren und tausendmal klicken... - Danach kommt spät die Post oder man teilt dem Mandant die Daten direkt mit. Dieser fragt sich dann wie es geht und lässt sich Schritt für Schritt durchführen oder verweist auf die Mitarbeiterin, die gerade nicht erreichbar ist. - Irgendwann hat die Einrichtung geklappt und der Kunde benötigt die Links zu Bobtran, DUO, etc. diese schickt man ihm per E-Mail händisch, weil es keine automatische Begrüßung gibt. - Jetzt stellt man ggf. fest, dass die Rechte noch freizuschalten sind und muss mit Hand BNR/MNR Kombinationen eintippen und höllisch aufpassen, da DATEV den Namen nie anzeigt oder Auto-Vervollständigen anbietet. (Hintergrund sind hier die ggf. gemischten Bestände unter "einer" Nummer. Aus Haftungsgründen hat man sich hier wohl dagegen entschieden) - Jetzt fragt der User, wie das denn alles läuft und man beginnt alles zu erklären.... - Der User füllt jetzt den Personalfragebogen aus... wenn es denn klappt und er ihn findet... - Drei Monate später hat er alles vergessen und ruft erneut an oder schickt nur eine kurze E-Mail mit unvollständigen Daten: bitte anmelden...   Oder liege ich hier falsch? 😉 ... Mehr anzeigen

Technisch gesehen kein Problem.   IF Windows-User logged on AFTER DATEV Arbeitsplatz start AND Win/DATEV-User HAS RIGHT vdb AND prop.Enable-Auto-VDB-Update THEN do.. (in background)   Im Endeffekt genauso wie es jetzt auch schon funktioniert, nur sogesehen mit "Ghost-Automation". Man könnte genauso mit einem Makrotool arbeiten.     Bezüglich der Aussage, dass die Steuerkonto-Online-Abfrage gut klappt muss man sagen: Leider kann man nur eine sehr begrenzte Anzahl an Steuernummern gleichzeitig abfragen. Auch wenn das Limit auf Serverseite ist, so sollte die DATEV Anwendung einfach sich selbst mehrfach hintereinander aufrufen und die Liste abarbeiten..   Manchmal glaube ich hier werden dinge technisch zu komplex interpretiert.   Der automatische E-Datenabruf muss doch nur ein paar Schritte die ich als User durchführen komplett automatisieren: ON 1. in Month call JOB(silent,inbackground,nouserinteraction, SELECT MNR *-* DO E-Datenabruf for this.YEAR() EXIT )   Das ist für die Entwicklung ein recht geringer Aufwand. Vorraussetzung ist nur, dass ein Nutzer mit unbegrenzten Rechten diesen Tasks beherbergt und sich gelegentlich einloggt. Maximal die PIN muss noch eingegeben werden. Und auch hier wäre eine Kopplung an den PC ohne PIN wieder mal wünschenswert 😉   ... Mehr anzeigen

"Generell kann man dann aber auch direkt komplett auf DATEVnet verzichten."   Genau das ist der Punkt. Dadurch wird DATEVnet ausgehebelt. Und neben E-Mails soll DATEVnet auch ein wenig die Browserverbindungen scannen.   Im Endeffekt bleibt dann nur, dass man sich auf Google SmartScreen, MS Defender, etc. verlässt. ... Mehr anzeigen

Und wer kein 2FA möchte, möchte bitte auch nicht meckern, wenn er gehäckt wird und das PayPal Konto leer ist. Sorry. Was soll hier wieder Paypal? Um PayPal geht es nicht. Abgesehen davon ist 2FA auch kein Allheilmittel, wenn die Plattform bereits infiziert ist.   Und was du persönlich für sinnvoll erachtest interessiert den Mandanten nicht. Der Berater soll Dienstleister sein, der lästige Arbeit abnimmt. Wenn die IT-Lösungen nicht praktikabel sind, wird Fallback E-Mail oder Papier durch den Mandanten erzwungen. Also müssen die Lösungen für den Menschen der sie nutzt entwickelt werden. Ich würde mir auch vieles anders realisiert wünschen, aber das wäre Idealismus. ... Mehr anzeigen

"..und auch wenn eine persönliche Karte benötigt wird.."   Deswegen sollte der Abruf total automatisiert bei Nutzerlogin (Im Hintergrund) durchgeführt werden. Dann ist die Vorgabe eingehalten, der Nutzer muss sich aber um nichts kümmern. Idealerweisen werden die E-Daten jeden Monat komplett abgerufen, die Finanzverwaltung wird sich freuen 😉 ... Mehr anzeigen

Wenn die Prämisse falsch ist....   a) Mandanten sind oft nicht IT-Affin und tun sich bereits mit einem Webformular ohne SmartLogin schwer. Daher muss die Lösung möglichst jeden Nutzer abholen.   b) Zwei-Faktor Authentifikation ist ein toller Trend, der aber extrem lästig ist. Wenn man ihn umsetzt, dann sollte man auch einfache Möglichkeiten vorsehen: E-Mail TAN, OAUTH (TOTP) mit freier App-Wahl, .. Des Weiteren sollte die Einrichtung des 2F komplett dem Mandanten überlassen werden. Alle großen Konzerne schaffen das auch ohne Kontakt zum Support/Berater.   c) Für Mandanten die nur 3-4 Meldungen pro Jahr abgeben ist die Einrichtung und Pflege des Smartlogins zu umständlich. Die Benutzung wird dann vergessen oder ist schlicht unerwünscht. Es muss für den Mandanten eine Erleichterung geben, sonst nutzt er es nicht!   d) sevDESK und Co. funktionieren einfach, auch ohne 2FA... und da sind deutlich mehr sensible Daten vorhanden. Sicherlich nicht die beste Lösung, aber ich bin da i.d.R. für Eigenverantwortung (auch wenn das oft schiefgeht, aber so bestraft man nicht Einzelne).   e) Das größte Problem bei SL/SC ist schlichtweg die Einrichtung auf Beraterseite inkl. Paketbuchungen/Unterberaternummer anlegen, etc. Diese Schritte sind gerade für kleinere Mandanten absolut inakzeptabel. Ständig wechseln Smartphones.. wer soll das jedes Mal erklären? Nachlesen möchte keiner..   f) ... ich denke das Problem ist erkannt, wenngleich es noch etliche weitere Punkte gibt.   ... Mehr anzeigen

Dann einfach nur lokales erzeugen der PDF im Browser und Druck beim Mandanten... Dann unterschreiben und als Foto per E-Mail oder Post zurück... 😉   Es geht hierbei primär um die Validierung des Formulares.   Oder ich programmiere es gerade selbst, sollte nicht mehr als ein Manntag arbeit sein. Lediglich Hosting und gelegentliche Pflege wären nervig. ... Mehr anzeigen

Dazu müsste man erstmal den Link des Formulars abfangen... und per Paypal wird noch kein Lohn bezahlt. Wenn dann könntest du eine falsche IBAN einschmuggeln....   Klar gibt es viele Fremdlösungen, aber oberste Prämisse ist es möglichst jegliche Abos (insbesondere mit neuen Geschäftspartnern) zu vermeiden.   Vielleicht liegt es an meiner Generation, die Open-Source, Freeware oder Einmallizenzen gewohnt ist... Bei allem was unter den Buzzwords Cloud, SaaS, etc. bereitgestellt wird stellen sich mir die Nackenhaare zu Berge.   Adobe fing damit an, danach kam auch Microsoft langsam auf diese Idee und selbst DATEV scheint inzwischen so zu denken. Es geht nicht darum, dass mit der "Cloud" (nennen wir es Browser-/Webanwendung) alles einfacher wird, sondern darum, dass man alles deutlich besser einzeln bepreisen kann. ... Mehr anzeigen

Solange das ganze ohne Smartcard etc geht... wäre das okay. In der Regel nutzen die meisten Mandanten aber weder Smartlogin noch Smartcard oder DUO. Es muss extrem einfach sein ohne jegliche Authentifikation. Da man keine Daten abrufen, sondern nur senden kann ist auch eine Authentifikation entbehrlich. Es würde ein Link reichen.. ... Mehr anzeigen

Klingt zwar grundsätzlich gut, aber der Preis steht natürlich in keinem Verhältnis. Heute scheint es modern für jede kleine Lösung monatlich relativ viel zu bezahlen. So ein Tool hätte bei mir den Wert von einmal 50 Euro oder monatlich 1,50 fürs Hosting des Webformulars. Also eher etwas, was die DATEV im Preis mit drin anbieten sollte.   z.B. im Mehrwert-Angebot oder mit vielen anderen Funktionen im imaginären "Web-Paket" für 50 Euro pro Monat inkl. ganz vieler weiterer Formulare etc. ... Mehr anzeigen

Glasfaser mit 1.000/500 Mbit/s ist schon da...   ... Mehr anzeigen

- Kontrollkästchen vor unvollständige Buchungen anzeigen ist aktiv. - Kontrollkästchen vor Nachbuchungen anzeigen ist aktiv.   Diese beiden Probleme sind total intransparent und auch unsinnig. Nur weil ich immer alles sehen will, muss das ja nicht mit exportiert werden. Da würde ein Hinweis: "Achtung, es existieren unvollständige Buchungen, die nicht exportiert werden, möchten sie ohne diese fortfahren? JA/NEIN" reichen.     ... Mehr anzeigen