Online-Prüfung des BayLDA: Jeder dritte E-Mail-Server ist nicht sicher

Veröffentlicht am 19 Sep. 2014 von

 

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Anfang September rund 2.200 E-Mail-Server verschiedener Unternehmen innerhalb Bayerns geprüft und auch angekündigt, diese Prüfung weiterhin anlasslos fortzusetzen. Es geht bei dieser Prüfung im Wesentlichen um die Verschlüsselung der E-Mail-Kommunikation auf Transportebene. Etwa jeder dritte geprüfte Server genügte den datenschutzrechtlichen Anforderungen nicht, bei 44 Unternehmen bestand sogar noch die seit April bekannte kritische Sicherheitslücke „Heartbleed“.

 

Das LDA gab dazu folgende Stellungnahme ab:

 

Verschlüsselung mit STARTTLS und Perfect Forward Secrecy 


 

Wenn eine E-Mail verschickt werden soll, „handeln“ die beteiligten Mailserver zunächst einen Standard für die Übertragung der Nachricht aus, bevor die E-Mail tatsächlich verschickt wird. Das heißt, die Mailserver fragen, sofern sie entsprechend konfiguriert sind, jeweils bei dem anderen nach, ob eine Transport-Verschlüsselung (Transport Layer Security, kurz TLS) unterstützt wird und übertragen dann die E-Mail mit dem bestmöglichen Grad der Verschlüsselung. Mailserver von Unternehmen müssen deshalb das hierbei angewandte Verfahren STARTTLS zur Verschlüsselung unterstützen, damit eine Transport-Verschlüsselung bei der Übermittlung von E-Mails überhaupt ermöglicht werden kann. Zusätzlich ist das so genannte Perfect Forward Secrecy einzusetzen, damit selbst bei unrechtmäßiger Erlangung eines geheimen Schlüssels der mit TLS verschlüsselte E-Mailverkehr nicht nachträglich entschlüsselt werden kann.

 

Durch diese Art der Verschlüsselung können zwar gezielte Angriffe von Geheimdiensten oder Cyberkriminellen nicht gänzlich ausgeschlossen werden – das problemlose Mitlesen und Auswerten des gesamten E-Mailverkehrs wird damit aber deutlich erschwert. Es wird jedoch ausdrücklich darauf hingewiesen, dass eine Transportverschlüsselung durch STARTTLS keinen Ersatz für eine Ende-zu-Ende Verschlüsselung (z. B. mit PGP) darstellt, sondern als zusätzlicher Baustein zur Erhöhung der Kommunikationssicherheit zu sehen ist.

 

Der Aufwand für Unternehmen, diese Maßnahmen zur Erhöhung der Sicherheit ihrer Mailserver umzusetzen, ist im Allgemeinen als relativ gering anzusehen. Hauptsächlich gilt es die Konfiguration der Mailserver an den Stand der Technik anzupassen. Gegebenenfalls müssen zusätzlich TLS-Zertifikate, sofern diese noch nicht vorhanden sind, von einer vertrauenswürdigen Stelle erworben werden.

 

(Quelle: http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2014/pm012.html)

 

Um einer schriftlichen Aufforderung des LDA zur Anpassung Ihres Mailservers an den aktuellen Stand der Technik zuvorzukommen, empfehlen wir eine baldige Prüfung. Unsere Experten von DANES und net2net unterstützen Sie hierbei gerne.

 

Weitere Informationen zur Online-Prüfung

 

Grimm-Michael

Mit freundlichen Grüßen
Michael Grimm