Das klingt schonmal sehr vielversprechend.
Eine Frage, die gerade zu dieser Lösung noch aufgetaucht ist:

Wie handhabt ihr das bei Dokumenten eines Mandanten an Dritte?
Zum Beispiel eine Arbeitsbescheinigung, welche an einen Arbeitnehmer des Mandanten geschickt werden soll oder eine Bescheinigung an eine Krankenkasse oder das Finanzamt?

Diese Frage ist generell interessant und nicht nur für die SFTP Lösung.

Zur Beantwortung der Eingangsfrage:

Unsere Mandanten haben die Wahl zwischen unverschlüsselt, ZIP/PDF Passwort oder PGP. Bei größeren Mandanten kommt es auch hin und wieder vor, dass der Mandant uns einen Cloudzugang am hauseigenen Server zur Verfügung stellt. Das ist aber eher die Ausnahme.

Grob überschlagen sieht die Verteilung absteigend sortiert so aus:

• ZIP/PDF-Passwort
• PGP
• unverschlüsselt
• Cloud

PGP kommt für uns leider nicht infrage.
Mit welchem Programm verschlüsseln Sie denn die ZIP Archive?

Vielen Dank für diese ausführliche und detaillierte Antwort, ich werde mich auch hier etwas mehr einlesen und mir das Produkt mal etwas genauer anschauen.

Das geht z.B. mit 7-Zip: www.7-zip.de

Ist für mich persönlich die Universallösung unter den Archiv-Programmen und zudem noch kostenlos/opensource.

Hallo Frau Decker,

für uns war das Hauptargument für SFTP dass wir für das Hosting der Austauschplattform unabhängig von Dritten sein wollten.

Ich glaube das muss jede Kanzlei für sich abwägen und ist auch abhängig von den Möglichkeiten des eigenen EDV-Systems. Will man völlig unabhängig von Dritten sein, ist das Risiko und der Aufwand hinsichtlich Wahrung des Datenschutzes dann auch größer. Setzt man Lösungen wie Teamdrive, Webakte , Steuerbüro-online etc. ein, kann man das Risiko verringern, ist aber letztendlich abhängig. 

Ich gebe Ihnen definitv Recht, was das eigene Abwägen jeder Kanzlei angeht.

Aber gerade beim Stichwort "abhängig" denke ich, dass man hier noch genauer differenzieren sollte.

Von "Abhängigkeit" im Thema E-Mail zu sprechen ist sehr schwer zu definieren. Damit E-Mail überhaupt funktioniert, ist man ja bereits von vielen, vielen weitere Instanzen abhängig.

Sie brauchen (ganz einfach) Internet. Einen funktionierenden und sauber konfigurierten Mailserver. Der komplette Transportweg "außerhalb der Kanzlei" bis zum Empfänger liegt komplett außerhalb Ihres Zugriffs, jede externe Mail wird vermutlich über eine zwei- bis dreistellige Anzahl an verschiedensten Geräten, Servern, Dienstleistern etc. wandern bevor sie beim Empfänger zugestellt wird. Dazwischen entscheiden noch üblicherweise dritte Instanzen, ob Ihre Mails nach Spam aussehen. Und so weiter und so fort. Das sind bereits dermaßen viel Abhängigkeiten, dass ich mit gutem Gewissen sagen kann, dass man in diesem Thema als Endanwender sowieso immer ganz hinten in der Kette steht...

E-Mail-Verschlüsselung ist ein so komplexes Thema mit so vielen verschiedenen Lösungsansätzen, von denen jeder seine Vor- und auch Nachteile hat. Vermutlich könnte man hier seitenweise technische Informationen posten - die kurze Zusammenfassung lautet aber: es hat schon seine Gründe, weshalb trotz der Entwicklung von "E-Mail" um 1968 herum bis heute keine einheitliche und einfach zu implementierende Verschlüsselungstechnik besteht. Was mit Sicherheit auch daran liegt, dass die gestellten Anforderungen an die E-Mail-Verschlüsselung weit über dem liegen, was wir heute mit der klassischen Post kennen.

Ein normaler Brief ist auch nur gegen Einsichtnahme geschützt - nicht aber gegen das unbefügt öffnen oder Manipulieren. Ja, Sie sehen eventuell, wenn ein Briefumschlag auf dem Transportweg beschädigt wurde - aber verhindern konnten Sie es nicht. Würde man nun die Anforderungen an E-Mail-Verschlüsselung ins Analoge übertragen, würde das bedeuten, dass man eigentlich nur noch persönlich Bekannten schreiben kann und auch nur, wenn man denjenigen vorher einen individuellen Brieföffner zukommen lassen hat. Und dann seine Briefe so zuklebt, dass sie nur noch mit genau diesem Öffner zu öffnen sind. Wehe dem, der seinen Öffner nach ein paar Jahren verliert... Von Größenlimits beim Versand / Empfang und geblockten Dateianlagen fange ich jetzt gar nicht erst an... 😉

Mit einer ausgelagerten Lösung wie TeamDrive können Sie jedoch die Mail an sich ggf. zu einem "Umschlag mit Anschreiben" machen. Wenn die Mail nur die Formalitäten enthält, aber keine inhaltlichen Details sondern einen passwortgeschützten Link auf einen abgesicherten und im DATEV-RZ gehosteten Server, wo der "Anhang" in beliebigem Dateityp zur Mail vom Versender (ohne eigenes Zutun!) bereits vor dem Upload verschlüsselt hochgeladen wurde (Transport verschlüsselt, Inhalt verschlüsselt), der eventuell noch mit einer zeitlich ablaufenden Frist versehen ist, nach der kein erneuter Download mehr möglich ist, dann ist das meiner Ansicht nach schon deutlich praxistauglicher und unbedenklicher als viele andere Lösungen.

Das Thema ist aber tatsächlich zu komplex, als dass man es in einem Forum abschließend erörtern könnte. Hier holt man sich nur Anregungen und Denkanstöße. 🙂

Super geschrieben!
Genau aus diesem Grund habe ich die Diskussion hier angestoßen. Somit haben wir mehrere Lösungsansätze und können für uns einen passenden finden.

Im Endeffekt sollte man sich hier erstmal für eine Art von Lösung entscheiden.
Nimmt man nun eine verschlüsselte Cloud - oder bleibt man beim alten Format und verschlüsselt nur seine Mails über einen Dienstleister.

Beides hat seine Vor- und Nachteile.

Wir stellen für verschiedene Kanzleien aus Deutschland S/MIME E-Mail Zertifikate aus. Grundsätzlich empfehlen wir unseren Kunden (bsp. Kanzlei) unser Enterprise Secure E-Mail Zertifikat. Darin werden unter anderem Organisationsname, Adresse wie auch Vor- und Nachname des Mitarbeiters verifiziert.

Da für eine verschlüsselte Kommunikation sämtliche Kommunikationsteilnehmer ein Zertifikate benötigen, empfehlen wir jeweils unseren Kunden, dass Sie Ihren Mandaten (Privatpersonen) den folgenden Link zu senden: https://secorio.com/de/faqs/smime-zertifikate/78-wieviel-kosten-email-zertifikate-fuer-privaten-gebrauch. Über diesen Link können die kostenlosen Zertifikate beantragt werden, welche aber ausschliesslich die E-Mail Adresse verifizieren.

Für die Verschlüsselung reicht es, wenn beide ein S/MIME Zertifikat haben. Es muss nicht zwingend vom gleichen Anbieter stammen.

Hallo Frau Decker,

vielen herzlichen Dank für Ihre Ausführungen hier! Ich arbeite jetzt seit kurzem mit der von Ihnen vorgestellten Lösung und bin begeistert. Der Service ist klasse und die Kosten halten sich nun wirklich in Grenzen.

Ich wünsche Ihnen ein schönes verlängertes Wochenende!

Viele Grüße,

Birthe Fitschen

Wir haben usn für die Lösung FTAPI entschieden.

Jedoch freue ich mich sehr, dass wir nicht allein mit diesem Thema dastehen und möchte mich nochmals für das Interesse an meiner Frage bedanken!

Ich möchte nochmals auf das ganze Prinzip des Email-Verkehrs mit Mandanten zurück kommen. Und zwar in Bezug auf die "Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften" des DStV, Stand: April 2018. Dort heißt es Tz. 12.2. auf Seite 40 wörtlich:

"Vertrauliche Nachrichten und Anlagen sind nur verschlüsselt per E-Mail zu versenden."

Und dann weiter:

"In Ausnahmefällen kann mit dem Mandanten vereinbart werden, dass vertrauliche Nachrichten und Anlagen, die keine personenbezogenen Daten Dritter enthalten, unverschlüsselt versendet wer-den. Dies sollte dokumentiert werden."

Hier frägt sich: Was sind vertrauliche Nachrichten? Aber noch viel mehr: Was ist ein Ausnahmefall? Wäre es ein Ausnahmefall, wenn der Mandant keine Verschlüsselungstechnik akzeptiert?
Also ein Daten-pdf mit Passwort verschlüsseln ist das eine, das lässt sich bewerkstelligen. Aber muss jede Email an Mandanten signiert und verschlüsselt werden?

Oder könnten wir uns nicht doch auf diese Fundstelle berufen und "dokumentieren", dass der Mandant Emails auf "einfachem Wege" ohne Signatur und Verschlüsselung erhalten will?

Dem ersten und zweiten Absatz ihres Kommentars kann ich mich zu 100% anschließen.

Die kostenlose GNUPGP funktioniert auf jeden Fall - auch mit Exchange - ist aber als OpenSource-Lösung im gewerblichen Umfeld praktisch nicht umsetzbar.
Lapidar ausgedrückt, treffen sich alle Mailuser die verschlüsselt untereinander kommunizieren möchten, auf sog. "GNUPGP-Parties". Dort zeigt Einer dem Anderen seinen Personalausweis und tauscht mit seinem Gegenüber den Öffentlichen Teil seines Mail-Certificates aus (etwa über USB-Sticks). Dies ist eben die einzig andere Möglichkeit im Vergleich zu S/Mime eine Vertrauensstellung herzustellen. Ist ein wenig vergleichbar mit der Umsetzung der Gesetzeslage zu Geldwäsche.

Da wir nach wie vor unabhängig von Dritten sein möchten, sind wir mit der SFTP-Lösung vollends zufrieden. Diese wird auch von den Mandanten gut angenommen.

"Vertrauliche Nachrichten und Anlagen sind nur verschlüsselt per E-Mail zu versenden."

Was ist letztlich gefordert?

Reicht für dieses Vorschrift die Transportverschlüsselung zwischen den E-Mail-Servern (TLS-Verschlüsselung), oder wird doch eine Verschlüsselung per Signatur gefordert?

Klar, daß hier keine personenbezogenen Daten ohne Kennwort- Verschlüsselung der Anlagen raus gehen, aber was fordert das Gesetz?

Nun ja, zum ersten Absatz von Frau Decker gebe ich aber zu bedenken, dass sich die o.g. zitierten Hinweise des DStV auf den Rechtsstand nach DS-GVO beziehen. Und diese lassen in "Ausnahmefällen" unverschlüsselte Emails zu (bei Einverständnis des Mandanten und entspr. Doku.)!

Ich schließe mich der Ansicht von Hr. Kolberg an - was reicht wenn dann als Verschlüsselung und finde es zudem nicht klar, wann so eine "Ausnahme" vorliegt. Wird sich wohl erst im Laufe der Zeit NACH DS-GVO klären... und bis dahin leben wir mit unberechenbaren Risikiken und unverhältnismäßig hohem Verwaltungsaufwand.

Reicht für dieses Vorschrift die Transportverschlüsselung zwischen den E-Mail-Servern (TLS-Verschlüsselung)

Kann denn irgendjemand bestimmen, dass _alle_ evtl. beteiligten Mailserver den Transportweg tatsächlich verschlüsseln?

Als Absender hab ich da ja nur bis zum ersten Server nach dem eigenen die Gewissheit.

Der Empfänger hat die Gewissheit ja dann auch nur vom letzten Server vor dem eigenen.

Da ist genau der Unterschied zwischen End-to-End-Verschlüsselung, und der "einfachen" Transport-Verschlüsselung zwischen Ihrem Mailprogramm und ihrem Mail-Provider.

Ab ihrem Mail-Provider wird die Mail entschlüsselt und auf dem Weg über verschiedene Mailserver und Provider unverschlüsselt transportiert. Das hat natürlich mit der geforderten Verschlüsselung laut DSGVO nichts zu tun.
(Vielleicht waren sich dieses Umstandes einige Herren und Damen in Brüssel gar nicht bewusst. Zeitweise fürchte ich auch nicht in Deutschland ...).

Wenn die Mails mit Zertifikaten und jeweils privaten/öffentlichen Schlüsseln transportieret werden, ist auch der Weg von Provider zu Provider verschlüsselt. Das wäre dann gesetzeskonform.

Hallo Herr Erbesdobler,

mit Interesse habe ich Ihre Ausführungen zu der von Ihnen eingesetzten SFTP Lösung gelesen und habe eine Frage dazu. Meines Wissens nach unterstützt kein aktueller Browser von Haus aus das SFTP Protokoll. Müssen Ihre Mandanten für den Zugriff auf die Dateien ein Browser Plugin installieren?

Vielen Dank und viele Grüße,

Dana Stoll

Ab ihrem Mail-Provider wird die Mail entschlüsselt und auf dem Weg über verschiedene Mailserver und Provider unverschlüsselt transportiert. Das hat natürlich mit der geforderten Verschlüsselung laut DSGVO nichts zu tun.
(Vielleicht waren sich dieses Umstandes einige Herren und Damen in Brüssel gar nicht bewusst. Zeitweise fürchte ich auch nicht in Deutschland ...).

Das kann man so aber auch nicht pauschalisieren. Mir ist in den letzten Jahren zumindest kein seriöser Provider mehr untergekommen, der den Transportweg nicht verschlüsselt. Hin und wieder findet man Server bei Mandanten / Kunden, wo man sich halt fragt, was der "Admin" beruflich macht. Aber das ist dann auch wieder was anderes.

Wenn die Mails mit Zertifikaten und jeweils privaten/öffentlichen Schlüsseln transportieret werden, ist auch der Weg von Provider zu Provider verschlüsselt. Das wäre dann gesetzeskonform.

Nein. Dann ist die E-Mail an sich verschlüsselt. Auf den Transportweg hat das keine Auswirkung.

Hallo Frau Stoll,

die Mandanten haben drei Möglichkeiten sich auf unsere Austauschplattform zu verbinden:

1.) entweder über einen Client (z.B. WinSCP, Filezilla oder ein BrowserPlugIn) über Port 22, oder

2.) über eine sichere Website mit SSL-Zertifikat Port 443 (https://...). Diese Website wird in der Kanzlei gehostet, der Zugriff erfolgt bewusst nicht über einen DNS-Namen (der umgeleitet sein könnte), sondern über eine feste öffentl. IP der Kanzlei. Die Website wird von der SFTP-Software, die hier auch als Webserver fungiert, bereitgestellt.

Die Website startet bei Aufruf im Browser ein PlugIn welches für jede Session dediziert übertragen wird, und clientseitig nur temporär während der Sitzung vorhanden ist. Die Übertragung erfolgt gesichert ähnlich einer VPN-Verbindung.

3.) Außerdem ist eine Kommunikation über andere Ports außer 22 möglich, z.B. 990 (ftps mit SSL/TLS) .

2.) über eine sichere Website mit SSL-Zertifikat Port 443 (https://...). Diese Website wird in der Kanzlei gehostet, der Zugriff erfolgt bewusst nicht über einen DNS-Namen (der umgeleitet sein könnte), sondern über eine feste öffentl.

Das ist aber ebenfalls mit IP-Adressen machbar: https://en.wikipedia.org/wiki/BGP_hijacking

Zuletzt im etwas größeren Stil: https://www.heise.de/newsticker/meldung/BGP-Hijacking-IP-Verkehr-der-Grossen-Vier-nach-Russland-umgeleitet-3919524.html

Auf einen Seminar zur Steuerberaterhaftung habe ich mal folgende Tipps für wichtige Schreiben bekommen, wenn man notfalls den Zugang beim Mandanten nachweisen muss.

- Das wichtige Schreiben wird mit einer Rechnung verbunden, zum Beispiel mit dem Schlusssatz im Schreiben: "In der Anlage erhalten Sie die Rechung 123 für die Buchführung Mai 2018". Wenn der Mandant später die Rechnung bezahlt hat, dann kann er nicht behaupten, er hätte das Schreiben nicht erhalten.

- Im wichtigen Schreiben wird eine Frage eingebaut, auf die Mandant antworten muss. Die Antwort sollte dann am bestem dokumentiert werden.

Hier ein aktueller Artikel zu Sicherheitslücken bei Emailsverschlüsselung:

PGP und S/Mime: Verschlüsselte E-Mails sind unsicher - Digital - Süddeutsche.de