Zero Day Exploit

Hallo Datev,

ich bin mir nicht ganz sicher ob das Thema hier richtig ist aber mir stellt sich die Frage ob DatevNet einen wirksamen Schutz gegen den Zero Day Exploit bietet (Artikel dazu z.B. bei Heise).

Da der Exploit offensichtlich sämtliche im Umlauf befindlichen Internet Explorer Versionen betrifft scheint als einzige wirkunsvolle Massnahme z.Zt. der Einsatz eines alternativen Browsers zu sein. Natürlich stellt sich dabei wieder die Frage nach der Browserstrategie von Datev und ich frage mich ob es nicht doch sinnvoller sei Internetbasierende Anwendungen Browserunabhängig zu programmieren.

Herzlichst!

Hallo Admin,

Stand jetzt wird von den AV-Systemen von DATEVnet die bisher in Erscheinung getretene Malware erkannt, die den Exploit ausnutzt. Unbekannte Formen können wir lediglich mit heuristischen Maßnahmen versuchen zu erkennen. Zusätzlich unterbinden wir den Zugriff auf bekannte Webseiten, die entsprechende Malware enthalten. Da wir Teil eines ziemlich gut funktionierenden Informationsnetzwerkes sind, erreichen uns Nachrichten über Änderungen und entsprechende Samples recht schnell. Zum Schutz unserer Kunden würden wir im Notfall auch die gefährdeten Dienste stoppen.

100% Sicherheit gibt es leider nie, vor allem, wenn die Ursache (also der Exploit) nicht gepatched wird.

Schöne Grüße!

Michael Braun

Service und Vertrieb DATEVnet
DATEV eG

Werte DATEV!

Was für eine professionelle Antwort!

System Administrator fragt (sich):
"Wäre es nicht sinnvoller, internetbasierende Anwendungen browserunabhängig zu programmieren?"
(ich nehme stillschweigend an, dass er die Möglichkeit der freien Browserwahl für eine wertvolle Option zur Erhöhung seiner Sicherheit hält).

Und DATEV antwortet (so hab ich das verstanden) mit: "Wir tun was wir können, mehr können wir nicht, 100% Sicherheit gibt es nicht!"

Mit Velaub - was soll das?
Da ich das hohe Sicherheitsbewusstsein bei DATEV außerordentlich schätze, enttäuscht mich diese Antwort do h sehr.
Hält die DATEV die Möglichkeit der freien Browserwahl nun für wenig oder nicht sicherheitsrelevant?
Denkt DATEV anlässlich des IE-Exploits nochmals über eine browserunabhängige Entwicklung nach (was auch ich begrüßen würde) oder nicht?

Wie antwortet DATEV hierauf?

Guten Tag,

für die Online-Anwendungen der DATEV gilt nach wie vor als Einsatzvoraussetzung der Microsoft Internet Explorer. Eine Entwicklung als browserunabhängige Anwendung ist nicht geplant. Natürlich ist es für jede Anwendung vorteilhaft, wenn die Einsatzvoraussetzungen / Restriktionen so gering wie möglich sind. Man muss aber auch Aspekte wie Funktionsumfang, Produktentwicklung, Qualitätssicherung, Produktpflege, Wechselwirkungen mit anderen Komponenten etc. berücksichtigen. Insofern ist es sinnvoll, sich auf den mit Abstand am weitesten verbreiteten Browser zu konzentrieren.

Mit freundlichen Grüßen
André Schmidt
DATEV eG
Programmservice Online-Anwendungen

Hallo Herr Schmidt,

MS Vista hat eine Verbreitung von ca 5% - wird unterstützt.
Mozilla hat eine Verbreitung von ca. 28% - wird nicht unterstützt.

Gruß aus Hamburg

In Deutschland ist die Verbreitung mit 35% sogar höher (Tendenz steigend):
Statistik hier

Der Patch ist nun 17.120.08 ab 19:00 per Windows Update verfügbar.
Ein Neustart des Computers ist notwendig.

Die DATEV- Programme werden augenscheinlich vom Patch nicht gestört.
(SQL- Server, NuKo, Dokorg, Rewe, Anlag getestet)

Gruß, Wolf

Zur Nutzung meiner DATEV-Anwendungen klicke ich auf das blaue "E" und um den Rest des Internets zu nutzen kann ich meinen Mozilla nutzen, auf Safari oder in die Oper gehen. Wo ist das Problem in einem für ein paar wenige, klar umrissene Dinge den Explorer zu verwenden? Ich habe zumindest doch soviel vertrauen zur DATEV, dass ich nicht fürchte auf deren Seiten etwas über irgendwelche Exploits untergeschoben zu bekommen. Persönlich bin ich nicht der Meinung, dass Mozilla & Co. wesentlich sicherer sind, sie stehen nur weniger im Focus. Ich möchte nicht wissen wie viele ungepatchte Lücken den Bösewichtern dieser Welt in den Alternativbrowsern bekannt sind.

Hallo "Verwunderter",

volle Zustimmung, so sehe ich es grundsätzlich zwar auch, allerdings habe ich damit doch ein Problem, nämlich die Festlegung des "Windows-Standardbrowsers", egal welchen man einstellt, es ist beim Klicken auf einen Link eben oft nicht der gewünschte.

Ideal wäre für mich Rechtsklick auf einen Link und Auswahlmöglichkeit des zu öffnenden Browsers. Nein, ganz ideal wäre für mich:
a) Link ins Intranet/zur Datev -> IE
b) Link ins www -> FX

Gibt's so was? ;-)

Gruß,

Ralph Wenzel

Hallo,

man würde sich nicht wundern wenn man denn bedenkt das viele viele Menschen nicht willens oder nicht fähig sind mal den einen oder mal den anderen Browser zu nutzen. Dazu kommt dann noch wie Herr Wenzel schon schrieb das der Standardbrowser bzw. die Einstellung des selbigen oftmals noch für Irritationen sorgt.
Überhaupt dürfen Sie sich niemals darüber wundern das andere Menschen Computer anders benutzen als Sie selbst.

Und es geht im Prinzip ja auch nicht darum das der IE der Browser mit den meisten Lücken ist (wie die Tage ja zu lesen war ist der FireFox ja die unsicherste Anwendung 2008.

Herzlichst!

...wie die Tage ja zu lesen war ist der FireFox ja die unsicherste Anwendung 2008.

Zum Vergleichen der Sicherheit der beiden verbreitetsten Browser ist diese ominöse Studie von Bit9 aber denkbar ungeeignet, denn es wurden nur Anwendungen darin aufgenommen die nicht mit dem Windowsupdate aktualisierbar sind.

Gruß
Harald Grimm

Hallo "Verwunderter",

volle Zustimmung, so sehe ich es grundsätzlich zwar auch, allerdings habe ich damit doch ein Problem, nämlich die Festlegung des "Windows-Standardbrowsers", egal welchen man einstellt, es ist beim Klicken auf einen Link eben oft nicht der gewünschte.

Ideal wäre für mich Rechtsklick auf einen Link und Auswahlmöglichkeit des zu öffnenden Browsers. Nein, ganz ideal wäre für mich:
a) Link ins Intranet/zur Datev -> IE
b) Link ins www -> FX

Gibt's so was? ;-)

Hallo Herr Wenzel,

es gibt so etwas. Entweder stellen Sie die Startseite für den IE entsprechend ein z.B. www.datev.de oder Sie legen ein Link an. Für Unternehmen Online z.B.
"C:\Programme\Internet Explorer\iexplore.exe" "http://unternehmen.secure.datev.de"
Somit starten Sie den IE. Für 64 Bit System kann man entsprechenden Link anlegen um z.B. den 32 Bit IE zu nutzen.

Die Diskussion bzgl. der Browserwahl finde ich insgesamt sehr interessant. Aber um es genau zu beschreiben, es gibt halt verschiedene Browser und dieses ist bzgl. verschiedene Sicherheitslücken auch gut so, da dadurch jeder versucht solche zu vermeiden.
Als weiteres ist auch von Vorteil, dass man für verschiedene Aufgaben auch unterschiedliche Browser benutzen kann.
Interessant ist hier auch den Browser von Google, Crome. Dieser steht z.B. in Verdacht Kunden information zu sammeln, wobei MS schon länger in Verdacht steht entsprechende Info zu sammeln. Die Frage ist dabei, was will ich als Anwender!

Somit wird die Lösung für jeder Anwender anders lauten!

Bzgl. Sicherheitslücken, hier ist auch wieder der Anwender die größte Sicherheitslücke. Da es beim FireFox verschieden Add-Ons zu herunter laden gibt, ist hier der Anwender schnell geneigt ein Add-On zu installieren, ohne zu prüfen woher er kommt. Solche Add-Ons stellen meiner Meinung nach die größte Sicherheitslücke da, da keiner 100% sicherstellen kann, was so ein Add-On eigentlich tatsächlich auf dem System macht.

Oder auch andes Formuliert, die größte Sicherheitslück ist die, von der man nichts weiß!

Gruß
Olaf Meyer

Hallo Herr Meyer,

Hallo Herr Wenzel,

es gibt so etwas. Entweder stellen Sie die Startseite für den IE entsprechend ein z.B. www.datev.de oder Sie legen ein Link an. Für Unternehmen Online z.B.
"C:\Programme\Internet Explorer\iexplore.exe" "http://unternehmen.secure.datev.de"
Somit starten Sie den IE. Für 64 Bit System kann man entsprechenden Link anlegen um z.B. den 32 Bit IE zu nutzen.

Das ist nicht das was ich meine.

Beispiel:
- Ich erhalte eine Email mit einem Link zur Datev -> IE sollte öffnen
- Ich erhalte eine (vertrauenswürdige) Email mit einem sonstigen Link -> FX sollte öffnen
Ja, ich weiß, niemand klickt einen Link in einer Email an -> theoretisches Problem.

Anderes Beispiel:

Wir haben hier ein kleines Intranet, aus dem heraus lokale Dateien/Programme/Datenbanken etc. aufgerufen werden können, aber auch wichtige Internet-Sites. Für den lokalen Aufruf von exe/cmd-Files ist imho nur der IE zu gebrauchen, d.h. das Intranet muss standardmäßig mit dem IE aufgerufen werden. Folge: auch die externen Adressen werden im IE geöffnet.

Ein gutes Neues,

Ralph Wenzel

Hallo, Herr Wenzel,

Das ist nicht das was ich meine.

Ich glaube, ich weiß, was Sie meinen. Wir haben hier die folgende Lösung:

Firefox als Standardbrowser mit der kostenlosen Extension "IE Tab". Diese Extension zeigt in einem Firefox-Tab Internetseiten mit der Engine des IE an. Welche Webseiten das sind, das lässt sich natürlich einstellen. Einfach in den Einstellungen von IE Tab "http://*datev.de/*" hinterlegen, und alle DATEV-Seiten werden mit IE Tab angezeigt.

Wie Sie an diesem Beitrag hier sehen können, funktioniert meine SmartCard damit, und damit (bis jetzt) auch alles andere, wie zB Unternehmen online.

Mit freundlichem Gruß
Jens Mildner

Hallo Herr Mildner,

Bingo, das ist genau das was ich meine, vielen Dank für den Tipp!

Hört sich sehr gut, offensichtlich haben Sie auch gute Erfahrungen damit gemacht?

Noch eine Frage dazu: setzen Sie das Produkt auch in einer WTS-Umgebung ein?

Viele Grüße,

Ralph Wenzel