Ich denke dann ist DSGVO das kleinere Problem ...

Und was ist mit Spectre II oder de ME (nicht nur in Intel Servern) ?

Datev E-Mail Verschlüsselung:

Mal ne doofe Frage. Was machen Empfänger die kein E-Mail Programm nutzen, sprich nur dieses Online Postfach im Internetexplorer verwenden. Die können ja dann nicht einmal die entschlüsselte Email ausdrucken?

Nur exportieren in ein E-Mail Programm möglich??

Edit: Ach ne gerade gesehen einfach rechtsklick und drucken

Bzgl. der Meldung der SZ in Sachen Sicherheitslücken: Das gibt´s ja nicht, oder? Also ehrlich: dann müssen wir uns doch gar nicht anstellen mit dem Verschlüsselungs- und Signierwahnsinn, oder?

Allerdings meint das BSI zu den neuen Sicherheitslücken, dass es "halb so wild sei", bzw. dass man "nur" ein paar Sachen beachten müsse:

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/efail-schwachstellen_15052018.html

Ganz ehrlich - ich steig da jetzt dann aus bzw. gar nicht erst ein. Als Klein-Kanzlei zerbreche ich mir seit Wochen den Kopf und recherchiere mich ab, wie ich künftig mit meinen paar Mandanten Emails schreiben "darf", aber jetzt wird es mir dann echt zu bunt. Ich werde vorerst einfach vertrauliche und personenbezogene Infos in passwortgesicherte pdf.s an die Email hängen und fertig. Kein S/Mime beim Mandanten, ist doch kaum einer bereit, Zeit und Kosten in eine "sichere" Email-Verschlüsselung und Signierung zu investieren, und was ist denn nun sicher? Und die Lohndaten lasse ich mir am besten telefonisch oder per Fax durchgeben - z.B. 🙂

Na ja, ich hätte da schon eine Idee:

Voraussetzung ist allerdings, dass ich nicht gegen den Datenschutz verstoße, wenn ich meine eigene Kanzlei-Telefonnummer unverschlüsselt übertrage.

Ich würde dann nur noch Mails mit dem folgenden Text verschicken:

Ich habe eine Frage bitte rufen Sie mich unter der folgenden Telefonnummer an.

Mit freundlichen Grüßen

Ihr Steuerberater

Aber mal ernsthaft:

Wir sollen digitalisieren, aber überall fliegen uns irgendwelche Prügel zwischen die Beine.

Anscheinend haben aber die Telekom und das Fraunhofer Institut den Ernst der Lage begriffen und handeln, wie der folgende Link zeigt:

www.volksverschluesselung.de

Doof ist nur, dass man für die Registrierung entweder einen Personalausweis mit Online-Funktion oder einen Telekom-Account besitzen muss. Besitzt man keins von beiden, kann man aber gern am 18.05. oder 15.06. zwischen 12:00 Und 15:00 persönlich kurz in Darmstadt vorbeischauen und sich registrieren lassen. Personalausweis nicht vergessen !!!

Nicht lachen, die meinen das ernst.

Auf die Volksverschlüsselung bin ich gestern auch schon gestoßen...

Glücklich der, der an der ganzen Entwicklung die nötige Portion Spaß finden kann 🙂

... aber genau dadurch wären die Wachstäfelchen nicht GoBD-konform, weil nicht unveränderbar! Daher rate ich zu Papyrusrollen.

Hallo Frau Decker,

vielleicht wäre so ein Copyright tatsächlich eine gute Idee.

1. Keine Kosten für Verschlüsselung
2. Endlich kein verstopfter Datenhighway mehr
3. Durch die geringere Datenmenge entfällt der teure Glasfaserausbau
4. Die Internetkosten der Kanzleine sinken deutich
5. Die Lizenzgebühren würden vermutlich schon nach kurzer Zeit ausreichen, meinen Lebensunterhalt zu finanzieren, ich könnte meine Kanzlei verkaufen und meine Familie wäre glücklich.

Aber auch die Idee mit den Wachstäfelchen finde ich gut. Die Datev mutiert vom Softwarehersteller und Rechenzentrumsbetreiber zum Wachstäfelchen-Produzenten und Kurierdienst "Grüner Reiter" und alle wären glücklich.

Liebe Kolleginnen und Kollegen,

nur um das klar zu stellen: Ich nehme das Thema sehr wohl ernst.

Vor 2 Jahren hat die Politik die EU-Richtlinie umgesetzt und sich dann zurückgezogen, getreu dem Motto "Wir haben unseren Job getan, der Rest geht uns nichts mehr an, das ist Sache der Wirtschaft".

Unsere Kammern und Verbände haben sich ebenfalls Zeit gelassen und jetzt bricht wie immer bei gesetzlichen Neuregelungen hektische Panik aus.

Egal für welche Verschlüsselungsmethode wir uns entscheiden, keine ist meiner Meinung nach sicher. Das scheint aber auch nicht die Absicht der Schöpfer der DSGVO gewesen zu sein. Jede noch so einfache Verschlüsselung ist offensichtlich ausreichend.

Jede Kanzlei kann und muss für sich entscheiden, welche Verschlüsselung sie welchen Mandanten anbietet oder ob das Medium Email überhaupt noch genutzt werden soll.

Wichtig für mich ist der Erfahrungsaustausch in Foren wie diesen über den 25.05. hinaus, wenn erste Erfahrungen aus der Praxis aufschlagen.

Außerdem bitte nicht vergessen, dass die Email-Kommunikation - samt Verschlüsselung - auch in der Datenschutzrichtlinie und im Verzeichnis der Verarbeitungstätigkeiten Eingang findet.

Eine Möglichkeit wäre für mich auch, dass alle Mandanten ein mIdentity bekommen. Ich bin mir sicher, dass viele Mandanten bereit wären sich an den einmaligen Kosten zu beteiligen. Damit erhalten sie automtisch auch ein Zertifikat zur Verschlüsselung. Das Zertifikat muss einmalig im Mailprogramm des Mandaten installiert werden, das übernehmen meine Mitarbeiter per Fernwartung in 5 bis 10 Minuten. Anschließend brauche ich noch einmalig eine Mail vom Mandanten mit seiner Signatur und ich kann mit meinem mIdentity die Mails an den Mandaten verschlüsseln.

Einziger Nachteil: Mandanten, die ihre Mails am Handy oder Tablet lesen. Da kann es zu Problemen kommen.

Kann die Datev da bei einer Lösung behilflich sein?

"Sichere" Email mit Zertifkat für den Mandanten müsste bei DUO-Mandanten auch über das SmartLogin gehen, oder?

Kann schon jemand Erfahrungen mit der "neuen" DATEVnet-Email-Verschlüsselung teilen?

Ich verstehe diese nach Studium der Leistungsbeschreibung (Lexinform-Dok.-Nr.: 0903245) so:

Sofern Smartcard/mIdentity oder öffentlicher Schlüssel bei Mandant vorhanden, läuft die Ver- und Entschlüsselung im Hintergrund von selbst.

Sofern bei Mandant weder Smartcard/mIdentity noch öffentlicher Schlüssel vorhanden ist, wird die email bei DATEV in einer Art Portal gespeichert. Mandant kann mit selbst vergebenem Benutzernamen und Passwort darauf zugreifen. Ich als Berater muss also nicht, wie bei der "alten" DATEV-email-Verschlüsselung, mit irgendwelchen Passwörtern hantieren.

Hört sich - da wir DATEVnet sowieso im Einsatz haben - für mich nach einer Lösung an, die zumindest ich als Berater schnell und kostengünstig umsetzen könnte. Wenn es denn so leicht funktioniert, wie es sich anhört.

Hat da schon jemand praktische Erfahrungen?

Und ob der Mandant uns weiterhin unverschlüsselte emails oder Postkarten schickt, liegt ja nicht in meiner Macht... (oder?)

Gruß,

F. Berger

Hallo Herr Berger,

ich habe diese Lösung im Einsatz, da ich seit Jahren mit DATEV E-Mail-Verschlüsselung arbeite. Die Rückmeldungen von den Mandanten sind zu 90% positiv. Es gibt aber immer welche, die Probleme mit der Verschlüsselung haben. Für mich ist es in jedem Fall eine Erleichterung nicht ständig Passwörter per SMS verschicken zu müssen.

Um aber auch den Weg der sicheren Übertragung vom Mandanten an mich abbilden zu können, habe ich seit kurzem auch die von Frau Decker hier vorgestellte Team-Drive-Lösung im Einsatz und bin begeistert.

Damit bin ich - meiner Ansicht nach - was die Sicherheit der Daten auf dem Weg zwischen mir und meinen Mandanten angeht, gut aufgestellt. Aber wenn ich solche Artikel, wie den in der Süddeutschen Zeitung lese, kommt die Unsicherheit zurück.

Viele Grüße,

Birthe Fitschen

Aber wenn ich solche Artikel, wie den in der Süddeutschen Zeitung lese, kommt die Unsicherheit zurück.

Hallo Frau Fitschen,

das ist das Problem, seit die Mainstream-Medien den Bereich IT(-Sicherheitslücken) als Sensationsthema entdeckt haben und seitdem regelmäßig den digitalen Weltuntergang androhen.

Viel Trara um nix, keine ordentlichen Quellenangaben (zu dem Thema wäre https://efail.de relevant), unklare Formulierungen und keinerlei qualitative Bewertung der "Lücke".

Irgendwo im langen Text dann der kurze Hinweis:

Der Angriff der Forscher basiert auf zwei Bedingungen: Erstens, sie

besitzen den Ciphertext. Zweitens, im E-Mail-Programm wird HTML erlaubt.

Nur dank HTML lassen sich zum Beispiel die Links in einer E-Mail

anklicken. Die Mail wird so abgeändert, dass sie Elemente nachlädt, also

Webseiten besucht, die die Forscher bestimmen können. Ähnliches

passiert, wenn in E-Mail-Signaturen zum Beispiel das Firmenlogo

auftauchen soll. Das Logo muss erst einmal nachgeladen werden.

Das könnte man auch anders formulieren:

Der Diebstahl basiert auf zwei Bedingungen: Erstens, der Dieb besitzt einen Schlüssel. Zweitens, die Tür ist von außen erreichbar.

Wäre das jetzt Grund für Sie, Ihr Haus generell offen stehen zu lassen, nur weil ein Dieb ja unter abstrusen Bedingungen "ganz einfach" reinkommen könnte?

Schön zu sehen ist auch, dass auf der offiziellen Seite https://efail.de/#mitigations  als Abhilfe im Prinzip steht: automatische Entschlüsselung deaktivieren (soweit so gut, aber wo ist die Neuigkeit? Wenn ein System so konfiguriert ist, dass es Dinge automatisch tut, sollte es niemanden überraschen, wenn sie auch "im falschen Moment" automatisch getan werden können). Dann HTML Mailanzeige ausschalten. Sollte eh standard sein. Leider mögen Viele "triste" Text-Mails nicht. Weil, eine bunte Signatur und rot markierter Text gehören schon in eine Mail, selbst wenn im Office nur ein monochrom-Laser-Drucker steht.

Interessanter: Nummer drei: Patching. Genau! Das Problem lässt sich nämlich programmseitig über den E-Mail-Client lösen, wenn er so präparierte Nachrichten anders behandeln würde.

Bisher haben wir dort also drei Maßnahmen, die absolut nichts mit dem Standard S/MIME oder PGP zu tun haben. Und plötzlich scheint die öffentliche Berichtserstattung gar nicht mehr so hochwertig... 😉

Wie gestern schon kurz eingeworfen, gibt es (auf Deutsch) zu den "Sicherheitslücken" etwas Offizielles vom BSI:

https://www.datev-community.de/external-link.jspa?url=https%3A%2F%2Fwww.bsi.bund.de%2FDE%2FPresse%2FPressemitteilungen%2…

mit Verweis hierauf:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Standardartikel/efail_faq.html

Empfänger erhält eine Mail mit einem "Klick mich"

Genau das ist lt. DATEV und allgemeiner Empfehlungen ein NoGo!

Frage:
Wie soll Mandant erkennen, ob es eine echte- oder eine Fake- Mail mit einem bösen "Klick mich" ist?

Wer haftet, wenn StB dieses verfahren anbietet und Mandant fremden Mist anklickt, weil er dachte, das sei vom StB?

Hm, da ist natürlich was dran. Was sagt denn DATEV dazu?

Hallo Frau Fitschen,

ich wäre Ihnen dankbar, wenn Sie noch eine kurze Beschreibung der Team-Drive- Lösung machen könnten. Was braucht man, wie funktioniert es, ...

Besten Dank im Voraus.

Viele Grüße

re

Hallo Herr Eisel,

Frau Decker hat das im Thread hier unter der Nr. 34 bereits ausführlich vorgestellt. Aufgrund dieses Beitrages habe ich mich telefonisch an die angegebene Firma gewandt und es funktioniert alles wie beschrieben .- und zwar schnell und reibungslos. Ich hatte erwartet, dass sich die Reaktionszeiten des Systempartners aufgrund größeren Zulaufs eventuell verlängern, dem ist aber nicht so.

Viele Grüße,

BF

Kann man zu den Kosten bei der Teamdrive Lösung etwas sagen ?

Ausser das diese sehr günstig sind ?`

Wie wird der Space berechnet ?

Wer richtet die Ordner ggf. auch mit Mailbox ein ?

Hört sich für mich nach einer relativ vernünftigen und guten Lösung an.

Schöne Grüße aus dem Süden der Republik in die Community

Hallo Herr Eberhardt,

ich bin in dieser Hinsicht DATEV-geschädigt und nenne hier im Forum ungerne Preise - insbesondere, da diese dann auch noch in einem Jahr oder später nachlesbar sind.

Ich kann Ihnen die Antwort hierauf gerne per PN schicken. Am einfachsten wäre es jedoch Sie rufen Herrn Maier von CDS an, dann erhalten Sie von ihm per Mail einen Link zu den Informationen.

Die Ordner für die Mandanten richte ich in meinem Space ein, die Benutzer werden vom Systempartner eingerichtet. Die Benutzer den Ordnern zuordnen ist wiederum meine Aufgabe.

Viele Grüße aus dem sonnigen Norden

Danke für die Info, dann habe ich jetzt wohl ein neues Projekt auf meiner Agenda

Hallo Frau Fitschen,

vielen Dank für den Hinweis, den Thread Nr. 34 hatte ich überlesen.

Kann jemand eine Aussage treffen, inwieweit der Import von Daten über den Team-Drive von DatenNet/Viwas überwacht werden kann?

Da liegt nämlich bei der Dropbox das Problem, dass wohl der Sicherheitsmechanismus von DatevNet dadurch umgangen wird.

Im Übrigen habe ich die Datev E-Mail-Verschlüsselung im Einsatz.

Freudenschreie der Mandanten sind bisher ausgeblieben, aber bis auf ganz wenige Mandanten wird es inzwischen von fast allen akzeptiert. Das Handling in der Kanzlei ist dafür aber easy und der Schutz der Daten hoch.

Viele Grüße

re