18 Antworten Neueste Antwort am 20.12.2017 14:57 von nickname

    Sicherheitslücke bei der DATEV

    cgulde Neuling

      Fällt das eigentlich nur mir auf, dass das neue Benutzerkonzept der DATEV nicht so richtig durchdacht wirkt?

       

      Jeder EDV-Admin kann künftig das Anmelde-Kennwort eines DATEV-Benutzers zurücksetzen und sich anschließend in den DATEV-Programmen umschauen. Dies war bisher definitiv nicht so: Mit der Nutzungskontrolle stand eine eigene Zugangskontrolle zur Verfügung, die eben nicht zugänglich war, auch wenn das Windows- / Domänen-Kennwort bekannt war.

       

      Hinzu kommt, dass das Ganze wunderbar funktioniert, wenn wie bei den größeren Steuerkanzleien auf einem Terminalserver gearbeitet wird. Sobald man zu den Mandanten rausgeht und sich dort die EDV anschaut, sieht es anders aus: Dort ist das PC-Anmelde-Kennwort oft mehreren Leuten bekannt, aber die DATEV soll nicht allen zugänglich sein. Lässt sich zwar über PC-Benutzerprofile regeln, aber eben nur mit entsprechender Umorganisation; und bei diesen Kunden spielt DATEV nicht die EDV-Hauptrolle!

       

      Jedes Onlinebanking-Programm, jedes Warenwirtschaftsprogramm, sogar sv.net haben alle eigene Zugangsbeschränkungen, nur die DATEV künftig nicht mehr. Ich verstehe nicht, wie man auf einen so einfachen Sicherheitsmechanismus verzichten kann. Zumal die DATEV ja laut Eigenwerbung so großen Wert auf Sicherheit legt.

       

      Oder sehe ich das falsch? Sind nur meine Mandanten EDV-technisch so (zugegebenermaßen mäßig) organisiert? Oder gibt es andere Meinungen? Ich lasse mich auch gerne überzeugen :-)

       

      Gruß Claus Gulde

      • 0. Re: Sicherheitslücke bei der DATEV
        nickname DATEV-Mitarbeiter

        Hallo Community Teilnehmer,

         

        aus Sicht der DATEV, eine kurze Stellungnahme zu dem Thema Sicherheitslücke und warum die Verbandelung zum Windows-Benutzerkonto.

         

        Wie schon richtig in den Beiträgen angemerkt, sollte ein Windows-Admin eine vertrauenswürdige Person sein und ob diese Person von intern oder von extern kommt ist hierbei völlig egal. Vor einem Windows-Admin kann man sich auch nicht zu 100% schützen, wenn dieser Zugriff auf das System hat (z.B. kann er Datenbanken kopieren, NUKO Notprogramm ausführen, Systeme Klonen, etc.) Da hilft auch ein Kennwort für die Nutzungskontrolle nichts.

         

        Ich glaube auch keiner der anwesenden Personen, würde einer anderen Person das Windows Kennwort zur Verfügung stellen oder geben Sie auch Ihr Facebook-Kennwort, die PIN Ihrer Bankenkarte oder Ihr Amazon Kennwort etc. pp. an andere Personen weiter? Wer dies tut handelt fahrlässig und gegen alle Datenschutzrichtlinien.

         

        Genug zu dem allgemeinen Thema und zum Thema, warum setzt DATEV auf Signle Sign On mit dem Windows-Benutzerkonto als Basis.

         

        Mit der neuen Benutzer- und Rechteverwaltung, werden die Berechtigungen im DATEV-Umfeld geregelt und die Autorisierung auf Basis des DATEV-Benutzer, welcher über den Windows Benutzer authentifiziert wird, durchgeführt. Jedem Windows-Benutzerkonto ist ein DATEV-Benutzer und diesem ein bestimmter Rechtesatz zugeordnet

         

        Vorteile für den Kunden:

         

        1. Compliance: Erhöhung der Nachvollziehbarkeit und Datenschutz
        2. Eindeutige Identität: Ein eindeutiger Benutzerbezug bereits ab Zeitpunkt der Anmeldung an Windows
        3. Single Sign On: Einsparung weiterer Logins bei DATEV
        4. Nutzung von Windows Sicherheits-Mechanismen, z.B. Passwort Richtlinie bzw. Mechanismen bei Passwortverlust
        5. Verbesserung bei administrativen Prozessen:
        a. Deaktivierung in Windows = Deaktivierung der DATEV-Nutzung.
        b. Keine weiteren Reparaturmechanismen hinsichtlich Benutzer/Passwörter

         

        Vorteile für DATEV:


        1. Nutzung von Standardschnittstellen
        a. Vermeidung von Aufwand und Risiko
        b. Aufwand um andere Produkte anzubinden ist geringer
        2. Servicereduzierung
        a. Einige bestehende NUKO Notfallmaßnahmen werden durch die Standard Windows Mechanismen ersetzt( z.B. NUKO-Passwort zurücksetzen)
        3. Höheres Sicherheitsniveau in Anwendungen durch Verwendung von Microsoft-Technik

         

        DATEV hat sich strategisch für diesen Weg entschieden und es gibt kein zurück bzw eine Alternative, auch wenn der ein odere andere dies vielleicht nicht für richtig hält.

         

        Tip: Wenn Sie wollen, dass der Admininstrator nicht auf sensible DATEV-Daten zugreifen soll, dann weisen Sie Ihrem Administrator einen DATEV-Benutzer in der Benutzerverwaltung zu, der nur eingeschränke Rechte(Ordnungsbegriffe und Funktionen) hat. Dann kann der Administrator DATEV-Software installieren, warten und testen hat aber keinen Zugriff auf z.B. die eigene Beraternummer.Der Administrator von Windows muss nicht gleichzeitig Hauptadministrator in der Benutzerverwaltung sein.

        3 von 3 Personen fanden dies hilfreich
        • Alle Antworten
          • 1. Re: Sicherheitslücke bei der DATEV
            Martin KoIberg Fachmann

            Auch ich habe Bedenken:

             

            Bislang war die DATEV- Welt etwas komplett Eigenes und DATEV war dafür verantwortlich, daß kein NuKo- Kennwort irgendwie bekannt wird. Diese NuKo- Kennwörter sind von den Anwendern vergeben und niemand kennt die Kennung vom Kollegen.

             

            Bei Windows ist es selbst in der Domäne völlig anders.

            - Der Admin kennt für Wartungsarbeiten der User- Profile alle Kennwörter und verwaltet diese auf einer Liste

            - In Outlook haben Anwender ihr Kennwort "gespeichert" und diese lassen sich mit kleinen Programmen auslesen.

            - Für gewisse Installationen (DATV) existieren Autologins bzw. das Win- Kennwort ist für Aufgaben hinterlegt.

            -> Eigentlich sollte nur der Hash des Kennwortes gespeichert sein, aber aufgrund der Komplexität besteht doch die Möglichkeit, daß ein Anwender Wege findet, die Passwörter auszulesen.

             

            Dann gibt es natürlich Einzelarbeitsplätze, wo neben diversen anderen Dingen auch DATEV installiert ist. Es kann nicht sein, daß bei solch einem Laptop DATEV völlig offen ist, wenn der StB bei einer Vorlesung eine PP- Präsentation laufen läßt

            .

            Bekanntlich kann ein Finder eines Windows 10- Laptops mit Bordmitteln das "Administator"- Konto freischalten um hiermit die Nutzer- Passwörter neu zu vergeben. Damit wäre ihm die komplette DATEV- Welt offen.

             

            Bei der NuKo benötigt der Finder des Laptops zusätzlich eine eigene DATEV- Umgebung, wo er die DATEV- Daten einkopieren muß, um anschließend mit seiner eigenen Kennung an die Daten zu kommen.

             

            Dann gibt es natürlich Anwender, die mit unterschiedlichen DATEV- Logins arbeiten:

            - Einfache Rechte, gesperrter Stammdatenabgleich usw. für sicheres und performantes Arbeiten

            - Spezielle Rechte für Eigenbuchhaltung.

            - Admin- Rechte für Wartungen, aber auch Kommserver- Login im Hintergrund

            -> Das wird jetzt alles in einen Topf geworfen, und man arbeitet mit höheren Rechten, als es eigentlich notwendig wäre.

            Geändert am 14.12.17 um 17:37 Uhr
            • 2. Re: Sicherheitslücke bei der DATEV
              w.paul Aufsteiger

              Ich habe die Notwendigkeit einer Verbindung zwischen Windows-Benutzerkonto und Datev-Benutzerkonto auch nicht verstanden.

              Geändert am 14.12.17 um 20:09 Uhr
              • 3. Re: Sicherheitslücke bei der DATEV
                andreashofmeister Meister

                Die Antwort dazu laut DATEV nennt sich IAM.

                • 4. Re: Sicherheitslücke bei der DATEV
                  grandfunck Einsteiger

                  Moin, moin,

                   

                  und ich dachte immer, ich - persönlich - verstehe dabei etwas falsch. Aber meine - leider nicht so tiefgreifenden - EDV-Kenntnisse hatten schon einen schweren Stand gegen die vorsichtige StB-Verschwiegenheitsseite in meinem Kopf. Diese Infos hier bestätigen meine Befürchtungen. Wobei mein Erschrecken noch viel größer wird, von DATEV bekommen wir immer wieder (und meist zu recht) eingetrichtert vorsichtig zu sein und Daten zu schützen und nun diese Entwicklung.

                   

                  Ich hoffe auf verständliche Erklärungen der DATEV und bedanke mich dafür im Voraus.

                   

                  Adventliche Grüße in die Runde

                   

                  Wolfgang Funck,

                   

                  der im Augenblick mit "IAM" nichts anfangen kann.

                  • 5. Re: Sicherheitslücke bei der DATEV
                    mkinzler Fachmann

                    - Der Admin kennt für Wartungsarbeiten der User- Profile alle Kennwörter und verwaltet diese auf einer Liste

                    Das sollte oder besser darf nicht so sein. Der Admin benötigt diese nicht. Besser im Bedarfsfall Passwort zurücksetzen.

                     

                    - In Outlook haben Anwender ihr Kennwort "gespeichert" und diese lassen sich mit kleinen Programmen auslesen.

                    Auch das sollte nicht so sein. Diese Anmeldung sollte gegen die Domäne authentifizieren.

                     

                    - Für gewisse Installationen (DATV) existieren Autologins bzw. das Win- Kennwort ist für Aufgaben hinterlegt.

                    Das ist doch auch jetzt schon der Fall

                    -> Eigentlich sollte nur der Hash des Kennwortes gespeichert sein, aber aufgrund der Komplexität besteht doch die Möglichkeit, daß ein Anwender Wege findet, die Passwörter auszulesen.

                    Ob und wie das Passwort gespeichert ist kann man konfigurieren.

                     

                    Ich sehe das Vorgehen der DATEV zwar auch kritisch würde hier aber nicht von einer Sicherheitslücke reden sondern nur von einem praxisfernen Konzept, welches die Selbstüberschätzung der DATEV zeigt.

                    • 6. Re: Sicherheitslücke bei der DATEV
                      Martin KoIberg Fachmann

                      Nach den Funktionsupdates von Win 10 waren bislang immer Nacharbeiten im Benutzerprofil notwendig, wie z.B. das Überprüfen der Standard. Apps, ein Starten von Outlook (zum Anstoßen der Reparatur) usw.

                      Dann gibt es noch Fremdsoftware wo in Nutzerprofil Einstellungen vorzunehmen sind.

                      Insbesondere Microsoft Office möchte nutzerbezogen konfiguriert werden.

                      Natürlich könnten das alles die Nutzer selber tun, aber wenn Wert auf einheitliche Signaturen bei Emails, identische Archivierungs- Einstellungen bei Outlook, usw. gelegt wird und alle Anwender die TIF- Dateien mit der identischen Software bearbeiten sollen, dann muß das einfach im Nutzerprofil festgehalten werden.
                      Nicht jeder hat die TOP- Erfahrung mit Gruppenrichtlinien, um von dort aus alles zentral zu administrieren.
                      und jedesmal die Kennwörter "zurücksetzen" hilft auch nicht weiter.

                       

                      Eine pragmatische Lösung in diesem Zusammenhang:

                       

                      WUNSCH:

                      Es läßt sich optional einstellen, daß die DATEV- Software nur nach Authentisierung per registrierter Smartcard starten darf. (Also auch der DAP mit der Mandanten- bzw. Adressaten- Übersicht wird per SC abgesichert.)

                       

                      Alternativ: Ohne gültigem SWM werden nicht nur die kostenpflichtigen Anwendungen gesperrt sondern jeglicher Zugriff auf die Daten.

                       

                      Erweiterung: Eine SC als SWM schaltet nicht still und leise alles frei, sondern fragt (optinal konfigurierbar) beim Start des DAP nach dem Kennwort.

                       

                      ... und das Ganze natürlich so umgesetzt, daß die Updates trotzdem vom Admin eingespielt und getestet werden können. (der Admin- Login benötigt dann keine SC bzw. da reicht ein gültiges SWM aus)

                      Geändert am 15.12.17 um 10:17 Uhr
                      • 7. Re: Sicherheitslücke bei der DATEV
                        jan Fortgeschrittener

                        Hier gibt es scheinbar nur riesengroße organisatorische Probleme und beileibe keine technischen Sicherheitsprobleme der DATEV.

                         

                        Wenn die User derart "betüddelt" werden, dass sie nix mehr selber machen müssen, da kann man auch nicht helfen.

                         

                        • Signaturen lassen sich z.B. zentral verwalten
                        • Eine Archivierung im Outlook per PST kann man sich gleich sparen und sollte bzw. muss zentral erfolgen

                         

                        Der Artikel trifft es ganz gut: Digitalisierung: Helfen lassen, bis wir dumm sind

                         

                        Wenn man Turnschu-Administration bevorzugt und GPOs verweigert muss man halt damit leben. Aber das ist definitiv kein Sicherheitsproblem.

                        • 8. Re: Sicherheitslücke bei der DATEV
                          j.liebs Beginner

                          @jan --> 110% Zustimmung!

                           

                          -GPOs sind nicht so schwer zu lernen.

                          -Kennwörter schützen auch die Privatsspäre! Wir reden hier oft von der DSGVO. Ohne "private, Benutzerbezogene" Kennwörter auf Windows Ebene kann ich auch den Datenschutz auf NTFS Ebene (Verzeichnisse) vergessen.
                          Unser Betriebsrat würde mich Lynchen wenn ich die Kennwörter kennen würde.

                          - Wenn ich die Hardware "finde" komme ich (fast) immer an die Daten ran.

                          -Ja, es ist eine große Umstellung für "einfache" Strukturen ohne AD. Aber mit Ad und sinnvoller Nutzung des Ads lassen sich viele Sachen vereinfachen und Automatisieren.

                          Die Zeit für Peer to Peer Netzwerke geht in Unternehmen einfach dem Ende zu.

                          Ohne Nutzung des AD kann keine Umgebung mit mehr als 200 User, meheren Domains, verschieden RZ und einem überregionalen Verteilung verwaltet werden.

                          Meine Turnschuhe sind zum Sport da und nicht zum Administrieren. Dazu bin ich zu alt.

                          - Für Notebooks habe ich lokale Konten, die nur das können was zum Präsentieren

                          benötigt wird. Der Benutzername ist auf allen Geräten derselbe. Ebenso das Kennwort.

                          Datev schafft eigentlich nur eine längst überfällige Klarheit mit dem SSO.

                           

                          Bitte nehmt es mir nicht Krumm, aber ich finde den Datev Weg nicht schlecht. Ich bin auch zuversichtlich, dass die Probleme in Multi Doimain Umgebungen bald gelößt sind/werden ohne das der Support immer manuell in der SQL Datenbank von Datev Tabellen ändern muss.

                          Ich habe hier noch 2 Mitbewerber von Datev zu pflegen. Nürnberg ist ganz sicher nicht der schlechteste.

                          • 9. Re: Sicherheitslücke bei der DATEV
                            user2016 Beginner

                            sehe das ähnlich wie herr liebs und jan. wir haben schon länger ungestellt und ich kenne auch keine passwörter. wenn ich da wirklich mal dran muss, zurücksetzen und anschliessend muss ein neues pw vergeben werden.

                            der dsb dürfte bei einigen der hier genannten verfahren grosse augen kriegen.. geht halt gar nicht.

                            Geändert am 15.12.17 um 13:35 Uhr
                            • 10. Re: Sicherheitslücke bei der DATEV
                              rganter Einsteiger

                              "Jeder EDV-Admin kann künftig das Anmelde-Kennwort eines DATEV-Benutzers zurücksetzen und sich anschließend in den DATEV-Programmen umschauen. Dies war bisher definitiv nicht so: Mit der Nutzungskontrolle stand eine eigene Zugangskontrolle zur Verfügung, die eben nicht zugänglich war, auch wenn das Windows- / Domänen-Kennwort bekannt war."

                               

                              Na ja, in einer "normalen" Steuer / Anwaltkanzlei hat der EDV-Admin i.d.R. auch das Kennwort für die Nuko. Er ist Domain-Admin / Datev-Admin / Teilweise auch die Benutzerkennwörter.... Hat also so oder so Zugriff.

                              Gut, in großen Kanzleien mag das Anders aussehen. Aber wenn der Admin das Kennwort des Chefs einfach zurücksetzt, würde ich als Chef schon mal nachfragen warum

                              Geändert am 15.12.17 um 16:15 Uhr
                              • 11. Re: Sicherheitslücke bei der DATEV
                                user2016 Beginner

                                darum gehts ja auch... es ist jederzeit nachvollziehbar, wer wann wie wo.. sofern die bildschirme auch immer gesperrt werden

                                Geändert am 15.12.17 um 15:15 Uhr
                                • 12. Re: Sicherheitslücke bei der DATEV
                                  cgulde Neuling

                                  OK, ist natürlich richtig. In einer vernünftigen Steuerkanzlei zumindest: Der Kanzlei-EDV-Admin sieht alles, hört alles, riecht alles..  sollte daher auch eine vertrauenswürdige Person sein..  auch wenn er manchmal erst um 10:00 Uhr auftaucht..  aber das ist eine andere Geschichte..

                                   

                                  Scherz beiseite: Ich sehe das Problem eher, wenn der Admin in einer externen Firma hockt, die einen permanenten Fernzugriff auf die EDV hat. Dies ist bei (kleineren) Mandanten eher die Regel als die Ausnahme; wobei die DATEV-Umgebung oft von jemand anderem installiert und gewartet wird.

                                   

                                  Hier ist es jetzt eben so, dass dieser externe Admin sich unter Umständen die Möglichkeit verschaffen kann, z. Bsp. die Gehälter der Mitarbeiter anzusehen, von der BWA des Unternehmens ganz zu schweigen. Und falls der User Administrator zum DATEV-User gemacht wurde, fällt das nicht mal auf. Und auch anderweitig: So selten ist das nicht, das User-Kennwörter zurückgesetzt werden müssen; es gibt doch immer mal wieder was in den Benutzerprofilen einzurichten oder zu reparieren.

                                   

                                  Dies konnte bisher auf ganz einfache Weise verhindert werden, künftig mit der neuen Benutzerkonzept nicht mehr.

                                   

                                  Der Knackpunkt sind nicht die gut organisierten Steuerkanzleien oder größere Unternehmen mit entsprechender EDV-Organisation, sondern die kleineren Betriebe.

                                  • 13. Re: Sicherheitslücke bei der DATEV
                                    rganter Einsteiger

                                    Sehr geehrter Herr Gulde,

                                     

                                    ich bin so ein externer EDV-Fuzzy (inkl. 10:00Uhr).  

                                    Ich darf nur im Rahmen meiner (beauftragten) EDV-Tätigkeiten auf Daten zugreifen. Falls ich irgendwelche Daten aufrufe, die nicht mit meinem Auftrag zu tun haben, mach ich mich strafbar und wäre sofort "weg vom Fenster" !!!

                                     

                                    Ändert selbstverständlich nichts daran, dass ich es könnte......

                                    • 14. Re: Sicherheitslücke bei der DATEV
                                      andreashofmeister Meister

                                      Mir fällt da immer wieder die typische Arztpraxis ein, wo man in einer Schlange steht und jeder das Telefonat der Angestellten mitbekommt, die gerade lauthals mit einem Patienten über dessen Blutwerte spricht. Wenn man dran ist, weiß man dann so ziemlich alles über eine wildfremde Person. Nebst Anamnese. Nur nicht die Religion. Das zum Thema Datenschutz und Zugangskennung etc. pp.

                                       

                                      Auch diese Branche muss sich aber ab dem 28.5.2018 der DS-GVO unterwerfen.

                                       

                                      Hat zwar nicht so richtig was mit der "DATEV-Sicherheitslücke" zu tun spiegelt aber den ganzen Druck wider der derzeit durch sämtliche Diskussionen zum Thema "Datenschutz" und Zutritts-Management etc. geht.  Und natürlich der DS-GVO. Wenn Sie das einen Arzt fragen, denkt der wahrscheinlich man hätte  irgendein Problem.

                                       

                                      Und das dann projiziert auf den derzeitigen Stand des "Datenschutz-Fortschritts": da hat man doch einen schönen Überblick über die Wertigkeit solcher "Verordnungen", oder?

                                      • 15. Re: Sicherheitslücke bei der DATEV
                                        cgulde Neuling

                                        Ich will es eigentlich nicht zu kompliziert machen; und auch niemand vor den Kopf stoßen, sorry. Was spricht gegen folgende Lösung:

                                         

                                        Der Hauptadministrator der DATEV Benutzerverwaltung bekommt die Möglichkeit, einem DATEV-Benutzer (und ggf. sich selbst) ein optional einzugebendes Kennwort einzurichten.

                                         

                                        Dies bräuchte man bei den Terminalserver-Usern eher nicht zu machen, und Rewe compact / LODAS beim Mandanten ließe sich so nochmal absichern.

                                        • 16. Re: Sicherheitslücke bei der DATEV
                                          4you-computer Einsteiger

                                          Es geht mir gar nicht um die feine große Kanzlei wo ich alles "schön" machen kann... Da ist alles mein Bier, kann ich als Admin alles dem Inhaber erklären - DATEV will es so, also machen wir es so.

                                           

                                          Beim Mandaten: Netz / EDV wird durch eigenen internen Admin betreut oder durch externe Firma oder beides. Beide haben Administrator-Kennwort, haben aber nichts mit DATEV zu tun. DATEV "dürfen" die nicht. DATEV Installation, Updates etc. erledige z.B. "ich" - "ich" habe Nuko Kennwort, bin also Admin der Nuko, kann in DATEV. Sehe den Kunden 1x, 2x im Jahr - nur fix die Updates einspielen.

                                           

                                          Kleine Firma max. 5-6 Rechner, vielleicht 2 davon mit DATEV. Rechner sind teils in Domäne, teils nicht - gerade so "Kraut und Rüben" wie es die jenigen anderen nunmal gemacht haben. "Et hät ija emme funktioniert..."

                                           

                                          Dann wird umgestellt, Nuko entfällt. Jetzt können alle in DATEV... Wenn man nicht aufpasst, wenn das dem Inhaber, der Dame "Buchhaltung" oder wer gerade die Umstellung macht oder machen lässt nicht klar ist.

                                           

                                          Den Mandaten müsste ich raten, gesonderter DATEV Server, gesonderte zwei Arbeitsplätze nur für DATEV und dann alles richtig, nach Vorgabe machen. Euren ganzen anderen "Kram" am besten auf komplett anderer Hardware abfahren. Braucht ihr aber noch zwei neue Schreibtische, ups am Switch ist nix mehr frei - brauchen wir auch neu - an die USV kann ich keinen weiteren Server hängen...

                                           

                                          Und dann kommt IHR Satz: "DATEV ist dort ist aber nicht die Hauptrolle" - Ne eben, ganz genau!

                                           

                                          Das dümmste Beispiel: "ProfiCash" Volksbank... Mal anfragen ob die auch eine Planung haben das Programm-Login ans Windows-AD zu koppeln... die werden sie nichtmal verstehen.

                                          1 von 1 Personen fanden dies hilfreich
                                          • 17. Re: Sicherheitslücke bei der DATEV
                                            theo Erfahrener

                                            Dann gibt es natürlich Einzelarbeitsplätze, wo neben diversen anderen Dingen auch DATEV installiert ist. Es kann nicht sein, daß bei solch einem Laptop DATEV völlig offen ist, wenn der StB bei einer Vorlesung eine PP- Präsentation laufen läßt

                                            Wenn man auf den Laptop des Dozis zugreifen kann, hat das entweder physische Probleme (Raucherpause, Rechner nicht gesperrt, Studis holen sich unter erheblichem Risiko erfolgreich die Klausur) oder das Ding ist ziemlich schlampig konfiguriert

                                            • 18. Re: Sicherheitslücke bei der DATEV
                                              nickname DATEV-Mitarbeiter

                                              Hallo Community Teilnehmer,

                                               

                                              aus Sicht der DATEV, eine kurze Stellungnahme zu dem Thema Sicherheitslücke und warum die Verbandelung zum Windows-Benutzerkonto.

                                               

                                              Wie schon richtig in den Beiträgen angemerkt, sollte ein Windows-Admin eine vertrauenswürdige Person sein und ob diese Person von intern oder von extern kommt ist hierbei völlig egal. Vor einem Windows-Admin kann man sich auch nicht zu 100% schützen, wenn dieser Zugriff auf das System hat (z.B. kann er Datenbanken kopieren, NUKO Notprogramm ausführen, Systeme Klonen, etc.) Da hilft auch ein Kennwort für die Nutzungskontrolle nichts.

                                               

                                              Ich glaube auch keiner der anwesenden Personen, würde einer anderen Person das Windows Kennwort zur Verfügung stellen oder geben Sie auch Ihr Facebook-Kennwort, die PIN Ihrer Bankenkarte oder Ihr Amazon Kennwort etc. pp. an andere Personen weiter? Wer dies tut handelt fahrlässig und gegen alle Datenschutzrichtlinien.

                                               

                                              Genug zu dem allgemeinen Thema und zum Thema, warum setzt DATEV auf Signle Sign On mit dem Windows-Benutzerkonto als Basis.

                                               

                                              Mit der neuen Benutzer- und Rechteverwaltung, werden die Berechtigungen im DATEV-Umfeld geregelt und die Autorisierung auf Basis des DATEV-Benutzer, welcher über den Windows Benutzer authentifiziert wird, durchgeführt. Jedem Windows-Benutzerkonto ist ein DATEV-Benutzer und diesem ein bestimmter Rechtesatz zugeordnet

                                               

                                              Vorteile für den Kunden:

                                               

                                              1. Compliance: Erhöhung der Nachvollziehbarkeit und Datenschutz
                                              2. Eindeutige Identität: Ein eindeutiger Benutzerbezug bereits ab Zeitpunkt der Anmeldung an Windows
                                              3. Single Sign On: Einsparung weiterer Logins bei DATEV
                                              4. Nutzung von Windows Sicherheits-Mechanismen, z.B. Passwort Richtlinie bzw. Mechanismen bei Passwortverlust
                                              5. Verbesserung bei administrativen Prozessen:
                                              a. Deaktivierung in Windows = Deaktivierung der DATEV-Nutzung.
                                              b. Keine weiteren Reparaturmechanismen hinsichtlich Benutzer/Passwörter

                                               

                                              Vorteile für DATEV:


                                              1. Nutzung von Standardschnittstellen
                                              a. Vermeidung von Aufwand und Risiko
                                              b. Aufwand um andere Produkte anzubinden ist geringer
                                              2. Servicereduzierung
                                              a. Einige bestehende NUKO Notfallmaßnahmen werden durch die Standard Windows Mechanismen ersetzt( z.B. NUKO-Passwort zurücksetzen)
                                              3. Höheres Sicherheitsniveau in Anwendungen durch Verwendung von Microsoft-Technik

                                               

                                              DATEV hat sich strategisch für diesen Weg entschieden und es gibt kein zurück bzw eine Alternative, auch wenn der ein odere andere dies vielleicht nicht für richtig hält.

                                               

                                              Tip: Wenn Sie wollen, dass der Admininstrator nicht auf sensible DATEV-Daten zugreifen soll, dann weisen Sie Ihrem Administrator einen DATEV-Benutzer in der Benutzerverwaltung zu, der nur eingeschränke Rechte(Ordnungsbegriffe und Funktionen) hat. Dann kann der Administrator DATEV-Software installieren, warten und testen hat aber keinen Zugriff auf z.B. die eigene Beraternummer.Der Administrator von Windows muss nicht gleichzeitig Hauptadministrator in der Benutzerverwaltung sein.

                                              3 von 3 Personen fanden dies hilfreich