@blum,

war etwas zu langsam, daher haben wir Überschneidungen, aber das Beispiel trifft es gut und unterstreicht den Aufwand, der damit nach außen transportiert wird...

Und das gleich Spiel folgt erneut, wenn die DATEV-E-Mail-Verschlüsselung gekündigt wird.

PS: Wir haben da bestimmt Glück - ich bin zwar nicht in der Kanzlei tätig, aber habe bisher noch nicht von einem Mandanten gehört, der selbst verschlüsselt. Vielleicht werde ich die aber erst nach der Umstellung kennenlernen?!

Viele Grüße

@Juergen_Haubner ,

... nur interessehalber :

Der Ausgangs-Beitrag von @olafbietz wurde ... 

Hallo Herr Blum,

gerne möchte ich Ihre Fragen beantworten:

F: Was passiert mit der Mail, die mit dem alten Zertifikat von mir Verschlüsselt ist?

A: Wir prüfen derzeit, ob wir für einen gewissen Zeitraum, über den wir informieren würden, noch die Entschlüsselung über die bisher verwendeten Zertifikate ermöglichen können. Wir werden die Erkenntnisse der Pilotierung einfließen lassen und mit der noch kommenden Ankündigung zur Umstellung darüber informieren.

F: Wie werden unsere Mandanten über den Umstellungszeitpunkt informiert. Wir haben Mandanten mit vielen täglichen Mails, welche mit unsren öffentlichen Schlüssel (Zertifikaten) verschlüsselt sind.

A: Eine Information der Versender ist nicht vorgesehen. Aus datenschutzrechtlichen Gründen dürfen wir die Versender, welche mit Zertifikat verschlüsselte E-Mails an Sie senden, nicht erfassen und dauerhaft speichern, um sie bei der Umstellung zu informieren. Sie erkennen E-Mails, welche mit Zertifikat verschlüsselt an Sie gesendet wurden, am Zusatz entschlüsselt im Betreff. Wir stellen mit der noch kommenden Information über die Umstellung und den Zeitpunkt einen Textvorschlag bereit, mit dem Sie diese Absender über die neuen Zertifikate informieren können.

F: Können die Mandanten zu welchem Umstellungsstichtag auch immer im Vorfeld die neuen Zertifikate (öffentlicher Schlüssel unserer rd. 40 Mitarbeiter) herunterladen und sich somit auf die Umstellung vorbereiten?

A: Die neuen Zertifikate werden voraussichtlich nicht im Vorfeld der Umstellung bereitgestellt. Wir prüfen derzeit, ob wir für einen gewissen Zeitraum noch die Entschlüsselung über die bisher verwendeten Zertifikate ermöglichen können, so dass Ihre Kommunikationspartner Zeit haben, die neuen Zertifikate zu implementieren.

F: Wie geht das bei den Sparkassen?

A: Wir suchen derzeit den Kontakt zum IT-Dienstleister der meisten Sparkassen (Finanz Informatik Technologie Service), um mit diesem eine automatisierte Integration der neuen Zertifikate in die von diesem Dienstleister bereitgestellte Verschlüsselungslösung vorzunehmen.

Hallo @Nutzer_8888,

gerne möchte ich auch Ihre Fragen beantworten:

F: Wie lange sind die generierte Zertifikate gültig und wie werden die Kunden über deren Ablauf informiert (bisher wussten wir ja, wenn eine Folgekarte kam...)?

A: Die Zertifikate, welche bei der Umstellung generiert werden, werden 2 Jahre gültig sein. Die Folgezertifikate, welche nach 2 Jahren automatisch als Ersatz für diese Zertifikate erstellt werden, werden voraussichtlich 5 Jahre gültig sein. Es ist geplant, dass die Inhaber der Zertifikate rechtzeitig vor Ablauf informiert werden, voraussichtlich per E-Mail.

F: Können auch die öffentlichen und privaten Zertifikate für die E-Mail-Adressen heruntergeladen werden - wir wollen auch nach Kündigung ggf. noch versandte verschlüsselte Mails direkt entschlüsseln können (wie dies mit der aktuellen SmartCard-Lösung gegeben wäre)?

A: Das vollständige Zertifikat, inklusive des privaten Schlüssels, wird nicht zum Herunterladen bereitgestellt. Da die neuen Zertifikate nicht mehr an eine Hardware-Komponente gebunden sind, wie die DATEV SmartCard Zertifikate, würde es sich um ein reines Software-Zertifikat handeln, welches dann ohne die Schutzkomponente Besitz (Schutzkonzept Wissen und Besitz) auf dem System des Kunden liegt und dadurch verwundbar für Angriffe, durch Fernzugriff, auf das System des Kunden ist. Nach Kündigung von DATEV E-Mail-Verschlüsselung werden die Zertifikate nicht mehr benötigt. Bereits vorher empfangene E-Mails wurden entschlüsselt zugestellt. Bei Kündigung der DATEV E-Mail-Verschlüsselung werden die Zertifikate gekündigt und auf der öffentlichen Sperrliste hinterlegt und werden von Absendern, welche die Sperrliste abfragen, nicht mehr verwendet.

F: Müssen wir die Freigabe zum Download der Zertifikate auf der SmartCard zurückziehen und wenn ja, zu welchem Zeitpunkt?
A: In unserer letzten Antwort haben wir darauf hingewiesen, dass die Zertifikate der DATEV SmartCards automatisch mit Erstellung der neuen Zertifikate aus der Abruffreigabe entfernt werden.

F: Werden externe Versender, welche ihre Zertifikate registriert haben, automatisch über die Umstellung der Zertifikate informiert - welcher Weg ist hier von der DATEV vorgesehen?
A: Eine automatische Information der Versender ist nicht vorgesehen. Aus datenschutzrechtlichen Gründen dürfen wir die Versender, welche mit Zertifikat verschlüsselte E-Mails an Sie senden, nicht erfassen und dauerhaft speichern, um sie bei der Umstellung zu informieren. Sie erkennen E-Mails, welche mit Zertifikat verschlüsselt an Sie gesendet wurden, am Zusatz *entschlüsselt* im Betreff. Wir stellen mit der noch kommenden Information über die Umstellung einen Textvorschlag bereit, mit dem Sie diese Absender über die neuen Zertifikate informieren können.

F: Erhalten Versender von verschlüsselten E-Mails (mit dem nach Umstellung nicht mehr unterstützten SmartCard-Zertifikat) Fehlermeldungen von der DATEV-E-Mail-Verschlüsselung?
A: Da die bisher in DATEV E-Mail-Verschlüsselung genutzten Zertifikate von DATEV SmartCards weiter gültig bleiben, wenn sie zeitlich noch nicht abgelaufen und nicht gekündigt sind, erhält der Absender, welcher weiterhin mit einem solchen Zertifikat verschlüsselt, keine Fehlermeldung. Evlt. ist vom Inhaber der DATEV SmartCard die Verschlüsselung für die DATEV SmartCard gewollt, damit die E-Mails an die entsprechende Adresse nicht automatisch zentral, sondern nur am Rechner des Empfängers mit gesteckter DATEV SmartCard und PIN-Eingabe entschlüsselt werden können. Das Zertifikat der DATEV SmartCard kann per signierter E-Mail verteilt werden.

F: Können nach Kündigung der Datev-E-Mail-Verschlüsselung die Zertifikate der Smart-Cards wieder genutzt werden?
A: Die Zertifikate können sowohl währen der Nutzung von DATEV E-Mail-Verschlüsselung als auch nach der Kündigung für das lokale Ver- und Entschlüsseln und Signieren von E-Mails genutzt werden. Lediglich die Nutzung für die automatische Entschlüsselung im DATEV-Rechenzentrum über die Nutzung von DATEV E-Mail-Verschlüsselung ist nicht mehr möglich und die Bereitstellung in der Abruffreigabe stehen die Zertifikate aus bereits genannten Gründen nicht mehr zur Verfügung. Die Zertifikate der DATEV SmartCards können weiterhin durch den Versand signierter E-Mails an Kommunikationspartner verteilt werden.

F: Nach Kündigung ist klar, dass dann die Versender ggf. erneut das Zertifikat (der Smart-Card) herunterladen müssen - aber wie wird verhindert, dass es fälschlicherweise das der Datev-E-Mail-Verschlüsselung ist - es würden dann ggf. 2 Zertifikate auftauchen)?
A: Bei der Löschung von E-Mail-Adressen in DATEV E-Mail-Verschlüsselung oder der Kündigung des gesamten Produkts werden die für die Nutzung der entsprechenden E-Mail-Adressen in DATEV E-Mail-Verschlüsselung erstellten Zertifikate gekündigt, auf der öffentlichen Sperrliste hinterlegt und aus der Abruffreigabe entfernt. Zertifikate von DATEV SmartCards mit diesen E-Mail-Adressen können dann wieder zum Abruf freigegeben werden.

F: Ist eine Option zur Signierung geplant?
A: Nein, bitte beachten Sie dazu die entsprechenden Ausführungen in unserer vorhergehende Antwort in diesem Thread.

F: Können die Nutzer der Datev-E-Mail-Verschlüsselung erkennen, ob eingehende Mails über das Portal oder direkt verschlüsselt gesendet wurden?
A: E-Mails, die über die Funktion Antworten im Entschlüsselungsportal gesendet wurden, erhalten den Zusatz *sichere Anwort* im Betreff. E-Mails, die per Zertifikat verschlüsselt gesendet wurden, erhalten den Zusatz *entschlüsselt* im Betreff.

Hallo Herr @Mark_Schoof,

Danke für die Antwort.

Sie schreiben:

Wir prüfen derzeit, ob wir für einen gewissen Zeitraum, über den wir informieren würden, noch die Entschlüsselung über die bisher verwendeten Zertifikate ermöglichen können. Wir werden die Erkenntnisse der Pilotierung einfließen lassen und mit der noch kommenden Ankündigung zur Umstellung darüber informieren.

Nur so, kann es ohne Folgeprobleme bzw. Haftungsrisiken für uns (Termine, fristbehaftete Bescheidprüfung, Zahlungserinnerungen) funktionieren.

Anmerkung: Der "gewisse Zeitraum" sollte mehrere Monate betragen!

Gruß R. Blum

Großes Dankeschön Herr @Mark_Schoof,

für die ausführlichen Antworten auf die vielen Nachfragen - habe keine weiteren Fragen.

Generell ist - trotz des Vorteils bzgl. Entfall des SmartCard-Zwanges - die Datev-E-Mail-Verschlüsselung damit künftig zumindest in unserem Umfeld auch nach den erwarteten Umstellungskomplikationen weniger attraktiv.

So bedingt die Kündigung der neuen E-Mail-Verschlüsselung nun, dass sofort das Zertifikat ungültig wird, wodurch wohl Chaos entsteht. Weil der private Schlüssel nicht vorliegt, können Mails, welche noch mit diesen Schlüsseln verschlüsselt wurden, letztlich auch nicht entschlüsselt werden. Bisher hätte danach auch alles mit der SmartCard entschlüsselt werden können.

Interessant finde ich aber, dass wohl nach Umstellung auf die neuen Zertifikate Mails verschlüsselt mit dem bisherigen SmartCard-Schlüssel durchkommen würden (und wohl auch lokal entschlüsselt werden könnten)...

Irgendwie hätte ich lieber einmalig 'ne SmartCard für jede Mail-Adresse beschafft und das in der Datev-E-Mail-Verschlüsselung genutzte Zertifikat weiterhin selber besessen... 

Vielleicht wird die Möglichkeit die SmartCard-Zertifikate wie bisher alternativ weiter zu benutzen besser doch in die neue Version implementiert.

Dies wäre sehr kundenfreundlich.

Viele Grüße

... zugegeben, das Thema S/MIME- bzw. die Ende-zu-Ende-Verschlüsselung ist (für mich) ziemlich kompliziert und der Aufwand, um die S-MIME-Verschlüsselung zwischen einzelnen, mehreren oder vielen Partnern 'easy' zu machen, ist (für mich) recht hoch.

Ich gehe davon aus, dass technisch eher uninteressierte oder 'unbedarfte' Anwender diese sichere Verschlüsselung 'einfach nur anwenden' wollen, 'ohne Zipp und Zapp', ohne den theoretischen Overhead. Wenn diese Funktion automatisch zur Verfügung steht, wird man sie gerne nutzen.

Ich kenne einige Kommunikationspartner, die zwar stark interessiert an sicherer Kommunikation sind, die aber inzwischen wegen der vielen technischen Voraussetzungen und dem Installationsaufwand wieder auf niedrigerem Sicherheitsniveau kommunizieren, z.B . mit Vereinbarungen, dass man E-Mails unverschlüsselt austauscht und bei Bedarf vertrauliche Dokumente per Briefpost versendet 😅

Das ist eigentlich eine 'Kapitulation'.

Ich persönlich bin ein Fan von S/MIME-Verschlüsselung, sehe aber auch die Probleme bei der Einrichtung, Aktivierung und Nutzung dieses Verschlüsselungsverfahrens bei den Kommunikationspartnern.

Aus meiner Sicht fehlen bei der Einrichtung der Datev-Zertifikate ein paar Schritte zur intuitiveren Installation und automatischeren Einrichtung der Funktionen.

In diesem Punkt hat mich z.B. die "Volksverschlüsselung" (Fraunhofer) positiv überrascht. Man wird gefragt, welche Anwendungen man für das neue S/Mime-Verfahren einrichten will und kann schon mit ein paar Mausklicks zum Ziel kommen.

Man will ja schließlich nicht ständig dazulernen müssen und immer wieder 'nacharbeiten', sondern sich mal entspannt zurücklehnen und die Kommunikation 'laufen lassen können' 😎