Alternativ einen DATEV mIDentity nutzen. Der Login erfolgt erst, wenn der mIDentity vom PC abgezogen wird. Ist aber nur mit Windows kompatibel.

Guten Abend!

Die Praxiserfahrung zeigt: vielen Mandanten ist die Arbeit mit dem Stick zu umständlich, sie genießen die Mobilität des SmartLogin.

Der Inaktivitätstimer sollte zumindest durch Admins individualisierbar sein.
Generell bemängeln die Mandanten die durch vorgegebene Sicherheitseinstellungen eingeschränkte Usability. Als Preset sicherlich nicht schlecht, aber Individualisierung wäre sehr wünschenswert.

Soweit zu meinem Weihnachtswunschzettel.

Frohes Fest!

CL

vielen Mandanten ist die Arbeit mit dem Stick zu umständlich, sie genießen die Mobilität des SmartLogin.

Kommt immer auf die Mandaten drauf an. Einige sind froh, wenn Sie ein Smartphone bedienen können. Da ist selbst das SmartLogin noch zu schwer.

Generell bemängeln die Mandanten die durch vorgegebene Sicherheitseinstellungen eingeschränkte Usability.

Das heißt was?

Nur, weil Mandaten "1234" Passwörter nutzen und diese womöglich auch noch speichern lassen oder gar auf einen Zettel schreiben, wird DATEV die eigene Sicherheitsrichtlinie nicht herabschrauben, nur damit's einfacher wird.

Den Spagat aus Sicherheit und Usability wird es immer geben, selbst dann, wenn die DATEV etwas ändern würde.

Im Übrigen kann man das TimeOut bei der Sparkasse oder Commerzbank im Online Banking auch nicht selbst einstellen, soweit ich weiß. Nach X Minuten wird man abgemeldet, fertig. Dafür gibt es ja den mIDentity, dessen Passwort im RAM gespeichert wird. Und ob man den mIDentity noch dabei hat wie sein Smartphone und Portmonee - aber das sei jedem selbst überlassen.

Es wäre halt schön, wenn die Datev die Spagatbreite für unterschiedlich lange Beine nicht unveränderbar vorgeben würde.

Die Arbeit im Banking-Portal ist meines Erachtens auch mit der Arbeit in DUO nicht vergleichbar. Und wäre sie es, würde ich meinen Änderungswunsch halt (zusätzlich) bei http://www.sparkassen-community.de unterbringen.

Nur, weil Mandaten "1234" Passwörter nutzen und diese womöglich auch noch speichern lassen oder gar auf einen Zettel schreiben, wird DATEV die eigene Sicherheitsrichtlinie nicht herabschrauben, nur damit's einfacher wird.

Was heißt das?

FF

CL

Was heißt das?

Dass DATEV an Ihren Richtlinien so schnell nichts ändern wird, damit der Token z.B. 24h im Browser gespeichert bleibt, sodass man sich nur 1x via SmartLogin am Tag anmelden müsste. Hier wägt die DATEV ganz klar ab und ggf. im Zweifelsfalls immer Richtung Sicherheit, auch wenn das der Bequemlichkeit und Schnelligkeit nicht hilft.

Bei uns ist die Nutzung von den Sticks aufgrund der Kompatibilität zu Apple Computer keine Option.

Ich finde es ebenfalls sehr nervig mich x mal am Tag neu anmelden zu müssen.

Man sollte es dem Kunden überlassen, wie er seinen Timer einstellen möchte. Es darf ja gern ein Maximum geben. Dies sollte aber nicht bei 20 Minuten liegen.

Wie oft werde ich bei meiner Arbeit in UO durch einen Anruf oder eine dringende Mail unterbrochen.

Ich finde es ebenfalls sehr nervig mich x mal am Tag neu anmelden zu müssen.

Man sollte es dem Kunden überlassen, wie er seinen Timer einstellen möchte. Es darf ja gern ein Maximum geben. Dies sollte aber nicht bei 20 Minuten liegen.

Unterschreibe ich zu 100%. Und da spreche ich auch für alle unsere Mandanten, die SmartLogin nutzen. Einige sind deswegen sogar zur SmartCard zurückgekehrt, weil man mit dieser eben nicht ständig den PIN neu eingeben muss, sondern im Prinzip nur einmal am Tag.

Problem ist von Anfang an bekannt bei SmartLogin. Bewegen tut sich wie so oft leider nichts. Es kommt zwar bald ein Logout-Button im Portal, mit dem man sich individuell abmelden kann. Am automatischen Logout nach ein paar Minuten ändert das aber nichts.

Wir brauchen aus unserer Sicht dringend mehr Mündigkeit für den Endanwender, am besten so weit, dass der automatische Logout komplett deaktiviert werden kann.

Man sollte es dem Kunden überlassen, wie er seinen Timer einstellen möchte. Es darf ja gern ein Maximum geben. Dies sollte aber nicht bei 20 Minuten liegen.

Das scheint mir ein guter Kompromiss zu sein. Fragt sich dann nur, welcher Wert dann genommen wird, wenn es nicht 20 sind. Selbst wenn die DATE das TimeOut erhöht, werden dann noch immer andere meckern, denen das auch nicht reicht .

Man könnte ja eine Umfrage an alle SmartLogin Anwender starten. Die E-Mail-Adressen liegen ja vor. Wäre gespannt, was dabei rauskommt, wenn man mehrere Zeitspannen angibt und als letzte Option "gar nicht".

am besten so weit, dass der automatische Logout komplett deaktiviert werden kann.

Wenn es danach geht und man wirklich den Anwendern das selbst in die Hand gibt: Wie viele werden 1. gar kein Passwort wollen und wenn doch, wie viele werden 2. dann 1234 oder Hallo oder Passwort eingeben?!

Das geht gar nicht. Anwender müssen zu Sicherheit gezwungen werden. Andernfalls wird die Bequemlichkeit überwiegen und das Geschrei erst groß sein, wenn man gehackt wird oder andere Personen in dem Namen des Betroffenen Unanständigkeiten anstellen.

Ich schätze Ihre Beiträge wirklich sehr, Herr Bohle! Alles was ich bisher von Ihnen gelesen hatte Substanz und zeugte von Sachverstand. So auch in diesem Punkt.

Ich kann Ihre Haltung nachvollziehen, jedoch zeigt unsere Erfahrung und die unserer Mandanten ein anderes Bild. 

Wir sprechen in unserem Fall über mehr als 10 Jahre Erfahrung mit UO und ca. 100 Nutzer. Die Authentifizierungstechnologien der DATEV werden bis auf sehr wenige Ausnahmen unter den Mandanten als zu kompliziert und sehr deutlich als zu unkomfortabel empfunden.

Insbesondere wird die zwingende Authentifizierung bei der Beleg- oder Datenübermittlung als sehr negativ empfunden. Das ist ein absolutes Vertriebshindernis und nicht umsonst gründen sich Firmen wie die Scannerbox, scandinavier, DigiBel oder digitastic plus. Alle bieten den zentralen Vorteil, dem Mandanten zumindest bei der Belegübermittlung nicht mehr die Authentifizierung zumuten zu müssen.

Auch beim Zugriff auf das Portal an sich ist mit SmartLogin zwar grundsätzlich der Weg in die richtige Richtung eingeschlagen worden (weg vom Stick als ein Stück Hardware - hin zum Smartphone, was sowieso immer dabei ist). Im Detail ist aber SmartLogin insbesondere aufgrund des automatischen Logouts auch wieder alles andere als optimal. Bei der SmartCard gab es standardmäßig keinen automatischen Logout.

Insgesamt halten wir die Authentifizierungstechnologien der DATEV für dringend überarbeitenswert.

Wir sprechen in unserem Fall über mehr als 10 Jahre Erfahrung mit UO und ca. 100 Nutzer.

Dann spielen wir schon mal in einer ähnlichen Liga. Wir haben eine ähnliche Größenordnung. Aber solche Probleme hatten wir noch nicht. Zumindest ist da kein Mandat auf uns zukommen.

Alle bieten den zentralen Vorteil, dem Mandanten zumindest bei der Belegübermittlung nicht mehr die Authentifizierung zumuten zu müssen.

Darf man technisch fragen, wie das diese Firmen gelöst haben? Die werden ja kaum einfach ohne irgendwelche Passwörter oder Authentifizierung womöglich noch unverschlüsselt sensible Daten durchs Internet schicken?!

Insgesamt halten wir die Authentifizierungstechnologien der DATEV für dringend überarbeitenswert.

Was schlagen Sie dann vor?

Selbst mit einer einfachen Anmeldung via Benutzername/E-Mail-Adresse und Passwort braucht man dann ja ein Kennwort, was nicht meinen oben aufgeführten Schrottkennwörtern gleichen darf.

Zum Beispiel beim SmartTransfer will DATEV 2 Sonderzeichen, min. 8 Zeichen allgemein, 1 Groß- und 1 Kleinbuchstaben. Selbst das ist für viele ja schon schwierig eines zu erstellen, was am besten nicht woanders noch genutzt wird.

Auf Seiten der Kanzlei würde ich alles am SmartLogin / SmartCard verknüpfen, was möglich ist. So ist man sicher aber komfortabel zu gleich. Auf Seiten der Mandaten ... gebe ich Ihnen Recht. Wie gesagt, schlagen Sie was vor, wie es hier gehen soll oder kann. Das müsste die DATEV dann aber in deren Systemen systemweit so einführen, was 1. von der DATEV überprüft werden muss bzgl. Sicherheit und 2. auch sehr lange dauern kann.

Darf man technisch fragen, wie das diese Firmen gelöst haben? Die werden ja kaum einfach ohne irgendwelche Passwörter oder Authentifizierung womöglich noch unverschlüsselt sensible Daten durchs Internet schicken?!

Die Daten werden von den Scannern zum Dienstleister gesendet und dann von dort ins Rechenzentrum der DATEV übermittelt (auf bekanntem Wege mit Authentifizierung vermutlich über SmartCard und mittels Belegtransfer)

Authentifizierungstechnologien am Scanner der Mandanten braucht man daher nicht und sorgt bei dem Mandanten so für weniger Probleme und mehr Komfort. Man benötigt die Authentifizierung nur einmal an zentraler Stelle auf Seiten des Dienstleisters und nicht mehr bei jedem Mandanten. Damit wird die Belegübermittlung deutlich einfacher (Scanner aufstellen, Stom + Internet = fertig; d.h. Keine PCs, keine DATEV Sicherheitspakete in der aktuellen Version, kein Belegtransfer, keine Updates, usw. nur Taste drücken und fertig.

Auch bereits digitale Belege können ohne Authentifizierung übermittelt werden.

Einen Zugriff auf Auswertungen wie die Auswertungen Personalwirtschaft oder Rechnungswesen kann aber natürlich keiner der Anbieter liefern, denn der Zugriff aufs DATEV Portal funktioniert eben nur über SmartCard/SmartLogin.

was schlagen Sie dann vor?

Mein Vorschlag wäre sich an der Zwei-Faktor-Authentifizierung von google zu orientieren. Diese steht für mich für ein vernünftiges Sicherheitsniveau bei gleichzeitig gutem Komfort. Meiner Meinung nach sollte DATEV auf dieses Ziel hinarbeiten.

Da Sie selbstverständlich Recht haben mit Ihrer Aussage, dass eine Änderung in den Sicherheitstechnologien bei DATEV sehr lange dauern würde (ich vermute nicht unter 5 Jahren), sollte man aber erstmal kleine Schritte gehen. Die Einführung des Logout-Buttons ist schon einmal nicht schlecht. Bei (optionaler) Entfernung des automatischen Logouts würde man einen weiteren Schritt in die richtige Richtung tun. SmartLogin würde als Authentifizierungstechnik erstmal so bleiben, man würde aber der aus unserer Sicht berechtigten Kritik von Herrn Schimke, Legewie und Schmidt Rechnung tragen und für halbwegs vernünftigen Komfort sorgen.

Die Daten werden von den Scannern zum Dienstleister gesendet und dann von dort ins Rechenzentrum der DATEV übermittelt (auf bekanntem Wege mit Authentifizierung vermutlich über SmartCard und mittels Belegtransfer)

Achso, okay. Hm. Halte ich aber auch nicht gerade für zielführend. Das heißt, wenn dieser Anbieter welche Probleme auch immer hat, sind dann gleich zu Hauf Kanzleien betroffen, die ihre Belege nicht los werden und: augenscheinlich sind die Belege dann ggf. beim Mandant schon weg aber kommen beim Steuerberater nicht an, der dann den Mandant anruft und man dann wiederum bei diesem Anbieter anrufen muss.

Je mehr Leute an einem Projekt / Thema arbeiten, umso mehr Chaos gibt es in der Regel. Der kürzeste Weg ist aus meiner Sicht noch immer der bessere, da so am wenigsten Probleme an weniger Stellen auftreten können.

Dann entwickelt sich der Anbieter in Richtung DATEV. Ist da das RZ gestört, geht bei allen Mandanten / StBs nichts. Und kommt das häufiger vor, wird der Anbieter auch nicht lange Bestand haben.

Mein Vorschlag wäre sich an der Zwei-Faktor-Authentifizierung von google zu orientieren.

Also Anmeldung via Benutzername und Passwort plus SMS TAN?

Dann wird die DATEV hier min. die Passwortstandards von SmartTransfer an den Tag legen, um nicht in die Falle eines einfachen Kennwort zu rutschen, was per Bruteforce in wenigen Minuten geknackt ist.

Plus: Das sehe ich aktuell jetzt schon beim SmartLogin: Wohin soll die SMS als 2. Faktor versandt werden? Hier werden dann Firmen / Mandanten kommen, die es nicht erlauben, diese SMS auf das private Smartphone der Mitarbeiterin zu schicken, da diese ja ggf. ausscheiden kann und somit "Unfug" nach ihrem Austritt anstellen kann. Somit müsste zeitnah sichergestellt werden, dass dieser Account gesperrt ist oder: die Mitarbeiterin bekommt dafür extra ein Smartphone vom Betrieb. Somit hat sie dann 2.

SmartLogin wollen einige nicht, weil es eben das private Smartphone ist, was auch so bleiben soll. DATEV aber geschäftliche Sachen sind.

Oder stellen Sie sich das anders vor? Zudem stelle ich mir einen Rufnummernwechsel auch nicht einfach bei der DATEV vor, wenn man das SmartLogin schon aufwändig von Smartphone A nach B transferieren muss und es sich nicht wie WhatsApp und Co. verhält.

Aus unserer Erfahrung im Vergleich MiDentity / SmartCard zu SmartLogin haben wir leider genau die gleiche Erfahrung gemacht.

Einige Mandanten sind nach der Nutzung des SmartLogin wieder zum Stick zurückgekehrt, weil ein praktisches Arbeiten in deren Prozess durch die Zwangstrennung sehr mühselig ist. Mandanten mit MacOS Systemen suchen nach Alternativen. Uns fällt es leider sehr schwer das zu rechtfertigen.

Nach den bisherigen Erfahrungen halte ich es technisch gesehen für absolut sinnvoll zumindest im AdminBackend Möglichkeiten zur Konfiguration einzustellen. Sicherheit muss an den Mandanten und seine Arbeitsweise bis zu einem gewissen Grad adaptierbar sein, und die 20 Minuten Grenze hat sich als zu gering herausgestellt.

Ein konkreter Ansatz ist wie bereits erwähnt das Admin Backend für den SmartLogin.

Eine Abstufung von z.B. 5 Minuten, 20 Minuten, 60 Minuten pro SmartLogin Account würde den meisten wohl schon reichen.

Hallo,

das automatische Verbindungsende bei Inaktivität wurde kürzlich auf 30 Minuten erhöht - vgl. Info-Datenbank, Dok.-Nr. 1080852

Mit freundlichem Gruß

Gerlinde Hübl

Produktmanagement DATEV Unternehmen online

DATEV eG

Hallo Frau Hübl,

das sind gute Nachrichten, und was das Feedback unserer Mandanten angeht ein Schritt in die richtige Richtung.

Danke für das Update.