Grundsätzlich kann jede E-Mail oder jede Seite im Internet mit entsprechenden Kenntnissen auch gefälscht werden. Diese Problematik ist bei einer Internet-Nutzung direkt am Client-PC nicht auszuschließen. Für das Thema DATEV E-Mail-Verschlüsselung bedeutet das, es gibt keinen Unterschied zwischen einer unverschlüsselten E-Mail, einer Träger-E-Mail mit verschlüsseltem PDF-Anhang (alte Version) oder der neuen Trägermail mit secure-email.html. Was kann der E-Mail-Empfänger tun? Er kann überprüfen, ob der Mail-Absender im Mail-Header auch derjenige ist, von dem er E-Mails erwartet. Oder, wie bereits von den Diskussions-Teilnehmern angesprochen, eine durchgehende S/MIME-Verschlüsselung implementieren, was technisch nicht einfach ist. Eine handhabbare technische Lösung für die diskutierte Problematik existiert: Mit DATEVnet und der DATEV E-Mail-Verschlüsselung auch beim E-Mail-Empfänger erfolgen S/MIME-basierte Ver- und Entschlüsselung zentral in der DATEV-Cloud und ohne Umweg über das Entschlüsselungsportal. Hier werden zudem alle Anhänge zentral auf Viren überprüft. Der Nachteil: Endpoint-security auf hohem Niveau ist nicht kostenlos machbar. Grundsätzlich ist die IT-Sicherheit in der DATEV-Cloud auf einem sehr hohen Standard. So werden alle Internet-Produkte Penetrationstests durch externe Firmen unterzogen. Beim Entschlüsselungsportal der DATEV E-Mail-Verschlüsselung verwendet DATEV sogn. EV-SSL-Zertifikate (Extended Validation SSL-Zertificate). Das erweiterte SSL-Zertifikat ist an eine sehr viel stärkere Authentisierung des Antragstellers gekoppelt, was eine Fälschung der Internet-Seite deutlich erschwert. Kenntlich wird das EV-SSL-Zertifikat durch die Farbänderung in der Adresszeile des Browsers. (z.B. grün in Google Crome)
... Mehr anzeigen
