---

@Neu_hier schrieb:

Gibt es Meinungen dazu! 

---

Gibt es:

@spawngebob kennt das Original, weil die DATEV E-Mail Verschlüsselung nur eingekauft ist. 

@Stefan_Maetz wird da seitens DATEV etwas dazu sagen können.  

Dass der HTML Anhang sicherheitstechnisch nicht der Hit ist, wurde hier und da auch schon mal genannt.

Hinzu kommt:

SEPPMail Viewer öffnet nicht automatisch die Secu...

DATEV E-Mail-Verschlüsselung: Sichere E-Mail am iP...

---

@metalposaunist  schrieb:

---

@Neu_hier schrieb:

Gibt es Meinungen dazu! 

---

Gibt es:

 

@spawngebob kennt das Original, weil die DATEV E-Mail Verschlüsselung nur eingekauft ist. 

@Stefan_Maetz wird da seitens DATEV etwas dazu sagen können.  

 

Dass der HTML Anhang sicherheitstechnisch nicht der Hit ist, wurde hier und da auch schon mal genannt.

 

Hinzu kommt:

SEPPMail Viewer öffnet nicht automatisch die Secu...

DATEV E-Mail-Verschlüsselung: Sichere E-Mail am iP...

---

@metalposaunist wenn ich hier schon erwähnt werde, harke ich mich natürlich gerne einmal ein:

Ich kenne tatsächlich das Original, allerdings wurde uns zum 31.07.23 gekündigt vom Anbieter der die Appliance für uns bereitstellte. Der Grund: Wir (oder besser ich) waren denen zu viel Aufwand im Bezug zur Marge die sie mit uns machen. Kein Witz!

Was bedeutet das genau? Nun, auch dort hat auf Applegeräten nichts (oder nur selten) etwas funktioniert, geschweige den auf Linuxdistributionen. Ein weiteres KO-Kriterium war das die App weder auf iOS noch auf Android (die fliegt jetzt übrigens im 3. Quartal 2023 aus dem Store mit Hinweis diese doch bitte zu deinstallieren) jemals funktioniert haben.

Am lustigsten dabei: Die Anleitung dazu hier in der Datev Community von Datev selbst. Die App ist halt sch****, da bringen auch Erklärungen / Installationsanleitungen dazu nichts.

Zudem haben wir so lustige Erfahrungen machen müssen wie "Mandant sieht in der Loginmaske bei Seppmail Daten von Leuten die gar nicht Mandant von uns sind". Datenschutzverstoß? Aber sicher. Ich meldete das sowie unzählige weitere Unzulänglichkeiten / Bugs (ja, wenn ich was bezahle soll es auch funktionieren) immer fleißig und seitens des Anbieters ist dann irgendwann die Kündigung gekommen. Im Ernst: Das war so heftig das die mich eher als Bughunter hätten bezahlen müssen.

"Safari öffnet die secure.html nicht", "Safari öffnet nur ein weißes Bild", "Die App funktioniert ja überhaupt nicht", ...

By the way: Die Sache mit dem Datenschutz hat man dann auch "telefonisch" mit uns / mir geklärt, ja nichts schriftlich festhalten und so. Ich habe die Eingangskorrespondenz dazu dennoch archiviert, sowie alles andere auch.

Aber zum Thema: Holen Sie sich Tresorit, sagen Sie Ihren Mandanten sie sollen sich ein kostenloses Basickonto dort einrichten (erlaubt 2 Endgeräte -> Windows / Mac / Linux / Android / iOS) und teilen Sie Ende-zu-Ende-verschlüsselte Next-Gen-Ordner mit den Mandanten. Die Datenresidenz legen Sie natürlich vorher auf Deutschland fest.

Wie läuft das nun mit der Mailverschlüsselung: Genauso wie bei Seppmail, nur bitte eben explizit die Mailverschlüsselung zusätzlich ordern. Ihr Mandant kann Ihnen auf die Mails die Sie Ihnen schicken direkt antworten im Browser (wie auch bei Seppmail, nur funktioniert es eben in jedem Browser) und ansonsten schiebt er seine personenbezogenen Daten einfach so in sein von Ihnen freigegebenen Ordner. Fertig.

Selbst Mandanten die noch keine Ordner bei Ihnen haben, können Dateien oder Ordner verschlüsselt anhängen beim verfassen einer Mail. Das besagte Basickonto reicht dafür aus. Besitzt der Gegenüber sogar eine bezahlte Version von Tresorit, kann man die Mails auch direkt in Outlook öffnen (Mac ist in Arbeit). 

Ich könnte mich hier dumm und dämlich schreiben ob der Vorteile von Tresorit und was damit alles tolles geht (Domainverifizierung, Linktracking -> Mandant hat Dokument geöffnet / heruntergeladen, Ablaufdaten der Freigabelinks, Senden von Dateianforderungen (z.B. an Leute ohne Tresorit), Fernlöschung von Daten auf gestohlenen / defekten Geräten (je nach Lizenz), Ende-zu-Ende verschlüsselter Dokumentenscanner, iOS-Anmerkungen, Integration von MS-Teams, usw.), aber das würde absolut den Rahmen sprengen.

Dennoch "Last but not least": Apps / Software wie gesagt für alle gängigen Betriebssysteme. Eigens getestet von mir auf Windows, Android, iOS, Linux (Ubuntu, Mint, Debian), MacOS. Man macht sich nach der Einführung von Seppmail ja nicht gerne zum zweiten Mail zum **bleep**en, Updates der Apps / Clientsoftware gibt es regelmäßig.

Die Mandanten sind durchgehend begeistert und das aus einem einfachen Grund: Jeder kennt Cloud, jeder liebt es das es einfach funktioniert, "It works like it should". Einrichtungszeit Tresorit Basic (2 Geräte): max 10 Minuten.

Das Tollste noch: Tresorit bindet sich als Netzlaufwerk in Windows / Mac / Linux ein. Das ist so easy und komfortabel das mich die Zeit mit Seppmail total runterzieht im Nachhinein.

Browserbasiert gibt es überdies KEINE Gerätelimitierungen. Login dort immer möglich, in dieser kann dann auch jederzeit ein Geräte entfernt werden sollte man ein neues oder anderes mit App / Clientsoftware nutzen wollen.

Login mit 2-Faktor, SSO -> Okta, AzureAD, Google Workspace. Passt alles.

Sollten Fragen dazu sein: Gerne per PM.

Ansonsten bin ich Seppmail-mäßig wie bereits erwähnt seit 31.07.23 raus. Ist auch gut so, weil es einfach Bull**bleep** ist.

Überdies schiele ich zu Kanzleien die sich tatsächlich unterschreiben lassen das alles unverschlüsselt verschickt wird. Weil es eben angenehmer und unkomplizierter ist, weil es dann ja auch auf Applegeräten und browserunabhängig funktioniert. Ernsthaft, läuft (leider) wirklich so.

Grüße Bob

 

DATEV E-Mail Verschlüsselung ist bekanntlich ein SEPPmail welches an DATEV Gegebenheiten angepasst wurde.

Wenn es jemand richtig bequem haben möchte, dann besorgt er sich ein S/MIME Zertifikat und verteilt den darauf basierenden Publickey. An genau dieser Stelle wird die eigene SEPPmail Appliance interessant. SEPPmail verwaltet das Ganze und verschlüsselt dann nicht mit GINA sondern mit dem S/MIME Zertifikat des Mandanten, ohne Zutun der Kanzlei.

Wobei, nun komme ich zu @spawngebob , SEPPmail sich in der jüngsten Vergangenheit nicht mit Ruhm bekleckert hat. Bei Updates hauen die immer mal wieder einen in die Tonne, die 13.0.04 hat fast das komplette Mailsystem lahmgelegt. Apple hat ohnehin immer so seine Probleme mit der normalen Welt.

Tresorit ist nichts Besonderes, halt ein OwnCloud/NextCloud Klon, die Beiden driften allerdings immer weiter auseinander so das diese Verallgemeinerung bald nicht mehr stimmt, der mit einer Oberfläche und Anpassungen gehostet wird. Bitte nicht abwertend verstehen, DATEV hat sich ja auch schon einmal daran versucht und es geschafft ein gutes System so zu konfigurieren das es unbrauchbar war.

Was in NextCloud etwas schwerfällig ist sind die "oneshotter", d. h. dem Mandanten einen Up- oder Downloadlink zur Verfügung zu stellen. Hier kann man böse Konfigurationsfehler machen - dann hilft die Verschlüsselung auch nicht mehr.

Wer damit einmal experimentieren will kann sich bei einem der vielen Provider am Markt mal einen Zugang beschaffen und mit Own- und/oder NextCloud spielen. Meine Mandanten mögen es, ob ich SEPPmail ersetze wird die Zeit entscheiden. Was absolut nervt ist die Zertifikatsverwaltung.

---

@einmalnoch  schrieb:

 

Tresorit ist nichts Besonderes, halt ein OwnCloud/NextCloud Klon, die Beiden driften allerdings immer weiter auseinander so das diese Verallgemeinerung bald nicht mehr stimmt, der mit einer Oberfläche und Anpassungen gehostet wird. Bitte nicht abwertend verstehen, DATEV hat sich ja auch schon einmal daran versucht und es geschafft ein gutes System so zu konfigurieren das es unbrauchbar war.

Tresorit ist mittlerweile schon etwas besonderes und imho nicht mehr vollumfänglich mit OwnCloud/Nextcloud zu vergleichen. 

Für mich ist es schlichtweg der Mehrwert im Vergleich zu Seppmail für quasi den gleichen Preis / Nutzer (5 Jahre SEPPMAIL nicht bei der DATEV) und das es vor allem überall einwandfrei funktioniert. 

Wie gesagt, Apple muss, Linux auch. Ist ja nicht so als hätte ich im Informatikstudium jemals an einem Windows-PC gesessen. Und das habe ich echt nicht. 😉

Beste Grüße
Bob

Im Prinzip kann heutzutage ja praktisch jeder E-Mail Client sehr gut mit X509 Zertifikaten umgehen und damit ver- und entschlüsseln.

Damit hat man ja schon alles, was man braucht, jedenfalls im kleineren Rahmen. 

Ich würde für die doch sehr überschaubare Anzahl an Mandanten, die verschlüsselte Mails versenden und empfangen möchten, einfach ein zentrales Postfach crypto@kanzleidomain.de einrichten, evtl. auch unter einer anderen Domain, wenn man einen separaten Mailhoster dafür nutzen möchte.

Die Zertifikate kann man sich selbst sogar kostenlos erzeugen - erst eines für die "CA"-Instanz, die die eigenen Zertifikate dann signiert, dann das eigene Zertifikat und das des Mandanten. 

Wenn der Mandant kein eigenes Zertifikat hat, kann man ihm kostenlos auch gleich eines erstellen, zusammen mit seinem privaten Schlüssel. Wenn die Mail ohnehin nur zur Korrespondenz mit der Kanzlei damit verschlüsselt wird, ist es ja auch egal, wenn die Kanzlei den privaten Schlüssel des Mandanten hat.

Dann noch eine kurze Anleitung, wie der das CA-Zertifikat als Root-Zertifikat in sein Mailprogramm hineinbekommt, sowie seine eigenen beiden - und fertig.

Wer sich nicht scheut, mehrere hundert Euro pro Jahr für ein "richtiges" Root-Zertifikat zu bezahlen, kann dem Mandanten auch das Gefummele mit dem Root-Zertifikat ersparen.. 

Ich hatte privat mal mit drei Gleichgesinnten alles mit X509 verschlüsselt, weil PGP ja doch immer etwas schwierig war mit gängigen Mailprogrammen - und das funktionierte prima. Vollautomatisch, total bequem, ohne Extra-Klicks.

Sowohl unter Android, z.B. mit Profimail Go, also auch mit Outlook, oder Thunderbird, ....

---

@TobiasX  schrieb:

Im Prinzip kann heutzutage ja praktisch jeder E-Mail Client sehr gut mit X509 Zertifikaten umgehen und damit ver- und entschlüsseln.

 

 

 

---

Trololololo! Versuchen Sie mal das Zertifikat eines Outlook-Kontakts auszutauschen, wenn der Kontakt ein neues Zertifikat bekommt. Viel Spaß dabei.

Ich selbst nutze Outlook ja nur gelegentlich, um mich darüber zu informieren..

Aber worin liegt das Problem, wenn der Empfänger ein neues Zertifikat hat?

Übrigens noch ein Vorteil der selbst erzeugten Zertifikate: Da setzt man die Gültigkeit einfach auf 50 oder 100 Jahre fest - dann hat man solche Probleme mit ablaufenden Zertifikaten gar nicht erst 🙂

---

@TobiasX  schrieb:

Ich selbst nutze Outlook ja nur gelegentlich, um mich darüber zu informieren..

 

Aber worin liegt das Problem, wenn der Empfänger ein neues Zertifikat hat?

 

Übrigens noch ein Vorteil der selbst erzeugten Zertifikate: Da setzt man die Gültigkeit einfach auf 50 oder 100 Jahre fest - dann hat man solche Probleme mit ablaufenden Zertifikaten gar nicht erst 🙂

---

Da kommt dann auch die Frage des Vertrauens zu einem Zertifikat ins Spiel.

> "Da kommt dann auch die Frage des Vertrauens zu einem Zertifikat ins Spiel."

Und damit kommen wir genau an den Punkt, warum sich Verschlüsselung für E-Mails meiner Meinung nach noch NIE auch nur ansatzweise durchsetzen konnte:

Weil man den simplen Wunsch nach Verschlüsselung leider untrennbar gepaart hat mit dem hoch komplexen Wunsch, den Empfänger über dieselben Zertifikate eindeutig und sicher zu identifizieren. Sei es über völlig überteuerte Zertifizierungs-Dienstleister beim X509-Verfahren, oder über das "Web of Trust" bei PGP.

Nur deshalb all das "Geraffel" mit Root Zertfifikaten und der für Normalos undurchschaubaren Einrichtung, geschweige denn dem Verständnis von allem.

Hätte man diese 2 Ziele sauber voneinander getrennt und auch eine einfache Nur-Verschlüsselung zugelassen: Ich denke, Ende-zu-Ende E-Mailverschlüsselung wäre heute der Standard. Ich meine, selbst eine symmetrische, selbst eine reine Passwort-basierte Ende-zu-Ende Verschlüsselung wäre besser als der heutige Standard: Gar keine Verschlüsselung. Aber gegen das asymmetrische Verfahren, dass es einen frei verbreitbaren öffentlichen Schlüssel zum Ver- und einen sorgsam gehüteten dazugehörigen privaten Schlüssel zum Entschlüsseln gibt, will ich gar nicht anreden - das ist schon außerordentlich praktisch, besonders für die alltägliche Handhabung - gerade auch beim "Normalo". Insbesondere, weil man nur ein einziges Schlüsselpaar für alle Mailpartner benötigt - das ist ein RIESEN Vorteil gegenüber symmetrischen Verfahren..

Etwas Ähnliches geschieht ja ja im Prinzip zurzeit mit dem neuen "Wireguard" VPN-Tunnel, der gerade IPSec und OpenVPN in großem Stil ersetzt. Auch hier reduziert man alles auf das Wesentliche, nämlich die Verschlüsselung und lässt den ganzen Rest weg - und das schnelle, stabile und simpel einzrichtende Verfahren verbreitet sich jetzt rasant...  Selbst die Fritzboxen beherrschen das nun schon - mit der aktuellen 7.56-er Firmware sogar die uralten 7490.. 😉

Zur Sicherheit, dass man mit dem Richtigen kommuniziert, mit X509, aber selbst erstellten Zertifikaten, noch 3 Punkte:

a) Bei der Kommunikation mit dem Steuerberater ergibt es sich ja aus dem Kontext, in dem man mit ihm steht, dass er es wirklich ist.

b) Wer sicher gehen möchte, kontrolliert die "Fingerabdrücke" der selbsterstellten Zertifikate (root, das Eigene und das des StBs), die er sich z.B. telefonisch bestätigen lässt, bevor er sie in den Zertifikatsspeicher importiert.
Der Sicherheitslevel ist so derselbe wie bei einer sauteuren offiziellen Root-Zertifikatsstelle, nur die Bequemlichkeit ist im Vergleich dazu bei Null.

c) Besser überhaupt Ende zu Ende verschlüsselt - selbst ohne Garantie, dass der Empfänger der echte ist - als gar nicht! Letzteres ist ja die Alternative, die 99,999% der Leute "nutzen".

Und als versöhnliche Schlussanmerkung:

Natürlich gibt es mannigfaltige Anwendungsbereiche, in denen die Sicherheit, dass man an den richtigen Empfänger schreibt, auch ihre Berechtigung hat. Das streite ich gar nicht ab.

Ganz besonders gilt das für Mailadressen im Bereich der Öffentlichkeit, wo man den Empfänger persönlich nicht kennt und eher an eine Institution schreiben möchte. Oder überhaupt komplexere Szenarien im Konzernumfeld. Da ist die technische Sicherstellung, dass der Empfänger auch wirklich derjenige ist, der er vorgibt, natürlich unerlässlich.

Aber für den normalen Menschen und auch die einfache Steuerberaterkanzlei verweise ich auf a) und besonders auf c) von oben.. 😉

Ich habe mir jetzt Gedanken gemacht, wie simpel und benutzerfreundlich man eine reine Verschlüsselung - ohne die Funktion der Empfängerverifizierung - für normale Menschen in normalen Mailprogrammen umsetzen könnte, und das so gut wie vollautomatisch ohne großes Zutun oder Einrichten:

Auf Zertifikate verzichtet man ganz (Zertifikate sind mit einem Schlüssel einer übergeordneten Instanz bestätigte Schlüssel der untergeordneten Instanz.)

Stattdessen kann man in jedem E-Mailprogramm im Adressbuch zu jedem Empfänger einfach dessen öffentlichen Schlüssel importieren. (Vereinfachung/Automatisierung siehe unten). Dort wird auch der Fingerabdruck angezeigt, den vorsichtige Menschen z.B. telefonisch mit der Gegenseite abgleichen können, wenn sich die Echtheit der Gegenseite nicht einfach schon aus dem Kontext des Mailverkehrs ergibt.

Sobald man eine E-Mail an eine Adresse schreibt, zu der ein öffentlicher Schlüssel hinterlegt ist, wird diese automatisch damit verschlüsselt. Mehr als der öffentliche Schlüssel wird dazu nicht benötigt - und das funktioniert sogar, wenn man selbst (als Absender) überhaupt kein Schlüsselpaar besitzt!

Dem Mailabsender / Nutzer des Programms bietet das Mailprogramm an, ein eigenes Schlüsselpaar zu erzeugen (oder zu importieren).

Den privaten Schlüssel zum Entschlüsseln der empfangenen Mails, und den zugehörigen öffentlichen Schlüssel für die Sender außerhalb zum Verschlüsseln. Essentiell ist, dass man dieses Schlüsselpaar bequem und einfach in eine Datei exportieren und in jedem anderen Mailprogramm wieder importieren kann. Z.B. für mehrere Mailprogramme (Handies, Tablet, PC) einer Person, oder bei Handywechsel usw.

Optional, aber SEHR sinnvoll:

Das Mailprogramm fügt den eigenen öffentlichen Schlüssel automatisch unsichtbar in jede versendete Mail ein. Egal ob für den Empfänger im Adressbuch ein Schlüssel hinterlegt ist oder nicht. IMMER. Ich glaube, dafür gibt es auch jetzt schon einen E-Mail Standard.

Umgekehrt:

Beim Antworten auf eine Mail wird vom Mailprogramm automatisch geprüft, ob ein öffentlicher Schlüssel enthalten ist. Falls ja, wird er automatisch zum Verschlüsseln der Antwort benutzt. Alternativ wird natürlich auch im Adressbuch geschaut.

Optional: Beim Antworten auf eine Mail mit öffentlichem Schlüssel wird dieser automatisch dem Adressbuch hinzugefügt.

Optional 2: Wenn man auch ein eigenes Schlüsselpaar besitzt, wird die eigene Mail, die an einen Empfänger verschlüsselt wird, gleich auch noch mit dem eigenen Schlüssel signiert - so wie das heute ja auch ist. Nur dass das Signieren optional ist, kein Zwang - sodass man eben auch ohne eigenen Schlüssel an den Empfänger mit dessen öffentlichem Schlüssel verschlüsseln kann.

Mit dieser simplen Methode würde man auch das Henne-Ei Problem lösen, weil sich die Verschlüsselung sozusagen fließend durchsetzen könnte, auch ohne feste Partner zur Verschlüsselung zu kennen.

Im Prinzip wäre das das selbe Vorgehen wie beim Wireguard VPN: Allen Ballast abwerfen, der die Verschlüsselung nun 30 Jahre lang verhindert hat.