Weitere Informationen und technischer Hintergrund unserer Lösungen zum sicheren Datenverkehr mit unserer Kanzlei ■

Allgemeine Informationen zum sicheren Datenverkahr mit unserer Kanzlei

Wir haben uns für ein Mailgateway entschieden, das eine Reihe von zusätzlichen Leistungen bietet, unter anderem einen sehr effizienten Schutz vor unerwünschten Mails. Das Hauptaugenmerk für uns liegt darin, Ihnen die Kommunikation unter Einhaltung der Datenschutzvorschriften so komfortabel wie möglich zu gestalten.
Mittels des Gateways ist es uns möglich, unsere und damit auch Ihre Datensicherheit deutlich zu erhöhen und zugleich eine funktionale Möglichkeit zu schaffen, um den Nachrichten und Datenaustausch für alle Beteiligten so einfach und angenehm wie möglich zu gestalten.

Die eingesetzte Maillösung schützt uns unter anderem vor ungewollten Mails (Spam). Dies kann beim ersten Kontakt mit unserer Kanzlei zu falschpositiven Ergebnissen führen. Falschpositiv heißt in diesem Zusammenhang, dass eine Mail positiv als Spam erkannt wird, diese Beurteilung jedoch falsch ist, da es sich um eine gewollte Mail handelt.

Aufgrund § 206 StGB i.V. mit § 88 Telekommunikationsgesetz gilt eine Mail bereits dann als angenommen, wenn Sie in eine weitere Verarbeitung aufgenommen wird, sprich auch dann, wenn sie automatisch in einen besonderen Bereich wie Spam-Ordner oder Quarantänebereiche des Mailservers verschoben wird. Daher werden die Mails nach bestimmten Kriterien geprüft und deren Annahme gegebenenfalls verweigert. Dies bedeutet, dass wir keinerlei Information darüber bekommen, dass überhaupt versucht wurde, uns diese Mail zukommen zu lassen.
Sollte das eine der Mails betreffen, die Sie uns gesendet haben, bekommen Sie eine entsprechende Mitteilung, dass die Annahme verweigert wurde. Bitte setzten Sie sich daraufhin mit uns in Verbindung.
Das Mailgateway beurteilt die eingehenden Mails mittels eines selbstlernenden "Level of Trust", einer "Stufe der Vertrauenswürdigkeit". Hierbei werden die eingehenden Mails durch eine Reihe von Kriterien geprüft und beurteilt, insbesondere ist hierbei von Bedeutung ob bereits in der Vergangenheit Mailverkehr zwischen dem Absender und uns stattgefunden hat.

Im Bereich der Bewertung von Mailabsender kommen bei allen Maillösungen "Blacklists", "Greylists" und "Whitelists" zum Einsatz. Black- und Greylists werden sowohl von eigenen Mailservern als auch im Internet geführt. Dort werden Absendeadressen von denen sicher (Blacklist) oder wahrscheinlich (Greylist) davon ausgegangen werden kann, dass es sich um nicht seriöse Absender handelt, eingetragen. Ist ein solcher Eintrag auf eine Black- oder Gerylist erfolgt verwirft der Mailserver die ankommende Nachricht und stellt diese nicht zu. Unglücklicherweise kann es immer wieder vorkommen, dass auch seriöse Absender aus unterschiedlichen Gründen auf einer Black- oder Greylist aufgeführt werden.

Um diesen fehlerhaften Einträgen entgegenzuwirken, führt unser Mailserver eine Whitelist, in der uns bekannte seriöse Absender eingetragen werden. Dies geschieht beispielsweise automatisch, indem wir eine Mail versenden. Der Empfänger wird automatisch in die Whitelist eingetragen und so die Zustellwahrscheinlichkeit deutlich erhöht, da die Whitelist eine starke Auswirkung auf den "Level of Trust" des Mailservers hat.

  zurück zu "Sicherer Nachrichtenaustausch mit der Kanzlei"

weiter zu "Verschlüsselung des Transportweges"  

Verschlüsselung des Transportweges der Email

SSL - TLS und HTTPS

SSL (Secure Sockets Layer) ist eine Tech­no­lo­gie zur Ab­sicher­ung von Daten­ver­bin­dung­en über das Inter­net. Hier­bei ident­ifizier­en sich die daten­über­tra­gen­den Stel­len gegen­sei­tig mit­tels eines SSL-Zer­ti­fi­ka­tes. Dieses Zer­ti­fi­kat sol­lte von einer au­tho­ri­sier­ten Stel­le stam­men. Bei der Aus­stel­lung des Zer­ti­fi­ka­tes wird ge­prüft, ob die da­ten­über­tra­gende Stel­le, für die es be­an­tra­gt wird auch tat­säch­lich die Stel­le ist für die Sie sich aus­gibt. (z.B. ein Mail­server oder ein Domain­name). Das aus­ge­stel­lte Zer­ti­fi­kat wird der ent­sprech­en­den Stel­le zugeordnet.
Sollen nun Da­ten mit­tels TLS (Trans­port Layer Secur­ity) oder HTTPS (Hyper Text Trans­fer Protocol Secure) über­tragen werden, kon­tak­tieren sich die Stel­len zu­nächst gegen­seitig und weisen sich unter­ein­ander aus. Hat dies statt­ge­fun­den wird eine ver­schlüs­selte Ver­bin­dung auf­ge­baut und erst dann die ei­gent­lich­en Da­ten über­tragen.
Mailkom­muni­kation mit­tels TLS ist daher eben­falls eine sich­ere Möglich­keit Mails aus­zu­tau­schen. Es wer­den keine wei­teren be­nut­zer­be­zo­genen Pass­wör­ter oder Zer­ti­fi­kate be­nö­tigt.

Bei den anderen Verschlüsselungsmethoden die wir anbieten wird die Mail selbst verschlüsselt und kann nur durch den Empfänger wieder lesbar gemacht werden. Man spricht hier von End-to-End Verschlüsselung. Eine End-to-End Verschlüsselung bietet eine Mailsicherheit in jedem erdenklichen Fall und ist grundsätzlich die sicherste Methode des Mailverkehrs.

Bei der Transportverschlüsselung mittels TLS (Transport Layer Security) findet eine verschlüsselte Übertragung der Mail statt, die Mail selbst jedoch bleibt unverschlüsselt. Das dahinterliegende System ist vom Prinzip das Gleiche wie bei HTTPS. Zwischen den beiden datenaustauschenden Stellen wird, zunächst unverschlüsselt, eine Verbindung aufgebaut. Dann identifizieren sich die datenaustauschenden Stellen mittels ihrer hinterlegten Zertifikate und führten einen "Handshake" durch. Nach erfolgreichem Handshake wird die Verbindung verschlüsselt, so dass ab diesem Zeitpunkt sicher Daten übertragen werden können.

Anfällig ist dieses System bei Emails in mehreren Punkten.
Es sind zum Beispiel „Man in the Middle“-Attacken möglich, bei denen sich ein fremder Dritter in die ungesicherte Datenverbindung vor dem Handshake einklinkt und dann beiden Seiten die Zertifikate der jeweils anderen Stelle vorgaukelt. Ist dies geschafft, ist der "Man in the Middel" in der Lage, den Datenverkehr selbst zu empfangen und weiterzuleiten. Hierdurch kann der Angreifer die gesendeten Daten mitlesen oder auch vor der Weiterleitung verändern.
Hinweis: Ein Mitlesen ist für den Empfänger nicht erkennbar. Mails die von uns versendet werden sind jedoch grundsätzlich signiert. Werden diese inhaltlich verändert, wird die Signatur gebrochen. Ein Verändern des Inhaltes ist hierdurch nicht unmöglich, aber durch den Signaturbruch für den Empfänger erkennbar.

Grundsätzlich kann die Transportverschlüsselung dann problematisch sein, wenn eine Mail nicht direkt von einem Mailserver zum anderen übermittelt wird, sondern über mehrere Internetserver läuft. Dies ist z.B. immer dann der Fall, wenn kein eigener Mailserver betrieben wird, sondern ein Maildienst (1&1, gmx, t-online, iCloud, Office 365, usw) genutzt wird. Selbst wenn die Mail zwischen uns und dem Maildienstanbieter verschlüssselt übertragen wird, liegt sie auf dessen Servern immer unverschlüsselt vor. Daher ist es wichtig, dass der Weg zwischen dem Mailserviceprovider und dem Endgerät mit dem die Nachricht gelesen wird ebenfalls verschlüsselt stattfindet.

Wenn wir z.B. eine Mail an eine T-online-Adresse übertragen, geschieht dies selbstverständlich mittels TLS-Verschlüsselung. Nach der Übertragung liegt die Mail unverschlüsselt beim Mailserviceprovider, in diesem Fall T-online vor. Betrachten Sie die Mail auf der Webseite von T-Online geschieht dies ebenfalls gesichert, mittels Https-Protokoll. Wird die Mail jedoch z.B. auf das Handy des Empfängers weiterübertragen, kommt es darauf an, wie die Verbindung vom Endgerät zum Maildiensteanbieter aufgebaut wird. Hier muss ebenfalls eine gesicherte Mailverbindung herstellt werden. Dies geschieht über die verwendeten Ports, die zum Verbindungsaufbau verwendet werden. Bei einem Abruf mit POP3 (die Mail wird abgerufen und beim Mailanbieter gelöscht) sind dies in der Regel die Ports 995 für den Posteingang und 465 für den Postausgang. Bei einem Abruf mittels IMAP (die Mail bleibt beim Mailanbieter erhalten und es wird nur ein Spiegelbild auf das Handy übertragen, so dass die gleiche Mail dann auch auf ein anderes Gerät übertragen werden kann) sind das in der Regel die Ports 993 für den Posteingang und ebenfalls die 465 für den Postausgang.

Um sicher mittels TLS Mailverkehr zu betreiben, muss also gewährleistet werden können, dass der Übertragungsweg der Mail vom ersten Sender bis zum endgültigen Empfänger verschlüsselt wird. Dies ist kein Problem, wenn Sie einen eigenen Mailserver betreiben oder sich die Mails auch bei ihrem Mailanbieter mittels TLS-Verschlüsselung abholen, egal ob mit POP3 oder IMAP.

Eine entsprechende ausführliche Anleitung finden Sie in den Serviceseiten Ihres Mailanbieters. Z.B. für T-Online, für gmail, für 1&1, für web.de oder für gmx. Mailaccounts bei iCloud oder Office365 werden ausschließlich transportverschlüsselt übertragen. Bei anderen Mailprovidern erkundigen Sie sich bitte auf den Serviceseiten des Anbieters.

Wenn Sie einen eigenen Mailserver betreiben, sprechen Sie bitte mit Ihrem Anbieter oder IT-Fachmann um einen TLS-Empfang einzurichten. Hierzu wird ein auf Ihre Domäne ausgestelltes SSL-Zertifkat benötigt.

Bitte informieren Sie sich selbst umfassend über die eventuellen Sicherheitsprobleme bei ausschließlicher Verschlüsselung des Transportweges bevor Sie uns das ausgefüllte Formular, pdf-Version, MS-Office-Version, zukommen lassen.

  zurück zu "Verschlüsselung des Transportwegs der Email"

weiter zu "End-to-End Verschlüsselung"  

Mailverkehr mittels verschlüsseltem PDF-Container

Zum erstmaligen Einrichten beachten Sie bitte unsere Kurzanleitung zu Einrichtung und Umgang mit unserem Mailgateway: Sicherer Mailverkehr mittels PDF-Dateien

Wenn Sie nicht über ein Schlüsselpaar verfügen und von uns sensible Informationen zugesandt bekommen erhalten Sie eine Mail mit einem Anhang. Der Anhang ist ein PDF-Container. Den Container können Sie mit dem Adobe Acrobat Reader öffnen. Darin ist dann die eigentliche Nachricht sowie eventuell mitgesendete Anhänge enthalten.

Zum Öffnen des Containers müssen Sie Ihr Passwort, das Sie sich vergeben haben, eingeben. Dies ist leider jedesmal, wenn Sie die Nachricht öffnen möchten, erneut notwendig.

Verschlüsselte PDF-Dateien entschlüsselt speichern

Wenn Sie verschlüsselte Dokumente speichern, müssen Sie beim erneuten Öffnen der Datei wieder das Passwort eingeben, um diese lesen zu können.
Es gibt jedoch eine Möglichkeit, diesen Umstand zu umgehen und das Passwort nur einmal eingeben zu müssen. Um ein verschlüsseltes Dokument entschlüsselt zu speichern, öffnen Sie dieses im Adobe Acrobat Reader. Nun haben Sie die Möglichkeit, das Dokument mit Microsoft print to pdf in eine neue Datei drucken zu lassen. Diese ist nicht mit einem Passwort versehen.
Bitte beachten Sie unbedingt, dass Dateien, die mit einem Passwort gespeichert wurden, nicht mehr geöffnet werden können, wenn Ihnen das Passwort abhanden kommt! Auch durch uns nicht.

  zurück zu "Email mit verschlüsseltem PDF-Container"

weiter zu "Email mit Verschlüsselung mittels eines Schlüsselpaares"  

Mailverkehr mittels Schlüsselpaaren

S/MIME (Secure / Multipurpose Internet Mail Extension) und PGP (Pretty Good Privacy) unterscheiden sich in einigen Punkten, haben jedoch eines gemeinsam: Das Schlüsselpaar.

S/MIME und PGP

Das Thema Mail­verschlüss­elung mittels Zertifi­katen wirkt sehr kom­plex und das ist es auch. Der wesent­liche Vor­teil der Ver­schlüssel­ung mit ei­nem Schlüssel­paar besteht auch für Sie darin, dass der Mail­ver­kehr wie ge­wohnt statt­findet. Nach der Ins­talla­tion des Schlüssel­paares be­mer­ken Sie nicht ei­nmal mehr, dass Sie über­haupt ver­schlüsselt kommu­nizieren.
Das gilt selbst­verständlich nicht nur für den Mail­verkehr mit unserer Kanzlei. Es ist IHR Schlüssel­paar mit dem Sie gesichert kommu­nizieren. Mit Banken, Be­hörden, Ihrem Rechts­anwalt, Ihrem Notar, Ihrem Steuer­berater, Ihren Geschäfts­partnern und auch Ihren Freunden und Bekannten, insofern diese eben­falls ein Schlüsslpaar haben. Dies ist aus unser­er Sicht der deut­lich bequemere Weg als sich mit zig Por­talen herum­schlagen zu müssen, die häufig die zwangs­weise Alter­native zum Schlüssel­paar sind.

Ein Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel ist nur im Besitz des Mailadresseninhabers, der öffentliche Schlüssel jedoch ist über frei zugängliche Schlüsselserver im Internet für jederman einsehbar. Soll nun eine Email versandt werden, prüft das Mailprogramm zunächst, ob der gewünschte Empfänger der Mail einen öffentlichen Schlüssel auf einem Schlüsselserver zu Verfügung gestellt hat. Ist dies der Fall und der Absender möchte gerne, dass die Mail verschlüsselt übertragen wird verschlüsselt das Mailprogramm diese.
Schlüsselserver sind über das Internet erreichbare Server auf denen die öffentlichen Schlüssel vorgehalten werden und durch das angewandte Mailprogramm abrufbar sind.

Verschlüsselter Mailverkehr mittels eines Schlüsselpaares funktioniert nach der Einrichtung sehr einfach und zuverlässig. In der Anwendung bemerkt man schlussendlich kaum, dass der Mailverkehr sicher und verschlüsselt stattfindet, da sich an der Arbeitsroutine hierdurch nichts ändert.

Wie funktioniert das?

Der öffentliche Schlüssel ist frei zugänglich auf einem Schlüsselserver. Soll nun eine Mail verschlüsselt an einen Mailempfänger übertragen werden, prüft das Mailprogramm ob es den öffentlichen Schlüssel des gewünschten Mailempfängers bereits kennt oder ob dieser auf einem Schlüsselserver verfügbar ist. Ist dies der Fall verwendet das Mailprogramm diesen, um die Nachricht zu verschlüsseln. Es handelt sich hierbei um eine asymmetrische Verschlüsselung. Das heißt, da dem Mailprogramm die eine Hälfte des Schlüsselpaares bekannt ist, kann es die Nachricht so digital verschlüsseln, dass diese nur noch zu entschlüsseln ist, wenn beide Schlüssel zum Einsatz kommen.
Da nur der Empfänger über den privaten Schlüssel verfügt, ist auch nur er in der Lage, die Nachricht wieder zu entschlüsseln und deren Ihnhalt zu sehen.

Die dahinterliegende Arbeit erledigt Ihr Mailprogramm, egal welches Sie einsetzen, ganz alleine. Sie müssen beim Absenden nur wählen ob, die Mail verschlüsselt und/oder signiert werden soll oder nicht.

Der Unterschied zwischen S/MIME und PGP liegt darin, dass bei PGP nur ein Schlüsselpaar erzeugt wird, wogegen S/MIME ein Zertifikat zugrundeliegt. Dieses Zertifikat wird von einer anerkannten Zertifizierungsstelle erzeugt, die zuvor eine Identifikationsprüfung vornimmt. Damit ist gewährleistet, dass der Inhaber eines Schlüsselpaares, das nach S/MIME erzeugt wurde auch tatsächlich die Person ist, als die er sich ausgibt. Apple unterstützt aktuell leider nur S/MIME. Um PGP auf Apple-Geräten zu nutzen, müssen Sie sich eine Erweiterung wie z.B. iPGMail oder oPenGP auf Ihrem Apple-Gerät installieren.

Woher bekommen Sie ein entsprechendes Schlüsselpaar?

durch Dritte

Privatanwender bekommen Schlüsselpaare kostenlos z.B.
Unternehmen haben die Wahl zwischen einer Gesamtlösung oder Einzelumsetzungen.

selbst erstellt

Anders als die Schlüssel, die von den anerkannten Zertifizierungsstellen kommen, sind diese Schlüssel jedoch ohne Gewährleistung, dass es sich beim Schlüsselinhaber tatsächlich um den Absender handelt und darüber hinaus werden sie durch Anwenderfehler häufig mehrfach generiert, von denen jedoch nur einer schlussendlich funktioniert. Um die Glaubwürdigkeit von PGP-Schlüsseln zu erhöhen, gibt es ein "web of trust" bei dem das selbst erzeugte Schlüsselpaar durch indirekte Validierung an Glaubwürdigkeit gewinnt, je mehr Teilnehmer den Absender akzeptieren und so dessen Identität bestätigen.

  zurück zu "Email mit Verschlüsselung mittels eines Schlüsselpaares"

weiter zu "Nachrichtenaustausch mit Mandanten über unser Onlineportal"  

Weitere Informationen zum Nachrichtenaustausch über das Mandantenportal

Das Mandantenportal ist eine Webseiten-Anwendung. Um Zugang zum Portal zu bekommen, müssen wir das Portal für Sie einrichten und Ihnen die Zugangsdaten zukommen lassen. Sie können das Portal dann von überall mittels eines Webbrowsers wie den Internetexplorer, Firefox oder ähnliche Anwendungen öffnen. Im Portal besteht die Möglichkeit, Nachrichten zwischen Ihnen und unserer Kanzlei auszutauschen.

Auf diesem Wege ist es ebenfalls möglich, dass wir Ihnen jegliche Auswertung zukommen lassen, die Sie dann im Portal einsehen oder zur weiteren Verwendung von dort abrufen und bei sich lokal auf Ihrem PC speichern können.

Für Mandanten, bei denen wir die Lohnabrechnungen erstellen, ist es außerdem möglich, für die Arbeitnehmer eigene Portale zu erstellen und die Lohnabrechnungen und sonstigen Lohnunterlagen auf diesen Portalen zur Verfügung zu stellen, so dass für den Arbeitgeber das Verteilen von Abrechnungen, Verdienstnachweisen usw. in Papierform entfällt.

Erreichbar ist das Mandantenportal und auch die Arbeitnehmerportale über unsere Portalseite: https://stb-eselgrimm.one-click.de

Es ist nur für Mandanten und deren Angestellten möglich, ein Mandantenportal einzurichten.

  zurück zu "Nachrichtenaustausch mit Mandanten über unser Onlineportal"

weiter zu "Dateiaustausch über unseren Fileserver"  

Weitere Informationen zu unserem Fileserver

Mit unserem Fileserver haben wir die Möglichkeit geschaffen, größere Datenmengen austauschen zu können. Dies ist insbesondere wichtig, da es möglich sein muss, auch größere Dateien, wie beispielsweise sehr umfangreiche Verträge, die Ihnen oder uns digital vorliegen, schnell und unkompliziert zu versenden.

Hierzu ist es erforderlich, den Empfängern der Nachricht die Möglichkeit zu geben, auch Dateien über das Internet herunterladen zu können, ohne dass diese mittels Mail geschickt werden.

Hierzu erhalten Sie eine Mail mit einem Link. Wenn Sie diesen benutzen können Sie sich die von uns zu Verfügung gestellte Datei herunterladen. Ebenso können Sie uns große Dateien überlassen. wenn Sie dies beabsichtigen teilen Sie uns dies bitte mit. Dann erhalten Sie ebenfalls eine Mail mit einem Link. Wenn Sie diesem folgen erreichen Sie ebenfalls unser Portal und haben dort die Möglichkeit die Dateien die Sie uns überlassen möchten auf unser Portal hochzuladen und wir können uns die Dateien dann von dort abholen.

Über unseren Fileserver ist es möglich in beide Richtigungen Dateien auszutauschen. Wir können Ihnen Daten überlassen und sie uns. Für einen Zugang zu unserem Fileserver sprechen Sie uns einfach an.

  zurück zu "Dateiaustausch über unseren Fileserver"

weiter zu "Dateiaustausch mit Mandanten über unser Onlineportal"  

Weitere Informationen zum Dateienausaustausch über das Mandantenportal

Für die regelmäßige Überlassung von digitalen Unterlagen, insbesondere hinsichtlich der Buchführungsunterlagen, bieten wir ein kleines Programm an, das Sie lokal bei sich auf dem PC installieren.

Das Programm heißt "Belegmanager" und ist sowohl über eine Benutzeroberfläche, die Sie als Programm starten, erreichbar als auch als Ordner in den Dokumentenordnern des Benutzers. Die Überlassung von Dateien über den Belegmanager ist äußerst simpel, da die Dateien einfach in die entsprechenden Ordner kopiert oder mittels der Einstellung Ihres Scanners direkt in die entsprechenden Ordner gescannt werden und dann automatisch an uns übertragen werden.

Für Unternehmer, die uns ihre Buchhaltungsdaten digital überlassen möchten, bedeutet dies eine große Erleichterung bei einer minimalen Änderung des Tagesablaufes. Die buchhaltungsrelevante Geschäftspost wird direkt nach dem Öffnen eingescannt, sodass die dabei enstehendenden Dateien in dem enstprechenden Ordner landen. Von dort werden die Dateien direkt an uns übertragen. Die Geschäftspost kann dann nach dem eigenen Ablagesystem des Unternehmens weiter behandelt werden. Es ist nicht mehr nötig, die Belege nach den Kontoauszügen zu sortieren oder Kopien zum Zwecke der Buchführung zu erstellen. Die Belegablage kann nach Lieferant/Kunde, Projekt, Auftrag oder sonst einer gewünschten Ordnung erfolgen.

  zurück zu "Dateiaustausch mit Mandanten über unser Onlineportal"

weiter zu "Dateiaustausch über unsere OwnCloud"  

Weitere Informationen zur Owncloud

Der Vorteil der Owncloud liegt darin, dass eine Verzeichnisstruktur hinterlegt werden kann und die Daten für beide Seiten permanent vorgehalten werden. Es ist also kein eigentlicher "Dateienaustausch", auch wenn die Owncloud natürlich auch hierzu genutzt werden kann, sondern alle Dateien in der Owncloud werden zu gemeinsamen Dateien für beide Seiten.

Die Owncloud wird durch uns selbst administriert und niemand anderes hat Zugang zu den darin enthalten Daten. Hierdurch und durch die Tatsache, dass diese in einer in Deutschland belegenen Serverfarm eines großen Hosters liegt, zusammen mit der Verschlüsselung aller darin befindlichen Dateien, ist unsere Owncloud in jeglicher Hinsicht sicher.

Da es jedoch äußerst selten nötig ist, dass wir gemeinsame Dateien mit unseren Mandanten oder anderen Geschäftspartnern haben, und die Einrichtung, Überwachung und der Umgang mit dieser Lösung am komplexesten und aufwändigsten ist, kommt diese Lösung nur in besonderen Fällen zum Einsatz.

  zurück zu "Dateiaustausch über unsere OwnCloud"

  zurück zum Seitenanfang