DATEV-Installation … Sperrlistenprüfung deaktiviert?

WindowsIch habe noch ein Thema, was ich unter der Leserschaft mal zur Diskussion stellen möchte – kann es final noch nicht ganz überblicken und will ggf. auch nochmals die Tage bei der DATEV nachhaken. Ein Leser hat mich gerade darüber informiert, dass die DATEV bei der Installation bzw. Aktualisierung der DATEVasp-Clients die intern verwendete "Sperrlistenprüfung deaktiviert". Wäre natürlich unschön.

Die DATEV-Sperrlistenprüfung

Ich selbst bin bezüglich DATEV und deren Software unbeleckt, hatte lediglich im Beitrag Digitale Souveränität: Die DATEV zementiert mit Windows 11-Zwang Abhängigkeiten mal erwähnt, dass diese Organisation die Leute auf Windows 11 zwingt.

Wenn meine Recherchen nicht gänzlich trügen, ist die Sperrlistenprüfung der DATEV ein automatisierter Sicherheitsmechanismus in Windows, der prüft, ob verwendete digitale Zertifikate (wie die DATEV SmartCard) noch gültig oder von der ausstellenden Stelle wegen Verlusts, Diebstahls oder Ablauf gesperrt wurden. Unter Windows 11 läuft dieser Prozess im Hintergrund und verhindert, dass gefälschte oder ungültige Zertifikate für den Zugriff auf sensible Steuerdaten oder Bankingschnittstellen genutzt werden.

Die DATEV hat in diesem Wissensdokument einige Informationen veröffentlicht. Aber ich mag nicht ausschließen, dass ich da in den "falschen Wald gelaufen bin" – also obige Interpretation unter Vorbehalt stellen – die Leserschaft wird sicherlich was dazu ergänzen können.

Eine Leser-Beobachtung bei DATEV-Software

Blog-Leser Markus S. hat sich heute mit "hier ist vielleicht mal was für die Community" per E-Mail bei mir gemeldet (danke für den Hinweis), weil er bei der Installation von DATEV-Client-Software auf eine "Merkwürdigkeit" gestoßen ist. Er sei gerade in "der Buchhaltung" über eine DATEV-Installation/-Aktualisierung gestolpert, schrieb er. Der Installer für die DATEV-Client-Software mache beim Einrichten "lustige Sachen" hat der Leser beobachtet. Und zwar deaktiviert der Installer die Sperrlistenprüfung auf dem lokalen Client, schrieb der Leser und bezeichnet das als "unschön".

DATEV-Einrichtungsassistent deaktiviert Sperrlistenprüfung

Markus hat mir obigen Screenshot des DATEVasp-Einrichtungsassistenten zukommen lassen. Dort meldet der Assistent, dass die Sperrlistenprüfung deaktiviert ist und erklärt, dass "dies zum Aufruf des Zugangsportals zur DATEVasp so sein muss". Das Kürzel asp dürfte für das mit Microsofts ASP.NET geschnitzte DATEV-Portal stehen. Geschüttelt hat mich dann die Information, dass diese Deaktivierung dem für Verbindungen genutzten Internet Explorer geschuldet sei.

In Windows 11 propagiert Microsoft zwar den Edge – aber die DATEV scheint in ihrer Client-Software noch Internet Explorer-Komponenten zu verwenden und läuft nun in Probleme.

Der Leser merkte noch an: "Und dann werden die DNS-Einträge auch noch hart gesetzt. Das ließe sich doch schöner über ein entsprechendes VPN-Profil lösen." Dazu hat er mir nachfolgenden Screenshot geschickt.

DATEV-Einrichtungsassistent DNS-Einträge

Der DATEVasp-Einrichtungsassistent "jammert", dass er seine asp-Dienste im DATEV-Rechenzentrum nicht erreichen könne und dass sich das nicht automatisch reparieren ließe. Er weist den IT-Administrator an, doch bitte die genannten DNS-Einträge auf dem Client zu konfigurieren.

Markus fragte in seiner Mail: "Vielleicht sehe ich das zu kritisch?" Da ich bei diesem Thema unbeleckt bin, hatte ich dem Leser ein DATEV-Zitat geschickt: "Die Sperrlistenprüfung in DATEV (oft im Kontext von DATEVasp oder der DATEV SmartCard) stellt sicher, dass Ihre Sicherheitszertifikate gültig sind. Ein Verbindungsaufbau oder Login schlägt fehl, wenn das Zertifikat gesperrt oder abgelaufen ist. " und gefragt, ob er die Implikationen überblicken könne. Ich merkte dabei an: "Würde bedeuten, dass das jetzt nicht mehr geprüft wird? Man könnte auch mit gesperrten DATEV SmartCards arbeiten?"

Die Antwort des Lesers lautete: "Kann ich dir nicht genau sagen, ob die Smartcards auf einer CRL (Certification Revoke List, Sperrliste) landen. Wenn dem so wäre, liegst du mit deiner Aussage vermutlich richtig." Markus ergänzte:

Ich hätte jetzt nicht so sehr das Problem, wenn die Installation DATEV-RZ intern passieren würde und die CRL bezgl. eines Zertifikats an anderer Stelle geprüft wird. Aber mein Kunde hat eben kein VPN sondern arbeitet über den mobilen Arbeitsplatz – und hier gelten die Einstellungen dann für den kundenseitigen Arbeitsplatz und da wird dann gar nicht mehr geprüft – nicht nur DATEV.

Zur obigen Aufforderung des Assistenten, dass die IT-Fachkraft mal eben die genannten DNS-Einträge im Windows 11-Client eintragen soll, meinte der Leser "… ja, kann man so machen. Schön ist das nicht." Dem Leser sind die Implikationen derzeit noch unklar, was im Endeffekt der Grund für die Mail an mich war. Den Leser würden da auch die Meinungen der Leserschaft interessieren, denn wenn "man im Installer nicht aufpasst, ist das Unglück passiert", schrieb er. Mich würde interessieren, ob das obige Verhalten bereits bekannt bzw. beobachtet wurde, ob es eine DATEV-Ankündigung samt -Erklärung gibt und wie das Ganze sicherheitstechnisch eingestuft wird?

Antwort der DATEV

Ich hatte heute, nach dem Schreiben des Beitrags, bei der DATEV-Presseabteilung nachgefragt und um 17:35 Uhr folgende Stellungnahme erhalten (die sind schnell).

Hallo Herr Born,

hier nun eine kurze Erläuterung zum Sachverhalt.

Die beschriebene Deaktivierung der Sperrlistenprüfung geht auf eine historisch bedingte Einschränkung zurück. Im Rahmen des aktuell laufenden Redesigns des DATEVasp Zugangspakets ist aber bereits vorgesehen, dieses Verhalten abzustellen, nachdem es dafür heute keinen Grund mehr gibt.

Warum wurde die Deaktivierung überhaupt eingeführt?

DATEVasp ist ein Hosting-Angebot von DATEV, das als Komplettlösung Dienstleistungen von der Bereitstellung der Server und des Betriebssystems bis hin zum Management der IT-Infrastruktur beinhaltet. DATEVasp-Clients in Betriebsstätten verfügten ursprünglich über keinen gesonderten Internetzugang und waren daher nicht in der Lage, die Sperrlistenprüfung durchzuführen. In diesem Kontext hätte die aktivierte Prüfung zu blockierenden Verbindungsversuchen geführt, die erst nach Ablauf eines mehrminütigen Timeouts fortgesetzt worden wären. Verbindungsaufbauten wären dadurch signifikant verzögert worden, was die Systemnutzung aus Anwendersicht so nur eingeschränkt oder gar nicht möglich gemacht hätte. Der DATEVasp Einrichtungsassistent ist ursprünglich für den Einsatz innerhalb von DATEVasp Betriebsstätten konzipiert worden, die über einen gehärteten DATEVasp Betriebsstätten-Router (VPN) angebunden sind.

Die Deaktivierung hat im Übrigen keine Auswirkung auf die Sperrlistenprüfung der DATEV Smartcards (Client-Zertifikate) da diese unabhängig vom Client bei der Anschaltung an das DATEV Rechenzentrum erfolgt.

Zur zweiten Fragestellung:

Die zu setzenden DNS Einträge sind in den oben skizzierten Szenarien notwendig. Die Eintragung in der Hosts-Datei ist eine Fallback-Maßnahme da sonst bei Nutzung eigener Infrastruktur kein Zugriff auf die DATEVasp Systeme möglich ist. Details hierzu sind unter DATEVasp: Eigene Infrastruktur mit DATEVasp Betriebsstättenrouter – DATEV Hilfe-Center dokumentiert.

Ich hoffe, diese Ausführungen helfen ihnen weiter und wünsche ein schönes Wochenende!

Dieser Beitrag wurde unter Cloud, Sicherheit, Software, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

4 Kommentare zu DATEV-Installation … Sperrlistenprüfung deaktiviert?

  1. Markus L. sagt:

    Das mit der Sperrlistenprüfung ist alter Kaffee. Das hat DATEV schon immer so gemacht. Da bräuchte ich jetzt Aufklärung, aber ich meine mal gelesen zu haben, dass selbst aktuelle Webbrowser nicht unbedingt die CRLs prüfen beim Zugriff auf Webseiten.

    DATEV hat vor einiger Zeit die Abhängigkeiten zum IE im ASP auch ausgebaut. Der Login ins System findet heutzutage mit einem beliebigen Browser statt, beispielsweise Chrome oder Firefox. Warum diese Sperrlistenprüfung im Einrichtungsassistenten verblieben ist, kann nur DATEV beantworten.

    Zum zweiten Thema mit dem DNS: zumindest bei uns ist die DATEV-Umgebung über eine VPN&Tunnellösung ins Firmennetz eingebunden. Daher muss ich natürlich – vorzugsweise in meinem AD-DNS – die entsprechenden Einträge setzen, damit der DATEV-Client seine Server findet. Auf dem Screenshot ist auch klar erkennbar, es geht um einen privaten Adressraum (10.246.157 usw). Hat man kein AD oder anderweitig einen DNS-Server, bleibt nur noch die Hosts-Datei.

    GB: Danke für die Einschätzung – hab gerade auch mal bei der DATEV nachgefragt, ob es ein Statement gibt. Und ich habe im Namensfeld mal ein L. an den Namen angehängt, nicht dass Mitleser meinen, dass Markus S. mit sich selbst als Markus in den Kommentaren antwortet ;-).

  2. R.S. sagt:

    Das läuft aber in arge Probleme, wenn man lokal den gleichen Adressraum benutzt und zufällig der interne DHCP Clients genau die von Datev benutzen Adressen zuweist.

    • ribopol113 sagt:

      Nein, das läuft in keine Probleme.
      Der Leser, der die Dinge meldete, nutzt nur den mobilen Arbeitsplatz. Dafür wird eine Verbindung zu https://map.datevasp.de (öffentliche IP!) per Browser seiner Wahl aufgebaut und die Verbindung mittels Smartcard-Zertifikat abgesichert. Anschließend folgt der Login mit Benutzername+PW ehe per Citrix die Verbindung zum Remotedesktop startet. Der Assistent aus dem DATEVasp Zugangspaket prüft und setzt leider Dinge, die in diesem Fall nicht notwendig sind.

      Erst im Falle eines dauerhaften VPN-Tunnels (eigene Hardware oder von Datev gestellt) bekommt die anzubindende Betriebsstätte einen eindeutigen IP-Adressbereich zugewiesen, der dann zu nutzen und abweichend vom Datev-Rechenzentrum ist. Statt manueller DNS-Einträge (das ist der angebotene Fallback) nutzt man üblicherweise den Datev-Router als DNS-Server (oder besser, stellt in seinem DNS-Server einen Domain Override für datev-cs.de an den Datev-Router ein).

      ASP steht hier für Application Service Provider und beschreibt die Bereitstellung der Legacy-Datev-Anwendungen im Rechenzentrum und hat mit Microsoft ASP.net (Active Server Pages) nichts zu tun.

  3. Schlaumeier 4711 sagt:

    Grundsatz bei der Installation von DATEV-Software: Danach hat man kein Windows mehr, sondern Datows.

    Ich installiere seit Jahren immer mal wieder bei Kunden die Programme der DATEV eG (vor allem DATEV-Rechnungswesen). Es hat sich als nützlich erwiesen die DATEV-Programme in einer VM laufen zu lassen, wo sie schalten und walten können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.