Ankündigung

Einklappen
Keine Ankündigung bisher.

Zertifikat evtl. kompromittiert - wie für Zugang sperren?

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Zertifikat evtl. kompromittiert - wie für Zugang sperren?

    Hallo Forum,

    ein Zugangszertifikat für unser Elsterkonto ist vermutlich nicht mehr sicher. Ein neues Zertifikat haben wir schon erstellt.

    Gibt es eine Möglichkeit, das alte Zertifikat zu sperren, so dass man es für den Login nicht mehr verwenden kann? Ich finde da keine Möglichkeit und solange es weiter von ElsterOnline akzeptiert wird, ist das neue Zertifikat witzlos.

    Danke!

    #2
    AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

    Hallo halloelster,

    du kannst dein nicht mehr sicheres Konto doch löschen.
    Alle Infos findest du hier ->https://www.elsteronline.de/eportal/...ntoSperren.tax

    Tschüß

    Kommentar


      #3
      AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

      Das Konto wegen eines kompromittierten Zertifikats zu löschen kommt mir aber vor, wie das Pferd von hinten aufzuzäumen.

      Eigentlich reicht es, das Zertifikat als ungültig zu markieren. Statt dessen muss man dann die ganze Turnerei für ein neues Konto durchführen? Das kann doch nicht der beste Weg sein.

      Kommentar


        #4
        AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

        Hallo halloelster,

        also ein Zertifikat ist an ein Konto gebunden, durch die Kontolöschung, wird das Zertifikat unbrauchbar bzw. niemand kann es verwenden, weil es nur den Login zum dann gelöschten Konto ermöglichen würde.

        Ein neues Konto hast du doch erstellt laut deiner Aussage ->Ein neues Zertifikat haben wir schon erstellt.

        Tschüß

        Kommentar


          #5
          AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

          Hallo holzgoe,

          das neue Zertifikat wurde im alten Konto erstellt, 'Konto verwalten' -> 'PIN ändern'. Mit dem neuen Zertifikat kann ich mich im alten Konto auch anmelden. Allerdings auch mit dem alten Zertifikat, was ich eben gerne abstellen möchte.

          Kommentar


            #6
            AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

            Hallo halloelster,

            also irgendwie passt das nicht zusammen -> wenn du dich im Konto einloggst und über Konto verwalten die PIN änderst, bleibt dieses Konto erhalten und mit der alten PIN kommst du oder ein anderer nicht mehr rein.
            Da hast du aber kein anderes Zertifikat.

            Aber diese Variante -> wenn du Missbrauch vermutest, reicht doch völlig aus PIN geändert und der andere Mitbenutzer des Kontos kennt diese PIN nicht und schon wars das.
            Du kannst definitiv kein neues Zertifikat über Konto verwalten erstellen.
            Auch eine mögliche Zertifikatsverlängerung, macht das vorherige Zertifikat ungültig und du kannst nur das verlängerte Zertifikat noch nutzen um dich in dem vorhandenen Konto einzuloggen.

            Tschüß

            Kommentar


              #7
              AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

              Hmm, gibt es vielleicht zwei Elstern online?

              Auf dieser Seite:

              https://www.elsteronline.de/eportal/...oVerwalten.tax

              die ich über die Menüpunkte 'Konto verwalten' -> 'PIN ändern' aus meinem Elster-Konto erreiche, lese ich diesen Absatz ganz oben:

              >Die PIN der aktuellen Zertifikatsdatei kann aus technischen Gründen nicht geändert werden. Es wird deshalb eine neue Zertifikatsdatei erzeugt, die Sie anschließend mit der neuen PIN nutzen können.

              Ich habe dort ein neues Zertifkat mit neuer PIN erstellt. Ich habe jetzt zwei Zertifikatdateien auf dem Rechner, und kann mich mit beiden in das gleiche Konto einloggen. Dafür brauche ich die jeweils zugehörige PIN.

              D.h. ich habe ein neues, sicheres Zertifikat und kann mich damit anmelden. Das alte, unsichere Zertifikat ist aber immer noch gültig. Das ist ja wohl Quatsch, oder?

              Kommentar


                #8
                AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                Hallo halloelster,

                Offensichtlich ist das erstellte Konto noch sehr jung, dass diese Variante angeboten wird, aber da gibt es doch diesen Hinweis:

                ->Bitte denken Sie nach dem erfolgreichen PIN-Ändern daran, Ihre bisherige Zertifikatsdatei und mögliche Kopien durch die neue Zertifikatsdatei zu ersetzen oder zu löschen.

                Hast du Kopien des Zertifikates weitergegeben, dass wäre natürlich sehr fahrlässig.

                Dieser Punkt PIN ändern, macht man ja eigentlich nur, wenn man einen Missbrauchsverdacht hat und dann sollte man auch alles durchziehen -> altes Zertifikat löschen.

                Tschüß

                Kommentar


                  #9
                  AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                  Nun, der Steuerberater hat die Zertifikatsdatei + Passwort einfach unverschlüsselt per Email an uns geschickt. Das war natürlich nicht sehr gut überlegt, aber dieses Kind ist nun in den Brunnen gefallen. Angeblich ist das sogar gängige Praxis.

                  Falls jemand diese Email mitgelesen hat, hat er das Zertifikat und kann es verwenden. Da bringt es rein gar nichts, falls wir das Zertifikat bei uns löschen. Es wäre aber alles wieder gut, falls man bei Elster das alte Zertifikat einfach als ungültig erklären könnte. Für Elster sollte das technisch überhaupt kein Problem sein. Vielleicht wird es von ElsterOnline nicht angeboten, das versuche ich gerade heraus zu finden.

                  Kommentar


                    #10
                    AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                    Hallo halloelster,

                    also diese Variante gibt es nicht bzw. vielleicht noch nicht.

                    In dem Fall hilft dir wirklich nur das Konto zu löschen und eine komplett neue Registrierung anzustoßen.

                    Tschüß

                    Kommentar


                      #11
                      AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                      Mal ne kurze Zwischenfrage für Dumme *g*

                      Warum hatte der Steuerberater euer Zertifikat + PIN? Normalerweise arbeitet der Steuerberater doch mit seinem eigenen Zertifikat und einem erlaubten Belegabruf.
                      Mit freundlichen Grüßen

                      Beamtenschweiß
                      ----------------------------------------------------------------------------------------------------------

                      Kommentar


                        #12
                        AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                        Wir starten gerade und haben den Steuerberater gebeten, für uns das Konto zu erstellen, wollten aber auch die Möglichkeit eines Zugangs haben, um uns mittelfristig in die Sache "reinzufuchsen".

                        Kommentar


                          #13
                          AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                          Hallo halloelster,

                          na dann betrachte es als Lehrgeld und für deine eigene Sicherheit bzw. die Sicherheit deiner Daten mach eine neue Registrierung mit neuem Konto und das vom Steuerberater erstellte Konto löschen wie schon empfohlen.

                          Tschüß

                          Kommentar


                            #14
                            AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                            Ich verstehe nicht, warum es richtig sein soll, dass wir hier Lehrgeld bezahlen. Wir sind in diesem Spiel mit drei Parteien die einzige, die sich an die üblichen Regeln hält.

                            + Elster hat eine sehr eigenartige Form der Zugangskontrolle implementiert. Zumindest habe ich noch *nie* eine andere Onlineplattform gesehen, die ein altes Zugangsgeheimnis (meist Passwort) weiterhin gültig lässt, wenn man ein neues erstellt, weil es eben total dämlich ist. Zertifikate werden häufig verwendet, wenn es um erhöhte Sicherheitsanforderungen geht. Dass diese Zertifikate widerrufen werden können, ist ein ganz elementarer und immer implementierter Sicherheitsmechanismus.

                            + Der Steuerberater einer weithin bekannten und international tätigen, grossen Treuhandgesellschaft, die täglich Millionen verwaltet, verschickt dann dieses ewig gültige Zertifikat in einer einzigen unverschlüsselten Email. Ich wäre im Traum nicht darauf gekommen, ein Zertifikat (bei dem bei der Erstellung auch noch darauf hingewiesen wird, dass es sich um ein wichtiges, sorgfältig zu behandelndes Geheimnis handelt) in einer für jeden lesbaren Nachricht, die offen und unkontrolliert solange herumgereicht wird, bis sie beim Empfänger landet (= Email) in die Weld hinaus zu senden. Eigentlich darf ich von einem Angestellten einer solchen Firma erwarten, dass er die einfachsten Sicherheitsregeln kennt und beachtet.

                            Trotzdem scheint der Eindruck zu entstehen, dass *wir* uns dumm angestellt haben und deshalb gerechterweise den Mehraufwand tragen sollen. Darf ich fragen, worauf sich dieser Eindruck stützt?

                            Kommentar


                              #15
                              AW: Zertifikat evtl. kompromittiert - wie für Zugang sperren?

                              Hallo halloelster,

                              dir geht es doch darum, dein Problem gelöst zu bekommen und so wie es jetzt gelaufen ist, gibt es für dich nur die vorgeschlagene Lösung -> Konto löschen und neue Registrierung.

                              Es geht nicht darum zu werten, ist es dumm, dass du den Steuerberater um die Zertifikaterstellung gebeten hast oder ist es dumm, dass der Steuerberater das offen in der Mail sendet usw.
                              Du möchtest eine Registrierung mit Softwarezertifikat und die Sicherheit die Elster anbietet und verspricht und da geht es nur so, wie schon mehrfach vorgeschlagen -> Konto löschen und neue Registrierung

                              Tschüß

                              Kommentar

                              Lädt...
                              X