Hallo,
wir nutzen die Datev E-Mail Verschlüsselung. Seit 12.10.2017 ist die neue Version aktiv. Dabei muss der Mandant auf einen Anhang mit dem Namen sucure-email.html klicken. Ein Mandant machte uns darauf aufmerksam, dass er dies für nicht sicher hält.
Wie kann ich dem Mandanten eine Antwort geben?
MfG
Heiko Wagner
die frage ist, warum er das nicht für sicher hält und ob es begründet ist. können sie das beantworten? wenn nicht, müssen sie sich entweder mit DATEV in Verbindung setzen oder den Mandant dahin verweisen. wir sind gerade dabei das einzuführen.
hier eine weitere frage: die service-Videos sprechen immer nur von mails, die in Outlook eingehen. ich nehme doch stark an, dass das verfahren mit dem klicken des anhangs auch bei allen anderen mail-Programmen so funktioniert oder muss ich meinen Mandanten jetzt auch noch Outlook mit verkaufen?
Das neue System wurde bei uns noch nicht implementiert, ich konnte es also noch nicht ausprobieren, aber beim Durchlesen der Anleitung für den E-Mail-Empfänger kam mir der selbe Gedanke wie Ihrem Mandanten.
Das Problem: Der Mandant erhält eine E-Mail vom Steuerberater/ von Datev und wird aufgefordert ein Programm im Anhang zu starten. Da Hacker keine Probleme haben dürften solche E-Mails inhaltlich zu kopieren und die E-Mail-Adresse des Senders wie die des Steuerberaters aussehen zu lassen, ist dem Missbrauch Tür und Tor geöffnet. Es könnte beliebige Schadsoftware auf dem PC des Mandanten eingeschleust werden...
Wäre es nicht viel sicherer, wenn der Mandant nur einen Hinweis per E-Mail bekäme, dass sich in seinem Datev-Portal eine neue Nachricht vom Steuerberater befindet?
Kann sich die DATEV bitte zu dem sehr berechtigtem Einwand von Herrn Böse äußern.
Beim Selbstversuch bin ich sehr erschrocken. Sowohl privat als auch beruflich wurde ich solche Anhänge nicht öffnen wollen und soll das jetzt den Mandanten empfehlen?
Welche Alternativen gibt es????
öffentliche Schlüssel oder eigenes verschlüsselungsprogramm...
Habe die Frage an Datev gestellt. Mal sehen wie die Antwort aussieht.
Vielen Dank. Können Sie da etwas empfehlen?
Weshalb nicht mittels DATEV Smartcard aus Outlook heraus signieren und verschlüsseln?
weil nicht jeder Empfänger eine Möglichkeit hat, den öffentlichen schlüssel zu entschlüsseln mangels medium wie SC oder anderes und v.a. weil er keine Kenntnis darüber hat, wie das geht
Hallo,
vielleicht helfen Ihnen bzw. Ihren Mandanten die folgenden Links weiter:
http://www.crl.esecure.datev.de/ENCAUT/ENC/suche.php - Hier kann sich der Mandant das Inhaberzertifikat herunterladen, indem er nach dem Namen oder der E-Mail-Adresse seines Sachbearbeiters sucht. Voraussetzung hierfür ist, dass auf dem Antrag zum Ausstellen der Datev-Smartcard der Veröffentlichung dieser Kontaktdaten zugestimmt wurde.
https://www.datev.de/web/de/service/antworten-finden/signatur-und-verschluesselung/herausgeber-zertifikate/herausgeber-zertifikate/ - Hier kann sich der Mandant die Datev-Wurzelzertifikate herunterladen. Für Windows-Nutzer bietet Datev eine Exe an, die alle Wurzelzertifikate installiert: https://www.datev.de/web/de/service/antworten-finden/signatur-und-verschluesselung/herausgeber-zertifikate/index-2.html
Hoffe das trifft Ihre Frage/Anmerkung (bin schließlich kein S/MIME-Fachmann ).
da ist schon bekannt aber trotzdem natürlich ein guter hinweis.
leider hilft das nix, wenn der Mandant nicht selbst ein Zertifikat hat. und dazu braucht er ein medium das von einem trustcenter geprüft ist. und an diesem medium fehlt es, weil ich nicht jedem eine SC raufhängen kann und die selbst keine Ahnung davon haben
Um nur die E-Mail-Verschlüsselung via S/MIME zu nutzen, braucht der Mandant m.E. keine SC. Da reicht auch ein kostenloses Zertifikat z.B. von Comodo, wo man nur die E-Mail-Adresse bestätigt bekommt (also nur Klasse 1 glaub ich?). Dass das nicht viel wert ist usw. alles okay, aber nur zum Entschlüsseln reicht das.
stimmt auch wieder...
leider glaube ich, dass das auf breiter Basis nicht ins Volk (damit meine ich Mandanten) zu bekommen ist. deshalb bin ich grundsätzlich schon ein freund von lösungsansätzen, bei denen der Mandant nur ein Werkzeug (Kennwort) in die Hand gedrückt bekommt und weiter nicht denken muss, kann allerdings bedenken auch verstehen.
es ist eben noch ein langer weg in die digitale Versklavung...
Guten Morgen,
vielen Dank für alle Antworten.
Ich bin "reiner" Anwender und gehöre daher auch zum Volk. Für diese Lösungen reciht mein technisches Verständnis leider nicht aus.
Ich muss mich wohl trotz massiver Bedenken leider auf die DATEV verlassen.
Viele Grüße
Es bleibt noch die Option, Anlagen entweder per WinRar zu komprimieren und mit einem Kennwort zu versehen oder einfach aus der Anwendung heraus ein Kennwort zu vergeben, welches per SMS oder per Telefon kommuniziert wird.
Ich hatte für unsere Kanzlei einmal ein Verschlüsselungsprogramm erstellt, welches das Passwort mit einem Mandantenschlüssel codiert. Der Mandant hatte dazu eine Exe erhalten und seinen PrivateKey. In der Email konnte man jetzt einfach das codierte Passwort einfach im Text mitgeben und der Mandant hat sich diesen dann kopiert und konnte jetzt mittels der Exe das Passwort wieder zurückcodieren.
Das System war prinzipiel simpel aufgebaut und dennoch haben wir das nur ganz wenige Male angewendet, weil die Mandanten damit einfach überfordert waren.
Für eine Volksverschlüsselung muss das EMail-Programm sich darum kümmern. Sobald der Anwender immer erst interagieren muss, sind alle Versuche zum Scheitern verurteilt. Auch muss die Verschlüsselung so einfach sein, dass man lediglich einfach auf ein Button klicken muss und gut ist. Genau diese fehlende Funktionalität ist schuld daran, dass solche System wie PGP/GnuGP sich einfach nicht richtig durchsetzen konnten. Sie sind in ihrer Handhabung (auch für mich) einfach zu sperrig.
De-Mail kann zumindest als ein Versuch gewertet werden, ist aber, soweit ich weiß, aus dem Experimentierstadium immer noch nicht entwachsen.
Gruß A. Martens
Grundsätzlich kann jede E-Mail oder jede Seite im Internet mit entsprechenden Kenntnissen auch gefälscht werden. Diese Problematik ist bei einer Internet-Nutzung direkt am Client-PC nicht auszuschließen. Für das Thema DATEV E-Mail-Verschlüsselung bedeutet das, es gibt keinen Unterschied zwischen einer unverschlüsselten E-Mail, einer Träger-E-Mail mit verschlüsseltem PDF-Anhang (alte Version) oder der neuen Trägermail mit secure-email.html.
Was kann der E-Mail-Empfänger tun? Er kann überprüfen, ob der Mail-Absender im Mail-Header auch derjenige ist, von dem er E-Mails erwartet. Oder, wie bereits von den Diskussions-Teilnehmern angesprochen, eine durchgehende S/MIME-Verschlüsselung implementieren, was technisch nicht einfach ist.
Eine handhabbare technische Lösung für die diskutierte Problematik existiert: Mit DATEVnet und der DATEV E-Mail-Verschlüsselung auch beim E-Mail-Empfänger erfolgen S/MIME-basierte Ver- und Entschlüsselung zentral in der DATEV-Cloud und ohne Umweg über das Entschlüsselungsportal. Hier werden zudem alle Anhänge zentral auf Viren überprüft. Der Nachteil: Endpoint-security auf hohem Niveau ist nicht kostenlos machbar.
Grundsätzlich ist die IT-Sicherheit in der DATEV-Cloud auf einem sehr hohen Standard. So werden alle Internet-Produkte Penetrationstests durch externe Firmen unterzogen. Beim Entschlüsselungsportal der DATEV E-Mail-Verschlüsselung verwendet DATEV sogn. EV-SSL-Zertifikate (Extended Validation SSL-Zertificate). Das erweiterte SSL-Zertifikat ist an eine sehr viel stärkere Authentisierung des Antragstellers gekoppelt, was eine Fälschung der Internet-Seite deutlich erschwert. Kenntlich wird das EV-SSL-Zertifikat durch die Farbänderung in der Adresszeile des Browsers. (z.B. grün in Google Crome)
Moin, moin,
ich habe mal eine andere Frage, aber auch zu diesem Komplex, daher kein neuer Faden.
Nach dem alten System mußte ich als StB ja die Kennwörter der Empfänger verwalten und mich dafür mit meiner Karte bei DATEV anmelden... Jetzt wird in Outlook immer die Verschlüsselung als Versandoption angeboten, also unabhängig davon ob am Rechner meine SC steckt oder nicht.
Benötigt man jetzt weiterhin die SmartCard o. ä. um verschlüsselt senden zu können? Oder kann man auch ohne Stecker verschlüsselt senden bzw. sollte man dies können? Ein Test meiner Frau verlief nur teilweise erfolgreich, intern kam die Mail verschlüsselt an, extern ging nichts. Leider fanden wir den Fehlerhinweis, daß nicht verschickt wurde, erst nach längerem Suchen in den Junk-Mails. Zumindest nicht der Ort, den ich erwartet hätte.
Entweder wir haben noch nicht die richtigen Einstellungen oder DATEV sollte es bitte so steuern, daß bei Rechnern ohne Verschlüsselungsmöglichkeit dies gleich beim Versenden deutlich wird (z. B. diese Alternative in Outlook gar nicht angeboten wird).
Ansonsten funktioniert das neues System hier und mit den Mandanten ordentlich. Natürlich kommen Beschwerden, das Anmelden sei so kompliziert, man finde die secure-Datei nicht, es dauere so lange... Im Interesse der Sicherheit muß man diese Einschränkungen wohl hinnehmen.
Rückmeldungen über "gesichert antworten" kommen bei mir offen an, gibt es eine (einfache) Möglichkeit zu erkennen, ob überhaupt "gesichert geantwortet" oder nur geantwortet wurde? Das ist mir bisher nicht wirklich deutlich geworden.
Schöne Grüße aus dem Herzen Holsteins
Wolfgang Funck
Hallo Herr Funck,
für Servicefragen zur Nutzung der DATEV E-Mail-Verschlüsselung steht Ihnen der Prgrammservice unter 0911 319 32110 oder email-verschluesselung@service.datev.de zur Verfügung.
MfG
Oliver Schmidt
Moin, moin,
zwischenzeitlich haben wir hier zwei Fragen selbst beantworten können.
Verschlüsseltes Senden benötigt weiter eine Smart Card. Ok., aber dann sollte bei Rechnern ohne SC diese Alternative auch gar nicht angeboten werden.
Gesicherte Antworten erscheinen bei mir zwar schon geöffnet, es gibt aber im Betreff einen Hinweis * Sichere Antwort *. Das hilft schon sehr und zeigt mir, daß bis gestern alle Mandanten etc. einfach und ohne Nutzung dieses Weges geantwortet haben.
Grüße
WF
Verschlüsseltes Senden benötigt weiter eine Smart Card.
Hallo WF,
das verschlüsselte Senden über die Funktion von der E-Mail-Verschlüsselung brauchte bisher keine Smart-Card und braucht auch in der neuen Version keine Smartcard.
Die Absendeadresse muss nur für die E-Mail-Verschlüsselung eingerichtet sein.
Sie benötigen nur dann die gesteckte Smartcard, wenn Sie die Funktionen "Signieren" oder "Verschlüsseln" direkt aus Outlook nutzen (wollen).
Viele Grüße
Uwe Lutz
Vielen Dank für die Info, Herr Lutz!
Da habe ich wohl etwas durcheinander bekommen. Die Tests verliefen aber im Sinne der gesteckten Smart Card. Von mir ging's mit "wf" wie auch mit "info" gesichert weg, vom Rechner meiner Frau mit "info" nicht, ihre eigene Adresse haben wir dann gar nicht mehr ausprobiert.
Wir werden dies noch eingehender testen.
Schöne Grüße
WF