{"id":326866,"date":"2026-06-26T11:49:45","date_gmt":"2026-06-26T09:49:45","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326866"},"modified":"2026-06-26T18:27:47","modified_gmt":"2026-06-26T16:27:47","slug":"datev-opsie-sperrlistenpruefung-deaktiviert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/26\/datev-opsie-sperrlistenpruefung-deaktiviert\/","title":{"rendered":"DATEV-Installation &#8230; Sperrlistenpr\u00fcfung deaktiviert?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>Ich habe noch ein Thema, was ich unter der Leserschaft mal zur Diskussion stellen m\u00f6chte &#8211; kann es final noch nicht ganz \u00fcberblicken und will ggf. auch nochmals die Tage bei der DATEV nachhaken. Ein Leser hat mich gerade dar\u00fcber informiert, dass die DATEV bei der Installation bzw. Aktualisierung der DATEVasp-Clients die intern verwendete \"Sperrlistenpr\u00fcfung deaktiviert\". W\u00e4re nat\u00fcrlich unsch\u00f6n.<\/p>\n<p><!--more--><\/p>\n<h2>Die DATEV-Sperrlistenpr\u00fcfung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/c04c0e4ef81a4d548b8c879134648be5\" alt=\"\" width=\"1\" height=\"1\" \/>Ich selbst bin bez\u00fcglich DATEV und deren Software unbeleckt, hatte lediglich im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2025\/12\/14\/digitale-souveraenitaet-die-datev-zementiert-mit-windows-11-zwang-abhaengigkeiten\/\" rel=\"bookmark\">Digitale Souver\u00e4nit\u00e4t: Die DATEV zementiert mit Windows 11-Zwang Abh\u00e4ngigkeiten<\/a> mal erw\u00e4hnt, dass diese Organisation die Leute auf Windows 11 zwingt.<\/p>\n<p>Wenn meine Recherchen nicht g\u00e4nzlich tr\u00fcgen, ist die Sperrlistenpr\u00fcfung der DATEV ein automatisierter Sicherheitsmechanismus in Windows, der pr\u00fcft, ob verwendete digitale Zertifikate (wie die DATEV SmartCard) noch g\u00fcltig oder von der ausstellenden Stelle wegen Verlusts, Diebstahls oder Ablauf gesperrt wurden. Unter Windows 11 l\u00e4uft dieser Prozess im Hintergrund und verhindert, dass gef\u00e4lschte oder ung\u00fcltige Zertifikate f\u00fcr den Zugriff auf sensible Steuerdaten oder Bankingschnittstellen genutzt werden.<\/p>\n<p>Die DATEV hat in <a href=\"https:\/\/wissensplattform.apps.datev.de\/help\/document\/1020809\" target=\"_blank\" rel=\"noopener\">diesem Wissensdokument<\/a> einige Informationen ver\u00f6ffentlicht. Aber ich mag nicht ausschlie\u00dfen, dass ich da in den \"falschen Wald gelaufen bin\" &#8211; also obige Interpretation unter Vorbehalt stellen &#8211; die Leserschaft wird sicherlich was dazu erg\u00e4nzen k\u00f6nnen.<\/p>\n<h2>Eine Leser-Beobachtung bei DATEV-Software<\/h2>\n<p>Blog-Leser Markus S. hat sich heute mit \"<em>hier ist vielleicht mal was f\u00fcr die Community<\/em>\" per E-Mail bei mir gemeldet (danke f\u00fcr den Hinweis), weil er bei der Installation von DATEV-Client-Software auf eine \"Merkw\u00fcrdigkeit\" gesto\u00dfen ist. Er sei gerade in \"der Buchhaltung\" \u00fcber eine DATEV-Installation\/-Aktualisierung gestolpert, schrieb er. Der Installer f\u00fcr die DATEV-Client-Software mache beim Einrichten \"lustige Sachen\" hat der Leser beobachtet. Und zwar deaktiviert der Installer die Sperrlistenpr\u00fcfung auf dem lokalen Client, schrieb der Leser und bezeichnet das als \"unsch\u00f6n\".<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-326867\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/DATEV-Einrichtungsassistent.jpg\" alt=\"DATEV-Einrichtungsassistent deaktiviert Sperrlistenpr\u00fcfung\" width=\"640\" height=\"542\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/DATEV-Einrichtungsassistent.jpg 640w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/DATEV-Einrichtungsassistent-300x254.jpg 300w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/p>\n<p>Markus hat mir obigen Screenshot des DATEVasp-Einrichtungsassistenten zukommen lassen. Dort meldet der Assistent, dass die Sperrlistenpr\u00fcfung deaktiviert ist und erkl\u00e4rt, dass \"dies zum Aufruf des Zugangsportals zur DATEVasp so sein muss\". Das K\u00fcrzel asp d\u00fcrfte f\u00fcr das mit Microsofts ASP.NET geschnitzte DATEV-Portal stehen. Gesch\u00fcttelt hat mich dann die Information, dass diese Deaktivierung dem f\u00fcr Verbindungen genutzten Internet Explorer geschuldet sei.<\/p>\n<blockquote><p>In Windows 11 propagiert Microsoft zwar den Edge &#8211; aber die DATEV scheint in ihrer Client-Software noch Internet Explorer-Komponenten zu verwenden und l\u00e4uft nun in Probleme.<\/p><\/blockquote>\n<p>Der Leser merkte noch an: \"Und dann werden die DNS-Eintr\u00e4ge auch noch hart gesetzt. Das lie\u00dfe sich doch sch\u00f6ner \u00fcber ein entsprechendes VPN-Profil l\u00f6sen.\" Dazu hat er mir nachfolgenden Screenshot geschickt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-326868\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/DATEV-Einrichtungsassistent-02.jpg\" alt=\"DATEV-Einrichtungsassistent DNS-Eintr\u00e4ge\" width=\"640\" height=\"550\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/DATEV-Einrichtungsassistent-02.jpg 640w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/DATEV-Einrichtungsassistent-02-300x258.jpg 300w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/p>\n<p>Der DATEVasp-Einrichtungsassistent \"jammert\", dass er seine asp-Dienste im DATEV-Rechenzentrum nicht erreichen k\u00f6nne und dass sich das nicht automatisch reparieren lie\u00dfe. Er weist den IT-Administrator an, doch bitte die genannten DNS-Eintr\u00e4ge auf dem Client zu konfigurieren.<\/p>\n<p>Markus fragte in seiner Mail: \"Vielleicht sehe ich das zu kritisch?\" Da ich bei diesem Thema unbeleckt bin, hatte ich dem Leser ein DATEV-Zitat geschickt: \"<em>Die Sperrlistenpr\u00fcfung in DATEV (oft im Kontext von DATEVasp oder der DATEV SmartCard) stellt sicher, dass Ihre Sicherheitszertifikate g\u00fcltig sind. Ein Verbindungsaufbau oder Login schl\u00e4gt fehl, wenn das Zertifikat gesperrt oder abgelaufen ist.<\/em> \" und gefragt, ob er die Implikationen \u00fcberblicken k\u00f6nne. Ich merkte dabei an: \"W\u00fcrde bedeuten, dass das jetzt nicht mehr gepr\u00fcft wird? Man k\u00f6nnte auch mit gesperrten DATEV SmartCards arbeiten?\"<\/p>\n<p>Die Antwort des Lesers lautete: \"Kann ich dir nicht genau sagen, ob die Smartcards auf einer CRL (Certification Revoke List, Sperrliste) landen. Wenn dem so w\u00e4re, liegst du mit deiner Aussage vermutlich richtig.\" Markus erg\u00e4nzte:<\/p>\n<blockquote><p>Ich h\u00e4tte jetzt nicht so sehr das Problem, wenn die Installation DATEV-RZ intern passieren w\u00fcrde und die CRL bezgl. eines Zertifikats an anderer Stelle gepr\u00fcft wird. Aber mein Kunde hat eben kein VPN sondern arbeitet \u00fcber den mobilen Arbeitsplatz &#8211; und hier gelten die Einstellungen dann f\u00fcr den kundenseitigen Arbeitsplatz und da wird dann gar nicht mehr gepr\u00fcft &#8211; nicht nur DATEV.<\/p><\/blockquote>\n<p>Zur obigen Aufforderung des Assistenten, dass die IT-Fachkraft mal eben die genannten DNS-Eintr\u00e4ge im Windows 11-Client eintragen soll, meinte der Leser \"&#8230; ja, kann man so machen. Sch\u00f6n ist das nicht.\" Dem Leser sind die Implikationen derzeit noch unklar, was im Endeffekt der Grund f\u00fcr die Mail an mich war. Den Leser w\u00fcrden da auch die Meinungen der Leserschaft interessieren, denn wenn \"man im Installer nicht aufpasst, ist das Ungl\u00fcck passiert\", schrieb er. Mich w\u00fcrde interessieren, ob das obige Verhalten bereits bekannt bzw. beobachtet wurde, ob es eine DATEV-Ank\u00fcndigung samt -Erkl\u00e4rung gibt und wie das Ganze sicherheitstechnisch eingestuft wird?<\/p>\n<h2>Antwort der DATEV<\/h2>\n<p>Ich hatte heute, nach dem Schreiben des Beitrags, bei der DATEV-Presseabteilung nachgefragt und um 17:35 Uhr folgende Stellungnahme erhalten (die sind schnell).<\/p>\n<blockquote><p>Hallo Herr Born,<\/p>\n<p>hier nun eine kurze Erl\u00e4uterung zum Sachverhalt.<\/p>\n<p>Die beschriebene Deaktivierung der Sperrlistenpr\u00fcfung geht\u00a0auf eine historisch bedingte Einschr\u00e4nkung zur\u00fcck. Im Rahmen des aktuell laufenden Redesigns des DATEVasp Zugangspakets ist aber bereits vorgesehen, dieses Verhalten abzustellen, nachdem es daf\u00fcr heute keinen Grund mehr gibt.<\/p>\n<p><strong>Warum wurde die Deaktivierung \u00fcberhaupt eingef\u00fchrt?<\/strong><\/p>\n<p>DATEVasp ist ein Hosting-Angebot von DATEV, das als Komplettl\u00f6sung Dienstleistungen von der Bereitstellung der Server und des Betriebssystems bis hin zum Management der IT-Infrastruktur beinhaltet. DATEVasp-Clients in Betriebsst\u00e4tten verf\u00fcgten urspr\u00fcnglich \u00fcber keinen gesonderten Internetzugang und waren daher nicht in der Lage, die Sperrlistenpr\u00fcfung durchzuf\u00fchren. In diesem Kontext h\u00e4tte die aktivierte Pr\u00fcfung zu blockierenden Verbindungsversuchen gef\u00fchrt, die erst nach Ablauf eines mehrmin\u00fctigen Timeouts fortgesetzt worden w\u00e4ren. Verbindungsaufbauten w\u00e4ren dadurch signifikant verz\u00f6gert worden, was die Systemnutzung aus Anwendersicht so nur eingeschr\u00e4nkt oder gar nicht m\u00f6glich gemacht h\u00e4tte. Der DATEVasp Einrichtungsassistent ist urspr\u00fcnglich f\u00fcr den Einsatz innerhalb von DATEVasp Betriebsst\u00e4tten konzipiert worden, die \u00fcber einen geh\u00e4rteten DATEVasp Betriebsst\u00e4tten-Router (VPN) angebunden sind.<\/p>\n<p>Die Deaktivierung hat im \u00dcbrigen keine Auswirkung auf die Sperrlistenpr\u00fcfung der DATEV Smartcards (Client-Zertifikate) da diese unabh\u00e4ngig vom Client bei der Anschaltung an das DATEV Rechenzentrum erfolgt.<\/p>\n<p>Zur zweiten Fragestellung:<\/p>\n<p>Die zu setzenden DNS Eintr\u00e4ge sind in den oben skizzierten Szenarien notwendig. Die Eintragung in der Hosts-Datei ist eine Fallback-Ma\u00dfnahme da sonst bei Nutzung eigener Infrastruktur kein Zugriff auf die DATEVasp Systeme m\u00f6glich ist. Details hierzu sind unter <a href=\"https:\/\/help-center.apps.datev.de\/documents\/1001768\" target=\"_blank\" rel=\"noopener\">DATEVasp: Eigene Infrastruktur mit DATEVasp Betriebsst\u00e4ttenrouter &#8211; DATEV Hilfe-Center<\/a> dokumentiert.<\/p>\n<p>Ich hoffe, diese Ausf\u00fchrungen helfen ihnen weiter und w\u00fcnsche ein sch\u00f6nes Wochenende!<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Ich habe noch ein Thema, was ich unter der Leserschaft mal zur Diskussion stellen m\u00f6chte &#8211; kann es final noch nicht ganz \u00fcberblicken und will ggf. auch nochmals die Tage bei der DATEV nachhaken. Ein Leser hat mich gerade dar\u00fcber &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/06\/26\/datev-opsie-sperrlistenpruefung-deaktiviert\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,7459,301],"tags":[1171,4328,3836,8257],"class_list":["post-326866","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-software","category-windows","tag-cloud","tag-sicherheit","tag-software","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326866","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326866"}],"version-history":[{"count":9,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326866\/revisions"}],"predecessor-version":[{"id":326901,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326866\/revisions\/326901"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326866"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326866"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326866"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}