abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Berufspflichtverletzung durch Smartcard-Zertifikat?

5
letzte Antwort am 05.05.2020 13:35:37 von Thomas_Neumeier
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
cwes
Meister
Offline Online

am ‎09.04.2019 10:25

Nachricht 1 von 6
1324 Mal angesehen

TL;DR: Es ist derzeit nicht sichergestellt, dass man eine mit dem DATEV-Zertifikat an einen selbst verschlüsselte E-Mail auch entschlüsseln kann. Das kann m.E. zu berufsrechtlich problematischen Situationen führen.

Stellen Sie sich vor, in Ihrem E-Mail-Eingang befindet sich folgende Mail:

"Bitte fertigen Sie für mich aufgrund der angefügten Unterlagen eine strafbefreiende Selbstanzeige beim Finanzamt. Antworten an diese E-Mail-Adresse sind nicht möglich (Wegwerfadresse). Bei Rückfragen kontaktieren Sie mich bitte über ... ."

Das Problem mit dieser Mail ist, dass Sie sie (einschließlich Anhängen) nicht lesen können! Somit können Sie nicht mit dem Absender in Kontakt treten, um ihn z.B. über die Auftragsablehnung (63 StBerG) zu informieren.

  1. Der Sender ist nicht dafür verantwortlich, dass Sie die E-Mail nicht lesen können. Er hat sich Ihr Zertifikat aus dem Verzeichnis der Datev (https://www.crl.esecure.datev.de/ENCAUT/ENC/suche.php) heruntergeladen und es nach allen ihm erkennbaren Umständen richtig zur Verschlüsselung verwendet.
  2. Sie besitzen auch den richtigen Schlüssel (Zertifkat auf Smartcard/mIdentity) um die Nachricht zu entschlüsseln.
  3. Allerdings unterstützt das Datev-Sicherheitspaket nicht alle Verschlüsselungsalgorithmen, die das Zertifikat anbietet. Das E-Mail-Programm des Senders ist modern, und es hat sich für AES (wie vom Zertifikat angeboten) entschieden. Das kann das Sicherheitspaket nicht entschlüsseln (siehe Info-DB 1003617).

Diese Software"eigenschaft" (Datev möchte hier das Wort "Fehler" nicht verwenden) führt nun dazu, dass Sie notgedrungen nicht auf den Ihnen angetragenen Auftrag reagieren können (weder ablehnen noch annehmen und erledigen). Ob dadurch

  • eine Berfuspflichtverletzung eingetreten ist (schließlich haben Sie das Zertifikat zum Download freigegeben)
  • wer dafür verantwortlich ist (Sender, Datev, oder im Zweifel eben Sie) und
  • wer den Schaden ersetzt (im Zweifel erstmal Sie, 63 S. 2 StBerG)

sind spannende Fragen. Ich möchte diese nicht klären und habe daher die Veröffentlichung aller unserer Zertifikate zurückgezogen (Info-DB 1003977). Um der Verbreitung der Datev-Zertifikate entgegenzuwirken, werden sie auch nicht mehr zur Signatur eingesetzt. Mit Zertifikaten von Globalsign tritt dieses Problem nicht auf.

@DATEV: Wie sehr würden Sie mir empfehlen, einer Organisation zu vertrauen, die den Zustand "Du kannst Deine Korrespondenz nicht lesen" im rechts- und steuerberatenden Bereich für akzeptabel hält? Sollte ich dieser Organisation in Zukunft wieder bei einer Verschlüsselungslösung vertrauen?

Sicherlich kommt nun "Dann verwende eben Datev-Email-Verschlüsselung". Nein danke: https://www.msxfaq.de/signcrypt/gateway/datev_sichere_mail.htm

IT-affine Mandanten halten mich dann außerdem für bescheuert.

Das ganze abschließend zu klären, mit

  1. Einführung der Datev-Zertifikate bei uns
  2. Mandanteninformation über die Datev-Zertifikate
  3. Feststellen und Klären des Problems
  4. Eingestehen, dass die von mir eingesetzte Lösung eine nicht akzeptable Schwäche hat
  5. Rollback
  6. Alternativlösung finden und Rollout

hat mich ungefähr eine 3-4 Arbeitstage unnötige Zeit und 9 Euro (auf die Datev auch nicht verzichten will) für den Servicekontakt gekostet. Hätte bei den Zertifikaten offen gestanden "aber Vorsicht, geht nur, wenn der Sender exotische Einstellungen vornimmt", wäre ich in der Zeit lieber mit meiner Familie in den Zoo gefahren.

#sendepause
Antworten
DATEV-Mitarbeiter
Amel_Durovic
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online

am ‎25.04.2019 15:20

Nachricht 2 von 6
744 Mal angesehen

Hallo Herr Dr. Westphal,

vielen Dank für die ausführliche Darstellung des Sachverhaltes zu dem ich im Folgenden Stellung nehmen möchte:

Microsoft hat Anfang 2018 für die „modernen" E-Mail-Programme (also Outlook 365 und Outlook 2016) die Verwendung des neueren AES Algorithmus anstelle des älteren 3DES (Tripledes) Algorithmus bei der Verschlüsselung von E-Mails festgelegt, wenn denn ein Verschlüsselungszertifikat aus dem Internet heruntergeladen und dann manuell importiert wird. Diese Änderung wurde per Softwareupdates veranlasst. Bei älteren Outlook Versionen wurde diese Änderung nicht durchgeführt.

Seit diesem Zeitpunkt können E-Mails, die von einem aktuell gepatchten Outlook 365 oder Outlook 2016 System für einen DATEV SmartCard Inhaber verschlüsselt und versendet werden, nicht mehr vom Empfänger der E-Mail entschlüsselt werden. Dieses Verhalten tritt auf, wenn der Absender der verschlüsselten Mail das Verschlüsselungszertifikat des Empfängers manuell in Outlook importiert hat, nachdem er es z.B. vorher von den Internetseiten der DATEV heruntergeladen hat.

Findet der Import des Verschlüsselungszertifikats des Empfängers jedoch automatisch über den Empfang einer signierten Mail statt, dann funktioniert die Verschlüsselung und die verschlüsselte Mail kann sowohl vom Empfänger und als auch vom Absender wieder entschlüsselt werden. Dieser Sachverhalt ist inklusive Lösungsansatz im Info-DB-Dokument 1003617 dargestellt. Auch in anderen InfoDB Dokumenten zur Thematik zertifikatsbasierte Ver- und Entschlüsselung von E-Mails wird auf den Sachverhalt Bezug genommen (1070129, 1005160)

Wir werden die Erläuterungen noch deutlicher hervorheben, und diese zukünftig sowohl beim Zertifikatsabruf, als auch im Antragsformular direkt aufnehmen.

Um diesen Verhalten technisch zu erklären muss ich etwas weiter ausholen. Der für die Entschlüsselung benötigte private Schlüssel des Empfängers befindet sich direkt und ausschließlich auf der SmartCard. Der private Schlüssel ist somit geschützt und kann nicht kompromittiert werden. Damit nun das Betriebssystem und somit das E-Mail-Programm diesen privaten Schlüssel nutzen können, ist ein Stück standardisierte Software notwendig, die Bestandteil des DATEV Sicherheitspakets ist. Eine solche Software kann auf allen Microsoft-Betriebssystemen verschiedene Technologien nutzen, nämlich die Crypto Service Provider (CSP) Technologie oder die Minitreiber Technologie. DATEV hat sich im Sicherheitspaket für die CSP Technologie entschieden. Dieser DATEV CSP ist so gebaut, dass er mit diversen Algorithmen zur Entschlüsselung umgehen kann, unter anderem mit dem in der Vergangenheit verwendeten 3DES aber auch mit dem neueren AES.

Die Probleme treten beim Entschlüsseln der E-Mail auf. Microsoft Outlook fragt beim DATEV CSP nach, ob der zur Entschlüsselung notwendige private Schlüssel (auf der SmartCard) zur Verfügung steht und fragt auch nach den zur Verfügung stehenden Algorithmen. Hier meldet der DATEV CSP u.a. den Verschlüsselungsalgorithmus AES. Outlook ignoriert dies und bricht die Aktion mit der Meldung, dass die mail nicht entschlüsselt werden kann (ungültiger Algorithmus), ab. Der Grund dafür ist, dass Outlook hier zur Entschlüsselung mit AES zwingend die Technologie Minitreiber voraussetzt. Dieses Problem tritt nicht nur mit dem DATEV-CSP sondern auch mit CSPs von allen anderen Herstellern auf.

Microsoft äußert sich zu dieser Thematik dahingehend, dass das Problem bei Verwendung der Minitreiber Technologie nicht auftritt und empfiehlt deswegen und auch aus anderen technischen Gründen zukünftig auf diese Minitreiber Technologie zu setzen.

DATEV arbeitet derzeit daran, das Sicherheitspaket von CSP auf Minitreiber Technologie umzustellen. Dies hat natürlich nicht nur Auswirkungen auf die Ver-und Entschlüsselung von E-Mails sondern auch auf alle anderen Anwendungsszenarien einer DATEV SmartCard. Ein solcher Technologiewechsel muss gut vorbereitet und intensiv in allen Anwendungsszenarien getestet werden. Aus diesem Grund wird die Minitreiber Technologie voraussichtlich erst in der ersten Jahreshälfte 2020 flächendeckend ausgeliefert werden können (Eine Pilotierung des Minitreibers erfolgt in der 2. Jahreshälfte 2019). Damit wäre dann die oben dargestellte Problematik erledigt.

Das Fehlerbild wird also nicht durch einen Fehler des Sicherheitspakets verursacht, sondern durch ein nicht stringentes Verhalten der Microsoft E-Mail-Clients bei Verwendung der CSP Technologie.

Zum Thema Berufspflichtverletzung durch die Zertifikate der SmartCard gibt es eine Stellungnahme unserer Rechtsabteilung:

Aus Sicht der DATEV liegt in dem beschriebenen Fall keine Berufspflichtverletzung vor. Zumindest trägt der Absender ein erhebliches Mitverschulden, denn der Absender wird in dem Downloadbereich der DATEV auf das Info-DB-Dokument Dok-Nr. 1003617 "Verschlüsselte E-mail kann in Gesendete Objekte nicht geöffnet werden beim Einsatz von Outlook 365 oder 2016" hingewiesen, welches Erläuterungen zum Vermeiden der beschriebenen Problematik enthält.

Hält sich der Absender der E-Mail an die dort beschriebenen Erläuterungen, dann kommt es nicht zu der beschriebenen Problematik.

Zu dem in Ihrem Beitrag verlinkten Test des DATEV Produktes DATEV E-Mail-Verschlüsselung ist folgendes zu sagen:

Der Ersteller des in Ihrem Beitrag verlinkten Blog-Beitrages beschreibt die Situation technisch korrekt. Einige Punkte möchte ich jedoch präzisieren:

  • Die Trägermail sendet die DATEV im Namen des Absenders. Bei der Erstellung einer Träger-E-Mail verfügt die DATEV nicht über die persönlichen Schlüssel des Absenders, da diese ausschließlich auf der SmartCard vorliegen. Der verschlüsselte Inhalt (secure-email.html) dagegen kann vom Absender signiert werden.
  • Das patentierte Verfahren der Portalverschlüsselung der Firma SEPPmail wird laufend Sicherheit-technisch untersucht und regelmäßig aktualisiert.
  • Die Portallösung wird genutzt, wenn kein öffentliches Schlüsselmaterial des Empfängers gefunden wird, damit eine verschlüsselte Kommunikation überhaupt möglich wird. Wenn der Empfänger eine über das Portal hinausgehende Absicherung möchte, empfiehlt DATEV den Einsatz zertifikatsbasierter Verschlüsselungsmethoden.
  • Für eine Entschlüsselung wird immer die Träger-E-Mail mit dem Anhang secure-email.html benötigt. Ohne diese Träger-E-Mail ist eine Erstanmeldung/Registrierung am Portal nicht möglich.
  • Die verschlüsselten Inhalte werden nie im Portal gespeichert.

Ich hoffe, Ihre Fragen sind damit beantwortet. Noch eine schöne Woche.

Amel Durovic

Datev eG

Antworten
cwes
Meister
Offline Online

am ‎25.04.2019 16:35

Nachricht 3 von 6
744 Mal angesehen

Hallo Herr Durovic,

vielen Dank für Ihre ausführliche Antwort.

Das ändert natürlich nichts an der aktuellen Situation, aber insbesondere aus diesem Grund:

Der für die Entschlüsselung benötigte private Schlüssel des Empfängers befindet sich direkt und ausschließlich auf der SmartCard. Der private Schlüssel ist somit geschützt und kann nicht kompromittiert werden.

freue ich mich über Ihre Ausführungen, die mir Hoffnung bereiten, dass ich diese Lösung in Zukunft wieder nutzen kann.

#sendepause
Antworten
cwes
Meister
Offline Online

‎21.01.2020 18:34 zuletzt bearbeitet am ‎21.01.2020 18:39

Nachricht 4 von 6
719 Mal angesehen
 Aus diesem Grund wird die Minitreiber Technologie voraussichtlich erst in der ersten Jahreshälfte 2020 flächendeckend ausgeliefert werden können (Eine Pilotierung des Minitreibers erfolgt in der 2. Jahreshälfte 2019). Damit wäre dann die oben dargestellte Problematik erledigt.

 

Verlief die Pilotierung gut?

 

(Damit meine ich die Pilotierung des Minidrivers, deren Version 5.07 Microsoft in einem Dokument aus September 2007 beschreibt, da kam die Umstellung in 2018 natürlich überraschend.)

#sendepause
Antworten
cwes
Meister
Offline Online

am ‎04.05.2020 18:54

Nachricht 5 von 6
584 Mal angesehen

OK, dann geht es jetzt eben wieder zurück zu Globalsign Zertifikaten. Schade, schön wäre es gewesen.

#sendepause
Antworten
DATEV-Mitarbeiter
Thomas_Neumeier
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online

am ‎05.05.2020 13:35

Nachricht 6 von 6
483 Mal angesehen

Sehr geehrter Herr Westphal,

 

ja die bisherige Pilotierung verläuft gut.

 

Lassen Sie mich dazu noch etwas ausholen.

 

DATEV musste die oben von meinem Kollegen Amel Durovic im April 2019 skizzierte Terminplanung anpassen.

Ursprünglich war geplant, die Minitreiber-Technologie mit den DATEV Programmen 13.1 zum Jahreswechsel 2019/2020 zu bringen. Dieser Plan musste jedoch aufgegeben werden, da die 13.1 immer noch auf Windows 7 bzw. Windows Server 2008 R2 Systemen installierbar sein sollte.

 

Denn aufgrund technischer Abhängigkeiten kann die Minitreiber-Technologie auf diesen alten Betriebssystemen nicht installiert werden. 

 

Die Ablösung der CSP Technologie durch die Minitreiber Technologie erfolgt nun also mit dem Sicherheitspaket auf den DATEV Programmen 14.0 (geplante Auslieferung September 2020). 

 

Entschuldigen Sie bitte die späte Beantwortung dieser Frage.

Leider ist mir dieser Community-Thread erst heute durch Ihren gestrigen Beitrag aufgefallen.

 

mit besten Grüßen

Thomas Neumeier

DATEV eG Nürnberg

 

mit besten Grüßen Thomas Neumeier
SmartCard/Sicherheitspaket | DATEV eG
Antworten
  • Erster Beitrag Zum ersten Beitrag
  • Letzter Beitrag Zum letzten Beitrag
    • 5
    letzte Antwort am 05.05.2020 13:35:37 von Thomas_Neumeier
    Dieser Beitrag ist geschlossen
    0 Personen hatten auch diese Frage
    avatar rank icon
    Rang:
    Status:offline
    Mitglied seit:
    Zum Profil