Agenturrecht / Bayern / Datenschutz / E-Commerce / Informationstechnologierecht / Internetrecht /
Artikelnummer: 14092824
Trennlinien
DATENSCHUTZPRÜFUNG BEI MAILSERVERN BAYERISCHER UNTERNEHMEN
Das Bayerische Landesamt für Datenschutzaufsicht hat bei insgesamt 2.236 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver automatisiert überprüft. 772 Unternehmen genügten dabei den gestellten datenschutzrechtlichen Anforderungen nicht und wurden deshalb vom Bayerische Landesamt für Datenschutzaufsicht schriftlich aufgefordert, ihre Mailserver an den Stand der Technik anzupassen.
Allgemein bekannt ist die Tatsache, dass das Versenden unverschlüsselter E-Mails vom Grad der Geheimhaltung wie das Verschicken einer Postkarte bewertet wird. Jeder, der die Karte zu Gesicht bekommt, kann ohne größeren Aufwand den Inhalt lesen, auswerten oder sogar ändern. Dass ein solches Mitlesen unverschlüsselter E-Mails nicht nur für Geheimdienste problemlos möglich ist, ist nicht erst seit den Enthüllungen von Edward Snowden bekannt, aber sicherlich mehr in das Bewusstsein der Allgemeinheit gedrungen. Aus diesem Grund sind Unternehmen darauf hinzuweisen, dass sie nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG) verpflichtet sind, im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle Verschlüsselungsverfahren in angemessenem Umfang bei den von Ihnen eingesetzten Mailservern nach dem Stand der Technik zu verwenden. Wenn eine E-Mail verschickt werden soll, „handeln“ die beteiligten Mailserver zunächst einen Standard für die Übertragung der Nachricht aus, bevor die E-Mail tatsächlich verschickt wird. Das heißt, die Mailserver fragen, sofern sie entsprechend konfiguriert sind, jeweils bei dem anderen nach, ob eine Transport-Verschlüsselung (Transport Layer Security, kurz TLS) unterstützt wird und übertragen dann die E-Mail mit dem bestmöglichen Grad der Verschlüsselung. Mailserver von Unternehmen müssen deshalb das hierbei angewandte Verfahren STARTTLS zur Verschlüsselung unterstützen, damit eine Transport-Verschlüsselung bei der Übermittlung von E-Mails überhaupt ermöglicht werden kann. Zusätzlich ist das so genannte Perfect Forward Secrecy einzusetzen, damit selbst bei unrechtmäßiger Erlangung eines geheimen Schlüssels der mit TLS verschlüsselte E-Mailverkehr nicht nachträglich entschlüsselt werden kann. Durch diese Art der Verschlüsselung können zwar gezielte Angriffe von Geheimdiensten oder Cyberkriminellen nicht gänzlich ausgeschlossen werden - das problemlose Mitlesen und Auswerten des gesamten E-Mailverkehrs wird damit aber deutlich erschwert. Es wird jedoch ausdrücklich darauf hingewiesen, dass eine Transportverschlüsselung durch STARTTLS keinen Ersatz für eine Ende-zu-Ende Verschlüsselung (z. B. mit PGP) darstellt, sondern als zusätzlicher Baustein zur Erhöhung der Kommunikationssicherheit zu sehen ist. Der Aufwand für Unternehmen, diese Maßnahmen zur Erhöhung der Sicherheit ihrer Mailserver umzusetzen, ist im Allgemeinen als relativ gering anzusehen. Hauptsächlich gilt es die Konfiguration der Mailserver an den Stand der Technik anzupassen. Gegebenenfalls müssen zusätzlich TLS-Zertifikate, sofern diese noch nicht vorhanden sind, von einer vertrauenswürdigen Stelle erworben werden. Im Zuge dieser datenschutzrechtlichen Onlineprüfung, die auf die Sicherheitsaspekte STARTTLS und Perfect Forward Secrecy fokussiert war, hat das Bayerische Landesamt für Datenschutzaufsicht auch festgestellt, dass bei 44 von bayerischen Unternehmen eingesetzten Mailservern die so genannte Heartbleed-Lücke besteht. Dabei handelt es sich um ein sehr kritisches Problem bei der Nutzung bestimmter Versionen der Softwarebibliothek OpenSSL. Bei Vorhandensein dieser Sicherheitslücke besteht die Gefahr, dass Unbefugte über das Internet ohne Probleme Fragmente der E-Mail-Kommunikation - vom Nutzer unbemerkt - abgreifen oder sogar den privaten Schlüssel auslesen können. Durch ständig wiederholte Nachfragen könnte aus diesen Fragmenten der wesentliche Inhalt des Mailverkehrs erschlossen werden. Bereits im April 2014 wurde in den Medien umfangreich über diese Heartbleed-Sicherheitslücke informiert, so dass das Bayerische Landesamt für Datenschutzaufsicht eigentlich davon ausgegangen ist, dass diese Schwachstelle nicht mehr bestehen dürfte.

Quelle: Bayerische Landesamt für Datenschutzaufsicht - PM vom 09.09.2014 von 09.09.2014
http://www.lda.bayern.de/ Externer Link
ArtikelübersichtFacebookNach oben