Hallo Community,
wir sind eigentlich froh, dass wir die Ende-zu-Ende-Verschlüsselung zwischen SmartCard-Besitzern zur sicheren E-Mail-Verschlüsselung einsetzen können.
Jeder unserer Mitarbeiter und einige Mandanten haben eine eigene DatevSmartCard und können per Outlook untereinander S/Mime-verschlüsselte E-Mails austauschen.
Allerdings ergibt sich bei der internen Ablage der E-Mails (z.B. in der Dokumentenablage) das Problem, dass sie in verschlüsselter Form nicht allgemein lesbar sind.
Wie lösen andere Kanzleien dieses Problem ?
Ich denke hier z.B. an interne unverschlüsselte E-Mail-Weiterleitung an ein Exchange-Postfach oder Ähnliches.
Viele Grüße
Michael Vogtsburger
Edit: Überschrift angepasst. Das Problem betrifft nicht nur die Dokumentenablage. Die unverschlüsselten E-Mails könnten auch auf andere Weise abgelegt werden, z.B. in einer Ordnerstruktur auf der Festplatte oder in einem DMS
Gelöst! Gehe zu Lösung.
Hi,
versuchen Sie mal die Mail zu öffnen und aus dem geöffneten Mailfenster via AddIn abzulegen.
Also nicht aus der Mailübersicht des Outlook.
Grüße
Chr.Ockenfels
Danke für das Feedback
.... werde ich testen.
Die E-Mails enthalten evtl. einige Anlagen.
Mir geht es auch darum, dass ich die Anlagen nicht einzeln ablegen muss, sondern zusammen mit der E-Mail.
Viele Grüße
Michael Vogtsburger
Hallo Herr Vogtsburger,
wir benutzen in der Zwischenzeit die E-Mail-Verschlüsselung von DATEV und dann kommen die verschlüsselten E-Mails der Mandanten bei uns unverschlüsselt an (DATEVnet übernimmt die Entschlüsselung).
Früher hatten wir folgende Lösung:
Danach kann die E-Mail dann unverschlüsselt in der DMS/Dokumentenablage gespeichert werden.
Gruß
Ralf Blum
Hallo Herr Blum,
haben Sie eine Idee, wenn die betreffenden Felder unter Eigenschaften ausgegraut sind und sich der Haken nicht entfernen lässt?
Zum Verständnis: Zwischenzeitlich nutzen Sie nur noch die Datev Email-Verschlüsselung (sog Portal-Variante) und nicht mehr die Verschlüsselung über das S/MIME-Zertifikat mittels datev SmartCard?
Hallo Herr Kibler,
Ihr Systemadministrator muss wahrscheinlich in den Gruppenrichtlinien dieses Recht freigeben.
Die Datev E-Mail-Verschlüsselung ist "schlau":
Hat der Mandant seinen öffentlichen Schlüssel bei der DATEV hinterlegt:
und haben Sie Ihr öffentlicher Schlüssel freigegeben (Info-Datenbank, Dok.-Nr. 1071175),
so passiert folgendes bei einer E-Mail von Ihnen an den Mandanten:
Wenn Ihnen Ihr Mandant eine mit Ihrem öffentlichen Schlüssel verschlüsselte E-Mail senden, passiert folgendes:
Siehe auch Info-Datenbank, Dok.-Nr. 1000593
Das Web-Portal zum entschlüsseln beim Mandanten wird nur dann verwendet, wenn der Mandant keinen öffentlichen Schlüssel bei der DATEV hinterlegt hat.
Wir haben zusammen mit unseren großen Mandanten somit eine "Automatik":
eingerichtet Info-Datenbank, Dok.-Nr. 1000399
Gruß
Ralf Blum
Hallo Herr Blum,
Ihr Vorschlag mit dem Entfernen des Hakens (Beitrag Nr. 3) klingt sehr gut und plausibel, da es ja eine Weitergabe/ein Export der E-Mail ist. Edit: Die Ablage in der Datev-Dokumentenablage entspricht ja wahrscheinlich genau dem "Speichern unter (Outlook-Nachrichtenformat, "*.msg")
Allerdings konnte ich bei meinen Tests den Haken auch nicht entfernen, da ausgegraut.
Die E-Mail samt Anlagen wird daher verschlüsselt in der Dokumentenablage gespeichert.
Übrigens, wir verwenden kein DATEVnet und keine Datev-E-Mail-Verschlüsselung, sondern nur auf dem 'normalen' Weg über das öffentliche Internet, von Outlook zu Outlook. Die Signaturen und Zertifikate haben wir mit 'normalen' E-Mails ausgetauscht.
Viele Grüße
Michael Vogtsburger
P.S.
Ich könnte mir auch vorstellen, dass ich jedem E-Mail-/Outlook-Nutzer das Recht zur Änderung der E-Mail-Sicherheits-Einstellungen geben muss
Nachtrag:
Falls ich tatsächlich gezwungen bin, diese Rechte per "Group Policies" einzustellen/zu gewähren, muss ich mich hier evtl. leider für eine Weile verabschieden.
Das Handbuch "Gruppenrichtlinien für Microsoft Office 2010" hat nämlich 373 Seiten und vermutlich steht der entscheidende Hinweis nicht auf den ersten 10 Seiten.
Für einen schnelleren Weg wäre ich jederzeit "offen"
Viele Grüße
Michael Vogtsburger
Schön zur Abwechslung mal auch ein Lob für reine Datevlösungen.
Hallo Herr Eberhardt,
ja man kann auch mal loben. Ich wiederhole mich da immer wieder: im Kern sind die DATEV Programme gut, aber arbeiten nur schlecht zusammen.
Aus meiner Sicht, fehlt bei der DATEV ein "Prozessmanager" anstatt den vielen Produktmanagern.
Daher habe ich auch beim Programm E-Mail-Verschlüsselung einen konkreten Verbesserungsvorschlag.
Zur Zeit kann man in den Stammdaten bei einem Adressaten nicht erkennen, ob dessen E-Mail-Adresse schon bei der DATEV E-Mail-Verschlüsselung registriert ist. Daher erfassen wir bei diesen Mandanten in der E-Mail-Adresse im Bemerkungsfeld ein "(MV)" oder wenn er unser Formular bezüglich dem Verzicht auf die E-Mail-Verschlüsselung unterschrieben hat ein "(oMV)".
Und hier müsste aus meiner Sicht das DATEV Program E-Mail-Verschlüsselung mit den Stammdaten (auch ein DATEV Programm) zusammenarbeiten und alle E-Mail-Adressen, die für die E-Mail-Verschlüsselung registriert sind, automatisch kennzeichnen.
Gruß
Blum
Hallo Herr Vogtsburger,
ich habe mal in unserem Bug Tracker (Mantis Bug Tracker) nachgesehen. Dort hat unser Systempartner hinterlegt:
HKEY_CURRENT_USER\Software\Microsoft\Office\ 16.0 \Outlook\Security
“AllowRecvMsgDecryption”=dword:00000001
Ein noch älterer Eintrag (abhängig von der Office-Version):
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security
“AllowRecvMsgDecryption”=dword:00000001
Das wurde dann über eine Gruppenrichtlinie verteilt.
Gruß
Ralf Blum
Vielen Dank, Herr Blum,
... werde ich gleich ausprobieren.
Solche Registry-Einträge sind aus meiner Sicht immer der schnellste Weg, Systemeinstellungen anzupassen.
Viele Grüße
Michael Vogtsburger
Nachtrag:
Ich bin hell begeistert !
Ihr Tipp funktioniert !
Nochmals vielen Dank
Michael Vogtsburger
P.S.
Man kann die folgenden Zeilen auch in eine *.reg"-Datei (eine 'normale' Text-Datei mit der Datei-Endung ".reg") schreiben und mit Doppelklick in die Registry "einbauen"
Übrigens, die Version 14.0 ist "Outlook 2010"
........................
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security]
"AllowRecvMsgDecryption"=dword:00000001
........................
(frei nach Neil Armstrong: "ein kleiner Klick für den User, ein großer Schritt für die Kanzlei")
Nachtrag:
Der Tipp von Herrn Ralf Blum funktioniert bei mir sowohl unter "Windows 10" als auch unter "Windows 7", mit "Outlook 2010" und mit "Outlook 2016", obwohl die Registry in den Unterschlüsseln anders aussieht.
Viele der möglichen Schlüssel und Einträge werden nicht angezeigt, da sie nicht explizit gesetzt sind.
Wenn man diese Einträge aber manuell setzt, werden sie auch verwendet
Viele Grüße
Michael Vogtsburger
Nachtrag:
Die Entschlüsselung und Ablage von E-Mails funktioniert ja jetzt.
Das ist schon mal prima !
Allerdings wurden inzwischen ja schon viele E-Mails in der Dokumentenablage (leider) verschlüsselt abgelegt (gespeichert).
Jetzt stelle ich mir die Fragen:
Ich werde natürlich auch selbst versuchen, die Fragen zu klären, aber vielleicht muss ich ja das Rad nicht neu erfinden
Viele Grüße
Michael Vogtsburger
Hallo Herr Vogtsburger,
eine Suchmöglichkeit nach verschlüsselten E-Mails in der Dokumentenablage ist mir unbekannt. Der letzte Punkt würde nur funktionieren, wenn Sie Ihre SmarCard und PIN einem Ihrer Mitarbeiter geben (wäre aber nicht so im Sinne des Erfinders).
Der zweite Punkt sollte funktionieren.
Für Anwender, die sich nicht an die Registry heranwagen war unsere Lösung davor folgende: Ich habe mir selbst die E-Mail des Mandanten nochmal unverschlüsselt zugesendet und dann diese unverschlüsselte E-Mail in der DMS gespeichert ==> Einfache aber unschöne Praktikerlösung.
Gruß
Ralf Blum
Danke Herr Blum für das schnelle Feedback,
das nochmalige unverschlüsselte Versenden der E-Mail würde ja wieder über das öffentliche Internet laufen. Das will ich vermeiden.
Mit Ihrem schönen Registry-Tipp ist diese Notlösung sowieso überflüssig.
Ich will mal testen, ob ich auf irgendeine Weise verschlüsselte E-Mails in der Datev-Dokumentenablage erkennen und suchen kann. Das wäre schon mal "die halbe Miete".
Vermutlich kann ich die E-Mails auf Systemebene nicht entschlüsseln. Das wäre zu schön um wahr zu sein.
Aber per PowerShell-Script kann man anscheinend innerhalb von Outlook komplette Ordner-Inhalte entschlüsseln.
Auf jeden Fall ist die Prozedur mit Zeitaufwand verbunden ("viel Steine gab's und wenig Brot").
Viele Grüße
Michael Vogtsburger
Hallo Vogtsburger,
wir haben einen Exchangeserver, so dass die E-Mail an mich selbst nicht über das öffentliche Internet läuft. Auch wenn das von der DATEV angebotene Produkt "DATEVnet Hosted Exchange" verwendet wird sollte das über eine sichere https Verbindung laufen.
Gruß
Ralf Blum
Beim Versuch der Mitarbeiter, ihre verschlüsselt abgelegten E-Mails direkt aus der Dokumentenablage heraus ....
... erscheint die folgende Fehlermeldung:
Ich frage mich, ob das ein NTFS-Rechteproblem oder ein BRV-Rechteproblem ist.
Es überrascht mich, dass der Mitarbeiter zwar ablegen aber nicht aktualisieren kann.
Jede(r) Mitarbeiter(in) soll selbst und gezielt diese Aktion ausführen dürfen, er/sie/es soll aber nicht versehentlich "Schaden anrichten" (z.B. durch Löschen von Dateien).
Viele Grüße
Michael Vogtsburger
Nachtrag:
Ich habe jetzt das Problem gelöst.
Die folgende Vorgehensweiseist führt zum Ziel:
... letztlich einfacher als gedacht
Hallo Herr Blum,
den Vorschlag, den Haken zu entfernen und die Nachricht dann im Dokumentenmanagementsystem zu speichern finde ich zwar umständlich, aber zielführend. Wird dann aber die Nachricht noch als unverändert erkannt?
Wir sind auf der Suche nach einer praktikablen Lösung zur Verschlüsselung der Nachrichten mit unseren Mandanten, derart, dass die gesendeten und empfangenen Nachrichten im Dokumentenmanagement, ähnlich wie bei beA, samt Prüfprotokoll abgelegt werden.
Mich stört derzeit, dass alle Nachrichten beispielsweise von DATEV, die älter als fünf Jahre sind, mit ungültiger Signatur versehen sind. Zum Zeitpunkt des Empfangs war aber die Signatur gültig.
"Für die Archivierung aller ein- und ausgehender E-Mails empfiehlt DATEV die Lösung von MailStore. MailStore ist der führende Anbieter in Deutschland für die rechtssichere Komplettarchivierung.
Hat jemand damit Erfahrung, ob dabei Prüfungen zur Gültigkeit eines Zertifikats archiviert werden?
Grüße
Boris Lemler
Mich stört derzeit, dass alle Nachrichten beispielsweise von DATEV, die älter als fünf Jahre sind, mit ungültiger Signatur versehen sind. Zum Zeitpunkt des Empfangs war aber die Signatur gültig.
Man mag mich jetzt gern korrigieren, aber ist das nicht normal? Signieren/Verschlüsseln geht auf Basis von Zertifikaten und diese laufen nunmal irgendwann aus. Ich glaube 3 Jahre war das Maximum bei öffentlichen Zertifikaten. Das nun fünf Jahre später die Signatur ungültig ist, sollte normal sein. Das zugrundeliegende Zertifikat ist abgelaufen und kann nicht mehr erfolgreich validiert werden.
Hallo Herr Dombrowski,
da stimme ich Ihnen zu, deshalb suche ich doch auch eine Möglichkeit für die signierten oder verschlüsselten E-Mails, dass sie wie beim Anwaltspostfach automatisch mithilfe meiner Smartcard entschlüsselt und mit allem drum und dran unverschlüsselt bei uns gespeichert werden.
Wenn über das Anwaltspostfach eine Nachricht verschickt wird, landet eine Zip-Datei automatisch im DMS. Darin sind alle Zertifikate, deren Prüfprotokolle, die Nachricht selbst und die Anhänge. Und auch wenn alle Zertifikate abgelaufen sein werden, wird das Prüfprotokoll immer noch vorhanden sein.
Gruß
Boris Lemler
Da es unterschiedliche Verschlüsselungs-Techniken und unterschiedliche Zertifikate gibt, wird man nicht alles 'über einen Kamm scheren' können.
Außerdem kann man beim 'normalen' E-Mail-Verkehr nicht sämtliche Funktionen erwarten, die das Anwaltspostfach bietet. Dort geht es ja z.B. auch um die 'elektronische qualifizierte Signatur', eine ganz andere Anforderung.
Bei 'normalen' Zertifikaten (z.B. in PDF-Rechnungen) erhalten Sie kein Prüfprotokoll. Also kann auch kein Prüfprotokoll automatisch archiviert werden.
Eine Einzelprüfung müsste manuell angestoßen werden.
Wenn Sie Ihre alten Dokumente noch öffnen können, ist es schon 'die halbe Miete'. Eine Stufe 'härter' wäre es, wenn Sie eine s/mime-verschlüsselte Datei nicht mehr öffnen (lesen) können, weil die zugehörige SmartCard nicht mehr vorhanden ist.
Sicherlich gibt es unterschiedliche Zertifikate, aber sie sind alle über die Schleife an der E-Mail aufzurufen. In einer neueren gibt es beispielsweise folgenden Eintrag:
OK: Signiert von pilot-stabiphase@DATEV.DE unter Verwendung von RSA/SHA256 um 11:06:15 26.11.2019.
Daneben auch noch viele andere Informationen, die automatisch bei Erhalt der E-Mail gespeichert werden könnten.
Die einfache Signatur ist mit der DATEV SmartCard möglich, eine qualifizierte Signatur bietet DATEV leider nicht an, verweist dazu auf
Gibt es hierzu mittlerweile einen Trick, wie ich eine erhaltene verschlüsselte E-Mail unverschlüsselt in DMS (neu) ablegen kann?
Die verschlüsselten E-Mails werden mir in DMS wie folgt angezeigt und es kann immer nur die Person öffnen, die die E-Mail abgelegt hat (es sollen aber auch andere öffnen können):
Beim öffnen erscheint dann folgende Meldung:
Falls es relevant ist, wir nutzen Outlook 2013.
Danke vorab.
Hallo @Steuermann10 ,
ich würde an Ihrer Stelle den Tipp von Herrn @blum anwenden (Beitrag #11 hier im Thread).
Er hat sich bei mir schon oft und gut bewährt.
Das Zitieren oder nochmalige Schreiben dieses Tipps ist aus Umweltschutzgründen (Energie-Einsparung) im "Ökosystem Datev" wahrscheinlich nicht erwünscht 😄
@Steuermann10 schrieb:Gibt es hierzu mittlerweile einen Trick, wie ich eine erhaltene verschlüsselte E-Mail unverschlüsselt in DMS (neu) ablegen kann?
In PDF konvertieren, dann ablegen.
@cwes schrieb:
... In PDF konvertieren, dann ablegen ...
... wüsste jetzt nicht, wie man mit dieser Methode schnell zum Ziel kommt. E-Mail können ja auch mehrere oder gar viele E-Mail-Anlagen haben.
... mit der o.g. Outlook/Registry-Methode ist bei der "Entschlüsselung" einer S/MIME-verschlüsselten E-Mail nur ein einziger Klick zum Entschlüsseln und ein zweiter Klick zum Speichern erforderlich.
@blum schrieb:Hallo Herr Vogtsburger,
ich habe mal in unserem Bug Tracker (Mantis Bug Tracker) nachgesehen. Dort hat unser Systempartner hinterlegt:
HKEY_CURRENT_USER\Software\Microsoft\Office\ 16.0 \Outlook\Security
“AllowRecvMsgDecryption”=dword:00000001
Ein noch älterer Eintrag (abhängig von der Office-Version):
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security
“AllowRecvMsgDecryption”=dword:00000001
Das wurde dann über eine Gruppenrichtlinie verteilt.
Gruß
Ralf Blum
Ich habe hier dazu mal eine Anleitung erstellt, wie man den entsprechenden Registrierungsschlüssel hinzufügt.
@clblank ,
... die manuelle Änderung bzw. das manuelle Hinzufügen des Registry-Schlüssels ist mir ehrlich gesagt zu viel 'Geklicke'
... ich arbeite lieber mit einer vorbereiteten .reg-Datei, die ich per Doppelklick 'implantieren' kann
@vogtsburger schrieb:@clblank ,
... die manuelle Änderung bzw. das manuelle Hinzufügen des Registry-Schlüssels ist mir ehrlich gesagt zu viel 'Geklicke'
... ich arbeite lieber mit einer vorbereiteten .reg-Datei, die ich per Doppelklick 'implantieren' kann
Ich habe den Schlüssel am ersten PC manuell eingefügt, dann exportiert und importiere ihn nun mit einem Klick bei den anderen PCs. Da ich ohnehin an jeden Arbeitsplatz muss, um das Zertifikat zu installieren, passt das so.
Gibt es einen einfacheren Weg?