Das könnte jetzt ein etwas längerer Rant werden. Es geht um meine aktuellen Erfahrungen mit unserer Vereinsbuchhaltung die im Moment leider alles andere als zufriedenstellend verläuft. Und da in dem Spiel zwei Firmen, nämlich die Bank und Lexware beteiligt sind schreibe ich jetzt einfach mal runter wo mich aktuell der Schuh drückt, denn entsprechende Anfragen beim LexOffice-Support stehen seit einer Woche auf „Wir melden uns“. Nein tut ihr nicht, also hier mal meine Problembeschreibung.

Historie

Früher habe ich unsere Vereinsbuchhaltung allein daheim im stillen Kämmerlein gemacht. Das Produkt der Wahl war Kivitendo, ein OpenSource Buchhaltungsprogramm das für die überschaubare Anzahl an Buchungen ganz brauchbar war, aber doch zur Bedienung ein gewisses „Hacker-Niveau“ braucht.

In diesem Jahr haben wir unsere Kassiererposten dann neu besetzt und von den neuen Funktionären wurde signalisiert, dass sie die Buchhaltung jetzt tatsächlich machen wollen statt das alles beim Vorstand (also mir) abzuladen. Also habe ich mich nach einem Buchhaltungsprogramm umgesehen, welches „im Web“ läuft und von beliebigen PCs einfach via Browser genutzt werden kann. Die Wahl fiel auf LexOffice, auch wenn das ein paar Einschränkungen hat die uns vielleicht dann Ärger mit dem Steuerberater einbringen, denn in LexOffice gibt es nur eine Kasse, als Verein mit Zweckbetrieben Sport und Wirtschaft sollte man aber zwei Kassenkonten haben. Egal, probieren wir das einfach. Hat die ersten Monate auch sehr gut funktioniert. Durchaus einfach zu bedienen, nachvollziehbar und doch relativ komfortabel. Bis neulich.

Probleme

Ärger innerhalb von LexOffice

Das erste Problem trat auf, als ich eine Rechnung aus LexOffice heraus überweisen wollte. Plötzlich sah der Dialog mit der Bank anders aus, ich musste eine TAN am ChipTan-Leser generieren um „Kontozugriff“ zu bekommen und dann einem nächsten Schritt musste die TAN für die Überweisung erzeugt werden. Doch wenn ich die eintippte und abschickte kam nur die folgende Fehlermeldung:

Reproduzierbar in mehreren Versuchen, Tippfehler also sehr unwahrscheinlich. Na gut, dann überweise ich eben „zu Fuß“ aus der Online-Banking Seite der Sparkasse. Habe ich gemacht und dann versucht die Bankkonten und Umsätze abzurufen, um diese „Zu Fuß“-Buchung dann dem Beleg zuzuordnen.

ChipTan-Orgie

Für die weitere Beschreibung ist als Hintergrund-Info vielleicht nützlich dass wir 2 Bankkonten haben die mit LexOffice verbunden sind. Eines das auf „58“ endet und eines das auf „82“ endet. Und in der Anfangszeit war der Abruf der Konstostände und Umsätze mit genau einem Mausklick zu bewerkstelligen. Doch nun sieht das ganz anders aus. Ich klicke auf „Synchronisieren“ und bekomme erst mal das:

Nach dem Klicken auf „Weiter“ dann das:

Und nochmal auf „Weiter“ geklickt und ich bekomme das:

Und das war es dann. Was auffällt ist, dass kein Kontostand für das „82“ Konto abgerufen wurde, was dann auch erklärt, warum der Kontostand den mir LexOffice anzeigt so gravierend von dem abweicht, was mir Online-Banking-App anzeigt.

Versuch das Konto neu zu synchronisieren

Also versuche ich erst mal, das Konto „82“ vorübergehend herauszulösen und dann neu in LexOffice zu verbinden, in der Hoffnung, dass dann der Kontostand wieder abgerufen werden kann. Lösen der Verbindung ist einfach, für das Neu-Verbinden braucht es wieder den Einsatz des Chip-TAN-Lesers.

Und gleich wieder nach „Weiter“:

So, also mal sehen was LexOffice nun zum „82“ Konto sagt:

Dann nochmal aus LexOffice ausgeloggt und wieder eingeloggt, noch ein Synchronisierungsversucht. Und das Ergebnis sieht so aus:

An der Stelle muss ich aus Anwendersicht einfach kaptiulieren und feststellen, dass momentan wohl kein Kontostand für das zweite Konto abrufbar ist.

Probleme auf der Bank-Seite

Postfach Tsunami

Ich habe diese Probleme ja schon seit einiger Zeit, bereits vor eine Woche habe ich mich damit beschäftigt und keine Lösung gefunden. Doch wenn ich jetzt in mein Online-Postfach beim Banking rein schaue, dann sehe ich das hier:

Jede Menge „Freischaltung Kontoinformationsdienst“-Nachrichten von meinen Versuchen vor einer Woche. Was schreibt mir die Bank denn da?

Na, ist ja toll. Für jeden Einsatz meines Chipkartenlesers zur TAN-Erzeugung habe ich eine Nachricht erhalten. Zum Glück nur in Form von Speicherstellen und nicht als Briefpost per Totholzmedien, das würde meine ökologischen Fußabdruck ja mächtig versauen.

Und ja , nach den diversen Vesuchen gestern wurde das Postfach weiter gefüllt:

Als Mensch der viel von Organisation hält und der sich dem „Inbox-Zero“-Prinzip verschrieben hat bedeutet so eine Flut an unsinnigen Nachrichten schlicht eine Katastrophe. Vor allem weil ich ja die nicht nur ins Postfach der Banking-Anwendung gespült bekomme, sondern diese Flut dann auch Mails an mein email-Postfach auslöst wenn ich nicht in mein Bankpostfach geschaut habe. Also kommt da dann nach jedem Versuch mit LexOffice was zu tun eine Mail an, die sagt ich hätte neue Nachrichten in meinem Postfach. Ja, danke auch.

Sicherheits-Apokalypse

Der eigentliche großartige WTF-Moment beim Online Banking ist aber das Thema „Kontozugriffe“. Man kann da nämlich mal schauen, wer oder was auf meine Konten Zugriffe hat. Also gucken wir mal:

Der unterste Punkt ist wohl die Sparkassen-Android-App. Soweit so gut. Doch darüber sehe ich drei Punkte die mir echte Bauchschmerzen bereiten.

Der Dienst „lexoffice“ hat Komplettzugriff. Ja, sollte ja so sein, denn natürlich will ich ja LexOffice zum Online-Banking nutzen.

Auch „DDBAC-SDK“ hat Komplettzugriff. Und ich stelle mir die Frage: Was zum Geier ist „DDBAC-SDK“. Ein wenig Googeln hilft hier natürlich und es stellt sich heraus, dass das ein API-Modul für Bankenzugriff ist, welches man kaufen und in seine Software einbauen kann. Super! Nur, wenn ich einem generischen „DDBAC-SDK“ Komplettzugriff auf meine Konten gewähre, wer garantiert mir, dass nicht morgen irgend eine fieser Hacker kommt, diese API kauft und seine Kontauabräumsoftware dann auf mein Konto loslässt, wo das Ding ja alles tun kann was es will. Wenn ich in die Details schaue sehe ich, dass eine TAN-Transaktion bereits am 12. April ausgeführt wurde. Ein Abgleich mit den Kontoauszügen zeigt, dass hier eine Überweisung via LexOffice ausgelöst wurde! Also hat der Bank-Zugriff aus Lexoffice heraus wohl eine gewisse „gespaltenen Pesönlichkeit“, denn oben stand ja auch schon der Dienst „lexoffice“. Warum? Die Anwort auf diese Frage ist mir der Support von Lexware bislang schuldig.

Und siehe da im dritten Punkt haben wir wieder LexOffice, diesmal als „haufe-lexware.net“ getarnt. Also schon drei Identitäten für eine Anwendung. Ja, ich weiß, dafür kann die Bank erst mal nix. Aber…

Guckt man genau hin steht da: „Kontozugriff bis 06.06.2020 für Kontoinformationen, einzeln beauftragte Zahlungsaufträge“. Wenn das tatsächlich so wäre, warum muss ich dann für jede verdammte Kontostands- und Umsatzabfrage eine TAN generieren und eingeben?

Aus dem Text entnehme ich auch, dass man hier die Zugriffe wohl relativ detailliert regel kann, also „Kontoinformationen“ oder „Zahlungsaufträge“. Für mich als Nutzer sehe ich aber nur die „Friß oder stirb“-Alternativen, also ich gewähre dem Dienst was immer da auch steht, oder ich sperre den Dienst und säge mir vielleicht unbewusst den Ast ab auf dem ich sitze.

Fazit

Was erfolgversprechend gestartet ist sorgt momentan eher für Alpträume. Die Idee, dass mehrere Leute z.B. Bankumsätze abrufen und verbuchen können scheitert nun an dem Problem, dass man in jedem Fall eine TAN erzeugen muss. Die TAN-Erzeugung sind jedoch an meine Bankkarte und meine Zugangsdaten zur Bank gebunden, d.h.die Arbeit hängt wieder an mir und kann nicht mehr delegiert werden.

Dank Corona-Krise haben wir aktuell ja kaum Umsätze zu verbuchen, nur die laufenden Zahlungen für Strom, Telefon etc. Damit kann ich das Problem momentan ein wenig besser aushalten, aber irgendwelche Antworten hätte ich mir schon vom Support bei Lexware gewünscht.

Mir ist auch klar, dass diese Turbulenzen der PSD2-Umstellung geschuldet sind. Ich frage mich nur, wo die Reise hin geht. Denn wenn ich für jeden Kontostandsabruf irgendwann 4x eine TAN erzeugen muss, dann ist der „Vorteil“ einer komfortablen Lösung weg und ich kann wie bisher aus der Online-Banking-Seite meine Kontoauszüge abrufen und per Hand eintippen. Alles in allem ist das momentan ein sehr unbefriedigender Zustand. Und es geht hier ja um steuerrelevante Geschäftsdaten und schon einiges an Aufwand den wir in die Buchhaltung der letzten Monate gesteckt haben. Ein Wechsel des Buchhaltungssystems mitten im Geschäftsjahr wäre mit zu viel Aufwand verbunden. Andererseits wird das jetzt der Prüfstein für die Entscheidung, welches Buchhaltungssystem wir im nächsten Geschäftsjahr nutzen werden.