Hallo zusammen,
wir haben seit in Kraft treten der DSGVO die DATEV E-Mail Verschlüsselung im Einsatz. Noch hat uns kein Mandant hierfür gelobt, sondern nur kritisiert.
Da ein paar Jahre vergangen sind und sich vielleicht auch andere Anbieter am Markt bewährt haben, wollte ich fragen, ob Ihre andere Methoden der E-Mail Verschlüsselung von anderen Anbietern nutzt?
Ich habe über nitsche diese Lösung gefunden: Managed Securemail » Sicherer E-Mailversand für Ihre Kanzlei (netgo.de)
Hat jemand solch ein System oder ein ähnliches, weniger umständliches im Einsatz?
Vielen Dank für eure Rückmeldungen.
Beitrag verschoben nach Technisches zu Software durch @Sarah_Reitzmann
Wir haben vor zwei Monaten auf Comcrypto umgestellt. Schnelle Implementierung und keine Mandantennachfragen mehr. Nur zu empfehlen.
Wir nutzen ebenfalls Comcrypto über die netgo tax.
Implementierung problemlos, Mandantenprobleme gegenüber DATEV-Mailverschlüsselung nun gleich null.
Sind hochzufrieden damit!
@AlexanderJ Bei Netgo/nitsche einfach mal Herrn Manuel Hentschel dazu ansprechen.
Die E-Mail Verschlüsselung ist ja nur ein Ding zur Kommunikation aber heutzutage sucht man doch eher was übergreifendes, oder? Ich hatte hier mal drei Anbieter wie milia.io, KanzleiDrive und kanzlei.land verglichen: Kanzleidrive
Da braucht man sich keine Gedanken mehr um ein Protokoll aus 1971 machen, weil das nur ein Bruchteil der Funktionen ist. Da ist sichere Kommunikation nebenbei mit im Paket. Ich kann's nur empfehlen und würde, hätte ich eine Kanzlei, nichts anderes einsetzen.
Was genau machen die technisch @andrereissig?
Laut Schaubild werden alle E-Mails durch deren Infrastruktur geroutet, die aber zu 100% verschlüsselt ist?
Was macht MXG, wenn es einen E-Mail Server gibt, der statt einer TLS Verbindung auf unverschlüsselte Transportkommunikation zurückfallen möchte?
Wozu S/MIME führt, sehen wir bei DATEV und dessen signierten E-Mails, die im Outlook im Web nicht ohne AddOn verifiziert werden können und auch teils an mobilen Geräten das Gerät meldet: unsicher - das wird da nicht der Fall sein, weil die genutzten Zertifikate online von Stammzertifikaten überprüft werden können?
@metalposaunist schrieb:
Was macht MXG, wenn es einen E-Mail Server gibt, der statt einer TLS Verbindung auf unverschlüsselte Transportkommunikation zurückfallen möchte?
Dann erhält man eine Warnmeldung und kann entscheiden, ob man entweder unverschlüsselt senden möchte oder die Mail mit einem Kennwort sichern, welches sich Comcrypto für den Empfänger für die Zukunft merkt(womit man natürlich wieder in einem Portal a la DATEV-Mailverschlüsselung landet).
Wir nutzen das ganze auch für ein wenig Service am Mandanten.
95 % der Mails laufen problemlos über TLS durch.
Wenn dann mal doch eine Meldung kommt, informieren wir den Mandanten, dass mit seiner Mailkommunikation etwas im Argen ist (evtl. nur ein Wildcard-Zertifikat vorhanden, Zertifikat abgelaufen, Zertifkat falsch ausgestellt etc.).
Da sind die meisten Empfänger ganz froh über den Tip.
Dann könnte man ähnliches also erreichen, wenn man seinen E-Mail Server so einstellt, dass dieser nur verschlüsselte Transportverbindungen aufbaut und alle unverschlüsselten Fallbacks ignoriert, richtig?
Ja, dann geht die E-Mail gar nicht durch. Aber im Sinne von 0️⃣ und 1️⃣ auch richtig. Wenn man dem Absender die Wahl lässt: der will nur den Bums raus haben. Wie, ist dem oftmals egal, hätte ich gesagt.
Mit sowas kann man also auch sein Geld verdienen? 😅 Ich verstehe langsam den Mehrwert meiner Dienstleistung zu schätzen und warum es schwer(er) ist, diese an die Personen zu bringen.
EDITH: Ist für mich Geldschneiderei aber hat mit guter IT nichts zu tun. Da wird mit Ängsten und §§§ und Gefühlen und Unwissenheit gespielt - nicht mein Ding. Das ist eher so das Niveau von NordVPN und diverser anderer VPN Tools, die einem was vorgaukeln, was technisch zweifelhaft ist. Aber dass sich damit gut Geld verdienen lässt ...
@andrereissig schrieb:
Da sind die meisten Empfänger ganz froh über den Tip.
Und wie steht es um bspw.
bei den eigenen E-Mail-Domains?
Das sind bisher noch keine Features des Systems.
Wir haben aber auch nicht nach einer Maximallösung gesucht, sondern nach einer Problemlösung.
@janm schrieb:
[...]Und wie steht es um bspw.
- DMARC aggregation
- Report aggregation (rua)
- Failure / Forensic aggregation (ruf)
- SMTP TLS reporting
- MTA-STS
[...]
... zugegeben: mir sagen diese Spezialisten-Fachbegriffe so gaaar nichts,
... aber ich habe auch nicht den Ehrgeiz, diese Wissenslücke zu füllen.
In Fragen der IT-Sicherheit will/kann wahrscheinlich niemand an 100 oder 1000 'Schräubchen' (Parametern) drehen, z.B. in der Registry, um die (aus Sicht eines bestimmten Spezialisten) temporäre, optimale Konfiguration zu wählen.
Eine IT-Sicherheits-Software muss mE so 'komfortabel' konfigurierbar sein, dass ein durchschnittlich begabter und ausgebildeter IT-ler noch verstehen und kontrollieren kann, was ein anderer IT-ler eingerichtet hat, ansonsten wäre eine IT-Sicherheitsstruktur in einem Netzwerk nicht mehr beherrschbar ...
... oder anders gesagt:
wenn die IT-Sicherheitsstruktur nicht mehr 'transparent' und 'beherrschbar' wäre, könnte man keiner Software und keinem IT-ler mehr zutrauen, das Netzwerk optimal gegen Malware und Angriffe abzusichern
Hallo AlexanderJ,
ich kann Sie gut verstehen.
Jedesmal wenn ich eine verschlüsselte Mail von Datev bekomme, könnt ich kotzen.
1.) Die Mail ist keine Mail, es ist nur ein Link
2.) ich muss mir wieder ein passwort merken
3.) Die Mail im Browser zu lesen ist ein Medienbruch
4.) Ich erwarte die Mail im Klartext in Outlook, damit ich sie bei einer Suche weieder finde.
ABER:
Die Protokolle zur Übertragung von Mails im Internet (smtp, pop und imap) sind sehr alt.
Diese wurden zwar mittlerweile "aufgebohrt", analog zu http, das mittlerweile fast immer https ist.
Das heißt, dass die Übertragung der Mails durch das Internet eigentlich immer verschlüsselt erfolgt.
(TLS = Transport Level Security)
Die Übertragung erfolgt also verschlüsselt, aber jeder Host unterwegs kennt die Schlüssel.
Was man also braucht ist ein Schlüssel, den beide haben, der Absender und der Empfänger.
Ich habe meinen Kunden (Kanzleien) mal vorgeschlagen, die schützenswerten Dateien in eine zip-Datei (7-zip) zu packen und mit 7-zip zu verschlüsseln. Der Schlüssel darf aber nicht immer der selbe sein, das knackt jede Schadsoftware sehr schnell. Also habe ich den Schlüssel Mandantennumer+Datum vorgeschlagen.
Kostet Zeit, ja.. aber ist ziemlich sicher.
Ein anderer Kunde (ein Rechtsanwalt) lässt sich eine Einverständniserklärung unterschreiben, mit Email zu kommunizieren. Wenn er die nicht bekommt, läuft es per Post.
Vielleicht haben Sie da ein paar Anregungen erhalten.
@Maicom schrieb:
2.) ich muss mir wieder ein passwort merken
Dabei helfen ja Passwortmanager oder wenn jene im Browser / M365 Account gespeichert werden.
@vogtsburger schrieb:
Eine IT-Sicherheits-Software muss mE so 'komfortabel' konfigurierbar sein, dass ein durchschnittlich begabter und ausgebildeter IT-ler noch verstehen und kontrollieren kann, was ein anderer IT-ler eingerichtet hat, ansonsten wäre eine IT-Sicherheitsstruktur in einem Netzwerk nicht mehr beherrschbar ...
Wenn alles so easy peasy wäre, würde es wohl kaum derart viele Spezialisten geben. Das muss aber wohl auch für die Steuerberater, Wirtschaftsprüfer und Rechtsanwälte gelten, wenn mir da manche Stundenverrechnungssätze begegnen. 😉
@Maicom schrieb:
Ich habe meinen Kunden (Kanzleien) mal vorgeschlagen, die schützenswerten Dateien in eine zip-Datei (7-zip) zu packen und mit 7-zip zu verschlüsseln. Der Schlüssel darf aber nicht immer der selbe sein, das knackt jede Schadsoftware sehr schnell. Also habe ich den Schlüssel Mandantennumer+Datum vorgeschlagen.
Verschlüsselte / Kennwortgeschützte ZIPs, PDFs, .. werden von vielen Anti-Spam-Lösungen abgelehnt, da nicht prüfbar.
Wie sieht es mit der Suche nach solchen E-Mails aus? Wer ist dafür verantwortlich, dass das PW noch da ist, wenn der Kollege schon woanders arbeitet?
Absolute Sicherheit ist aufwändig und meistens auch unbequem. Brauchen wir die Sicherheit, wenn wir ein Mailing versenden?
Gibt es denn (wie ursprünglich gefragt) noch andere Lösungen, von denen jemand aus Erfahrung berichten kann?
Funktionieren alle und haben am Ende des Tages alle nahezu die gleichen Vor- und/oder Nachteile.
@KonComm schrieb:
Wie sieht es mit der Suche nach solchen E-Mails aus?
Bzgl. der DATEV E-Mail Verschlüsselung (DEMV): Schlecht, weil man entweder nach der Benachrichtigungs-E-Mail sucht und sich dann den HTML Link raussucht oder man speichert nach dem Entschlüsseln alle Mails im Klartext im Postfach, was aber sehr aufwendig ist.
@KonComm schrieb:
Wer ist dafür verantwortlich, dass das PW noch da ist, wenn der Kollege schon woanders arbeitet?
Hm, weiß tatsächlich gar nicht, und und an was der DEMV Account geknüpft ist. Aber solange das Passwort keiner aus KeePass löscht bzw. kann man es ja als Exchange Administrator so bauen, dass man sich als diese Person ausgibt und das Passwort zurücksetzt. Ob man dafür in die Hölle kommt, kann ich rechtlich nicht sagen.
@KonComm schrieb:
Brauchen wir die Sicherheit, wenn wir ein Mailing versenden?
Tja. Mein Reden. Wenn es zu 100% nach der §§§ geht, dann ja.
@KonComm schrieb:
Gibt es denn (wie ursprünglich gefragt) noch andere Lösungen, von denen jemand aus Erfahrung berichten kann?
Hm? Die nur rein E-Mail Verschlüsselung machen? Dann bin ich raus. Da sehe ich keinen Mehrwert drin, außer den Wunsch nach Erfüllung aller §§§. Aber in Deutschland muss man aufpassen ⚠️, dass man nicht vom Helfer zum Täter wird: Mögliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?
Von daher kann ich verstehen, dass man alles mögliche dafür / dagegen tut, dass einem keiner ans Bein pinkeln kann. Wir sind ein komisches Volk 😂.
@janm schrieb:
[...]
Wenn alles so easy peasy wäre, würde es wohl kaum derart viele Spezialisten geben. Das muss aber wohl auch für die Steuerberater, Wirtschaftsprüfer und Rechtsanwälte gelten, wenn mir da manche Stundenverrechnungssätze begegnen.
[...]
... da bin ich ganz d'accord.
Aber wo sind 'derart viele Spezialisten' zu finden und woran erkennt man sie ?
Gibt es bestimmte 'Scheine' (Zertifikate), die man sich zeigen lassen sollte ?
... und zwar genau von demjenigen, der tatsächlich vor Ort die Arbeit macht und nicht nur die Zertifikate, die z.B. ein großer Datev-Solution-Partner für ein paar wenige Mitarbeiter erworben hat, bei dem aber sämtliche Techniker dieses 'Label' "Datev-Solution-Partner" vor sich hertragen und die Support-Rechnungen entsprechend 'stolz' ausfallen.
Ich habe nämlich schon einige Male erlebt, dass z.B. Mitarbeiter eines großen Datev-Solution-Partners so gar nicht den Eindruck machten, viel Ahnung von Datev, von Netzwerken und von IT-Sicherheit zu haben.
Bei so manchen technischen Fragen gab es dann zur Antwort: "wir haben in der Zentrale einen Spezialisten" oder "... für die Erstinstallationen im Netzwerk ist bei uns Herr ...... zuständig. Ich mache nur die Aktualisierungen" usw.
... dumm nur, dass diese Spezialisten dann nie erreichbar waren und sich auch wochenlang nicht zurückmeldeten
'Inoffiziell' wurden dann für die Kanzlei z.B. Produkte empfohlen, die der Techniker auf seinen eigenen privaten Geräten nutzt, weit abseits von den Datev-Empfehlungen
@vogtsburger schrieb:
Gibt es bestimmte 'Scheine' (Zertifikate), die man sich zeigen lassen sollte ?
Ja na klar, das "DATEV Techniker Zertifikat". 😉 Gibt es solche Zertifikate für Steuerberater, die der gesamten Belegschaft einer Kanzlei Kompetenz und Sachverstand zusprechen? Am Ende des Tages braucht man doch meist X (auf dem Papier) "zertifizierte" um Y (Marketing / Status / Bild zum ausmalen in der E-Mail-Signatur) zu bekommen.
Wenn ich mir bspw. meine Citrix und Microsoft Prüfungen anschaue, bestätigen die, dass ich mich auf Prüfungen vorbereiten und "durch die Herstellerbrille" erfolgreich ablegen kann. 😉 In der Praxis hat man doch recht selten mit diesen Szenarien aus solchen Prüfungen zu tun. Insbesondere im KMU.
Wenn man als erstes ein Angebot bekommt, bevor man "Pre-Sales technisch" mal gemeinsam über die Anforderungen gesprochen hat, wäre ich skeptisch. Wenn in einem ersten Vorgespräch klar wird, dass der Gesprächspartner gar nicht ausführt, würde ich das Gespräch zusätzlich (nochmal) mit dem ausführenden suchen. Ebenfalls kann es hilfreich sein, entsprechende Empfehlungen zu einem Dienstleister zu bekommen. Evtl. gibt es ja auch Referenzen / Referenzprojekte. Am Ende des Tages kostet das aber auch wieder Zeit und somit halt auch Geld. 😉
Zusätzlich würde ich skeptisch, wenn im Gespräch nicht einmal ein "Nein" bzw. "Da kenne ich mich / kennen wir uns nicht mit aus" kommt.
Und ansonsten: Es gibt wohl in jeder Branche Scharlatane, Blender, You name it.