DATEV-Opsie … Sperrlistenprüfung deaktiviert?

Veröffentlicht am 26. Juni 2026 von Günter Born

WindowsIch habe noch ein Thema, was ich unter der Leserschaft mal zur Diskussion stellen möchte – kann es final noch nicht ganz überblicken und will ggf. auch nochmals die Tage bei der DATEV nachhaken. Ein Leser hat mich gerade darüber informiert, dass die DATEV bei der Installation bzw. Aktualisierung der DATEVasp-Clients die intern verwendete "Sperrlistenprüfung deaktiviert". Wäre natürlich unschön.

Die DATEV-Sperrlistenprüfung

Ich selbst bin bezüglich DATEV und deren Software unbeleckt, hatte lediglich im Beitrag Digitale Souveränität: Die DATEV zementiert mit Windows 11-Zwang Abhängigkeiten mal erwähnt, dass diese Organisation die Leute auf Windows 11 zwingt.

Wenn meine Recherchen nicht gänzlich trügen, ist die Sperrlistenprüfung der DATEV ein automatisierter Sicherheitsmechanismus in Windows, der prüft, ob verwendete digitale Zertifikate (wie die DATEV SmartCard) noch gültig oder von der ausstellenden Stelle wegen Verlusts, Diebstahls oder Ablauf gesperrt wurden. Unter Windows 11 läuft dieser Prozess im Hintergrund und verhindert, dass gefälschte oder ungültige Zertifikate für den Zugriff auf sensible Steuerdaten oder Bankingschnittstellen genutzt werden.

Die DATEV hat in diesem Wissensdokument einige Informationen veröffentlicht. Aber ich mag nicht ausschließen, dass ich da in den "falschen Wald gelaufen bin" – also obige Interpretation unter Vorbehalt stellen – die Leserschaft wird sicherlich was dazu ergänzen können.

Eine Leser-Beobachtung bei DATEV-Software

Blog-Leser Markus S. hat sich heute mit "hier ist vielleicht mal was für die Community" per E-Mail bei mir gemeldet (danke für den Hinweis), weil er bei der Installation von DATEV-Client-Software auf eine "Merkwürdigkeit" gestoßen ist. Er sei gerade in "der Buchhaltung" über eine DATEV-Installation/-Aktualisierung gestolpert, schrieb er. Der Installer für die DATEV-Client-Software mache beim Einrichten "lustige Sachen" hat der Leser beobachtet. Und zwar deaktiviert der Installer die Sperrlistenprüfung auf dem lokalen Client, schrieb der Leser und bezeichnet das als "unschön".

DATEV-Einrichtungsassistent deaktiviert Sperrlistenprüfung

Markus hat mir obigen Screenshot des DATEVasp-Einrichtungsassistenten zukommen lassen. Dort meldet der Assistent, dass die Sperrlistenprüfung deaktiviert ist und erklärt, dass "dies zum Aufruf des Zugangsportals zur DATEVasp so sein muss". Das Kürzel asp dürfte für das mit Microsofts ASP.NET geschnitzte DATEV-Portal stehen. Geschüttelt hat mich dann die Information, dass diese Deaktivierung dem für Verbindungen genutzten Internet Explorer geschuldet sei.

In Windows 11 propagiert Microsoft zwar den Edge – aber die DATEV scheint in ihrer Client-Software noch Internet Explorer-Komponenten zu verwenden und läuft nun in Probleme.

Der Leser merkte noch an: "Und dann werden die DNS-Einträge auch noch hart gesetzt. Das ließe sich doch schöner über ein entsprechendes VPN-Profil lösen." Dazu hat er mir nachfolgenden Screenshot geschickt.

DATEV-Einrichtungsassistent DNS-Einträge

Der DATEVasp-Einrichtungsassistent "jammert", dass er seine asp-Dienste im DATEV-Rechenzentrum nicht erreichen könne und dass sich das nicht automatisch reparieren ließe. Er weist den IT-Administrator an, doch bitte die genannten DNS-Einträge auf dem Client zu konfigurieren.

Markus fragte in seiner Mail: "Vielleicht sehe ich das zu kritisch?" Da ich bei diesem Thema unbeleckt bin, hatte ich dem Leser ein DATEV-Zitat geschickt: "Die Sperrlistenprüfung in DATEV (oft im Kontext von DATEVasp oder der DATEV SmartCard) stellt sicher, dass Ihre Sicherheitszertifikate gültig sind. Ein Verbindungsaufbau oder Login schlägt fehl, wenn das Zertifikat gesperrt oder abgelaufen ist. " und gefragt, ob er die Implikationen überblicken könne. Ich merkte dabei an: "Würde bedeuten, dass das jetzt nicht mehr geprüft wird? Man könnte auch mit gesperrten DATEV SmartCards arbeiten?"

Die Antwort des Lesers lautete: "Kann ich dir nicht genau sagen, ob die Smartcards auf einer CRL (Certification Revoke List, Sperrliste) landen. Wenn dem so wäre, liegst du mit deiner Aussage vermutlich richtig." Markus ergänzte:

Ich hätte jetzt nicht so sehr das Problem, wenn die Installation DATEV-RZ intern passieren würde und die CRL bezgl. eines Zertifikats an anderer Stelle geprüft wird. Aber mein Kunde hat eben kein VPN sondern arbeitet über den mobilen Arbeitsplatz – und hier gelten die Einstellungen dann für den kundenseitigen AP (Access Point) und da wird dann gar nicht mehr geprüft – nicht nur DATEV.

Zur obigen Aufforderung des Assistenten, dass die IT-Fachkraft mal eben die genannten DNS-Einträge im Windows 11-Client eintragen soll, meinte der Leser "… ja, kann man so machen. Schön ist das nicht." Dem Leser sind die Implikationen derzeit noch unklar, was im Endeffekt der Grund für die Mail an mich war. Den Leser würden da auch die Meinungen der Leserschaft interessieren, denn wenn "man im Installer nicht aufpasst, ist das Unglück passiert", schrieb er. Mich würde interessieren, ob das obige Verhalten bereits bekannt bzw. beobachtet wurde, ob es eine DATEV-Ankündigung samt -Erklärung gibt und wie das Ganze sicherheitstechnisch eingestuft wird?

Dieser Beitrag wurde unter Cloud, Sicherheit, Software, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

2 Kommentare zu DATEV-Opsie … Sperrlistenprüfung deaktiviert?

  1. Markus L. sagt:
    26. Juni 2026 um 12:29 Uhr

    Das mit der Sperrlistenprüfung ist alter Kaffee. Das hat DATEV schon immer so gemacht. Da bräuchte ich jetzt Aufklärung, aber ich meine mal gelesen zu haben, dass selbst aktuelle Webbrowser nicht unbedingt die CRLs prüfen beim Zugriff auf Webseiten.

    DATEV hat vor einiger Zeit die Abhängigkeiten zum IE im ASP auch ausgebaut. Der Login ins System findet heutzutage mit einem beliebigen Browser statt, beispielsweise Chrome oder Firefox. Warum diese Sperrlistenprüfung im Einrichtungsassistenten verblieben ist, kann nur DATEV beantworten.

    Zum zweiten Thema mit dem DNS: zumindest bei uns ist die DATEV-Umgebung über eine VPN&Tunnellösung ins Firmennetz eingebunden. Daher muss ich natürlich – vorzugsweise in meinem AD-DNS – die entsprechenden Einträge setzen, damit der DATEV-Client seine Server findet. Auf dem Screenshot ist auch klar erkennbar, es geht um einen privaten Adressraum (10.246.157 usw). Hat man kein AD oder anderweitig einen DNS-Server, bleibt nur noch die Hosts-Datei.

    GB: Danke für die Einschätzung – hab gerade auch mal bei der DATEV nachgefragt, ob es ein Statement gibt. Und ich habe im Namensfeld mal ein L. an den Namen angehängt, nicht dass Mitleser meinen, dass Markus S. mit sich selbst als Markus in den Kommentaren antwortet ;-).

    Antworten
  2. R.S. sagt:
    26. Juni 2026 um 12:46 Uhr

    Das läuft aber in arge Probleme, wenn man lokal den gleichen Adressraum benutzt und zufällig der interne DHCP Clients genau die von Datev benutzen Adressen zuweist.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.