Wir haben vor zwei Monaten auf Comcrypto umgestellt. Schnelle Implementierung und keine Mandantennachfragen mehr. Nur zu empfehlen.

Wir nutzen ebenfalls Comcrypto über die netgo tax.

Implementierung problemlos, Mandantenprobleme gegenüber DATEV-Mailverschlüsselung nun gleich null.

Sind hochzufrieden damit!

@AlexanderJ Bei Netgo/nitsche einfach mal Herrn Manuel Hentschel dazu ansprechen.

Die E-Mail Verschlüsselung ist ja nur ein Ding zur Kommunikation aber heutzutage sucht man doch eher was übergreifendes, oder? Ich hatte hier mal drei Anbieter wie milia.io, KanzleiDrive und kanzlei.land verglichen: Kanzleidrive

Da braucht man sich keine Gedanken mehr um ein Protokoll aus 1971 machen, weil das nur ein Bruchteil der Funktionen ist. Da ist sichere Kommunikation nebenbei mit im Paket. Ich kann's nur empfehlen und würde, hätte ich eine Kanzlei, nichts anderes einsetzen. 

Was genau machen die technisch @andrereissig?

Laut Schaubild werden alle E-Mails durch deren Infrastruktur geroutet, die aber zu 100% verschlüsselt ist? 

Was macht MXG, wenn es einen E-Mail Server gibt, der statt einer TLS Verbindung auf unverschlüsselte Transportkommunikation zurückfallen möchte?

Wozu S/MIME führt, sehen wir bei DATEV und dessen signierten E-Mails, die im Outlook im Web nicht ohne AddOn verifiziert werden können und auch teils an mobilen Geräten das Gerät meldet: unsicher - das wird da nicht der Fall sein, weil die genutzten Zertifikate online von Stammzertifikaten überprüft werden können?

---

@metalposaunist  schrieb:

 

Was macht MXG, wenn es einen E-Mail Server gibt, der statt einer TLS Verbindung auf unverschlüsselte Transportkommunikation zurückfallen möchte?

Dann erhält man eine Warnmeldung und kann entscheiden, ob man entweder unverschlüsselt senden möchte oder die Mail mit einem Kennwort sichern, welches sich Comcrypto für den Empfänger für die Zukunft merkt(womit man natürlich wieder in einem Portal a la DATEV-Mailverschlüsselung landet).

Wir nutzen das ganze auch für ein wenig Service am Mandanten.

95 % der Mails laufen problemlos über TLS durch.

Wenn dann mal doch eine Meldung kommt, informieren wir den Mandanten, dass mit seiner Mailkommunikation etwas im Argen ist (evtl. nur ein Wildcard-Zertifikat vorhanden, Zertifikat abgelaufen, Zertifkat falsch ausgestellt etc.).

Da sind die meisten Empfänger ganz froh über den Tip.

Dann könnte man ähnliches also erreichen, wenn man seinen E-Mail Server so einstellt, dass dieser nur verschlüsselte Transportverbindungen aufbaut und alle unverschlüsselten Fallbacks ignoriert, richtig? 

Ja, dann geht die E-Mail gar nicht durch. Aber im Sinne von 0️⃣ und 1️⃣ auch richtig. Wenn man dem Absender die Wahl lässt: der will nur den Bums raus haben. Wie, ist dem oftmals egal, hätte ich gesagt. 

Mit sowas kann man also auch sein Geld verdienen? 😅 Ich verstehe langsam den Mehrwert meiner Dienstleistung zu schätzen und warum es schwer(er) ist, diese an die Personen zu bringen. 

EDITH: Ist für mich Geldschneiderei aber hat mit guter IT nichts zu tun. Da wird mit Ängsten und §§§ und Gefühlen und Unwissenheit gespielt - nicht mein Ding. Das ist eher so das Niveau von NordVPN und diverser anderer VPN Tools, die einem was vorgaukeln, was technisch zweifelhaft ist. Aber dass sich damit gut Geld verdienen lässt ... 

---

@andrereissig  schrieb:

 

Da sind die meisten Empfänger ganz froh über den Tip.

---

Und wie steht es um bspw.

• DMARC aggregation
  • Report aggregation (rua)
  • Failure / Forensic aggregation (ruf)
• SMTP TLS reporting
  • MTA-STS

bei den eigenen E-Mail-Domains?

Das sind bisher noch keine Features des Systems.

Wir haben aber auch nicht nach einer Maximallösung gesucht, sondern nach einer Problemlösung.

---

@janm schrieb:
[...]

Und wie steht es um bspw.

 

• DMARC aggregation
  • Report aggregation (rua)
  • Failure / Forensic aggregation (ruf)
• SMTP TLS reporting
  • MTA-STS

[...]

---

... zugegeben: mir sagen diese Spezialisten-Fachbegriffe so gaaar nichts,

... aber ich habe auch nicht den Ehrgeiz, diese Wissenslücke zu füllen.

In Fragen der IT-Sicherheit will/kann wahrscheinlich niemand an 100 oder 1000 'Schräubchen' (Parametern) drehen, z.B. in der Registry, um die (aus Sicht eines bestimmten Spezialisten) temporäre, optimale Konfiguration zu wählen.

Eine IT-Sicherheits-Software muss mE so 'komfortabel' konfigurierbar sein, dass ein durchschnittlich begabter und ausgebildeter IT-ler noch verstehen und kontrollieren kann, was ein anderer IT-ler eingerichtet hat, ansonsten wäre eine IT-Sicherheitsstruktur in einem Netzwerk nicht mehr beherrschbar ...

... oder anders gesagt: 

wenn die IT-Sicherheitsstruktur nicht mehr 'transparent' und 'beherrschbar' wäre, könnte man keiner Software und keinem IT-ler mehr zutrauen, das Netzwerk optimal gegen Malware und Angriffe abzusichern

Hallo AlexanderJ,

ich kann Sie gut verstehen.

Jedesmal wenn ich eine verschlüsselte Mail von Datev bekomme, könnt ich kotzen.

1.) Die Mail ist keine Mail, es ist nur ein Link

2.) ich muss mir wieder ein passwort merken

3.) Die Mail im Browser zu lesen ist ein Medienbruch

4.) Ich erwarte die Mail im Klartext in Outlook, damit ich sie bei einer Suche weieder finde.

ABER:

Die Protokolle zur Übertragung von Mails im Internet (smtp, pop und imap) sind sehr alt.

Diese wurden zwar mittlerweile "aufgebohrt", analog zu http, das mittlerweile fast immer https ist.

Das heißt, dass die Übertragung der Mails durch das Internet eigentlich immer verschlüsselt erfolgt.

(TLS = Transport Level Security)

Die Übertragung erfolgt also verschlüsselt, aber jeder Host unterwegs kennt die Schlüssel.

Was man also braucht ist ein Schlüssel, den beide haben, der Absender und der Empfänger.

Ich habe meinen Kunden (Kanzleien) mal vorgeschlagen, die schützenswerten Dateien in eine zip-Datei (7-zip) zu packen und mit 7-zip zu verschlüsseln. Der Schlüssel darf aber nicht immer der selbe sein, das knackt jede Schadsoftware sehr schnell. Also habe ich den Schlüssel Mandantennumer+Datum vorgeschlagen.

Kostet Zeit, ja.. aber ist ziemlich sicher.

Ein anderer Kunde (ein Rechtsanwalt) lässt sich eine Einverständniserklärung unterschreiben, mit Email zu kommunizieren. Wenn er die nicht bekommt, läuft es per Post.

Vielleicht haben Sie da ein paar Anregungen erhalten.

---

@Maicom schrieb:

2.) ich muss mir wieder ein passwort merken

---

Dabei helfen ja Passwortmanager oder wenn jene im Browser / M365 Account gespeichert werden.

---

@vogtsburger  schrieb:

 

Eine IT-Sicherheits-Software muss mE so 'komfortabel' konfigurierbar sein, dass ein durchschnittlich begabter und ausgebildeter IT-ler noch verstehen und kontrollieren kann, was ein anderer IT-ler eingerichtet hat, ansonsten wäre eine IT-Sicherheitsstruktur in einem Netzwerk nicht mehr beherrschbar ...

---

• Ein "durchschnittlich begabter und ausgebildeter IT-ler" mit Schwerpunkt auf / Interesse an "IT-Security" wird mit vielen Dingen sicherlich keine Probleme haben.
• Ein "durchschnittlich begabter und ausgebildeter IT-ler" der (hoffentlich) unfallfrei Server / DATEV anhand der Installationsleitfäden im DHC installieren kann und das "schon immer so gemacht hat", wird bei vielen Dingen wohl vor Problemen stehen.

Wenn alles so easy peasy wäre, würde es wohl kaum derart viele Spezialisten geben. Das muss aber wohl auch für die Steuerberater, Wirtschaftsprüfer und Rechtsanwälte gelten, wenn mir da manche Stundenverrechnungssätze begegnen. 😉

---

@Maicom  schrieb:

 

Ich habe meinen Kunden (Kanzleien) mal vorgeschlagen, die schützenswerten Dateien in eine zip-Datei (7-zip) zu packen und mit 7-zip zu verschlüsseln. Der Schlüssel darf aber nicht immer der selbe sein, das knackt jede Schadsoftware sehr schnell. Also habe ich den Schlüssel Mandantennumer+Datum vorgeschlagen.

---

Verschlüsselte / Kennwortgeschützte ZIPs, PDFs, .. werden von vielen Anti-Spam-Lösungen abgelehnt, da nicht prüfbar. 

Wie sieht es mit der Suche nach solchen E-Mails aus? Wer ist dafür verantwortlich, dass das PW noch da ist, wenn der Kollege schon woanders arbeitet?

Absolute Sicherheit ist aufwändig und meistens auch unbequem. Brauchen wir die Sicherheit, wenn wir ein Mailing versenden?

Gibt es denn (wie ursprünglich gefragt) noch andere Lösungen, von denen jemand aus Erfahrung berichten kann?

• (Plain) SEPPmail ohne DATEVnet drumrum
• Zertificon Z1 SecureMail Gateway
• Reddoxx Mailsealer
• Ciphermail
• NoSpamProxy Encryption
  • (Wobei hier evtl. dann NoSpamProxy Large Files eine sinniger Alternative wäre)

Funktionieren alle und haben am Ende des Tages alle nahezu die gleichen Vor- und/oder Nachteile.

---

@KonComm schrieb:

Wie sieht es mit der Suche nach solchen E-Mails aus?

---

Bzgl. der DATEV E-Mail Verschlüsselung (DEMV): Schlecht, weil man entweder nach der Benachrichtigungs-E-Mail sucht und sich dann den HTML Link raussucht oder man speichert nach dem Entschlüsseln alle Mails im Klartext im Postfach, was aber sehr aufwendig ist. 

---

@KonComm schrieb:

Wer ist dafür verantwortlich, dass das PW noch da ist, wenn der Kollege schon woanders arbeitet?

---

Hm, weiß tatsächlich gar nicht, und und an was der DEMV Account geknüpft ist. Aber solange das Passwort keiner aus KeePass löscht bzw. kann man es ja als Exchange Administrator so bauen, dass man sich als diese Person ausgibt und das Passwort zurücksetzt. Ob man dafür in die Hölle kommt, kann ich rechtlich nicht sagen. 

---

@KonComm schrieb:

Brauchen wir die Sicherheit, wenn wir ein Mailing versenden?

---

Tja. Mein Reden. Wenn es zu 100% nach der §§§ geht, dann ja. 

---

@KonComm schrieb:

Gibt es denn (wie ursprünglich gefragt) noch andere Lösungen, von denen jemand aus Erfahrung berichten kann?

---

Hm? Die nur rein E-Mail Verschlüsselung machen? Dann bin ich raus. Da sehe ich keinen Mehrwert drin, außer den Wunsch nach Erfüllung aller §§§. Aber in Deutschland muss man aufpassen ⚠️, dass man nicht vom Helfer zum Täter wird: Mögliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?

Von daher kann ich verstehen, dass man alles mögliche dafür / dagegen tut, dass einem keiner ans Bein pinkeln kann. Wir sind ein komisches Volk 😂.

---

@janm  schrieb:
[...]
Wenn alles so easy peasy wäre, würde es wohl kaum derart viele Spezialisten geben. Das muss aber wohl auch für die Steuerberater, Wirtschaftsprüfer und Rechtsanwälte gelten, wenn mir da manche Stundenverrechnungssätze begegnen. 
[...]

... da bin ich ganz d'accord.

Aber wo sind 'derart viele Spezialisten' zu finden und woran erkennt man sie ?

Gibt es bestimmte 'Scheine' (Zertifikate), die man sich zeigen lassen sollte ?

... und zwar genau von demjenigen, der tatsächlich vor Ort die Arbeit macht und nicht nur die Zertifikate, die z.B. ein großer Datev-Solution-Partner für ein paar wenige Mitarbeiter erworben hat, bei dem aber sämtliche Techniker dieses 'Label' "Datev-Solution-Partner" vor sich hertragen und die Support-Rechnungen entsprechend 'stolz' ausfallen.

Ich habe nämlich schon einige Male erlebt, dass z.B. Mitarbeiter eines großen Datev-Solution-Partners so gar nicht den Eindruck machten, viel Ahnung von Datev, von Netzwerken und von IT-Sicherheit zu haben.

Bei so manchen technischen Fragen gab es dann zur Antwort: "wir haben in der Zentrale einen Spezialisten" oder "... für die Erstinstallationen im Netzwerk ist bei uns Herr ...... zuständig. Ich mache nur die Aktualisierungen" usw.

... dumm nur, dass diese Spezialisten dann nie erreichbar waren und sich auch wochenlang nicht zurückmeldeten

'Inoffiziell' wurden dann für die Kanzlei z.B. Produkte empfohlen, die der Techniker auf seinen eigenen privaten Geräten nutzt, weit abseits von den Datev-Empfehlungen

---

@vogtsburger  schrieb:

 

Gibt es bestimmte 'Scheine' (Zertifikate), die man sich zeigen lassen sollte ?

---

Ja na klar, das "DATEV Techniker Zertifikat". 😉 Gibt es solche Zertifikate für Steuerberater, die der gesamten Belegschaft einer Kanzlei Kompetenz und Sachverstand zusprechen? Am Ende des Tages braucht man doch meist X (auf dem Papier) "zertifizierte" um Y (Marketing / Status / Bild zum ausmalen in der E-Mail-Signatur) zu bekommen.

Wenn ich mir bspw. meine Citrix und Microsoft Prüfungen anschaue, bestätigen die, dass ich mich auf Prüfungen vorbereiten und "durch die Herstellerbrille" erfolgreich ablegen kann. 😉 In der Praxis hat man doch recht selten mit diesen Szenarien aus solchen Prüfungen zu tun. Insbesondere im KMU.

Wenn man als erstes ein Angebot bekommt, bevor man "Pre-Sales technisch" mal gemeinsam über die Anforderungen gesprochen hat, wäre ich skeptisch. Wenn in einem ersten Vorgespräch klar wird, dass der Gesprächspartner gar nicht ausführt, würde ich das Gespräch zusätzlich (nochmal) mit dem ausführenden suchen. Ebenfalls kann es hilfreich sein, entsprechende Empfehlungen zu einem Dienstleister zu bekommen. Evtl. gibt es ja auch Referenzen / Referenzprojekte. Am Ende des Tages kostet das aber auch wieder Zeit und somit halt auch Geld. 😉

Zusätzlich würde ich skeptisch, wenn im Gespräch nicht einmal ein "Nein" bzw. "Da kenne ich mich / kennen wir uns nicht mit aus" kommt.

Und ansonsten: Es gibt wohl in jeder Branche Scharlatane, Blender, You name it.

Hallo,

diesem Modul von netgo wird nun leider auch öfters von anderen Kanzleien benutzt und wir haben so unsere liebe Not mit diesen E-Mails. So gibt es keine DMARC Einträge, keine SFP Kennungen etc.

Die E-Mail wird einfach abgeladen und unsere Server lehnen die immer häufiger einfach ab.

Dort wird wohl auch versucht ohne TLS Verbindung zwischen den E-Mail Servern zu kommunizieren.

Hat jemand ähnliche Probleme?

Die geschlossene Welt von Datev und diesem SecureMail von Netgo mag ja für kleine Benutzer funktionieren, in großen Umgebungen mit einer eigenen Exchange-Infrastruktur ist es eher ein Albtraum.

Was nutzt es, wenn eine Kanzlei mit kleinen Mandanten kommunizieren kann, jedoch nicht mit großen Systemen.

Da wird das E-Mail System doch künstlich verkompliziert und mit unnötigen Dingen ausgestattet.

Und das Beste, alles unter dem Siegel der DSGVO 😮

---

@Snoopy70  schrieb:

 

Hat jemand ähnliche Probleme?

Die geschlossene Welt von Datev und diesem SecureMail von Netgo mag ja für kleine Benutzer funktionieren, in großen Umgebungen mit einer eigenen Exchange-Infrastruktur ist es eher ein Albtraum.

Was nutzt es, wenn eine Kanzlei mit kleinen Mandanten kommunizieren kann, jedoch nicht mit großen Systemen.

---

Kann ich in keinster Weise nachvollziehen.

Wir nutzen das System mit über 70 Mitarbeitern über Online-Exchange im PartnerASP. Läuft wie ein Uhrwerk.

---

@Snoopy70  schrieb:

 

So gibt es keine DMARC Einträge, keine SFP Kennungen etc.

---

Und das hat der Support so bestätigt? Es gibt da keine Möglichkeit eure SPF Records zu ergänzen und DKIM zu implementieren?

DMARC wäre am Ende ja trotzdem möglich. 😉

Wir sind die empfangene Partei, also prüfen unsere Mailserver die E-Mails und dies ist defacto unmöglich.

Auch finde ich von Hersteller nix technisches nur Buzzword a la BSI Verschlüsselung etc.

Mit DSGVO konform etc.

Alles sehr viele Wörter und wenig technische Hintergründe.

Wenn ich mir die Wege der E-Mails einmal ansehe, sind dort diverse Proxies zwischengeschaltet und der Header wird öfters geändert.

Hat vielleicht jemand mehr technische Infos dazu?

Bei DatevMail hat man ja wenigstens das Gefühl, dass die noch so einigermaßen wissen, was Sie dort machen.

Bei den Plugins mit Outlook und auf dem MTA und den Umleitungen frage ich mich, wie dies überhaupt mit der DSGVO vereinbar sein soll.

Oder bin ich der Einzige, dem dies auffällt?

---

@Snoopy70  schrieb:

Wir sind die empfangene Partei, also prüfen unsere Mailserver die E-Mails und dies ist defacto unmöglich.

---

Dann wäre halt die Frage, was die sendende Partei (und weiterhin der von der sendenden Partei hinzugezogene Support) zu dem Thema sagt. Gerade so Dinge wie SPF und DKIM sind ja leider häufig "neustes Neuland" für manch einen und es muss ja auch meistens noch eingerichtet werden. 😉

Hat vielleicht jemand mehr technische Infos dazu?

Kann ich nichts zu sagen. Hatte ich noch keinen Kontakt zu. Man sieht dann wohl auch im Header der Mail nix in Richtung eines Herstellers?

Oder bin ich der Einzige, dem dies auffällt?

Scheinbar. 😉 Nein. Ich stelle in sehr vielen Fällen fest, dass SPF mittlerweile - dank Google und ein paar großen - "anklang" gefunden hat. Derzeit sieht es glücklicherweise so aus, als würde das mit DKIM ebenfalls so langsam durch die großen "durchgedrückt". Schaut man weiter in Richtung MTA-STS und/oder DANE, nunja.. Es ist und bleibt ein langer und steiniger Weg.

In meinen Augen ist allerdings "E-Mail an sich" das Problem und was die Leute aus/mit "E-Mail" machen.

Gateway (zu Gateway) Verschlüsselung kann man eigentlich auch gleich weglassen, da es nahezu keinen Gewinn zur Transportwegverschlüsselung bringt. S/MIME überfordert die meisten. Von daher sollte zum Austausch sensibler Daten eine passende Plattform vorhanden sein, die es ja gerade für das DATEV Klientel zuhauf gibt.

Ich bin der Meinung, dass die E-Mail das falsche Medium ist, um in einer Steuerkanzlei Inhalte mit Mandanten auszutauschen...

Die E-Mail verbindet grundsätzlich zwei Personen miteinander, wenn ich nicht alleine in der Kanzlei arbeite, brauche ich immer eine Ergänzung, damit auch andere von diesen Informationen erfahren.

Selbst mit dieser Ergänzung wird das Ergebnis aber nicht hübsch oder besonders hilfreich. 

Deshalb habe ich mir in den letzten Jahren ein Tool gebaut, mit dem Mandanten direkt aus dem DATEV-Arbeitsplatz heraus ihre Post erhalten. Die E-Mail dient dann nur noch zur Benachrichtigung, dass an anderer Stelle etwas passiert ist. 

Was ist hier passiert?

Und ich soll auf Passwort Rücksetzung klicken, um das Konto zu aktivieren? Klicken Sie auf Fortfahren, um Abzubrechen. Hä? 😵 Irgendwie scheine ich falsche Erwartungen von der deutschen Sprache zu haben. 

---

@metalposaunist  schrieb:

Irgendwie scheine ich falsche Erwartungen von der deutschen Sprache zu haben. 

---

Sagt derjenige, der gHkEbHdSöU&4V8934a heißt! Na klar! 😁

Darf ich Dich der Einfachheit halber "GeHa" nennen?

---

@metalposaunist  schrieb:

Was ist hier passiert?

Ein Programmierer ist an einer alltäglichen Aufgabe kläglich gescheitert. epic fail😂

Nur GH325 😎. 

Guten Tag in die Runde, 

bei uns landen gesendete und empfangende E-Mails im DMS und wir suchen jetzt eine neue Verschlüsselungslösung, da es mit der DATEV-Verschlüsselung seit Jahren nur Probleme gibt. 

Wir hatten davor eine andere Verschlüsselung im Einsatz, Problem war da, dass die Verschlüsselungen irgendwann abgelaufen sind und an die E-Mail-Postfächer gebunden waren. Das führte dann dazu, dass nach, ich meine mich zu erinnern, 2 Jahren, und bei Ausscheiden von Mitarbeitern aus der Kanzlei im DMS abgelegte Mails irgendwann teils nicht mehr geöffnet werden konnten. 

Hat jemand dazu vielleicht schon (Langzeit-)Erfahrungen mit Comcrypto o.ä. oder beruhigende Worte?

Besten Dank und viele Grüße!

---

@Hanne1  schrieb:

Hat jemand dazu vielleicht schon (Langzeit-)Erfahrungen mit Comcrypto o.ä. oder beruhigende Worte?

---

Na ja, meine Aussage oben zu Comcrypto ist jetzt 5 Tage alt. Daran hat sich nichts geändert.

Extrem einfach einzurichten (zumindest für uns, denn die Installation wurde von netgo vorgenommen) und danach vollkommen geräuschlos.

Nutzen das System jetzt seit Januar und sind jeden Tag froh, gewechselt zu haben.