Hallo Herr Dr. Westphal, vielen Dank für die ausführliche Darstellung des Sachverhaltes zu dem ich im Folgenden Stellung nehmen möchte: Microsoft hat Anfang 2018 für die „modernen" E-Mail-Programme (also Outlook 365 und Outlook 2016) die Verwendung des neueren AES Algorithmus anstelle des älteren 3DES (Tripledes) Algorithmus bei der Verschlüsselung von E-Mails festgelegt, wenn denn ein Verschlüsselungszertifikat aus dem Internet heruntergeladen und dann manuell importiert wird. Diese Änderung wurde per Softwareupdates veranlasst. Bei älteren Outlook Versionen wurde diese Änderung nicht durchgeführt. Seit diesem Zeitpunkt können E-Mails, die von einem aktuell gepatchten Outlook 365 oder Outlook 2016 System für einen DATEV SmartCard Inhaber verschlüsselt und versendet werden, nicht mehr vom Empfänger der E-Mail entschlüsselt werden. Dieses Verhalten tritt auf, wenn der Absender der verschlüsselten Mail das Verschlüsselungszertifikat des Empfängers manuell in Outlook importiert hat, nachdem er es z.B. vorher von den Internetseiten der DATEV heruntergeladen hat. Findet der Import des Verschlüsselungszertifikats des Empfängers jedoch automatisch über den Empfang einer signierten Mail statt, dann funktioniert die Verschlüsselung und die verschlüsselte Mail kann sowohl vom Empfänger und als auch vom Absender wieder entschlüsselt werden. Dieser Sachverhalt ist inklusive Lösungsansatz im Info-DB-Dokument 1003617 dargestellt. Auch in anderen InfoDB Dokumenten zur Thematik zertifikatsbasierte Ver- und Entschlüsselung von E-Mails wird auf den Sachverhalt Bezug genommen (1070129, 1005160) Wir werden die Erläuterungen noch deutlicher hervorheben, und diese zukünftig sowohl beim Zertifikatsabruf, als auch im Antragsformular direkt aufnehmen. Um diesen Verhalten technisch zu erklären muss ich etwas weiter ausholen. Der für die Entschlüsselung benötigte private Schlüssel des Empfängers befindet sich direkt und ausschließlich auf der SmartCard. Der private Schlüssel ist somit geschützt und kann nicht kompromittiert werden. Damit nun das Betriebssystem und somit das E-Mail-Programm diesen privaten Schlüssel nutzen können, ist ein Stück standardisierte Software notwendig, die Bestandteil des DATEV Sicherheitspakets ist. Eine solche Software kann auf allen Microsoft-Betriebssystemen verschiedene Technologien nutzen, nämlich die Crypto Service Provider (CSP) Technologie oder die Minitreiber Technologie. DATEV hat sich im Sicherheitspaket für die CSP Technologie entschieden. Dieser DATEV CSP ist so gebaut, dass er mit diversen Algorithmen zur Entschlüsselung umgehen kann, unter anderem mit dem in der Vergangenheit verwendeten 3DES aber auch mit dem neueren AES. Die Probleme treten beim Entschlüsseln der E-Mail auf. Microsoft Outlook fragt beim DATEV CSP nach, ob der zur Entschlüsselung notwendige private Schlüssel (auf der SmartCard) zur Verfügung steht und fragt auch nach den zur Verfügung stehenden Algorithmen. Hier meldet der DATEV CSP u.a. den Verschlüsselungsalgorithmus AES. Outlook ignoriert dies und bricht die Aktion mit der Meldung, dass die mail nicht entschlüsselt werden kann (ungültiger Algorithmus), ab. Der Grund dafür ist, dass Outlook hier zur Entschlüsselung mit AES zwingend die Technologie Minitreiber voraussetzt. Dieses Problem tritt nicht nur mit dem DATEV-CSP sondern auch mit CSPs von allen anderen Herstellern auf. Microsoft äußert sich zu dieser Thematik dahingehend, dass das Problem bei Verwendung der Minitreiber Technologie nicht auftritt und empfiehlt deswegen und auch aus anderen technischen Gründen zukünftig auf diese Minitreiber Technologie zu setzen. DATEV arbeitet derzeit daran, das Sicherheitspaket von CSP auf Minitreiber Technologie umzustellen. Dies hat natürlich nicht nur Auswirkungen auf die Ver-und Entschlüsselung von E-Mails sondern auch auf alle anderen Anwendungsszenarien einer DATEV SmartCard. Ein solcher Technologiewechsel muss gut vorbereitet und intensiv in allen Anwendungsszenarien getestet werden. Aus diesem Grund wird die Minitreiber Technologie voraussichtlich erst in der ersten Jahreshälfte 2020 flächendeckend ausgeliefert werden können (Eine Pilotierung des Minitreibers erfolgt in der 2. Jahreshälfte 2019). Damit wäre dann die oben dargestellte Problematik erledigt. Das Fehlerbild wird also nicht durch einen Fehler des Sicherheitspakets verursacht, sondern durch ein nicht stringentes Verhalten der Microsoft E-Mail-Clients bei Verwendung der CSP Technologie. Zum Thema Berufspflichtverletzung durch die Zertifikate der SmartCard gibt es eine Stellungnahme unserer Rechtsabteilung: Aus Sicht der DATEV liegt in dem beschriebenen Fall keine Berufspflichtverletzung vor. Zumindest trägt der Absender ein erhebliches Mitverschulden, denn der Absender wird in dem Downloadbereich der DATEV auf das Info-DB-Dokument Dok-Nr. 1003617 "Verschlüsselte E-mail kann in Gesendete Objekte nicht geöffnet werden beim Einsatz von Outlook 365 oder 2016" hingewiesen, welches Erläuterungen zum Vermeiden der beschriebenen Problematik enthält. Hält sich der Absender der E-Mail an die dort beschriebenen Erläuterungen, dann kommt es nicht zu der beschriebenen Problematik. Zu dem in Ihrem Beitrag verlinkten Test des DATEV Produktes DATEV E-Mail-Verschlüsselung ist folgendes zu sagen: Der Ersteller des in Ihrem Beitrag verlinkten Blog-Beitrages beschreibt die Situation technisch korrekt. Einige Punkte möchte ich jedoch präzisieren: Die Trägermail sendet die DATEV im Namen des Absenders. Bei der Erstellung einer Träger-E-Mail verfügt die DATEV nicht über die persönlichen Schlüssel des Absenders, da diese ausschließlich auf der SmartCard vorliegen. Der verschlüsselte Inhalt (secure-email.html) dagegen kann vom Absender signiert werden. Das patentierte Verfahren der Portalverschlüsselung der Firma SEPPmail wird laufend Sicherheit-technisch untersucht und regelmäßig aktualisiert. Die Portallösung wird genutzt, wenn kein öffentliches Schlüsselmaterial des Empfängers gefunden wird, damit eine verschlüsselte Kommunikation überhaupt möglich wird. Wenn der Empfänger eine über das Portal hinausgehende Absicherung möchte, empfiehlt DATEV den Einsatz zertifikatsbasierter Verschlüsselungsmethoden. Für eine Entschlüsselung wird immer die Träger-E-Mail mit dem Anhang secure-email.html benötigt. Ohne diese Träger-E-Mail ist eine Erstanmeldung/Registrierung am Portal nicht möglich. Die verschlüsselten Inhalte werden nie im Portal gespeichert. Ich hoffe, Ihre Fragen sind damit beantwortet. Noch eine schöne Woche. Amel Durovic Datev eG
... Mehr anzeigen