yan2021

Woher bekommt Ihr Eure Email-Zertifikate?

Hallo,

wir haben früher immer unsere Email-Zertifikate (S/Mime .p12) über die Bundesdruckerei bestellt. Das war immer mega kompliziert und aufwendig sowie teuer (rund 100 Euro für 2 Jahre pro Zertifikat).

Dann bekam ich einen Tipp, dass der Anbieter "Actalis" S/Mime-Zertifikate kostenlos anbietet.
Das habe ich jetzt ca. 1,5 Jahre lang genutzt und es funktionierte sehr gut.

Nun hat "Actalis" die kostenlose Vergabe jedoch eingestellt und bietet Email-Zertifikate nun auch gegen Gebühr an. Darüber hinaus ist die Bestellung aber auch super kompliziert geworden und kaum zu durchschauen (warum auch immer).

Daher würde ich gerne wissen, ob es auch jetzt noch seriöse Anbieter gibt, wo man Email-Zertifikate kostenlos ausstellen lassen kann oder vielleicht nur gegen eine geringe Gebühr. Bei meinen Recherchen habe ich jedenfalls keinen solchen Anbieter gefunden...

Habt Ihr da Tipps für mich... und... wo bestellt Ihr Eure S/Mime-Zertifikate?

Grüße von
Yan face-wink
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673185

Url: https://administrator.de/forum/email-zertifikate-smime-kostenlos-673185.html

Ausgedruckt am: 18.07.2025 um 01:07 Uhr

ukulele-7
ukulele-7 04.06.2025 um 11:04:08 Uhr
Ich kaufe die bei PSW Group. Billig ist das nicht aber der Service war immer gut und hilfreich.
psw-group.de/smime/sectigo-smime-basic-a001782/
N3cronomicon
N3cronomicon 04.06.2025 um 11:11:08 Uhr
Hmm, ich habe privat noch ein oder zwei kostenlose S/MIME von Actalis für so Freemailer. Die verlangen mittlerweile nur ein registriertes Konto pro S/MIME-free, ist also bisschen aufwändiger, aber soweit ich weiss noch möglich.
Unregistriert kommt man halt nicht mehr dran.

Für geschäftliche Sachen würde ich da eher die verbreiteten, kommerziellen Anbieter nutzen, wie mein Vorredner schon vorgeschlagen hat.
ni.sch
ni.sch 04.06.2025 aktualisiert um 11:23:29 Uhr
Sectigo ist noch recht günstig.
sectigo.com/de/ssl-tls-zertifikate/email-sicherheit

Dort haben wir schonmal bestellt.

Edit: Sorry, erste Antwort gar nicht gesehen - face-smile
transocean
transocean 04.06.2025 um 11:22:55 Uhr
Moin,

+1 für PSW Group. Der Service ist wirklich allerbest.
Hubert.N
Hubert.N 04.06.2025 um 11:36:41 Uhr
Zitat von @ukulele-7:
Ich kaufe die bei PSW Group.
+1
Lochkartenstanzer
Lochkartenstanzer 04.06.2025 um 11:44:13 Uhr
Moin,

Ich generiere die selbst. face-smile

lks
m.ster
m.ster 04.06.2025 um 11:48:36 Uhr
auch unsere beziehen wir über Sectigo
Bosnigel
Bosnigel 04.06.2025 um 11:57:36 Uhr
Ich benutze für meine Kunden Globalsign.
21,- € / Jahr
chi-hua-hua
chi-hua-hua 04.06.2025 aktualisiert um 12:19:52 Uhr
Hallo,

im Tobit David Admin kann ich ganz einfach für alle User (oder bestimmte User) Zertifikate bestellen und auch verlängern. Es ist dann automatisch bei jedem Endgerät (Mobil/PC) integriert.

Keine Dritthersteller Gateway/Tool notwendig.
Funktioniert perfekt.

Es kostet 21,50 netto (s/mime class1) / pro Mann / Jahr

david.tobit.software/tech-briefing_05_24
david.tobit.software/digitalesignatur
StefanKittel
StefanKittel 04.06.2025 um 12:26:29 Uhr
Moin,
ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Mailarchiverung ohne Zertifikate nutzbar
- Antispam und sMIME kombiniert
- Kein fummeliges ausstellen von Zertifikaten (passiert durch HS)
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)
Stefan
dertowa
dertowa 04.06.2025 um 12:53:25 Uhr
Zitat von @StefanKittel:

ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)

...damit kreiert man sich dann neue Probleme.
Der IT-Dienstleister unseres Steuerbüros hat darauf umgestellt, eben wegen der Archivierungs- unter Weiterleitungsthematik. Hat ein Zertifikat auf die kanzlei@ ausgestellt und war dann fertig damit.

Da wir nur von zwei Arbeitsplätzen an die Kanzlei senden, haben wir in Outlook integrierte Benutzerzertifikate dafür genutzt, was nun nicht mehr funktionierte.
A hatten wir den öffentlichen Schlüssel nicht und B als wir ihn hatten ging es nicht, da dieser für kanzlei@ eben nicht auf den Zielbenutzer ausgestellt war, die Kanzlei aber dennoch die Zustellung personalisiert wünschte.

Ende vom Lied die zwei Kolleginnen nutzen nun ein Hornet Mailgatewaylogin der Kanzlei und können dort nur auf eine Mail antworten, umständlich, nervig und irgendwie nicht im Sinne des Erfinders...

Grüße
ToWa
Dani
Dani 04.06.2025 um 13:38:30 Uhr
Moin,
Habt Ihr da Tipps für mich... und... wo bestellt Ihr Eure S/Mime-Zertifikate?
wir nutzen als Fallback SwissSign. Um CAs aus den USA machen wir schon seit 10 Jahren einen großen Bogen.


Gruß,
Dani
ukulele-7
ukulele-7 04.06.2025 um 13:53:38 Uhr
Also wenn man ein Gateway oder eine eigene CA haben möchte kann man mit Ciphermail ne ganze Menge coole Sachen machen. Ich habe dort auch Domain-zu-Domain Verschlüsselung mit self singed Zertifikaten eingerichtet, geht super wenn die Gegenseite das kann (bei uns aber bisher nur die Sparkasse). Ich hab sogar für externe Leute damit schon spasseshalber Zertifikate erstellt.

Hier sollte aber an alle signiert werden und die meisten Leute können aber mit self singed nicht wirklich was anfangen und daher haben wir dann eine öffentliche CA genommen und die Zertifikate in Ciphermail eingebunden.
StefanKittel
StefanKittel 04.06.2025 um 13:57:34 Uhr
Zitat von @ukulele-7:
...Ciphermail...

Bleibt der Aufwand wie man gekaufte Zertifikate für n Personen dort reinbekommt.

Gibt es eigentlichen Firmen-sMIME-Zertifikate?

Stefan
chi-hua-hua
chi-hua-hua 04.06.2025 um 14:03:30 Uhr
d.h. fuer M365 gibt es keine zero-touch-admin-lösung?
ukulele-7
ukulele-7 04.06.2025 um 14:13:49 Uhr
Zitat von @StefanKittel:

Bleibt der Aufwand wie man gekaufte Zertifikate für n Personen dort reinbekommt.
Stimmt. Die Zertifikate sind ja auch alle mit E-Mail Validation, man muss schon einiges an Aufwand betreiben. Habe das dann aus der E-Mail Archivierung gefischt und selbst validiert. Hier sind es 35 User, war jetzt nicht die Welt.
Gibt es eigentlichen Firmen-sMIME-Zertifikate?
Eigentlich nicht. Es steht immer eine Mail-Adresse im Zertifikat und für das Postfach ist dann das Zertifikat. Ich habe auch noch keinen Client gesehen, der das nicht erzwingen würde. Du kannst aber bei Ciphermail ein oder mehere beliebige Zertifikate zur Verschlüsselung auswählen und das ganze an eine Domain-Regel pappen. Wenn auf der anderen Seite auch ein Gateway steht, versucht es halt zu entschlüsseln. Hat es auch nur einen private key, kann es die Nachricht lesen.
mbehrens
mbehrens 04.06.2025 um 14:15:50 Uhr
Zitat von @StefanKittel:

Gibt es eigentlichen Firmen-sMIME-Zertifikate?

Im Sinne von Wildcard, nein.

Ansonsten gibt es auch Indentitäts- und Organisationsvalidierte Zertifikate, die dann mehr Informationen enthalten.
Yan2021
Yan2021 04.06.2025 um 15:05:48 Uhr
Hallo und danke für die vielen Antworten.

Habe mich jetzt mal direkt bei Actalis erkundigt und es gibt noch für ein Jahr ein freies Zertifikat und wenn es dann verlängert werden soll, kostet das neuerdings dann 6 Euro. Das wäre OK.

Die haben den Bestellprozess jedoch auch entsprechend verkompliziert und man muss mehr Daten eingeben. Aber habe das eben mal durchgespielt und es hat funktioniert.

Vom Preis her ist Actalis dann wohl noch immer einer der günstigesten Anbieter oder sogar DER günstigste Anbieter.

Habe aber testweise einfach auch mal "Volksverschlüsselung" ausprobiert. Das ist tatsächlich komplett kostenlos. Man muss halt nur seinen Personalausweis mit einem RFID-Scanner einscannen und dazu braucht man dann auch seine Perso-PIN. Der Installationsprozess geht dann komplett über das Programm und sogar die Installation - z.B. in Outlook, Edge, Firefox etc. geht ebenso automatisch über das Programm. Man kann am Ende die .p12-Datei aber auch runterladen als Kopie.

Lief auch problemlos und das Zertifikat ist sogar für 3 Jahre gültig.
Das ist momentan mein Favorit und... kostenlos face-wink

Grüße von
Yan face-wink
StefanKittel
StefanKittel 04.06.2025 um 15:27:15 Uhr
Hallo,

kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?

Stefan
BiberMan
BiberMan 04.06.2025 aktualisiert um 15:44:23 Uhr
Zitat von @StefanKittel:

Hallo,

kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?

Stefan

I.d.R. geschieht das per einmaliger Domain-Validation (Organization-Validation), danach ist für das Ausstellen von SMIME-Certs sämtlicher Mails dieser Domain keine Validation mehr nötig, hier z.B. DigiCert
dev.digicert.com/en/certcentral-apis/services-api/orders/order-s ...
Bei anderen ist das ähnlich realisiert.
ukulele-7
ukulele-7 04.06.2025 aktualisiert um 16:18:53 Uhr
APIs bietet vermutlich jeder Zertifikatsanbieter an. PSW wird auch bei Sectigo über API laufen, bietet aber auch selbst eine API. Nur muss das eben dann noch in dein Endprodukt integriert werden.
StefanKittel
StefanKittel 04.06.2025 um 17:10:47 Uhr
Hallo,
das mit der api von digicert schaue ich mir an.

Die Verfahren die ich kennen, egal ob mit api oder web laufen immer auf das Gleiche hinaus.
- Der User bekommt eine Mail mit Link
- Dann ein Formular
- Dann lädt er in seinem Browser das Zertifikat runter und es ist gleich in Windows integriert.
- Dann muss Jemand ein Backup davon machen falls der PC Hops geht

Und das bei Usern die mir nach 1 Jahr O365 sagen, dass sie noch niemals eine 2FA-App benutzt hätten...

Stefan
Dani
Dani 04.06.2025 aktualisiert um 19:15:31 Uhr
Moin,
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
geht eigentlich bei allen großen Anbietern - GlobalSign, Sectigo, SwissSign, TeleSec, etc.


Gruß,
Dani
StefanKittel
StefanKittel 04.06.2025 um 19:28:23 Uhr
Zitat von @Dani:

Moin,
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
geht eigentlich bei allen großen Anbietern - GlobalSign, Sectigo, SwissSign, TeleSec, etc.
Bei Sectigo und SwissSign nicht.
Da bekommt der User 1 Mail mit der er sein Zertifikat abholen muss.
Macht im Prinzip ja auch Sinn. Nur nicht wenn man ein sMIME-Gateway betreiben möchte.
Xaero1982
Xaero1982 04.06.2025 um 20:31:46 Uhr
Zitat von @dertowa:

Zitat von @StefanKittel:

ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)

...damit kreiert man sich dann neue Probleme.
Der IT-Dienstleister unseres Steuerbüros hat darauf umgestellt, eben wegen der Archivierungs- unter Weiterleitungsthematik. Hat ein Zertifikat auf die kanzlei@ ausgestellt und war dann fertig damit.

Da wir nur von zwei Arbeitsplätzen an die Kanzlei senden, haben wir in Outlook integrierte Benutzerzertifikate dafür genutzt, was nun nicht mehr funktionierte.
A hatten wir den öffentlichen Schlüssel nicht und B als wir ihn hatten ging es nicht, da dieser für kanzlei@ eben nicht auf den Zielbenutzer ausgestellt war, die Kanzlei aber dennoch die Zustellung personalisiert wünschte.

Ende vom Lied die zwei Kolleginnen nutzen nun ein Hornet Mailgatewaylogin der Kanzlei und können dort nur auf eine Mail antworten, umständlich, nervig und irgendwie nicht im Sinne des Erfinders...

Grüße
ToWa

Das macht keinen Sinn oder es ist unverständlich.

Von zwei AP an die Kanzlei senden? Die Kanzlei ist extern?
Wozu Zertifikate in Outlook, wenn man das automatisiert über HS abwickelt? Egal von welchem Gerät du eine Mail sendest, die Mail wird signiert.

Erläutere doch mal euer Vorhaben face-smile
ThePinky777
ThePinky777 05.06.2025 aktualisiert um 09:14:39 Uhr
Zitat von @dertowa:

Da wir nur von zwei Arbeitsplätzen an die Kanzlei senden, haben wir in Outlook integrierte Benutzerzertifikate dafür genutzt, was nun nicht mehr funktionierte.

das Problem bei den Zertifikaten die man über Outlook 365 Exchange Online einfach so benutzen kann ist folgendes.
Diese werden im Azure AD hinterlegt, die Private Keys, nicht exportierbar - laut MS ein Security Feature....
ABER nun kommts.
Rechtlich ist man verpflichtet den EMail Verkehr 10 Jahre vorzuhalten (Stichwort Email Archivierung).
So und nun hast du die verschlüsselten Mails archiviert und alles gut.
Was passiert wenn ein User nach 5 Jahren kündigt, du ihn im Azure AD löscht bzw. Lizenz entfernst und dann nach 2 Jahren dannach auf die Emails zugreifen willst?
Richtig du kommst nie mehr an die Privaten Schlüssel ran und somit auch nicht an die Emails.
Klar du kannst den User (die Lizenz) deaktiviert aber mit aktivierter Lizenz dann noch 10 Jahre mitlaufen lassen....
Damit die Rechtlich im Sauberen Bereich bist. Schnäppchen... face-smile

Was ich damit sagen will, wenn jemand die MS Lösung so nutzt.... viel spass, wenns der Fall mal eintritt.
Ich hatte da dann sogar Gespräche mit MS Entwicklerteam die haben das nicht kapiet was Rechtlich Sache ist...
Somit haben wir am ende ein Email Gateway verwendet, bietet zwar keine Ende zu Ende Verschlüsselung aber immerhin rechtlich ok und administrativ auch (archiviert Private Keys auf der Virtuellen Appliance).....
Nachteil sind halt die kosten...
ukulele-7
ukulele-7 05.06.2025 um 09:53:19 Uhr
In der Praxis sind verschlüsselte E-Mails immer pain in the ass. Daher bin ich froh, das End-zu-End bei uns nicht gefordert ist sondern Client Server als vertrauenswürdig gilt. Bei uns gibt es ja auch noch die DATEV Smartcards, und die DATEV stellt die Schlüssel für E-Mail bereit wenn man dem nicht widerspricht. Dann kann man die Mails auch nur mit der physischen Karte lesen, und nur an bestimmten Endgeräten...

In der Archivierung und im DMS sollten die Sachen aus meiner Sicht immer unverschlüsselt liegen (also frei von personenbezogenen Schlüsseln). Es handelt sich ja schließlich auch um Unternehmensdaten, an denen das Unternehmen über die gesetzliche Archivierung hinaus ein Interesse hat.
dodyou
dodyou 05.06.2025 aktualisiert um 13:14:59 Uhr
Ich beziehe meine Schlüssel auch bei PSW (so) und importiere sie auch immer in mein DMS (ELO), sodass auch bei Ablage verschlüsselter E-Mails die Lesbakeit dauerhaft erhalten bleibt (hoffe ich jedenfalls).
Dani
Dani 05.06.2025 um 17:35:04 Uhr
Moin,
Bei Sectigo und SwissSign nicht.
Bei Sectigo kann ich es nicht mehr prüfen. Da habe ich keine Kontakt mehr. Vor ca. 2 Jahren ging es als Firmenkunde noch. Bei SwissSign geht es nach wie vor. Vermutlich aber nicht als 0815 Kunde. Wir rufen dort jeden Tag mehrere dutzend Zertifikate ab.


Gruß.
Dani
Yan2021
Yan2021 06.06.2025 aktualisiert um 13:37:45 Uhr
...es ist immer wieder schön zu sehen, wenn Threads einfach "geentert" werden und es am Ende überhaupt nicht mehr um das Thread-Thema geht, weil irgendwelche User mittendrin mit ihren eigenen Problemen ankommen, statt einen neuen Thread zu eröffnen (z.B. hier @StefanKittel) face-wink

Und es gab nicht mal mehr eine Reaktion auf meine letzte Nachricht / Info von vorgestern .
Naja... manche Dinge müssen einfach mal gesagt werden und mir ist auch egal, wenn jetzt wieder Alle hier über mich herfallen face-sad

Grüße von
Yan face-wink
Xaero1982
Xaero1982 08.06.2025 um 17:49:41 Uhr
Passiert, aber du hast doch auch keine Frage mehr gestellt? Und nun?

Grüße
transocean
transocean 08.06.2025 um 20:19:39 Uhr
Moin,

Habe aber testweise einfach auch mal "Volksverschlüsselung" ausprobiert.

Danke für den Hinweis und schöne Restpfingsten.

Uwe
Delta9
Delta9 02.07.2025 um 12:48:12 Uhr
In der Archivierung und im DMS sollten die Sachen aus meiner Sicht immer unverschlüsselt liegen (also frei von personenbezogenen Schlüsseln). Es handelt sich ja schließlich auch um Unternehmensdaten, an denen das Unternehmen über die gesetzliche Archivierung hinaus ein Interesse hat.

Im DMS unverschlüsselt, im Archiv mindestens das verschlüsselte Originalobjekt.
Musst es ja in dem Zustand Archivieren wie du es empfangen hast.
Delta9
Delta9 02.07.2025 um 13:00:28 Uhr
Macht im Prinzip ja auch Sinn. Nur nicht wenn man ein sMIME-Gateway betreiben möchte.

Nicht nur im Prinzip richtig. Für welchen Zweck sollte das Gateway den Privaten Schlüssel des Benutzers haben?
ukulele-7
ukulele-7 02.07.2025 um 15:05:26 Uhr
Zitat von @Delta9:

Macht im Prinzip ja auch Sinn. Nur nicht wenn man ein sMIME-Gateway betreiben möchte.

Nicht nur im Prinzip richtig. Für welchen Zweck sollte das Gateway den Privaten Schlüssel des Benutzers haben?

Der einzige Zweck des Gateways ist das ent- und verschlüsseln,, also wäre der private Schlüssel schon nützlich. Da das Ver- oder Entschlüsseln den Inhalt einer Mail nicht verändert, sehe ich da auch keinen Unterschied zum "Originalobjekt".
Delta9
Delta9 02.07.2025 um 15:10:25 Uhr
Das entschlüsseln sollte schon der Benutzer machen, ist ja sein Schlüssel.

Klar, beim entschlüsseln wird ja nicht der Inhalt verändert. Sonst würde ja auch die SIgnatur nicht mehr passen.
Allerdings ist es dann nicht mehr das original das empfangen wurde.
ukulele-7
ukulele-7 02.07.2025 um 15:47:04 Uhr
Zitat von @Delta9:

Das entschlüsseln sollte schon der Benutzer machen, ist ja sein Schlüssel.
Nein. Beim Einsatz eines Verschlüsselungsgateways hast du keine End-zu-End Verschlüsselung sondern nur End-zu-Gateway. Das Netz hinter dem Gateway sollte natürlich vertrauenswürdig sein, aber wenn dem so ist, kann dich ja niemand dazu zwingen Verschlüsselung End-zu-End zu machen. Genauso wie es Leute gibt, die nur ihrer eigenen PKI trauen und keine Zertifikate kaufen.

Klar, beim entschlüsseln wird ja nicht der Inhalt verändert. Sonst würde ja auch die SIgnatur nicht mehr passen.
Allerdings ist es dann nicht mehr das original das empfangen wurde.
Was ist denn das "Original"? Wenn dein Spamfilter einen Spamscore in den Header der E-Mail rein schreibt, ist das dann auch nicht mehr das Original, das empfangen wurde? Ich denke nicht, das eine E-Mail in diesem Sinne "unverfälscht" empfangen werden kann. Du speicherst ja auch nicht die TCP-Pakete in Rohform ab, die deine Netzwerkkarte angenommen hat. Bei Exchange z.B. liegen E-Mails in einer Datenbank, in deinem Mailarchiv vermutlich eher als eml-Datei auf dem Dateisystem.
Delta9
Delta9 02.07.2025 um 15:59:01 Uhr
Darüber kann man sich streiten.
Gateways sind bequem und "helfen" gegen Schlüsselverlust.


Normalerweise dokumentiert man seinen Archivprozess und lässt die "GoBD " tauglichkeit absegnen.

Wenn das Gateway den privaten Schlüssel kennt ist z.b. die Integrität beim Signieren von Ausgangsmails nicht mehr gegeben.

Ist ja fast so als soll man sein passwort rausgeben.
ukulele-7
ukulele-7 02.07.2025 aktualisiert um 16:23:49 Uhr
Zitat von @Delta9:

Normalerweise dokumentiert man seinen Archivprozess und lässt die "GoBD " tauglichkeit absegnen.
Welche öffentliche Stelle bescheinigt dir denn die GoBD-Tauglichkeit? - Keine. Der interne oder externe Datenschutzbeauftragte kann das tun, aber i.d.R. übernehmen die dafür nicht mal Haftung die trägt am Ende die GF. Also ist sicher nicht verkehrt, interessiert das Finanzamt aber nicht. Wenn die der Meinung sind, das ein Verstoß gegen die GoBD vorliegt, dann interessiert die der Datenschützer einfach nicht, da haben die ihre eigene Meinung.

Die GoBD besagen übrigens, das eine E-Mail, die nur der Übermittlung von z.B. einer Rechnung dient, nicht archiviert werden muss, wenn die Original-Rechnung archiviert wird. Damit bleiben ja sogar noch ganz interessante Metadaten außen vor, z.B. wann die Rechnung mit dem Datum X auch wirklich übermittelt oder empfangen wurde. Daraus lässt sich aus meiner Sicht ableiten, das es hier nicht um Verschlüsselung geht oder "Äußeres", sondern um den unverfälschten Inhalt.
Wenn das Gateway den privaten Schlüssel kennt ist z.b. die Integrität beim Signieren von Ausgangsmails nicht mehr gegeben.
Eine Integrität ist aber nur selten vorgeschrieben. Und wenn sie nicht vorgeschrieben wird, ist es eine Vertrauensfrage. Wenn die Integrität wirklich vorgeschrieben wird, gibt es meist eigene Lösungen jenseits von Mail. Z.B. Signaturkarten, ggf. mit Nummernpad, Postfächer wie das beA und das beSt. PDF Dokumente können signiert werden, aber ich wüsste nicht, wo das für eine E-Mail vorgeschrieben wird. Die E-Mail Signatur dient am Ende dazu, meinem Gegenüber zu versichern, das die E-Mail wirklich von mir stammt. Wenn ich meinem System traue, und der Empfänger mir traut, dann ist das gegeben.

Natürlich gibt es Fälle, da traut man nicht der IT oder dem Dienstleister. Es gibt Fälle, da werden E-Mails unter anderem Namen verschickt oder im Urlaub an andere Personen weiter geleitet. Ein Gateway ist nicht für jeden das richtige.
Delta9
Delta9 02.07.2025 um 17:02:21 Uhr
Wir werfen da ein paar Sachen durcheinander. GoBD hin oder her, wie du sagst am Ende steht das Finanzamt.
Auch gerne genommen zum Testieren der GoBD taglichkeit sind die Wirtschaftsprüfer die den Jahresabschluss testieren....
Aber Thema Key's unabhängig von GoBD:
Wenn eine Mail von "mir" signiert ist, dann ist diese von mir signiert und nicht von einem Gateway dem ich vertrauen muss.
Du gibst ja auch nicht einen Unterschrift Stempel mit deiner Unterschrift an die Poststelle damit die alle deine Briefe unterschreiben.
Abgesehen das diese Zertifikate u.a. ja auch zum Unterschreiben von Verträgen genommen werden können.
Wer stellt denn sicher das der Gateway-Admin nicht an die Key's kommt'?
ukulele-7
ukulele-7 03.07.2025 um 09:43:43 Uhr
Zitat von @Delta9:

Aber Thema Key's unabhängig von GoBD:
Wenn eine Mail von "mir" signiert ist, dann ist diese von mir signiert und nicht von einem Gateway dem ich vertrauen muss.
Das kannst du so machen, musst du aber nicht. Es zwingt dich keiner dazu und eine Gateway-Lösung hat durchaus ihre Reize, wir setzen das auch im Gateway um.

Du gibst ja auch nicht einen Unterschrift Stempel mit deiner Unterschrift an die Poststelle damit die alle deine Briefe unterschreiben.
Hmmm doch, das kommt eigentlich ständig vor in Unternehmen. Es kommt natürlich darauf an, was unterschrieben wird. Bei einem Jahresabschluss oder einem Vertrag geht das natürlich nicht. Bei Ausgangspost, ohne rechtliche Relevanz, absolut möglich. Es gibt sogar eingedruckte Unterschriften in z.B. Werbung, das ist nichts anderes.

Abgesehen das diese Zertifikate u.a. ja auch zum Unterschreiben von Verträgen genommen werden können.
SMIME-Zertifikate können i.d.R. nur zum signieren von E-Mails eingesetzt werden. Die einfachste Form trägt nur die E-Mail Adresse, nicht mal den persönlichen Namen des Postfachinhabers. Es zielt wirklich nur auf das signieren der E-Mails ab, nicht auf irgendwelche rechtsverbindlichen Dokumente. Vergleichbar mit Briefpost, die meist auch durch ein Sekretariat geht.

Für rechtsverbindliche Unterschriften gibt es Gesetze, die diese einfordern, z.B. § 126 BGB. §126 kann durch eine qualifizierte Elektronische Signatur ersetzt werden. Die bekommst du aber nicht mit einem einfachen Zertifikat ausgestellt, die erfordert auch PIN Eingabe über zweites Gerät (mit eigenem Display wenn ich mich grade richtig erinnere). Signatur ist also nicht gleich Signatur.

Wer stellt denn sicher das der Gateway-Admin nicht an die Key's kommt'?
Der Gateway-Admin kommt definitiv an die Keys, das lässt sich nicht verhindern. Du betrachtest diese Zertifikate als absolute Garantie, die die Person identifiziert, das sind sie aber nicht. Sie signieren die E-Mail Adresse des Absenders und stellen technisch eine Unverfälschtheit fest. Aber wir wissen beide, das in der IT viele Möglichkeiten bestehen, zu manipulieren. Ich kann als Admin ja auch in den Client des Absenders "einbrechen", und dort das einfache E-Mail Zertifikat stehlen oder selbstständig E-Mails verschicken. Also würde ich sagen derjenige, der die Hoheit über die IT des Absenders hat, hat immer das Vertrauen des Absenders. Er darf natürlich nicht, aber unabhängig von der technischen Umsetzung kann er sich als die Person ausgeben, wenn er es will.

Ach und nochmal ganz kurz zur GoBD:
Du musst die E-Mails, wenn sie GoBD-relevant sind, ja auch offen legen können. Das heißt du musst, wenn du sie verschlüsselt ablegst, den Schlüssel vorhalten. Du kannst nicht sicher sein, ob der Postfachinhaber dann noch im Unternehmen ist, also muss das Unternehmen im Besitz dieser Schlüssel sein und jemand muss darauf Zugriff haben. Du hast also ein ganz ähnliches Problem, wenn du das niemandem anvertrauen willst, außer der Person selbst.