Pitti259

Also, eure Fragen: Der Kunde war und ist echt, habe parallel zu den Mail-Problemen mit ihm telefoniert. Bis 07.02. ging alles wunderbar, diese Woche dann nicht mehr. Der Kunde hatte zwischen dem 07.02. und dem 12.02. nichts an der Konfiguration geändert. Als er dann auf meinen Hinweis hin die S/Mime-Bestätigung aus dem Profil rausnahm, konnten wir wieder bestens verschlüsselt kommunizieren. Mit der Fehleranzeige im Event-Log kam ich leider nicht weiter. Name der fehlerhaften Anwendung: OUTLOOK.EXE, Version: 16.0.17231.20194, Zeitstempel: 0x65bb0b80 Name des fehlerhaften Moduls: exsec32.dll, Version: 16.0.17231.20036, Zeitstempel: 0x659b9359 Ausnahmecode: 0xc0000005 Fehleroffset: 0x00018aea Doch doch, ich bin des googlen mächtig. Half mir leider nicht weiter.

Hallo Welt, im Rahmen von MS365 beziehen wir von MS den Exchange-Service. Heute bekomme ich S/Mime verschlüsselte E-Mails von einem, seit langem mit uns verschlüsselt kommunizierenden Kunden. Auf erstem Rechner schmiert outlook sofort ohne Meldung ab, auf anderem Rechner sah es erst mal gut aus, dann fragt outlook "... eine S/Mime Bestätigung senden", nach Bestätigung ist Outlook wech. In beiden Fällen ist nicht mal mehr ein Hintergrundprozess übrig, Outlook ist einfach geschlossen. Auch im geschützten Modus ergibt sich selbiges Bild. Ältere verschlüsselte Nachrichten lassen sich problemlos öffnen und entschlüsseln, daher ist es wohl die S/Mime-Bestätigung. Leider merkt sich Outlook irgendwo, dass man automatisch eine S/Mime-Bestätigung auslösen möchte. Diese Einstellung finde ich nirgends, kann diese also nicht abschalten. Hat jemand eine Idee? Ciao Pitti

Der grundsätzliche Unterschied zwischen native und BSI ist, dass die Risikoanalyse beim BSI nach hinten geschoben wurde. Das BSI sagt, wenn Du die Vorgehensweise nach 200-1 (ISMS) und 200-2 (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und Grundschutzcheck) umgesetzt hast, dann hast Du ein zertifizierbares Sicherheitsniveau erreicht. Außer, Du hättest einen erhöhten Schutzbedarf, dann muss eine Risikoanalyse erfolgen um die Restrisiken zu identifizieren und ein Risikobehandlungsplan für die identifizierten Risiken erstellt werden. Die Risikoanalysen kannst Du dann nach 200-3 machen, oder nach 27005, oder nach eigener Senfsoße. Den 200-4 brauchst Du nicht beachten, der ist nicht zeritifizierungsrelevant. Deine Firma will vermutlich die ISO 27001 auf Basis IT-Grundschutz, weil bei Ausschreibungen im öffentlichen Bereich zukünftig ohne BSI-Zertifizierung des Auftragnehmers keine Klo-Reparatur mehr von Behörden beauftragt wird. Zu Deutsch, der Drops ist gelutsch und Du musst mit. Außer ihr seid nicht im öffentlichen Bereich unterwegs, dann leg Dir mal ein paar Argumente gegen den Grundschutz zurecht. Ciao Pitti (seit 2003 als Grundschutz-Fuzzi unterwegs)

In der .reg den Schreibfehler bei Powerpoint beachten. Richtig ist Powerpnt.exe statt PowerPoint.exe.

Habe heute erstmals so eine E-Mail im Outlook erhalten. Mit Ctrl.a und Ctrl.c nach Notepad gebracht und dort gut lesen können. Kommt so was jetzt öfters?

Unterschiedlich, je nach Bundesland oder Bund. Beim Bund ist es der UP-Bund. Bei den Ländern z.B. Bayerisches-eGovernment-Gesetz, Baden-Württemberg, E-Government-Gesetz NRW ...

Das kommt jetzt ein bisschen drauf an, was das Ziel der Kompendium-Umsetzung ist. Die Anforderung APP.2.2.A5 ist eine Basis-Anforderung, d.h. die in der Anforderung mit MÜSSEN angeführten Punkte, müssen für eine Zertifizierung umgesetzt werden. Sonst darf ich als Auditor die Zertifizierung nicht empfehlen. Bei der Erfüllung der Anforderung sind wir frei, die Umsetzungsempfehlungen des BSI sind nur Empfehlungen. Worauf will ich hinaus? Für eine Steigerung der Sicherheit meiner Systeme kann ich das Grundschutzkompendium als Katalog hernehmen und mir raussuchen was mir sinnvoll erscheint. Ist das Ziel aber eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz, dann fehlt mir diese Freiheit. Die Anforderungen, vor allem die Basis-Anforderungen müssen bedient werden. Ach ja, handelt es sich um eine Bundes- oder Landesbehörde, so ist die Umsetzung des GS-Kompendiums für die eingesetzte IT gesetzlich vorgeschrieben. Da befinden wir uns dann in einer Zwittersituation, weil zwar die Anforderungen stringent beachtet werden müssen, aber die Umsetzung der Anforderung auch für, na sagen wir mal übernächstes Jahr eingeplant werden kann. Ciao Pitti

Hallo Welt, nach 20 Jahren verschlüsselter Mail-Kommunikation sollte eigentlich alles so weit geklärt sein, weit gefehlt. Einstellung in meinem Outlook, sämtliche E-Mails werden per S/Mime signiert und verschlüsselt. Ich schreibe eine neue E-Mail. Da ich noch zusätzliche Informationen benötige, speichere ich zwischendurch mal. Beim späteren Senden sagt mir Outlook, kein Empfängerzertifikat, also wird verschlüsseln abgewählt. E-Mail geht raus. Rückmeldung aller Empfänger, E-Mail nicht lesbar. Auch potentiell mit S/Mime Zertifikat bekannte Empfänger sind davon betroffen. E-Mail im gesendet Ordner, nicht lesbar, "Der Name ihrer digitalen ID kann im zugrundeliegenden Sicherheitssystem nicht gefunden werden". Wenn ich vor dem Speichern die Verschlüsselung UND die Signatur abwähle, tritt der Effekt nicht auf. Aber bereits die Signatur alleine reicht dafür aus. Mein Freund Google ist auch ratlos, oder ich bin zu doof zum suchen. Kennt einer von euch diesen Effekt? Ciao Pitti

Ja, das hat sie im Augenblick. Aber wie das nun mal nach gescheiterten Beziehungen so ist, will der Herr sie komplett loswerden. Wie bekommt sie also den E-Mail-Account transferiert?

Hallo Welt, eine Freundin betreibt als Einzelperson ein winzig Business. Sie nutzt eine, mir vom Lizenzstatus her unbekannte MS365 Lizenz ihres neuerdings Ex-Lebensgefährten. Da muss sie nun raus. Ihr Bruder hat eine MS365 Family Lizenz, da will sie jetzt rein. Das Problem ist ihr beruflicher E-Mail-Account, der auf dem Exchange ihres Ex läuft. Wie bekommt sie ihren E-Mail-Account ohne große Unterbrechung von einer Lizenz zur Anderen? Danke schon mal. Pitti

Hallo Welt, kann mir einer von euch erklären, warum die Sandbox seit dem letzten Windows-Update ohne Admin-PW-Abfrage startet? Danke und Ciao Pitti

Jetzt mal langsam. Die Mail-Archivierung wird aufgrund gesetzlicher Vorgaben gemäß Abgabenordnung gemacht. D.h. die Archivierung muss jeglichen rechnungslegungsrelevanten Beleg umfassen. Da eine manuelle Einordnung von E-Mails in das jeweilige Archiv sehr fehlerbehaftet ist, die Entscheidung was rechnungsrelevante ist und was nicht ist kein Zuckerschlecken aber die nachträgliche Archivierung dedizierter E-Mails ist durchaus erlaubt, werden normalerweise alle ein-und ausgehenden E-Mails ins schwarze Loch namens Mail-Archiv geschoben. Dort können sie verrotten. Die Wirtschaftsprüfer und die Steuerbehörden haben dann das Recht, bestimmte, einem betriebswirtschaftlichen Vorgang zuordenbare Mails mit rechnungslegungsrelevanten Informationen aus dem Archiv zu erhalten. So weit hat der Datenschutz noch nichts zu sagen. Eine anderweitige Auswertung der archivierten Mails ist eine andere Qualität. Ist die Privatnutzung des Mail-Accounts bei euch erlaubt, wäre jeder Zugriff auf das Mail-Archiv absolut tabu. Nannte man mal Postgeheimnis. Ist die Privatnutzung nicht erlaubt, kommt es auf den Zweck der Auswertung an. Zu Deiner Frage, es gibt einige Behörden, die sich um die Führerschaft hier streiten. Am stärksten ist das Finanzamt, dann die Datenschutzaufsicht, dann die Gewerbeaufsicht... Was ist der Hintergrund Deiner Frage nach den Behörden?

Jetzt nochmals für die kleinen Dummies wie mich. Meine Annahme: Wenn ich eine Transportverschlüsselung mit mx.Zielserver.com initiiere, wandert meine E-Mail zwar über n andere Server, ist aber bis zum Zielserver verschlüsselt und kann auf den Zwischenstationen nicht gelesen werden. Richtig oder Falsch? Wenn ich testperson richtig interpretiere, würde immer nur zwischen den einzlnen Vermittlungsservern eine TLS aufgebaut. Auf den Zwischenstationen wäre also meine Mail lesbar.

Damit rennst Du im Prinzip bei mir offene Türen ein. Aber an dieser Stelle habe ich das Problem, dass mein Mandant seinen Kunden (einige tausend Privatpersonen) E-Mails senden muss. 99% davon sind nur einfache personenbezogene Daten, eine Verpflichtung für die Ende zu Ende Verschlüsselung besteht nur für die besonderen Kategorien nach Art. 9 DSGVO. Jetzt versuch doch mal Lieschen Müller davon zu überzeugen sich ein S/Mime Zertifikat zuzulegen oder sich einen pgp Schlüssel zu erzeugen. Ja ich weiß, Austauschplattform. Macht mein Mandant bereits, jeder Kunde hat sein Kundenkonto und erhält nur eine E-Mail mit der Info über neue Messages. Ähnliches haben wir für die Geschäftsanbahnung probiert, eine Austauschplattform und nur den Link auf die jeweiligen Daten per Mail versandt. Die Auftragsabschlüsse brachen radikal ein. Keiner wollte das so haben. Auch verschlüsselte ZIPs mit Passwort über Handy wurden von den potentiellen Kunden nicht akzeptiert. Sch... aber auch, was willste da noch machen?

Vorgabe der DSK: "Die Bezeichnung der zum Empfang autorisierten Mailserver und ihre IP-Adressen wurden auf Empfängerseite per DNSSEC signiert. Die Signaturen der DNS-Einträge werden auf Senderseite überprüft." Kann der Mail-Server dies prüfen? Wen das DSK-Papier interessiert: https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf Ciao Pitti