Auch ich habe Bedenken:

Bislang war die DATEV- Welt etwas komplett Eigenes und DATEV war dafür verantwortlich, daß kein NuKo- Kennwort irgendwie bekannt wird. Diese NuKo- Kennwörter sind von den Anwendern vergeben und niemand kennt die Kennung vom Kollegen.

Bei Windows ist es selbst in der Domäne völlig anders.

- Der Admin kennt für Wartungsarbeiten der User- Profile alle Kennwörter und verwaltet diese auf einer Liste

- In Outlook haben Anwender ihr Kennwort "gespeichert" und diese lassen sich mit kleinen Programmen auslesen.

- Für gewisse Installationen (DATV) existieren Autologins bzw. das Win- Kennwort ist für Aufgaben hinterlegt.

-> Eigentlich sollte nur der Hash des Kennwortes gespeichert sein, aber aufgrund der Komplexität besteht doch die Möglichkeit, daß ein Anwender Wege findet, die Passwörter auszulesen.

Dann gibt es natürlich Einzelarbeitsplätze, wo neben diversen anderen Dingen auch DATEV installiert ist. Es kann nicht sein, daß bei solch einem Laptop DATEV völlig offen ist, wenn der StB bei einer Vorlesung eine PP- Präsentation laufen läßt

.

Bekanntlich kann ein Finder eines Windows 10- Laptops mit Bordmitteln das "Administator"- Konto freischalten um hiermit die Nutzer- Passwörter neu zu vergeben. Damit wäre ihm die komplette DATEV- Welt offen.

Bei der NuKo benötigt der Finder des Laptops zusätzlich eine eigene DATEV- Umgebung, wo er die DATEV- Daten einkopieren muß, um anschließend mit seiner eigenen Kennung an die Daten zu kommen.

Dann gibt es natürlich Anwender, die mit unterschiedlichen DATEV- Logins arbeiten:

- Einfache Rechte, gesperrter Stammdatenabgleich usw. für sicheres und performantes Arbeiten

- Spezielle Rechte für Eigenbuchhaltung.

- Admin- Rechte für Wartungen, aber auch Kommserver- Login im Hintergrund

-> Das wird jetzt alles in einen Topf geworfen, und man arbeitet mit höheren Rechten, als es eigentlich notwendig wäre.

Ich habe die Notwendigkeit einer Verbindung zwischen Windows-Benutzerkonto und Datev-Benutzerkonto auch nicht verstanden.

Die Antwort dazu laut DATEV nennt sich IAM.

Moin, moin,

und ich dachte immer, ich - persönlich - verstehe dabei etwas falsch. Aber meine - leider nicht so tiefgreifenden - EDV-Kenntnisse hatten schon einen schweren Stand gegen die vorsichtige StB-Verschwiegenheitsseite in meinem Kopf. Diese Infos hier bestätigen meine Befürchtungen. Wobei mein Erschrecken noch viel größer wird, von DATEV bekommen wir immer wieder (und meist zu recht) eingetrichtert vorsichtig zu sein und Daten zu schützen und nun diese Entwicklung.

Ich hoffe auf verständliche Erklärungen der DATEV und bedanke mich dafür im Voraus.

Adventliche Grüße in die Runde

Wolfgang Funck,

der im Augenblick mit "IAM" nichts anfangen kann.

- Der Admin kennt für Wartungsarbeiten der User- Profile alle Kennwörter und verwaltet diese auf einer Liste

Das sollte oder besser darf nicht so sein. Der Admin benötigt diese nicht. Besser im Bedarfsfall Passwort zurücksetzen.

- In Outlook haben Anwender ihr Kennwort "gespeichert" und diese lassen sich mit kleinen Programmen auslesen.

Auch das sollte nicht so sein. Diese Anmeldung sollte gegen die Domäne authentifizieren.

- Für gewisse Installationen (DATV) existieren Autologins bzw. das Win- Kennwort ist für Aufgaben hinterlegt.

Das ist doch auch jetzt schon der Fall

-> Eigentlich sollte nur der Hash des Kennwortes gespeichert sein, aber aufgrund der Komplexität besteht doch die Möglichkeit, daß ein Anwender Wege findet, die Passwörter auszulesen.

Ob und wie das Passwort gespeichert ist kann man konfigurieren.

Ich sehe das Vorgehen der DATEV zwar auch kritisch würde hier aber nicht von einer Sicherheitslücke reden sondern nur von einem praxisfernen Konzept, welches die Selbstüberschätzung der DATEV zeigt.

Nach den Funktionsupdates von Win 10 waren bislang immer Nacharbeiten im Benutzerprofil notwendig, wie z.B. das Überprüfen der Standard. Apps, ein Starten von Outlook (zum Anstoßen der Reparatur) usw.

Dann gibt es noch Fremdsoftware wo in Nutzerprofil Einstellungen vorzunehmen sind.

Insbesondere Microsoft Office möchte nutzerbezogen konfiguriert werden.

Natürlich könnten das alles die Nutzer selber tun, aber wenn Wert auf einheitliche Signaturen bei Emails, identische Archivierungs- Einstellungen bei Outlook, usw. gelegt wird und alle Anwender die TIF- Dateien mit der identischen Software bearbeiten sollen, dann muß das einfach im Nutzerprofil festgehalten werden.
Nicht jeder hat die TOP- Erfahrung mit Gruppenrichtlinien, um von dort aus alles zentral zu administrieren.
und jedesmal die Kennwörter "zurücksetzen" hilft auch nicht weiter.

Eine pragmatische Lösung in diesem Zusammenhang:

WUNSCH:

Es läßt sich optional einstellen, daß die DATEV- Software nur nach Authentisierung per registrierter Smartcard starten darf. (Also auch der DAP mit der Mandanten- bzw. Adressaten- Übersicht wird per SC abgesichert.)

Alternativ: Ohne gültigem SWM werden nicht nur die kostenpflichtigen Anwendungen gesperrt sondern jeglicher Zugriff auf die Daten.

Erweiterung: Eine SC als SWM schaltet nicht still und leise alles frei, sondern fragt (optinal konfigurierbar) beim Start des DAP nach dem Kennwort.

... und das Ganze natürlich so umgesetzt, daß die Updates trotzdem vom Admin eingespielt und getestet werden können. (der Admin- Login benötigt dann keine SC bzw. da reicht ein gültiges SWM aus)

Hier gibt es scheinbar nur riesengroße organisatorische Probleme und beileibe keine technischen Sicherheitsprobleme der DATEV.

Wenn die User derart "betüddelt" werden, dass sie nix mehr selber machen müssen, da kann man auch nicht helfen.

• Signaturen lassen sich z.B. zentral verwalten
• Eine Archivierung im Outlook per PST kann man sich gleich sparen und sollte bzw. muss zentral erfolgen

Der Artikel trifft es ganz gut: Digitalisierung: Helfen lassen, bis wir dumm sind

Wenn man Turnschu-Administration bevorzugt und GPOs verweigert muss man halt damit leben. Aber das ist definitiv kein Sicherheitsproblem.

@jan --> 110% Zustimmung!

-GPOs sind nicht so schwer zu lernen.

-Kennwörter schützen auch die Privatsspäre! Wir reden hier oft von der DSGVO. Ohne "private, Benutzerbezogene" Kennwörter auf Windows Ebene kann ich auch den Datenschutz auf NTFS Ebene (Verzeichnisse) vergessen.
Unser Betriebsrat würde mich Lynchen wenn ich die Kennwörter kennen würde.

- Wenn ich die Hardware "finde" komme ich (fast) immer an die Daten ran.

-Ja, es ist eine große Umstellung für "einfache" Strukturen ohne AD. Aber mit Ad und sinnvoller Nutzung des Ads lassen sich viele Sachen vereinfachen und Automatisieren.

Die Zeit für Peer to Peer Netzwerke geht in Unternehmen einfach dem Ende zu.

Ohne Nutzung des AD kann keine Umgebung mit mehr als 200 User, meheren Domains, verschieden RZ und einem überregionalen Verteilung verwaltet werden.

Meine Turnschuhe sind zum Sport da und nicht zum Administrieren. Dazu bin ich zu alt.

- Für Notebooks habe ich lokale Konten, die nur das können was zum Präsentieren

benötigt wird. Der Benutzername ist auf allen Geräten derselbe. Ebenso das Kennwort.

Datev schafft eigentlich nur eine längst überfällige Klarheit mit dem SSO.

Bitte nehmt es mir nicht Krumm, aber ich finde den Datev Weg nicht schlecht. Ich bin auch zuversichtlich, dass die Probleme in Multi Doimain Umgebungen bald gelößt sind/werden ohne das der Support immer manuell in der SQL Datenbank von Datev Tabellen ändern muss.

Ich habe hier noch 2 Mitbewerber von Datev zu pflegen. Nürnberg ist ganz sicher nicht der schlechteste.

sehe das ähnlich wie herr liebs und jan. wir haben schon länger ungestellt und ich kenne auch keine passwörter. wenn ich da wirklich mal dran muss, zurücksetzen und anschliessend muss ein neues pw vergeben werden.

der dsb dürfte bei einigen der hier genannten verfahren grosse augen kriegen.. geht halt gar nicht.

"Jeder EDV-Admin kann künftig das Anmelde-Kennwort eines DATEV-Benutzers zurücksetzen und sich anschließend in den DATEV-Programmen umschauen. Dies war bisher definitiv nicht so: Mit der Nutzungskontrolle stand eine eigene Zugangskontrolle zur Verfügung, die eben nicht zugänglich war, auch wenn das Windows- / Domänen-Kennwort bekannt war."

Na ja, in einer "normalen" Steuer / Anwaltkanzlei hat der EDV-Admin i.d.R. auch das Kennwort für die Nuko. Er ist Domain-Admin / Datev-Admin / Teilweise auch die Benutzerkennwörter.... Hat also so oder so Zugriff.

Gut, in großen Kanzleien mag das Anders aussehen. Aber wenn der Admin das Kennwort des Chefs einfach zurücksetzt, würde ich als Chef schon mal nachfragen warum

darum gehts ja auch... es ist jederzeit nachvollziehbar, wer wann wie wo.. sofern die bildschirme auch immer gesperrt werden

OK, ist natürlich richtig. In einer vernünftigen Steuerkanzlei zumindest: Der Kanzlei-EDV-Admin sieht alles, hört alles, riecht alles..  sollte daher auch eine vertrauenswürdige Person sein..  auch wenn er manchmal erst um 10:00 Uhr auftaucht..  aber das ist eine andere Geschichte..

Scherz beiseite: Ich sehe das Problem eher, wenn der Admin in einer externen Firma hockt, die einen permanenten Fernzugriff auf die EDV hat. Dies ist bei (kleineren) Mandanten eher die Regel als die Ausnahme; wobei die DATEV-Umgebung oft von jemand anderem installiert und gewartet wird.

Hier ist es jetzt eben so, dass dieser externe Admin sich unter Umständen die Möglichkeit verschaffen kann, z. Bsp. die Gehälter der Mitarbeiter anzusehen, von der BWA des Unternehmens ganz zu schweigen. Und falls der User Administrator zum DATEV-User gemacht wurde, fällt das nicht mal auf. Und auch anderweitig: So selten ist das nicht, das User-Kennwörter zurückgesetzt werden müssen; es gibt doch immer mal wieder was in den Benutzerprofilen einzurichten oder zu reparieren.

Dies konnte bisher auf ganz einfache Weise verhindert werden, künftig mit der neuen Benutzerkonzept nicht mehr.

Der Knackpunkt sind nicht die gut organisierten Steuerkanzleien oder größere Unternehmen mit entsprechender EDV-Organisation, sondern die kleineren Betriebe.

Sehr geehrter Herr Gulde,

ich bin so ein externer EDV-Fuzzy (inkl. 10:00Uhr).  

Ich darf nur im Rahmen meiner (beauftragten) EDV-Tätigkeiten auf Daten zugreifen. Falls ich irgendwelche Daten aufrufe, die nicht mit meinem Auftrag zu tun haben, mach ich mich strafbar und wäre sofort "weg vom Fenster" !!!

Ändert selbstverständlich nichts daran, dass ich es könnte......

Mir fällt da immer wieder die typische Arztpraxis ein, wo man in einer Schlange steht und jeder das Telefonat der Angestellten mitbekommt, die gerade lauthals mit einem Patienten über dessen Blutwerte spricht. Wenn man dran ist, weiß man dann so ziemlich alles über eine wildfremde Person. Nebst Anamnese. Nur nicht die Religion. Das zum Thema Datenschutz und Zugangskennung etc. pp.

Auch diese Branche muss sich aber ab dem 28.5.2018 der DS-GVO unterwerfen.

Hat zwar nicht so richtig was mit der "DATEV-Sicherheitslücke" zu tun spiegelt aber den ganzen Druck wider der derzeit durch sämtliche Diskussionen zum Thema "Datenschutz" und Zutritts-Management etc. geht.  Und natürlich der DS-GVO. Wenn Sie das einen Arzt fragen, denkt der wahrscheinlich man hätte  irgendein Problem.

Und das dann projiziert auf den derzeitigen Stand des "Datenschutz-Fortschritts": da hat man doch einen schönen Überblick über die Wertigkeit solcher "Verordnungen", oder?

Ich will es eigentlich nicht zu kompliziert machen; und auch niemand vor den Kopf stoßen, sorry. Was spricht gegen folgende Lösung:

Der Hauptadministrator der DATEV Benutzerverwaltung bekommt die Möglichkeit, einem DATEV-Benutzer (und ggf. sich selbst) ein optional einzugebendes Kennwort einzurichten.

Dies bräuchte man bei den Terminalserver-Usern eher nicht zu machen, und Rewe compact / LODAS beim Mandanten ließe sich so nochmal absichern.

Dann gibt es natürlich Einzelarbeitsplätze, wo neben diversen anderen Dingen auch DATEV installiert ist. Es kann nicht sein, daß bei solch einem Laptop DATEV völlig offen ist, wenn der StB bei einer Vorlesung eine PP- Präsentation laufen läßt

Wenn man auf den Laptop des Dozis zugreifen kann, hat das entweder physische Probleme (Raucherpause, Rechner nicht gesperrt, Studis holen sich unter erheblichem Risiko erfolgreich die Klausur) oder das Ding ist ziemlich schlampig konfiguriert