E–Mail–Kommunikation ist grundsätzlich unsicher. Sie wissen nie
- Stammt die Mail wirklich von dem angegebenen Absender?
- Erreicht mich die Mail unverändert?
- Haben Dritte unbefugt den Inhalt der Mail gelesen?
- Erreicht meine Mail den angedachten Empfänger?
- Erreicht meine Mail den Empfänger unverfälscht?
Insbesondere in rechtlichen und steuerrechtlichen Angelegenheiten schmerzt es, wenn man nachträglich herausfindet, dass man eine dieser Fragen mit nein hätte beantworten müssen.
Mögliche Angriffe auf die Kommunikation kommen aus vielen Richtungen: staatliche Überwachung, Strafverfolgungsmaßnahmen, Industriespionage, sonstige Online-Kriminalität. Selbst wenn Behörden Informationen unrechtmäßig erlangen, werden diese üblicherweise als Beweise zugelassen. Unbedachte Worte können so schnell teuer werden, selbst wenn kein unrechtmäßiges Verhalten dahinter steht.
Andererseits ist E–Mail–Kommunikation in vielen Fällen zu bequem (und zu effizient), um darauf zu verzichten. Mit einigen geeigneten Maßnahmen lässt sich den Unzulänglichkeiten des Kommunikationsmediums beikommen.
Sender Policy Framework
Eine Maßnahme, die wir für Sie ergriffen haben, ist der Einsatz des Sender Policy Frameworks. Erhalten Sie von uns eine E–Mail, so enthält der Header dieser E–Mail einen Eintrag spf=pass, wenn Ihr Mailserver SPF unterstützt. Unterstützt Ihr Mailserver SPF und eine auf den ersten Blick von uns stammende E–Mail enthält einen Eintrag spf=fail im Header, so haben Dritte unsere Absenderadresse missbraucht, was zwar nicht verhindert werden kann, aber auf diesem Wege zumindest erkannt wird. Dies wirkt also dem Problem 1 entgegen.
Signatur
Erhalten Sie von uns eine E–Mail, so ist diese mit einem kryptographischen Verfahren signiert. Über den notwendigen (digitalen) Schlüssel verfügt nur der Absender der E–Mail. Wir verwenden als Schlüssel auf Smartcards gespeicherte Zertifikate der DATEV. Erhalten Sie eine so signierte E–Mail, so können Sie die Gültigkeit der Signatur nach Installation der Herausgeberzertifikate der DATEV prüfen. Ist die Signatur gültig, dann wissen Sie, dass
- der angegebene Absender auch der tatsächliche Absender ist und
- dass die E–Mail auf dem Weg zu Ihnen nicht verfälscht wurde.
Die Signatur löst also die Probleme 1 und 2. Wenn Sie Ihre E–Mails signieren, lösen Sie das Problem 5. Erhalten Sie (anscheinend) von uns eine unsignierte E–Mail, so trauen Sie dieser bitte nicht.
Verschlüsselung
Sie können uns mit nahezu jedem E–Mail–Programm verschlüsselte Nachrichten schicken. Suchen Sie aus dem DATEV–Verzeichnis bitte das Zertifikat zur Verschlüsselung des angedachten Empfängers heraus. Laden Sie es herunter, importieren Sie es in Ihr E–Mail–Programm und senden Sie eine verschlüsselte Nachricht an uns. Nur wir können diese dann lesen. Die Einrichtung der Verschlüsselungszertifikate in Outlook ist im Abschnitt 4 dieses Dokuments beschrieben.
Sind Sie unser Mandant und möchten Sie Ihre Nachrichten von uns auch verschlüsselt erhalten, so wenden Sie sich bitte an uns. Wir beraten Sie gerne, besorgen Ihnen eine Smartcard und richten Ihnen auch die Programme zur einfachen Verwendung ein.
Verschlüsselung von E–Mails löst das Problem 3. Verschlüsselte E–Mails werden i.d.R. auch signiert, so dass die Probleme 1–3 bzw. 1,3,5 gelöst sind.
Alternative: PGP
Alternativ zu der DATEV-Zertifikatslösung können Sie mit uns auch mit PGP-verschlüsselten/signierten Nachrichten kommunizieren. Bitte kontaktieren Sie uns hierzu. Bewährt hat sich eine Kombination aus Thunderbird, Enigmail und einer OpenPGP–Smartcard.