21
Mailsignierung oder -verschlüsselung?
Hallo zusammen,
vielleicht kann mich mal jemand in die richtige Richtung leiten?
IST-Zustand:
Wir arbeiten seit 2021 mit einem neuen Steuerbüro zusammen und seitdem nutzt unsere Personalabteilung zur Kommunikation eine "Webakte".
Dies ist einseitig, also wir erhalten signierte Mails vom Steuerbüro und vertrauliche Unterlagen laden wir in die Webakte hoch.
Nun hat sich beim Steuerbüro der Ansprechpartner geändert und der neue mag offenbar keine Webakte und hatte die Bitte, Zitat:
Verschlüsselten E-Mailverkehr einzurichten, damit unsererseits auch wieder E-Mails bei ihm verarbeitet werden können.
Das landete dann leider bei mir und ich habe mich mit dem Ansprechpartner kurzgeschlossen um mal zu erfahren was er eigentlich erwartet.
Denn in meinen Augen versenden die lediglich "signierte" Mails, also wenn das kleine rote Siegel für die digitale Signatur an der Mail hängt.
Er sprach immer von Verschlüsselung wegen vertraulichen Daten, ein Zertifikat wurde aber nie mit uns ausgetauscht.
Wollte dazu aber mal mit seiner externen IT sprechen die das bei ihnen macht.
Einige Tage gingen ins Land und ich war auch nicht untätig, heute kam die Info, dass seine IT ihm mitgeteilt habe man versende ja verschlüsselt über TLS, wäre auch alles DSGVO konform.
Auf meine Rückfrage was er denn nun von mir erwarte was ich den Kollegen zur Verfügung stellen soll, damit er unsere E-Mails wieder verarbeiten würde kam dann:
"Das was wir auch haben, also verschlüsselte Mail".
Nun gibt es bei s/MIME soweit ich sehe im deutschen Raum keine Anbieter?
Habe mir mal ein kostenfreies Zertifikat bei den Italienern (Actalis) angelegt das klappt zum Signieren auch super.
"Verschlüsselter"-Versand ist ja sowieso gewährleistet, in meinen Augen ist es das was das Steuerbüro wünscht, aber ich sehe das hinsichtlich "Verschlüsselung" irgendwie kritisch.
Ich bin da leider nicht so tief im Thema drin, daher ein paar Fragen:
...und immer daran denken es kommt auch wieder ein Wochenende.
P.S.: Bzgl. DKIM ich grabe mich durch den Beitrag bei Mircosoft:
https://docs.microsoft.com/de-de/microsoft-365/security/office-365-secur ...
Grüße
ToWa
vielleicht kann mich mal jemand in die richtige Richtung leiten?
IST-Zustand:
- Exchange Online
- Outlook 2019 via Microsoft 365 Business Standard
Wir arbeiten seit 2021 mit einem neuen Steuerbüro zusammen und seitdem nutzt unsere Personalabteilung zur Kommunikation eine "Webakte".
Dies ist einseitig, also wir erhalten signierte Mails vom Steuerbüro und vertrauliche Unterlagen laden wir in die Webakte hoch.
Nun hat sich beim Steuerbüro der Ansprechpartner geändert und der neue mag offenbar keine Webakte und hatte die Bitte, Zitat:
Verschlüsselten E-Mailverkehr einzurichten, damit unsererseits auch wieder E-Mails bei ihm verarbeitet werden können.
Das landete dann leider bei mir und ich habe mich mit dem Ansprechpartner kurzgeschlossen um mal zu erfahren was er eigentlich erwartet.
Denn in meinen Augen versenden die lediglich "signierte" Mails, also wenn das kleine rote Siegel für die digitale Signatur an der Mail hängt.
Er sprach immer von Verschlüsselung wegen vertraulichen Daten, ein Zertifikat wurde aber nie mit uns ausgetauscht.
Wollte dazu aber mal mit seiner externen IT sprechen die das bei ihnen macht.
Einige Tage gingen ins Land und ich war auch nicht untätig, heute kam die Info, dass seine IT ihm mitgeteilt habe man versende ja verschlüsselt über TLS, wäre auch alles DSGVO konform.
Auf meine Rückfrage was er denn nun von mir erwarte was ich den Kollegen zur Verfügung stellen soll, damit er unsere E-Mails wieder verarbeiten würde kam dann:
"Das was wir auch haben, also verschlüsselte Mail".
Nun gibt es bei s/MIME soweit ich sehe im deutschen Raum keine Anbieter?
Habe mir mal ein kostenfreies Zertifikat bei den Italienern (Actalis) angelegt das klappt zum Signieren auch super.
"Verschlüsselter"-Versand ist ja sowieso gewährleistet, in meinen Augen ist es das was das Steuerbüro wünscht, aber ich sehe das hinsichtlich "Verschlüsselung" irgendwie kritisch.
Ich bin da leider nicht so tief im Thema drin, daher ein paar Fragen:
- Sehe ich das zu recht kritisch, oder hat der IT-Dienstleister des Steuerbüros recht und TLS + Signierung ist ausreichend und DSGVO konform?
- Sollte ich überhaupt noch in die Richtung S/MIME denken um das für die 3 Mitarbeiter mal umzusetzen?
- Wäre der richtige Weg eher DKIM bevor man einzelne S/MIME Zertifikate nutzt?
- Muss ich für eine effektive Verschlüsselung von Mails nicht ein entsprechendes Schlüsselpaar austauschen, so dass die Verschlüsselung zwischen Personalbüro und Steuerbüro wirklich gewährleistet ist?
...und immer daran denken es kommt auch wieder ein Wochenende.
P.S.: Bzgl. DKIM ich grabe mich durch den Beitrag bei Mircosoft:
https://docs.microsoft.com/de-de/microsoft-365/security/office-365-secur ...
Grüße
ToWa
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1363543313
Url: https://administrator.de/contentid/1363543313
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
21 Kommentare
Neuester Kommentar
Moin,
Natürlich nicht. Denn TLS sorgt nur dafür, dass die Kommunikation zwischen Client und Server verschlüsselt erfolgt, aber nicht dafür, dass die Email auf dem Server verschlüsselt abgelegt und erst vom empfangenden Client gelesen werden kann. Es kann also jeder, der sich Zugriff auf den Server verschafft, die vertraulichen Inhalte lesen. Steuerdaten als unverschlüsselte Mail zu versenden ist nicht DSGVO-konform.
Selbstverständlich. Es muss auf dem jeweiligen Client das eigene Schlüsselpaar und der jeweilige öffentliche Schlüssel des Partner vorhanden sein. Es wird dann auf dem Client verschlüsselt und signiert und auf dem anderen Client dann mit dem privaten Schlüssel entschlüsselt und mit dem öffentlichen die Signatur geprüft. Dann kann man auch Steuerdaten austauschen.
Auf Deine Frage, welcher Weg gegangen werden soll: Das musst Du mit denen absprechen. Schick und wirklich mittlerweile auch leicht zu handhaben ist GnuPG.
hth
Erik
Zitat von @dertowa:
- Sehe ich das zu recht kritisch, oder hat der IT-Dienstleister des Steuerbüros recht und TLS + Signierung ist ausreichend und DSGVO konform?
Natürlich nicht. Denn TLS sorgt nur dafür, dass die Kommunikation zwischen Client und Server verschlüsselt erfolgt, aber nicht dafür, dass die Email auf dem Server verschlüsselt abgelegt und erst vom empfangenden Client gelesen werden kann. Es kann also jeder, der sich Zugriff auf den Server verschafft, die vertraulichen Inhalte lesen. Steuerdaten als unverschlüsselte Mail zu versenden ist nicht DSGVO-konform.
* Muss ich für eine effektive Verschlüsselung von Mails nicht ein entsprechendes Schlüsselpaar austauschen, so dass die Verschlüsselung zwischen Personalbüro und Steuerbüro wirklich gewährleistet ist?
Selbstverständlich. Es muss auf dem jeweiligen Client das eigene Schlüsselpaar und der jeweilige öffentliche Schlüssel des Partner vorhanden sein. Es wird dann auf dem Client verschlüsselt und signiert und auf dem anderen Client dann mit dem privaten Schlüssel entschlüsselt und mit dem öffentlichen die Signatur geprüft. Dann kann man auch Steuerdaten austauschen.
Auf Deine Frage, welcher Weg gegangen werden soll: Das musst Du mit denen absprechen. Schick und wirklich mittlerweile auch leicht zu handhaben ist GnuPG.
hth
Erik
1
Zitat von @dertowa:
Nun gibt es bei s/MIME soweit ich sehe im deutschen Raum keine Anbieter?
D-Trust?Habe mir mal ein kostenfreies Zertifikat bei den Italienern (Actalis) angelegt das klappt zum Signieren auch super.
"Verschlüsselter"-Versand ist ja sowieso gewährleistet, in meinen Augen ist es das was das Steuerbüro wünscht, aber ich sehe das hinsichtlich "Verschlüsselung" irgendwie kritisch.
Ich bin da leider nicht so tief im Thema drin, daher ein paar Fragen:
Wenn die Transportverschlüsselung für beide Partner zwingend für die Kommunikation ist, sehe ich da keine Probleme."Verschlüsselter"-Versand ist ja sowieso gewährleistet, in meinen Augen ist es das was das Steuerbüro wünscht, aber ich sehe das hinsichtlich "Verschlüsselung" irgendwie kritisch.
Ich bin da leider nicht so tief im Thema drin, daher ein paar Fragen:
- Sehe ich das zu recht kritisch, oder hat der IT-Dienstleister des Steuerbüros recht und TLS + Signierung ist ausreichend und DSGVO konform?
* Sollte ich überhaupt noch in die Richtung S/MIME denken um das für die 3 Mitarbeiter mal umzusetzen?
Warum nicht?
* Wäre der richtige Weg eher DKIM bevor man einzelne S/MIME Zertifikate nutzt?
Nein, das ist unabhängig voneinander und für die Verschlüsselung nicht erforderlich.
* Muss ich für eine effektive Verschlüsselung von Mails nicht ein entsprechendes Schlüsselpaar austauschen, so dass die Verschlüsselung zwischen Personalbüro und Steuerbüro wirklich gewährleistet ist?
Ja, das sollte vorher geschehen. Irgendwie müssen die öffentlichen Schlüssel ja ausgetauscht werden. Dafür können signierte Nachrichten auch schon ausreichen.
Hi,
erzwungene TLS-Transportverschlüsselung reicht zu DSGVO-Konformität aus. DKIM ist sinnvoll, hat aber mit dem Thema nichts zu tun. SMIME sollte mit Nutzerzertifikaten umgesetzt werden. Auch das lässt sich notfalls auf einen Gateway auslagern, auch wenn es der Idee widerspricht.
Grüße
Richard
erzwungene TLS-Transportverschlüsselung reicht zu DSGVO-Konformität aus. DKIM ist sinnvoll, hat aber mit dem Thema nichts zu tun. SMIME sollte mit Nutzerzertifikaten umgesetzt werden. Auch das lässt sich notfalls auf einen Gateway auslagern, auch wenn es der Idee widerspricht.
Grüße
Richard
reicht zu DSGVO-Konformität aus.
Nein, de facto nicht ! Schon gar nicht bei 365. Kollege @erikro hat oben schon zu Recht darauf hingewiesen das rein nur der Transport verschlüsselt ist NICHT aber die Ablage auf dem IMAP Mailserver selber. 365 nutzt Server in den USA und MS ist so oder so ein US Unternehmen und unterliegt damit rechtlich dem Cloud Act der US Behörden jederzeit Zugriff auf Server auch im Ausland zusichert. Damit ist man de facto nicht DSGVO konform was den Austausch Personen bezogener Daten anbetrifft. Mit dem Austausch von unverschlüsselten Mails solchen Inhaltes bewegt man sich DSGVO rechtlich also in sehr gefährlichem Fahrwasser sofern nicht einen eigenen Mailserver unter eigener Hoheit betreibt.1
Zitat von @erikro:
Natürlich nicht. Denn TLS sorgt nur dafür, dass die Kommunikation zwischen Client und Server verschlüsselt erfolgt,
Natürlich nicht. Denn TLS sorgt nur dafür, dass die Kommunikation zwischen Client und Server verschlüsselt erfolgt,
Zitat von @aqui:
reicht zu DSGVO-Konformität aus.
Nein, de facto nicht ! Schon gar nicht bei 365. Kollege @erikro hat oben schon zu Recht darauf hingewiesen das rein nur der Transport verschlüsselt ist NICHT aber die Ablage auf dem IMAP Mailserver selber.Genau das hatte ich befürchtet und war auch mein Wissensstand, durch die Aussage heute vom Steuermenschen der da durch seine externe IT "belabert" wurde, kam da aber eine gewisse Unsicherheit auf, ob ich da nicht falsch liege.
Danke für die Bestätigung.
Auf Deine Frage, welcher Weg gegangen werden soll: Das musst Du mit denen absprechen. Schick und wirklich mittlerweile auch leicht zu handhaben ist GnuPG.
GnuGP schau ich mir mal an, Danke für den Hinweis.
Was das Steuerbüro angeht wissen die das selbst nicht genau, der Mitarbeiter war der festen Überzeugung alles vollkommen sicher und verschlüsselt zu übertragen, ich hatte ihn im ersten Gespräch schon darauf aufmerksam gemacht, dass das Siegel eben in meinen Augen keine Verschlüsselung darstellt.
Klar, ich kann sehen wenn die Nachricht am Weg geändert wurde, aber hey zu spät ist es dann auch.
Ich werde da morgen noch mal telefonieren müssen und auch bei uns im Haus noch mal nachhören wie das genau gehandhabt wird.
Erstmal könnte ich mir da eine Zwischenlösung gefallen lassen, die 3 Kollegen erhalten ein Zertifikat von Actalis, können dann schon mal signiert versenden, ich würde dann aber trotzdem die Webakte beibehalten, so dass signiert dem Steuerbüro mitgeteilt werden kann, dass in der Webakte die Unterlagen übermittelt wurden.
Zumindest so lang bis das in Gänze geklärt und umgesetzt ist.
Davon ab, DKIM steht bei mir schon länger auf der Liste, aber auch erstmal gut zu wissen, dass das zwei paar Schuhe sind.
Zitat von @aqui:
reicht zu DSGVO-Konformität aus.
Nein, de facto nicht ! Schon gar nicht bei 365. Kollege @erikro hat oben schon zu Recht darauf hingewiesen das rein nur der Transport verschlüsselt ist NICHT aber die Ablage auf dem IMAP Mailserver selber.Da für den Einsatz von Exchange Online ja sicherlich eine positive DSFA durchgeführt worden ist, sehe ich da kein Problem
Zitat von @mbehrens:
Da für den Einsatz von Exchange Online ja sicherlich eine positive DSFA durchgeführt worden ist, sehe ich da kein Problem
Da für den Einsatz von Exchange Online ja sicherlich eine positive DSFA durchgeführt worden ist, sehe ich da kein Problem
klaaaaarrr....Das Ding hab ich 2019 geerbt und der externe Dienstleister wurde nicht umsonst geschasst.
Hinsichtlich Datenschutz sagt unser Beauftragter immer "wo kein Kläger, da kein Richter". :-P
Allerdings konnte man bei Microsoft mal nachsehen wo die Daten lagern und ich meine mich erinnern zu können, dass seitdem die Lizenzen über die Telekom bezogen werden zumindest was Teams und OneDrive angeht dort Deutschland bzw. EU eingetragen war.
Das müsste ich aber auch noch mal prüfen.
Zitat von @dertowa:
Zitat von @mbehrens:
Da für den Einsatz von Exchange Online ja sicherlich eine positive DSFA durchgeführt worden ist, sehe ich da kein Problem
Da für den Einsatz von Exchange Online ja sicherlich eine positive DSFA durchgeführt worden ist, sehe ich da kein Problem
klaaaaarrr....Das Ding hab ich 2019 geerbt und der externe Dienstleister wurde nicht umsonst geschasst.
Hinsichtlich Datenschutz sagt unser Beauftragter immer "wo kein Kläger, da kein Richter". :-P
Allerdings konnte man bei Microsoft mal nachsehen wo die Daten lagern und ich meine mich erinnern zu können, dass seitdem die Lizenzen über die Telekom bezogen werden zumindest was Teams und OneDrive angeht dort Deutschland bzw. EU eingetragen war.
Der Datenablageort ist ohne eine individuelle Betrachtung zur Zeit ziemlich irrelevant (CLOUD Act, ...).
Das Gesetz und die momentane datenschutzrechtliche Praxis liefern keinen Anhaltspunkt dafür. Es ist eine sicher vertretbare Ansicht, zumindest wenn man sie im konkreten Fall aus einer Datenschutzfolgenabschätzung ableiten würde (denn die DSGVO selbst kennt eben keine Steuerdaten). Aber hinsichtlich des rechtlich erforderlichen Minimums trifft sie nicht zu, da hilft auch kein Ausrufezeichen.
Die pöse Microsoft, mal lesen …
https://news.microsoft.com/de-de/im-daten-dschungel-wie-microsoft-mit-de ...
Mit freundlichen Grüßen
https://news.microsoft.com/de-de/im-daten-dschungel-wie-microsoft-mit-de ...
Mit freundlichen Grüßen
Hallo ToWa,
über das rechtliche wurde ja schon einiges gesagt - zu einer Lösung deines Problems:
Bei uns ist es ähnlich - unsere Steuerkanzlei möchte auch verschlüsselt mailen (und auch andere) was ja durchaus sinnvoll ist.
Man kann das ganze theoretisch alles serverseitig oder über eine Proxy abfrühstücken (z.B. https://www.nospamproxy.de/de/produkt/e-mail-verschluesselung/) - wir haben uns aber dazu entschieden das bei jedem Nutzer einzeln zu machen (in Outlook und auf weiteren (mobilen) Geräten.
Vorgehen:
- persönliches Zertifikat bestellen (z.B. https://www.sslplus.de/marken/globalsign/globalsign-personalsign-2.html)
- Zertifikat runterladen (durch den Benutzer) - der hinterlegt es dann auf seinen Mailclients
- Signierte Mail mit Partner austauschen - dann ist das verschlüsselte Mailen möglich (!Achtung: Der öffentliche Schlüssel des Partners muss im Kontakt gespeichert werden damit man eine neue verschlüsselte Mail erstellen kann - sonst geht das nur mit Antworten in Outlook!)
Michael
über das rechtliche wurde ja schon einiges gesagt - zu einer Lösung deines Problems:
Bei uns ist es ähnlich - unsere Steuerkanzlei möchte auch verschlüsselt mailen (und auch andere) was ja durchaus sinnvoll ist.
Man kann das ganze theoretisch alles serverseitig oder über eine Proxy abfrühstücken (z.B. https://www.nospamproxy.de/de/produkt/e-mail-verschluesselung/) - wir haben uns aber dazu entschieden das bei jedem Nutzer einzeln zu machen (in Outlook und auf weiteren (mobilen) Geräten.
Vorgehen:
- persönliches Zertifikat bestellen (z.B. https://www.sslplus.de/marken/globalsign/globalsign-personalsign-2.html)
- Zertifikat runterladen (durch den Benutzer) - der hinterlegt es dann auf seinen Mailclients
- Signierte Mail mit Partner austauschen - dann ist das verschlüsselte Mailen möglich (!Achtung: Der öffentliche Schlüssel des Partners muss im Kontakt gespeichert werden damit man eine neue verschlüsselte Mail erstellen kann - sonst geht das nur mit Antworten in Outlook!)
Michael
Steuerdaten als unverschlüsselte Mail zu versenden ist nicht DSGVO-konform.
Wie? Ihr missbraucht den Mailserver als FTP Server?Mir rollt es jedes Mal die Zehennägel hoch, wenn "Dateien" per Email versendet werden
Ich verstehe es ja, wenn man verschlüsseln will, wenn interne Sachen "besprochen" werden, aber der Datei Transfer ist mit einem Cloud Server am sichersten und einfachsten einzurichten. Der Cloud Server kann ja dann das interne NAS sein oder ein externer Cloud Dienst seines Vertrauens und der Download der Datei ist über https bereits verschlüsselt, ohne, dass sich die zwei Seiten einen Schlüssel austauschen müssen.
Falls du mit GnuPG arbeiten möchtest (und das die Gegenseite auch gebacken kriegt), schau dir mal EasyGPG vor allem das WKD an:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informa ...
Kurzfassung: Du besorgst dir einen kleinen Webserver (oder nutzt einen vorhandenen) wo du die öffentlichen Schlüssel hinterlegst und zeigst mit einem DNS-Record auf dieses Verzeichnis. Damit wird der Schlüsselaustausch automatisiert.
Sehr einfach und (fast) gratis umzusetzen.
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informa ...
Kurzfassung: Du besorgst dir einen kleinen Webserver (oder nutzt einen vorhandenen) wo du die öffentlichen Schlüssel hinterlegst und zeigst mit einem DNS-Record auf dieses Verzeichnis. Damit wird der Schlüsselaustausch automatisiert.
Sehr einfach und (fast) gratis umzusetzen.
1
Moin,
Das ist definitiv falsch. Sicherlich kennt die DSGVO keine "Steuerdaten". Aber sie kennt "besonders schützenswerte Daten". Zumindest Lohnsteuerdaten enthalten solche (z. B. Religionszugehörigkeit). Somit dürfen sie nicht unverschlüsselt verschickt werden. Auch dann nicht - da ist @aqui im Irrtum - wenn es sich um einen selbst gehosteten Mailserver handelt. Und MS365 ist nach den Aussagen der Datenschutzbeauftragten der Länder ohne weitere TOMs nicht DSGVO-konform.
Liebe Grüße
Erik
Zitat von @c.r.s.:
Das Gesetz und die momentane datenschutzrechtliche Praxis liefern keinen Anhaltspunkt dafür. Es ist eine sicher vertretbare Ansicht, zumindest wenn man sie im konkreten Fall aus einer Datenschutzfolgenabschätzung ableiten würde (denn die DSGVO selbst kennt eben keine Steuerdaten). Aber hinsichtlich des rechtlich erforderlichen Minimums trifft sie nicht zu, da hilft auch kein Ausrufezeichen.
Das Gesetz und die momentane datenschutzrechtliche Praxis liefern keinen Anhaltspunkt dafür. Es ist eine sicher vertretbare Ansicht, zumindest wenn man sie im konkreten Fall aus einer Datenschutzfolgenabschätzung ableiten würde (denn die DSGVO selbst kennt eben keine Steuerdaten). Aber hinsichtlich des rechtlich erforderlichen Minimums trifft sie nicht zu, da hilft auch kein Ausrufezeichen.
Das ist definitiv falsch. Sicherlich kennt die DSGVO keine "Steuerdaten". Aber sie kennt "besonders schützenswerte Daten". Zumindest Lohnsteuerdaten enthalten solche (z. B. Religionszugehörigkeit). Somit dürfen sie nicht unverschlüsselt verschickt werden. Auch dann nicht - da ist @aqui im Irrtum - wenn es sich um einen selbst gehosteten Mailserver handelt. Und MS365 ist nach den Aussagen der Datenschutzbeauftragten der Länder ohne weitere TOMs nicht DSGVO-konform.
Liebe Grüße
Erik
1
Puh danke erstmal an alle Beteiligten.
Die Irritation steigt allerdings wieder, wenn ich dann lese:
Also reicht dieses signieren doch aus um damit auch verschlüsseln zu können?
Ich habe hier mal ein Beispiel an einer Mail vom Steuerbüro:
So selbigen Zustand kann ich bei der Kollegin ja problemlos mit einem kostenfreien Zertifikat von Actalis realisieren.
Dann kann ich das Zertifikat vom Gegenüber also irgendwo hinterlegen und dann geht das auch wirklich verschlüsselt?
Die Irritation steigt allerdings wieder, wenn ich dann lese:
Zitat von @MGS276:
Vorgehen:
- persönliches Zertifikat bestellen (z.B. https://www.sslplus.de/marken/globalsign/globalsign-personalsign-2.html)
- Zertifikat runterladen (durch den Benutzer) - der hinterlegt es dann auf seinen Mailclients
- Signierte Mail mit Partner austauschen - dann ist das verschlüsselte Mailen möglich (!Achtung: Der öffentliche Schlüssel des Partners muss im Kontakt gespeichert werden damit man eine neue verschlüsselte Mail erstellen kann - sonst geht das nur mit Antworten in Outlook!)
Vorgehen:
- persönliches Zertifikat bestellen (z.B. https://www.sslplus.de/marken/globalsign/globalsign-personalsign-2.html)
- Zertifikat runterladen (durch den Benutzer) - der hinterlegt es dann auf seinen Mailclients
- Signierte Mail mit Partner austauschen - dann ist das verschlüsselte Mailen möglich (!Achtung: Der öffentliche Schlüssel des Partners muss im Kontakt gespeichert werden damit man eine neue verschlüsselte Mail erstellen kann - sonst geht das nur mit Antworten in Outlook!)
Also reicht dieses signieren doch aus um damit auch verschlüsseln zu können?
Ich habe hier mal ein Beispiel an einer Mail vom Steuerbüro:
So selbigen Zustand kann ich bei der Kollegin ja problemlos mit einem kostenfreien Zertifikat von Actalis realisieren.
Dann kann ich das Zertifikat vom Gegenüber also irgendwo hinterlegen und dann geht das auch wirklich verschlüsselt?
Also reicht dieses signieren doch aus um damit auch verschlüsseln zu können?
Zu KÖNNEN ja. Wenn jeder ein Zertifikat hat UND den öffentlichen Schlüssel des anderen kennt.Um diese öffentlichen Schlüssel zu kriegen tauscht man zuerst nur jeweils signierte Mails aus, dabei wird der öffentliche Schlüssel dem jeweils anderen mitgeteilt.
Danach kann dann verschlüsselt versandt werden.
Edit:
Sicherheitshalber noch: Es müssen schon beide die gleiche Art von Verschlüsselung nutzen. Also entweder beide GnuPG oder beide S/MIME, leider sind diese beiden Varianten nicht miteinander kompatibel.
Man kann aber auf einem Client sehr wohl beides nutzen.
Zitat von @Drohnald:
Um diese öffentlichen Schlüssel zu kriegen tauscht man zuerst nur jeweils signierte Mails aus, dabei wird der öffentliche Schlüssel dem jeweils anderen mitgeteilt.
Danach kann dann verschlüsselt versandt werden.
Also reicht dieses signieren doch aus um damit auch verschlüsseln zu können?
Zu KÖNNEN ja. Wenn jeder ein Zertifikat hat UND den öffentlichen Schlüssel des anderen kennt.Um diese öffentlichen Schlüssel zu kriegen tauscht man zuerst nur jeweils signierte Mails aus, dabei wird der öffentliche Schlüssel dem jeweils anderen mitgeteilt.
Danach kann dann verschlüsselt versandt werden.
Perfekt!
Genauso funktioniert es, haben das in den letzten Stunden am "lebenden Objekt" probiert.
Personalisiertes Zertifikat beantragt und bei der Kollegin hinterlegt.
Sie hat eine signierte Mail verschickt, das Steuerbüro hat geantwortet und die Antwort war dann verschlüsselt.
Habe ihr dann das "Zertifikat" des Steuerbüros also die CER-Datei exportiert und für den Mitarbeiter einen Kontakt im Outlook erstellt.
Dort die CER-Datei integriert und fertig war.
Eigentlich ganz einfach, bleibt das "Problem", dass das Steuerbüro in gutem Glauben per S/MIME Mails signiert rausschickt mit vertraulichen Anhängen in dem Glauben dies verschlüsselt zu tun, auch wenn der EMpfänger gar kein S/MIME hat.
Das müssen die aber klären, der Hinweis ist nun raus.
Nun muss ich mir überlegen wie ich das geschickt angehe, denn ich sehe da einen riesigen Schulungsbedarf damit das korrekt genutzt wird.
Ich mache hier noch mal kurz weiter, denn jetzt hat der Dienstleister des Steuerbüros einen Auszug aus der Broschüre geschickt:
https://www.hornetsecurity.com/de/
Kennt das jemand?
Da ist dann wieder das Thema TLS -.-
Kennt das jemand?
Da ist dann wieder das Thema TLS -.-
Lustige Broschüre.
Dazu hat @erikro im ersten Kommentar eigentlich alles schön erklärt.
TLS = Verschlüsselung der Kommunikation zwischen den Servern (und nur zwischen den Servern! Die beiden Server und jeder mit Zugriff darauf kann auch alle Mails dort lesen, sofern diese selbst nicht verschlüsselt sind).
S/MIME (o. GnuPG) = Verschlüsselung der E-Mail (die kann man nur lesen, wenn man die richtigen Schlüsselpaar hat).
TLS kann S/MIME/GnuPG nicht ersetzen. Andersrum schon eher, aber es bleiben zwei völlig unterschiedliche Dinge.
Je nachdem was der Websafe genau macht, kann das eine sichere Variante sein.
Dazu hat @erikro im ersten Kommentar eigentlich alles schön erklärt.
TLS = Verschlüsselung der Kommunikation zwischen den Servern (und nur zwischen den Servern! Die beiden Server und jeder mit Zugriff darauf kann auch alle Mails dort lesen, sofern diese selbst nicht verschlüsselt sind).
S/MIME (o. GnuPG) = Verschlüsselung der E-Mail (die kann man nur lesen, wenn man die richtigen Schlüsselpaar hat).
TLS kann S/MIME/GnuPG nicht ersetzen. Andersrum schon eher, aber es bleiben zwei völlig unterschiedliche Dinge.
Je nachdem was der Websafe genau macht, kann das eine sichere Variante sein.
Jap, so hatte ich das auch verstanden, daher ist in meinen Augen die Reihenfolge von HornetSecurity nicht sinnvoll...
Der Websafe müsste vor dem TLS kommen bzw. TLS dürfte gar nicht auftauchen.
Die beschreiben das tatsächlich auf ihrer Website auch so:
https://www.hornetsecurity.com/de/services/email-encryption/
Wenn man da mal in die Details einsteigt:
S/MIME, PGP und TLS– was steckt hinter den Abkürzungen?
TLS unterscheidet sich nochmals grundlegend von der E-Mail-Verschlüsselung mit S/MIME oder PGP. Hier wird nicht die E-Mail selbst verschlüsselt, sondern lediglich die Verbindung zwischen den zwei kommunizierenden Servern. Auf dem Transportweg kann die E-Mail somit nicht abgegriffen werden, doch auf den jeweiligen Mailservern liegt sie unverschlüsselt vor.
Quelle: https://www.hornetsecurity.com/de/services/e-mail-verschluesselung-leitf ...
Also wenn zentrales System dafür angedacht werden sollte mache ich wohl mal einen Bogen um Hornetsecurity.
Moin,
Und selbst das ist nur die halbe Wahrheit. TLS ist nämlich durchaus anfällig für Man-in-the-Middle-Attacks. Dazu braucht es gute Kenntnisse und auch gewisse Zugriffe auf die beteiligten Maschinen, ist aber durchaus denkbar. Und dann ist es endgültig aus mit den sicheren Emails. Bei Punkt-zu-Punkt-Verschlüsselung (GnuPG, S/MIME u. ä.) geht das nicht, sofern auf die privaten Schlüssel gut aufgepasst wird. Dann kann wirklich nur der Empfänger lesen.
Liebe Grüße
Erik
Zitat von @dertowa:
TLS unterscheidet sich nochmals grundlegend von der E-Mail-Verschlüsselung mit S/MIME oder PGP. Hier wird nicht die E-Mail selbst verschlüsselt, sondern lediglich die Verbindung zwischen den zwei kommunizierenden Servern. Auf dem Transportweg kann die E-Mail somit nicht abgegriffen werden, doch auf den jeweiligen Mailservern liegt sie unverschlüsselt vor.//
TLS unterscheidet sich nochmals grundlegend von der E-Mail-Verschlüsselung mit S/MIME oder PGP. Hier wird nicht die E-Mail selbst verschlüsselt, sondern lediglich die Verbindung zwischen den zwei kommunizierenden Servern. Auf dem Transportweg kann die E-Mail somit nicht abgegriffen werden, doch auf den jeweiligen Mailservern liegt sie unverschlüsselt vor.//
Und selbst das ist nur die halbe Wahrheit. TLS ist nämlich durchaus anfällig für Man-in-the-Middle-Attacks. Dazu braucht es gute Kenntnisse und auch gewisse Zugriffe auf die beteiligten Maschinen, ist aber durchaus denkbar. Und dann ist es endgültig aus mit den sicheren Emails. Bei Punkt-zu-Punkt-Verschlüsselung (GnuPG, S/MIME u. ä.) geht das nicht, sofern auf die privaten Schlüssel gut aufgepasst wird. Dann kann wirklich nur der Empfänger lesen.
Liebe Grüße
Erik
