TL;DR: Es ist derzeit nicht sichergestellt, dass man eine mit dem DATEV-Zertifikat an einen selbst verschlüsselte E-Mail auch entschlüsseln kann. Das kann m.E. zu berufsrechtlich problematischen Situationen führen.
Stellen Sie sich vor, in Ihrem E-Mail-Eingang befindet sich folgende Mail:
"Bitte fertigen Sie für mich aufgrund der angefügten Unterlagen eine strafbefreiende Selbstanzeige beim Finanzamt. Antworten an diese E-Mail-Adresse sind nicht möglich (Wegwerfadresse). Bei Rückfragen kontaktieren Sie mich bitte über ... ."
Das Problem mit dieser Mail ist, dass Sie sie (einschließlich Anhängen) nicht lesen können! Somit können Sie nicht mit dem Absender in Kontakt treten, um ihn z.B. über die Auftragsablehnung (63 StBerG) zu informieren.
Diese Software"eigenschaft" (Datev möchte hier das Wort "Fehler" nicht verwenden) führt nun dazu, dass Sie notgedrungen nicht auf den Ihnen angetragenen Auftrag reagieren können (weder ablehnen noch annehmen und erledigen). Ob dadurch
sind spannende Fragen. Ich möchte diese nicht klären und habe daher die Veröffentlichung aller unserer Zertifikate zurückgezogen (Info-DB 1003977). Um der Verbreitung der Datev-Zertifikate entgegenzuwirken, werden sie auch nicht mehr zur Signatur eingesetzt. Mit Zertifikaten von Globalsign tritt dieses Problem nicht auf.
@DATEV: Wie sehr würden Sie mir empfehlen, einer Organisation zu vertrauen, die den Zustand "Du kannst Deine Korrespondenz nicht lesen" im rechts- und steuerberatenden Bereich für akzeptabel hält? Sollte ich dieser Organisation in Zukunft wieder bei einer Verschlüsselungslösung vertrauen?
Sicherlich kommt nun "Dann verwende eben Datev-Email-Verschlüsselung". Nein danke: https://www.msxfaq.de/signcrypt/gateway/datev_sichere_mail.htm
IT-affine Mandanten halten mich dann außerdem für bescheuert.
Das ganze abschließend zu klären, mit
hat mich ungefähr eine 3-4 Arbeitstage unnötige Zeit und 9 Euro (auf die Datev auch nicht verzichten will) für den Servicekontakt gekostet. Hätte bei den Zertifikaten offen gestanden "aber Vorsicht, geht nur, wenn der Sender exotische Einstellungen vornimmt", wäre ich in der Zeit lieber mit meiner Familie in den Zoo gefahren.
Hallo Herr Dr. Westphal,
vielen Dank für die ausführliche Darstellung des Sachverhaltes zu dem ich im Folgenden Stellung nehmen möchte:
Microsoft hat Anfang 2018 für die „modernen" E-Mail-Programme (also Outlook 365 und Outlook 2016) die Verwendung des neueren AES Algorithmus anstelle des älteren 3DES (Tripledes) Algorithmus bei der Verschlüsselung von E-Mails festgelegt, wenn denn ein Verschlüsselungszertifikat aus dem Internet heruntergeladen und dann manuell importiert wird. Diese Änderung wurde per Softwareupdates veranlasst. Bei älteren Outlook Versionen wurde diese Änderung nicht durchgeführt.
Seit diesem Zeitpunkt können E-Mails, die von einem aktuell gepatchten Outlook 365 oder Outlook 2016 System für einen DATEV SmartCard Inhaber verschlüsselt und versendet werden, nicht mehr vom Empfänger der E-Mail entschlüsselt werden. Dieses Verhalten tritt auf, wenn der Absender der verschlüsselten Mail das Verschlüsselungszertifikat des Empfängers manuell in Outlook importiert hat, nachdem er es z.B. vorher von den Internetseiten der DATEV heruntergeladen hat.
Findet der Import des Verschlüsselungszertifikats des Empfängers jedoch automatisch über den Empfang einer signierten Mail statt, dann funktioniert die Verschlüsselung und die verschlüsselte Mail kann sowohl vom Empfänger und als auch vom Absender wieder entschlüsselt werden. Dieser Sachverhalt ist inklusive Lösungsansatz im Info-DB-Dokument 1003617 dargestellt. Auch in anderen InfoDB Dokumenten zur Thematik zertifikatsbasierte Ver- und Entschlüsselung von E-Mails wird auf den Sachverhalt Bezug genommen (1070129, 1005160)
Wir werden die Erläuterungen noch deutlicher hervorheben, und diese zukünftig sowohl beim Zertifikatsabruf, als auch im Antragsformular direkt aufnehmen.
Um diesen Verhalten technisch zu erklären muss ich etwas weiter ausholen. Der für die Entschlüsselung benötigte private Schlüssel des Empfängers befindet sich direkt und ausschließlich auf der SmartCard. Der private Schlüssel ist somit geschützt und kann nicht kompromittiert werden. Damit nun das Betriebssystem und somit das E-Mail-Programm diesen privaten Schlüssel nutzen können, ist ein Stück standardisierte Software notwendig, die Bestandteil des DATEV Sicherheitspakets ist. Eine solche Software kann auf allen Microsoft-Betriebssystemen verschiedene Technologien nutzen, nämlich die Crypto Service Provider (CSP) Technologie oder die Minitreiber Technologie. DATEV hat sich im Sicherheitspaket für die CSP Technologie entschieden. Dieser DATEV CSP ist so gebaut, dass er mit diversen Algorithmen zur Entschlüsselung umgehen kann, unter anderem mit dem in der Vergangenheit verwendeten 3DES aber auch mit dem neueren AES.
Die Probleme treten beim Entschlüsseln der E-Mail auf. Microsoft Outlook fragt beim DATEV CSP nach, ob der zur Entschlüsselung notwendige private Schlüssel (auf der SmartCard) zur Verfügung steht und fragt auch nach den zur Verfügung stehenden Algorithmen. Hier meldet der DATEV CSP u.a. den Verschlüsselungsalgorithmus AES. Outlook ignoriert dies und bricht die Aktion mit der Meldung, dass die mail nicht entschlüsselt werden kann (ungültiger Algorithmus), ab. Der Grund dafür ist, dass Outlook hier zur Entschlüsselung mit AES zwingend die Technologie Minitreiber voraussetzt. Dieses Problem tritt nicht nur mit dem DATEV-CSP sondern auch mit CSPs von allen anderen Herstellern auf.
Microsoft äußert sich zu dieser Thematik dahingehend, dass das Problem bei Verwendung der Minitreiber Technologie nicht auftritt und empfiehlt deswegen und auch aus anderen technischen Gründen zukünftig auf diese Minitreiber Technologie zu setzen.
DATEV arbeitet derzeit daran, das Sicherheitspaket von CSP auf Minitreiber Technologie umzustellen. Dies hat natürlich nicht nur Auswirkungen auf die Ver-und Entschlüsselung von E-Mails sondern auch auf alle anderen Anwendungsszenarien einer DATEV SmartCard. Ein solcher Technologiewechsel muss gut vorbereitet und intensiv in allen Anwendungsszenarien getestet werden. Aus diesem Grund wird die Minitreiber Technologie voraussichtlich erst in der ersten Jahreshälfte 2020 flächendeckend ausgeliefert werden können (Eine Pilotierung des Minitreibers erfolgt in der 2. Jahreshälfte 2019). Damit wäre dann die oben dargestellte Problematik erledigt.
Das Fehlerbild wird also nicht durch einen Fehler des Sicherheitspakets verursacht, sondern durch ein nicht stringentes Verhalten der Microsoft E-Mail-Clients bei Verwendung der CSP Technologie.
Zum Thema Berufspflichtverletzung durch die Zertifikate der SmartCard gibt es eine Stellungnahme unserer Rechtsabteilung:
Aus Sicht der DATEV liegt in dem beschriebenen Fall keine Berufspflichtverletzung vor. Zumindest trägt der Absender ein erhebliches Mitverschulden, denn der Absender wird in dem Downloadbereich der DATEV auf das Info-DB-Dokument Dok-Nr. 1003617 "Verschlüsselte E-mail kann in Gesendete Objekte nicht geöffnet werden beim Einsatz von Outlook 365 oder 2016" hingewiesen, welches Erläuterungen zum Vermeiden der beschriebenen Problematik enthält.
Hält sich der Absender der E-Mail an die dort beschriebenen Erläuterungen, dann kommt es nicht zu der beschriebenen Problematik.
Zu dem in Ihrem Beitrag verlinkten Test des DATEV Produktes DATEV E-Mail-Verschlüsselung ist folgendes zu sagen:
Der Ersteller des in Ihrem Beitrag verlinkten Blog-Beitrages beschreibt die Situation technisch korrekt. Einige Punkte möchte ich jedoch präzisieren:
Ich hoffe, Ihre Fragen sind damit beantwortet. Noch eine schöne Woche.
Amel Durovic
Datev eG
Hallo Herr Durovic,
vielen Dank für Ihre ausführliche Antwort.
Das ändert natürlich nichts an der aktuellen Situation, aber insbesondere aus diesem Grund:
Der für die Entschlüsselung benötigte private Schlüssel des Empfängers befindet sich direkt und ausschließlich auf der SmartCard. Der private Schlüssel ist somit geschützt und kann nicht kompromittiert werden.
freue ich mich über Ihre Ausführungen, die mir Hoffnung bereiten, dass ich diese Lösung in Zukunft wieder nutzen kann.
Aus diesem Grund wird die Minitreiber Technologie voraussichtlich erst in der ersten Jahreshälfte 2020 flächendeckend ausgeliefert werden können (Eine Pilotierung des Minitreibers erfolgt in der 2. Jahreshälfte 2019). Damit wäre dann die oben dargestellte Problematik erledigt.
Verlief die Pilotierung gut?
(Damit meine ich die Pilotierung des Minidrivers, deren Version 5.07 Microsoft in einem Dokument aus September 2007 beschreibt, da kam die Umstellung in 2018 natürlich überraschend.)
OK, dann geht es jetzt eben wieder zurück zu Globalsign Zertifikaten. Schade, schön wäre es gewesen.
Sehr geehrter Herr Westphal,
ja die bisherige Pilotierung verläuft gut.
Lassen Sie mich dazu noch etwas ausholen.
DATEV musste die oben von meinem Kollegen Amel Durovic im April 2019 skizzierte Terminplanung anpassen.
Ursprünglich war geplant, die Minitreiber-Technologie mit den DATEV Programmen 13.1 zum Jahreswechsel 2019/2020 zu bringen. Dieser Plan musste jedoch aufgegeben werden, da die 13.1 immer noch auf Windows 7 bzw. Windows Server 2008 R2 Systemen installierbar sein sollte.
Denn aufgrund technischer Abhängigkeiten kann die Minitreiber-Technologie auf diesen alten Betriebssystemen nicht installiert werden.
Die Ablösung der CSP Technologie durch die Minitreiber Technologie erfolgt nun also mit dem Sicherheitspaket auf den DATEV Programmen 14.0 (geplante Auslieferung September 2020).
Entschuldigen Sie bitte die späte Beantwortung dieser Frage.
Leider ist mir dieser Community-Thread erst heute durch Ihren gestrigen Beitrag aufgefallen.
mit besten Grüßen
Thomas Neumeier
DATEV eG Nürnberg