Hallo Herr Dobos,

lassen Sie bitte einmal das Servicetool laufen. Ich vermute, dass ein gelbes oder rotes Lämpchen nicht unter Grundpaket Basis Win, sondern unter DATEV Basisdienste Ausgabe erscheint.

Beste Grüße

Andreas Briefs

Ist auf dem Rechner nur DATEV drauf oder auch andere Fremdsoftware? Möglich, dass diese auch auf Crystal Reports setzt und sich dann mit DATEV in die Haare bekommt. Wenn das der Fall ist, muss man sich mal einen schönen Plan zu Recht legen, weil beide Programme auf einem PC nicht möglich sind.

Aber erstmal abwarten, was das ServiceTool sagt. Ggf. hilft auch schon eine Reparaturinstallation.

Hallo Herr Briefs,

Rote Lampen leuchten unter:

Personalwirtschaft/Notwendige Komponenten/Crystal Reports 8.5

Zahlungsverkehr/Notwendige Komponenten/Crystal Reports Runtime

Datev Platform + Datev Basisdienste Ausgabe + Crystal Reports 8.5 + Daten im Windows Crystal/p2soledb.dll

Können Sie damit etwas anfangen???

Vielen Dank

Michael Dobos

Hallo Herr Bohle,

auf dem Rechner ist noch Stotax drauf.

Einen SQL nutzen die ebenfalls.

Bei Crystal Reports bin ich mir nicht sicher, soweit langen meine Kenntnisse leider nicht.

Bei mir soll in kürze Virtualisiert werden und dann dürfte es von der Seite keine Probleme geben.

Wenn ich die Datenbanken vorübergehend auf Fileserver auslagere, meinen Sie das würde etwas helfen?

Oder müsste ich sofort auf 2 Virtuele Rechner ausweichen, zwecks der zwei Programme?

Vielen Dank

Michael Dobos

Können Sie damit etwas anfangen???

Haben Sie im Installationsmanager das Produkt Grundpaket Basis per Rechtsklick > Reparturinstallation / reparieren einmal repariert bzw. vorher geprüft, was dort alles repariert wird? Ggf. muss dazu der Baum einmal aufgeklappt werden.

Scheinbar sind die Crystal Reports nicht oder nicht richtig installiert, die aber für LODAS Auswertungen bzw. zum Druck benötigt werden.

Oder: wenn Sie die rote Lampe einmal anklicken müsste dort auch direkt eine Abhilfe oder ein Info-DB zur Abhilfe stehen.

Wenn ich die Datenbanken vorübergehend auf Fileserver auslagere, meinen Sie das würde etwas helfen?

Sie meinen die DATEV Datenbanken? 1. ist das nicht mal eben so gemacht, weil man der ganzen Installation dann sagen muss, deine Datenbanken liegen jetzt auf Netzlaufwerk L: anstatt unter C: und auf dem DATEV-Server muss zumindest eine DATEV-Server Installation drauf sein, ergo Grundpaket inkl. SQL-Server und 2. wird das nicht helfen, weil das Problem so wie es sich aktuell deutet am Programm Crystal Reports hängt, was so oder so auf dem PC installiert werden muss, wo auch LODAS installiert wird.

Oder müsste ich sofort auf 2 Virtuele Rechner ausweichen, zwecks der zwei Programme?

Das muss man schauen. Ggf. ist einfach nur Crystal Reports der DATEV kaputt. Das kann man ja eben durch eine Reparaturinstallation ggf. wieder hinbekommen. Wenn nicht, vermute ich Probleme mit 3. Fremdprogrammen. Wenn DATEV LODAS und Co. wieder läuft, aber dann andere Programme nicht mehr, haben wir dann das Problem der Inkompatibilität.

Dann "muss" man DATEV auf ein eigenes System schieben. Wie und was bei Ihnen virtualisiert wird, kann ich nicht sagen. Andernfalls könnte man hier auch noch praktische Tipps geben, damit der Aufwand sich in Grenzen hält.

Unter DATEV Basisdienste Ausgabe habe ich nachfolgenden Fehler gefunden, betrifft die Datei - p2soledb.dll

FEHLER:

Eine oder mehrere Dateien sind im falschen Verzeichnis installiert. Dies ist nicht durch eine Reparaturinstallation zu beheben. Wechseln Sie in den Expertenmodus und entfernen sie die entsprechenden Dateien im Verzeichnis C:\WINDOWS\Crystal.

Darf man das einfach so entfernen?

Darf man das einfach so entfernen?

Wie gesagt: möglich, dass andere Fremdsoftware dann nicht mehr funktioniert, die diese Datei braucht.

Aber zum Testen: die Datei einfach mal ausschneiden und auf den Desktop legen oder woanders hin. Ggf. eine Sicherung der Datei auf den USB-Stick ziehen. Hauptsache sie liegt nicht mehr unter C:\WINDOWS\Crystal.

Falls es dann andere Probleme gibt, die Datei einfach wieder an den ursprünglichen Ort zurück kopieren.

Hallo DATEV,

Crystal Reports Version 8.5 ist mir zum letzten Mal vor gut 10 Jahren begegnet. Das stammt vermutlich noch aus den Zeiten vor SAP. Setzt ihr das wirklich noch ein? Die Liste der Sicherheitslücken dürfte ziemlich lang sein. Wie schafft ihr das auf Windows 10 am Laufen zu halten. Respekt!

Oder habt ihr nur vergessen, den Namen anzupassen?

Ich bin auf die Antwort gespannt.

Euer NetHunter

Hallo Community,

Crystal Reports in der Version 8.5 wird noch eingesetzt. Der Ausbau von Crystal Reports 8.5 ist sehr aufwendig, sodass nach aktueller Planung erst zu DATEV Programme (DVD) 13.1 darauf verzichtet werden kann. Bezüglich Windows 10 sind uns in Verbindung mit Crystal Reports Version 8.5 keine Unverträglichkeiten bekannt.

Viele Grüße

Markus Kubitza

DATEV eG

Datev spricht/schreibt im Info-Dokument Nr. 0908732 auch von möglichen Unverträglichkeiten bzgl. Crystal Reports

Wenn sich Datev-Software mit der Software von Fremdherstellern beißt, kann es mühsam werden.

Für Datev gilt das Motto: "Du sollst keine fremden Götter neben mir haben"

Herr Bohle hatte die "Reparaturinstallation" empfohlen (Rechtsklick im Installationsmanager).

Das ist aus meiner Erfahrung die beste (und vielleicht einzige) Methode, Installationsfehler zu beheben

Viele Grüße

Michael Vogtsburger

Nachtrag:

Ich hatte vor Jahren Probleme zwischen Datev- und Lexware-Programmen, allerdings im SQL-Bereich.

Entweder zickte Datev und musste 'repariert werden oder es zickte Lexware und musste 'repariert' werden.

Die Lösung war bei mir, Lexware auf einen separaten PC auszulagern und später ganz darauf zu verzichten.

Hallo Herr Kubitza,

Crystal Reports in der Version 8.5 wird noch eingesetzt. Der Ausbau von Crystal Reports 8.5 ist sehr aufwendig, sodass nach aktueller Planung erst zu DATEV Programme (DVD) 13.1 darauf verzichtet werden kann.

das muss ja richtig kompliziert sein, wenn DATEV über 10 Jahre braucht, um die Version 8.5. auszubauen.  Ich hatte gehört, DATEV ist der zuverlässige und sichere Softwareanbieter aus Nürnberg. Da scheinen Anspruch und Wirklichkeit wohl etwas auseinander zu liegen. Aber das wurde ja auch schon in anderen Threads diskutiert (siehe #EXPEDITIONZUKUNFT​​). Wie gehen Sie mit den in Crystal Reports entdeckten Sicherheitslücken um? Sind die für die DATEV-Software alle nicht relevant? Immerhin sind das doch eine ganze Menge teilweise auch mit CVE-Wert 10 (=max). Und nur weil SAP die nicht mehr unter 8.5 führt, heißt das nicht, dass die nicht auch für 8.5 relevant sind. Ansonsten wäre ja auch Windows XP inzwischen das sicherste Betriebsystem.

Euer NetHunter

Hallo Nethunter,

wir prüfen diesen Sachverhalt bereits und werden uns diesbezüglich hier an dieser Stelle erneut dazu melden.

Mit freundlichen Grüßen

Andreas Huxhagen

Moderator

DATEV eG

Hallo Herr Huxhagen,

darf ich Ihre Antwort so interpretieren, dass Sie gar nicht genau wissen, ob Ihre Software von diese Sicherheitslücken betroffen ist? Der lange Antwortzeitraum läßt darauf schließen. Ihnen ist schon bewusst, was ein CVE-Wert 10 bedeutet? Die Infektion eines Rechners über das Internet ohne das sich der Angreifer authentifizieren muss (bsp.: Drive-By-Infektion). Diese Diskussion stärkt nicht gerade mein Vertrauen in den Anbieter.

Euer NetHunter

Hallo NetHunter,

bitte entschuldigen Sie die späte Rückmeldung. Wir nehmen das Thema ernst und haben zu den Standard QS-Maßnahmen nochmals Ihre Informationen intern überprüft. Nach aktuellem Kenntnisstand können wir ein Angriffsszenario in Verbindung mit DATEV-Software nicht bestätigen. Sollten Sie gegenteilige Beweise (und bitte nur Beweise) haben, würden wir es begrüßen, wenn Sie sich vertraulich an uns wenden würden.

Wir freuen uns jederzeit über tatkräftige und fachkundige Unterstützung bei der Qualitätssicherung unserer Software. Wir haben intern weitere, noch umfangreichere Sicherheitstests angestoßen. Sollten sich dort gegenteilige Ergebnisse herausstellen, werden wir umgehend informieren.

Viele Grüße

Markus Kubitza

DATEV eG

Hallo Herr Kubitza,

seltsame Antwort, die Sie da geben. Warum soll ich Ihnen beweisen, dass hier eine Sicherheitslücke existiert. Sie sollten vielmehr beweisen, dass KEINE existiert, da DATEV hier grundlegende Empfehlungen aller Experten (regelmäßig Sicherheitsupdates einspielen) missachtet. Hat ein Hersteller keine Verpflichtung seine Software aktuell zu halten? Eigentlich sagt doch Ihr Post, dass DATEV zwar zur Zeit keine Sicherheitslücke kennt, sich aber selbst nicht sicher ist. Denn sonst würden Sie ja nicht weitere "umfangreichere Sicherheitstests" durchführen. Klingt so, als wenn DATEV bei dem Thema gerade erst aufgewacht ist. Sie kennen keine Sicherheitslücken, weil Sie bisher nicht danach geschaut haben, oder ?

Es bleibt spannend.

Euer NetHunter

Hallo Herr Kubitza,

nach über 4 Wochen habe ich immer noch keine Antwort auf meine einfache Frage: Kann DATEV ausschliessen, dass durch den Einsatz von Crystal Reports 8.5 eine Gefährdung für die Benutzer der Software existiert, weil die bekannten Sicherheitslücken von SAP in Ihrer Software nicht ausnutzbar sind? Ein "Uns ist dazu nichts bekannt" reicht an dieser Stelle nicht aus. Ich werd meinem Chef empfehlen, DATEV nicht einzusetzen solange diese Frage nicht geklärt.  Ich frag mich allerdings, wie die ganzen Steuerberater da draußen damit umgehen. Den Reaktionen in diesem Forum entnehme ich, dass das für die kein Problem ist. Vielleicht versteht aber auch keiner die Brisanz dieses Themas, ist ja nicht ihr Fachgebiet. Ich versteh Buchhaltung und Steuererklärung auch nicht.

Euer NetHunter

@nethunter

Sie sprechen (schreiben) von 'bekannten Sicherheitslücken in Ihrer Software'.

Wenn die Sicherheitslücken angeblich so bekannt sind, könnten Sie sie ja benennen oder auf eine entsprechende Website verlinken.

Crystal Reports wurde 'erst' 2008 von SAP übernommen und weiterentwickelt, ist aber schon viel länger bei Datev (als Berichtsgenerator) im Einsatz.

In welchen Bereichen sollen sich die Sicherheitslücken befinden ? ActiveX, Java, DotNet, AdobeFlash, ...... ?

Keine Ahnung !

Hier im Thread geht es konkret um 'Crystal Reports 8.5'. Also sollte sich die Diskussion auch auf diese Version beziehen und nicht pauschal auf alles was mit 'Crystal' beginnt. Sonst müsste man auch alles diskutieren was mit "Windows" oder "Adobe" beginnt.

VG

Michael Vogtsburger

Guten Tag, Herr/Frau Nethunter,

erstens ist Ihr "Auftreten" hier ziemlich provokativ. Ihr Pseudoname  belegt zumindest einen sehr "unpersönlichen" Auftritt hier.

Dieses Forum hier gleichzusetzen mit "na ja, das ist nicht das Fachgebiet der Steuerberater..." ist auch ziemlich unhöflich. Dies ist kein Forum von Steuerberatern sondern für DATEV-Anwender, organisiert von der DATEV.

Und: Sie bleiben leider die Erklärung für eine Sicherheitslücke schuldig. Diese Frage wurde Ihnen einmal explizit gestellt, eine Antwort blieb aus. Und einen Anspruch auf eine Frage (deren Erklärung Sie ausweichen) hat man hier nicht. Das sollten Sie an anderer Stelle anbringen.

Einen schönen Gruß an Ihren Chef.Vielleicht sollte Ihr Chef noch weitere Meinungen zu Ihrer Frage heranziehen. Es gibt durchaus große Unternehmen, deren IT-Abteilung mit einer solchen Fragestellung professioneller umgeht. Im Gegensatz zu einem  Benutzer mit einem fragwürdig klingendem Pseudonamen.

MfG

Andreas Hofmeister

Hallo Herr Vogtsburger, diese Woche haben wir schon 2 dieser sehr "unschönen" Anfragen (unterschiedlicher Art) in diese Community.

Vielleich ist das ja ein Zeichen an DATEV, hier mal regulierend einzuschreiten. Ein altes Thema. Ich stelle mir vor, man muss erst mal drei Wortwechsel analysieren, um festzustellen, dass die Frage durchaus ernst gemeint ist..

Wie sehen Sie das?

mfG

A. Hofmeister

Hallo Herr Hofmeister,

ich bin der Meinung, dass man 'Roß und Reiter' nennen sollte. wenn es konkreten Anlass zur Kritik gibt, vor allem, wenn es um Wichtiges oder gar Existenzielles geht.

Anonym und 'aus dem Gebüsch heraus' auf Personen, Produkte, Unternehmen usw. 'zu schießen' wie bei 'nethunter' (nomen est omen ?), halte ich für sehr fragwürdig und feige.

Alle Behauptungen und Vorwürfe müssen auch begründet und bewiesen werden.

Ansonsten hat es die Qualität von ShitStorm oder falschen anonymen Anschuldigungen in den 'Sozialen Medien'.

Der Moderator eines Forums sollte bei Bedarf eingreifen.

Viele Grüße

Michael Vogtsburger

P.S.

Übrigens, "Crystal Reports 8.5" wurde 2001/2002 entwickelt, stammt also aus einer Zeit VOR der Übernahme durch SAP und dadurch auch aus einer anderen Entwicklungsumgebung (Borland DELPHI ?)

Aus meiner Sicht ist das ein Vergleich von Äpfeln     mit Birnen    .

Genau.

Ein bisschen mehr Kreativität bei der Pseudonymauswahl wäre durchaus angebracht...

Hallo Herr Hofmeister, Hallo Herr Vogtsburger,

Sie scheinen das Problem immer noch nicht verstanden zu haben. Ich stelle keine Behauptungen zu bestehenden Sicherheitsücken auf, die ich beweisen müsste. Ich habe nur eine Sicherheitsfrage im Zusammenhang mit veralteter Software. Der Einsatz veralteter Software stellt immer ein POTENZIELLES Risiko dar. Dieser Aussage stimmen Sie zu, oder?

Setzt also jemand veraltete Software (oder Komponenten) ein, sollte er sich sicher sein, dass daraus kein Risiko resultiert. Genau diese Frage habe ich DATEV im Hinblick auf den Einsatz von Crystal Reports 8.5 gestellt.

Sie wollen Ross und Reiter wissen? Ein Beispiel: In der Version Crystal Reports 2008 SP3 Fix Pack 3.2 wurde eine Lücke im ActiveX control in PrintControl.dll gefunden, die es einem Angreifer erlaubt, Code auf fremden Rechnern auszuführen. (CVE-2010-2590 CVSS Score 10). Jetzt fragen Sie, was hat das mit Version 8.5 zu tun?

Typischerweise wird eine neue Version einer Software nicht komplett neu entwickelt, sondern enthält einen grossen Teil unverändertem Code der Vorgängerversion. Wird nun in der aktuellen Produkt-Version eine Sicherheitslücke gefunden, kann das in dem neuen Teil des Produkts sein oder im alten. Ist die Sicherheitslücke im aus der Vorgängerversion übernommenen Teil, so hat die Vorgängerversion im Normalfall die gleiche Sicherheitslücke. Sind beide Versionen noch in der Wartung, informiert der Hersteller und stellt entsprechende Updates bereit. Ist die Vorgängerversion aber nicht mehr in der Wartung, informiert der Hersteller weder über die Lücke in der alten Version noch stellt er ein Update bereit.

Konkret im Jahr 2010 informierte SAP nicht mehr darüber, ob die entdeckte Sicherheitslücke CVE-2010-2590 auch in der Version 8.5 enthalten ist. Das ActiveX selbst war in der 8.5 auch schon vorhanden. Hat also schon die Version 8.5 die Lücke, die erst 2010 entdeckt wurde? Wer kann diese Frage beantworten? SAP tut es nicht mehr. Da DATEV die alte Version ausliefert, sehe ich DATEV auch in der Pflicht diese Frage zu beantworten.

Das Sicherheitslücken erst viele Jahre später entdeckt werden, zeigt gerade ein aktueller Fall.

Ich verdeutliche das Problem mal an einem anderen Beispiel. Sie mieten von Ihrem Provider einen Router, der als Feature auch einen VPN-Server integriert. Dieser basiert auf dem OpenSource-Produkt OpenVPN. Die Entwickler bringen nun eine neue Version heraus und nehmen die alte (die auf Ihrem Router) aus der Wartung. Ihr Provider reagiert aber nicht und bleibt bei der alten Version. Kurze Zeit später wird in der neuen OpenVPN-Version eine Sicherheitslücke entdeckt und dann in der aktuellen Version behoben. Ihr Router hat aber immer noch die alte Version, von der niemand weiss, ob sie auch angreifbar ist. Würden Sie sorglos weiter die alte Version verwenden oder würden Sie vielleicht ihren Provider auffordern, den Route endlich abzudaten bzw. von ihm die Bestätigung verlangen, das der VPN-Tunnel bei Ihrem Route noch sicher ist?

Ich würde zweiteres tun und warte daher immer noch auf eine Aussage seitens DATEV.

P.S. Ob und welches Pseudonym man verwendet, sollte hier keine Rolle spielen. Bitte haben Sie Verständnis, das ich mich und meinen Arbeitgeber hier durch die Anonymität schützen muss. An anderer Stelle hat die offene Kommunikation über Sicherheitsthemen schon zu direkten Repressalien geführt. (Nicht DATEV, die sind hier erfrischend offen, danke dafür)

Euer NetHunter

Viel Spaß bei Ihrer Mission. Hier einzelne  Teilnehmer anzugehen, nun ja.

Weiter oben hat man Ihnen ja seitens DATEV ja auch geantwortet. Alle paar Wochen hier aufzutauchen, und dann Ansätze einer Theorie zu hinterlassen, nun ja. Vielleicht bitten Sie ja mal um einen Termin bei der entsprechenden Fachabteilung?

Ihre Identität müssen Sie ja hier nicht preisgeben.  Vielleicht gibt es ja jemanden seitens DATEV, der Ihnen die eingeforderte Aufmerksamkeit schenkt.

Viel Erfolg.