Datenschützer mahnen Mail-Server-Betreiber wegen fehlender Verschlüsselung

Inhaltsverzeichnis

772 Unternehmen in Bayern haben diese Woche Post vom Bayerischen Landesamt für die Datenschutzaufsicht bekommen. Die Ansbacher Behörde machte die Unternehmen darauf aufmerksam, dass ihre Mailserver nicht den datenschutzrechtlichen Anforderungen genügen. "Zur möglichen Verschlüsselung der Kommunikation zwischen Mailservern ist der Einsatz des Protokolls StartTLS nach dem Stand der Technik als erforderlich zu betrachten”, heißt es in dem Schreiben.

Schlamperei

Die Datenschützer machten einen ähnlichen Test, wie ihn das c't magazin bereits im Frühjahr für den Artikel "Mail-Empfang verschusselt; Viele Mail-Server verschlüsseln nicht" durchgeführt hatte. Auch das Ergebnis war ähnlich: Trotz verstärkter Aufmerksamkeit für das Thema E-Mail-Sicherheit schlampen nach wie vor noch viele Unternehmen und Behörden. Die Bayerischen Datenschützer mahnten bei rund einem Drittel der Probanden das Fehlen der Transportsicherung TLS an. Ebenfalls moniert wurde fehlende Unterstützung für Perfect Forward Secrecy und zu schwache Schlüssel; 512-Bit-Schlüssel entsprächen nicht den Anforderungen, teilten sie etwa mit. Bei 44 Unternehmen monierten sie schließlich auch den fehlenden Fix gegen die Heartbleed-Attacke.

Die Aktion des Bayerischen Landesamtes, für die zwei Informatiker der Abteilung IT-Sicherheit und technischer Datenschutz eine eigene Prüfsoftware entwickelten, ist der erste TLS-Check durch Datenschutzbehörden in dieser Art. "Natürlich können wir die Prüfsoftware auch den Kollegen in anderen Ländern zur Verfügung stellen," sagte Andreas Sachs, der Leiter der Abteilung. Im März hatten die Datenschutzbeauftragten von Bund und Ländern die Transportverschlüsselung als wesentliches Element für den Schutz von Daten prominent in ihren Beschluss zur Gewährleistung der Menschenrechte in der elektronischen Kommunikation aufgenommen.

Automatisierter Check

Insgesamt wurden laut einer Mitteilung des Landesamts, das für die rund 500.000 Unternehmen im Freistaat zuständig ist, die Mailserver von 2236 Unternehmen dem automatisierten TLS-Check unterworfen. Die Unternehmen seien nach dem Zufallsprinzip ausgewählt worden. Die bayerischen Datenschützer hatten zuvor auch schon den datenschutzkonformen Einsatz von Google Analytics und Adobe Analytics durch Unternehmen im Freistaat geprüft.

Im Rahmen der Mailserverprüfung, wies das Landesamt nun klar darauf hin, dass unverschlüsselte Emails wegen der leichten Einsehbarkeit dem Paragraphen 9 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) widersprechen. Daher seien die Unternehmen verpflichtet, “im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle Verschlüsselungsverfahren in angemessenem Umfang bei den von Ihnen eingesetzten Mailservern nach dem Stand der Technik zu verwenden”. Das bedeutet konkret: Transportverschlüsselung mittels StartTLS und Perfect Foward Secrecy. Letzteres hindert Angreifer daran, bereits verschlüsselt aufgezeichneten Datenverkehr zu dechiffieren, wenn sie später in den Besitz des der geheime Server-Schlüssels gelangen. Für die meisten Unternehmen seien die entsprechenden Änderungen leicht zu machen, heißt es aus dem Landesamt.

Transportverschlüsselung

Gleichzeitig weisen die Datenschützer darauf hin, dass die Transportverschlüsselung “gezielte Angriffe von Geheimdiensten oder Cyberkriminellen nicht gänzlich” verhindern. StartTLS sei kein Ersatz für Ende zu Ende-Verschlüsselung mit PGP. Die angeschriebenen Unternehmen haben jetzt bis Anfang Oktober Zeit zu reagieren. Sie sind aufgefordert, etwaige Lücken zu schließen, übrigens unabhängig davon, ob sie einen Dienstleister beauftragt haben oder den Mailserver selbst betreiben. Überdies sind sie aufgefordert, einen ausgefüllten Antwortbogen an die Behörde zurück zu senden. Versäumen die Unternehmen es, sich zu melden, können sie mit einem Bußgeld belegt werden.

Überwiegend positiv seien die Reaktionen, heißt es bei den Datenschützern. „Viele Unternehmen haben sofort reagiert und Updates gemacht,“ so Sachs. „Es gibt einzelne, die sagen, StartTLS und Perfect Forward Secrecy gingen über den Stand der Technik hinaus“, so Sachs. Kommt es zum Streitfall, müsste diese Frage gerichtlich geklärt werden. Auch bei technischen Dienstleistern für eingesetzte Soft- oder Hardwareprodukte wird aber vor allem diskutiert, wie schnell man entsprechende Produkte updaten könne, heißt es im Landesamt. Man hoffe, mit der Aktion zu sensibilisieren, weitere Online-Prüfungen sollen folgen. (ju)