SPECTRUM-CLOUD

SPECTRUM-NET: Zusatz „Zwangs-TLS“-E.Mail-Verschlüsselung

SPECTRUM-NET: Zusatz „Zwangs-TLS“-E-Mail-Verschlüsselung:

Bei TLS (Transport Layer Security) handelt es sich um ein genormtes, internationales Internet-Protokoll, dass Daten über eine verschlüsselte Verbindung im Internet überträgt. TLS ist der Nachfolger des z.B. aus dem eBanking bekannten SSL-Protokolls. TLS-Transport-Verschlüsselung bedeutet, dass der Übertragungskanal zwischen jeweils zwei Mail-Servern (SMTP-Servern) verschlüsselt ist, nicht aber die E-Mails selbst.

Mit dem SPECTRUM-NET Zusatz „Zwangs-TLS“-E-Mail-Verschlüsselung wird dabei sichergestellt, dass E-Mails grundsätzlich TLS-verschlüsselt versendet oder empfangen werden, je nach eingestellter Option.. Wie durch einen sicheren Tunnel (vergleichbar VPN) reisen die E-Mails von einem SMTP-Server zum nächsten bis zum Empfänger. Die während des gesamten Übertragungsprozesses zwischen Mail-Server und Client bzw. Internet-Browser verschlüsselte E-Mail bleibt für Schnüffler somit unlesbar und wird erst wieder in den zugrundeliegenden Klartext umgewandelt, wenn sie beim Adressaten angekommen ist. Auf den E-Mail-Servern und den Rechnern des Absenders und Empfängers liegen die Nachrichten und deren Inhalt jedoch unverschlüsselt z.B. zur Viren-, Trojaner- oder SPAM-Überprüfung vor.

Zwangs-TLS-Transport-Verschlüsselung von E-Mails bei SPECTRUM-ASP und SPECTRUM-NET

Es ist optional und kostenlos möglich, dass im SPECTRUM-ASP- und im SPECTRUM-NET-Betrieb die Einstellung vorgenommen werden kann, dass alle ausgehenden E-Mails zwangsweise nur TLS-verschlüsselt verschickt werden.

Sollte ein Empfänger die TLS-Verschlüsselung nicht unterstützen, wird die E-Mail nicht übertragen und der Absender bekommt den Hinweis, dass die Mail nicht verschickt wurde. Der Absender kann dann entscheiden, ob er dem Empfänger die Mail nicht TLS-Transport-verschlüsselt übertragen möchte, hierzu kann der Absender die Empfänger-Adresse auf eine WhiteList setzen lassen (die Administration hierzu ist bei SPECTRUM-ASP ohne zusätzliche Berechnung).

Darüberhinaus lassen sich auch auf Empfangsseite für gewisse Absender Zwangs-TLS-Verschlüsselungen einstellen, damit auch der verschlüsselte Empfang sichergestellt werden kann (siehe unten weitere Konfigutartions-Möglichkeiten).

Rechtlicher Hintergrund:

Einige Datenschützer verlangen seit geraumer Zeit eine 100%-ige Ende-zu-Ende E-Mail-Verschlüsselungs-Pflicht bei Berufsgeheimnisträgern, d.h. von Steuerberatern, Wirtschaftsprüfern, Rechtsanwälten, Ärzten usw..

Manche Steuerberaterkammern hatten sich zunächst dieser Verschlüsselungs-Pflicht-Forderung grundsätzlich angeschlossen – ohne zunächst aber zu spezifizieren, was man genau darunter versteht, ob man eine Verschlüsselung der E-Mail an sich oder den E-Mail-Transportweg meint. In dem Papier „Hinweise für den Umgang mit peronenbezogenen Daten durch Steuerberater“ von April 2018 der Bunsessteuerberaterkammer steht: „Vertrauliche Nachrichten und Anlagen sind nur verschlüsselt per E-Mail zu versenden“.

Eine Pflicht zur E-Mail-Verschlüsselung für Steuerberater, Wirtschaftsprüfer, Rechtsanwälte, Mediziner usw. kann man aus § 203 StGB (absolutes Offenbarungsverbot bzw. Verschwiegenheitsgebot) und aus den entspr. Paragraphen der Berufs-Gesetzgebung ableiten (z.B. für StB/WP: §§ 57 ff und §§ 62 ff des Steuerberatergesetzes StBerG, §§ 43 ff und §§ 50 ff des Gesetzes über die Berufsordnung der Wirtschaftsprüfer WPO).

Vielen Mandanten ist die E-Mail-Verschlüsselung aber zum Teil viel zu lästig und haben schon ihren Steuerberatern mit der Kündigung der Mandatsverhältnisse gedroht, wenn man weiter einzel verschlüsselte Mails bekommen würde.

Nach dem „Datenschutz-Verunsicherungs"-Anfangs-Hype zur Einführung der EU-DSGVO im Mai 2018 ruderten dann in 2019 aber die Steuerberater- und Rechtsanwaltskammern wieder zurück und sagen, dass für den Normalbetrieb auch eine „TLS-Transport-Verschlüsselung“ ausreichen würde. Es wird aber empfohlen, dass man die Art der E-Mail-Kommunikation mit dem Mandanten schriftlich festhalten soll (siehe entspr. Schreiben unten auf dieser Seite).

 

 

Die BStBK schreibt in ihrem neuesten Papier von April 2019:
„Im E-Mail-Verkehr ist als Standard-Verschlüsselung grundsätzlich die sog. Transportverschlüsselung (SSL/TLS-Verschlüsselung) vorgesehen. Die Transport-Verschlüsselung ist grundsätzlich eine Punkt-zu-Punkt-Verschlüsselung, die man sich wie einen Briefumschlag vorstellen kann. Der Inhalt wird bei der Übermittlung zwischen dem Absender und seinem E-Mail-Anbieter sowie zwischen zwei E-Mail-Anbietern untereinander und zwischen E-Mail-Anbieter und Empfänger verschlüsselt bzw. durch einen Briefumschlag geschützt. Allerdings wird die E-Mail beim E-Mailanbieter entschlüsselt, z. B. zur Prüfung (Spam, Viren). Dies ist insoweit unproblematisch, da für E-Mail-Anbieter in Deutschland das Fernmeldegeheimnis nach § 88 TKG gilt. Zusammenfassend bedeutet es, dass die Mails auf dem Internetweg geschützt sind – lediglich auf den Client-Rechnern und den E-Mail-Servern liegen sie unverschlüsselt vor“.

Und weiter: „Der Steuerberater sollte sicherstellen, dass die E-Mail auf dem Transportweg verschlüsselt ist und sich die Server der E-Mail-Provider des Steuerberaters und des Mandanten in Deutschland befinden".

Viele deutsche Provider (Telekom, T-Online, 1&1, WEB.DE, GMX, Freenet, Strato usw.) haben sich ergänzend verpflichtet, E-Mails ausschließlich TLS-verschlüsselt zu übertragen. Über 95% des E-Mail-Verkehrs in Deutschland ist schon TLS-verschlüsselt.

Ob eine Adressaten-E-Mail-Adresse das TLS-Verfahren unterstützt, kann man z.B. mit solchen TLS-Check-Tools feststellen wie www.checktls.com oder www.MXtoolbox.com. Alle marktgängigen SMTP-Server bei Providern versuchen (sofern sie richtig konfiguriert sind und TLS unterstützen) zunächst E-Mails immer nach dem TLS-Transport-Verschlüsselungs-Verfahren zu übertragen. Teilt jedoch der adressierte SMTP-Server des Empfänger-Providers mit, dass er keine TLS-Transport-Verschlüsselung unterstützt, dann übertragen die meisten Provider-SMTP-Server aber die E-Mails weiterhin eben unverschlüsselt, denn sie wollen/müssen die E-Mails ja irgendwie loswerden. Wenn man jetzt auf beiden Seiten prüft, ob die Server TLS-mäßig richtig konfiguriert sind, kann man „mit großer Wahrscheinlichkeit" davon ausgehen, dass auch TLS-verschlüsselt übertragen wird …. aber eine 100%ige Garantie hat man leider trotzdem nicht, denn z.B. könnte der empfangende Mail-Server gerade eine Störung haben oder dessen Zertifikat könnte gerade abgelaufen und noch nicht erneuert worden sein usw. und dann würde der sendende Mail-Server eben trotzdem unverschlüsselt versenden – was dann aber im Verantwortungsbereich des Empfänger liegt.

Die optimale Lösung ist hier eine „Zwangs-TLS“-E-Mail-Verschlüsselung, wie sie SPECTRUM anbietet.

Die Bundessteuerberaterkammer BStKA führt ergänzend aus: "Derzeit wünschen viele Mandanten und auch die Finanzverwaltung keinen verschlüsselten E-Mail-Verkehr. Aus berufsrechtlichen und datenschutzrechtlichen Gründen sollten Steuerberater aber grundsätzlich einen verschlüsselten Nachrichtenaustausch wählen. Im Unterschied zur Transport-Verschlüsselung werden bei der Ende-zu-Ende-Ver-schlüsselung nicht die einzelnen Wege im Versandkanal verschlüsselt, sondern jede E-Mail wird für sich vom Anfang bis zum Ende verschlüsselt. Nur Absender und Empfänger können den Inhalt der E-Mail lesen, wenn sie den notwendigen Schlüssel haben.

Eine Ende-zu-Ende-Verschlüsselung basiert auf einem der beiden technischen Standards S/MIME oder PGP bzw. GPG. Die beiden Standards sind untereinander aber nicht kompatibel und dies bedeutet, dass beide Kommunikationspartner den gleichen Standard nutzen müssen".

 

BStKA: "Bei einer Ende-zu-Ende-Verschlüsselung haben es potentielle Angreifer sehr schwer, die E-Mails unterwegs abzufangen und zu manipulieren. Dennoch sind auch hier bereits Sicherheitslücken bekannt geworden. Da der Anwender bei der Ende-zu-Ende-Verschlüsselung selbst aktiv werden muss, um die Technologie nutzen zu können, hat sich diese Technologie noch nicht flächendeckend durchgesetzt und wird von Mandanten teilweise abgelehnt".

Eine Ende-zu-Ende-Verschlüsselung ist nach den Hinweisen der BStKA nicht erforderlich - ausreichend ist die sog. „Transport-Verschlüsselung". Grundsätzlich ist eine verschlüsselte E-Mail-Kommunikation mit dem Mandanten vorzuziehen. Wenn der Mandant dies jedoch ausdrücklich wünscht, ist auch eine unverschlüsselte E-Mail-Kommunikation berufsrechtlich zulässig. Es empfiehlt sich die Art der E-Mail-Kommunikation mit dem Mandanten schriftlich festzuhalten". 

Konfigurations-Möglichkeiten:

1. Die häufigste Anwendung ist, dass man einstellt, dass alle ausgehenden E-Mails ausschließlich TLS-Verschlüsselt versendet werden. Kann der Empfänger keine  TLS-verschlüsselten Mails entgegen nehmen, werden keine Mails übertragen und der Absender bekommt eine Nachricht, dass  die Mail nicht zugestellt werden konnte. Der Absender kann dann entscheiden, ob er ggfs. die Domain des Empfängers „whitelisten“ läßt.

2. Alternativ kann man konfigurieren, dass nur an gewisse Adressaten (auf Domain-Ebene oder ggfs. heruntergebrochen auf einzelne Benutzer-Mail-Adressen) ausschließlich Mails TLS-verschlüsselt erhalten sollen. Auch beim Mail-Eingang kann man einstellen, dass von spezifierten Domains (oder einzelne Benutzer-Mail-Adressen) ausschließlich TLS-verschlüsselte Mails angenommen werden. Diese Funktionen sind z.B. in der Versicherungswirtschaft mit dem Austausch von Kundenpolicen wichtig.


Lesenswertes zum Thema E-Mail-Verschlüsselung:

 

Mitteilungen der Bundesrechtsanwaltskammer BRAK 3/2018 Aufsatz von Rechtsanwalt Dr. Hendrik Schöttle „Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?"


Mitteilung der Bundessteuerberaterkammer BStBK vom 7. Februar 2019; „Hinweise zur E-Mail-Kommunikation“


SPECTRUM-NEWS: „Was ist los mit der E-Mail-Verschlüsselungs-Pflicht für Steuerberater ???“ oder: „Der Verschlüsselungs-Wahnsinn und die Auswirkungen der „All-IP“-Technik“

Link