Behörden ermahnen Unternehmen: Email-Verschlüsselung mangelhaft

Datenschützer bemängeln ein niedriges Sicherheitsniveau in Unternehmen. Datenschutzbehörden haben daher über 700 Unternehmen schriftlich angemahnt. Unternehmen sind gesetzlich dazu verpflichtet, ihre Email-Kommunikation angemessen zu verschlüsseln.

Ein Drittel aller Unternehmen haben keine geeigneten Verschlüsselungsverfahren zum Schutz ihrer Email-Kommunikation. 772 der insgesamt 2.236 überprüften Unternehmen wurden deshalb vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) schriftlich angemahnt, Verschlüsselungstechnologien einzusetzen, die dem Bundesdatenschutz (BDSG) genügen. Unternehmen, die die Cloud-basierenden Managed E-Mail Services von Retarus einsetzen, sind nicht betroffen. Das ergab eine Untersuchung des BayLDA Anfang September

Gemäß den Vorschriften des Bundesdatenschutzgesetzes sind Unternehmen im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle verpflichtet, ihre E-Mail Kommunikation angemessen zu verschlüsseln und damit vor Fremdzugriff zu schützen. Datenschützer kritisierten nun im Rahmen ihrer Überprüfung, dass viele Unternehmen beim E-Mail-Versand auf die von ihnen empfohlenen Verschlüsselungsverfahren STARTTLS und Perfect Forward Secrecy verzichteten. Bei 44 Unternehmen fehlte sogar der Fix gegen den Heartbleed-Fehler, der bereits im April 2014 bekannt wurde.

Das BayLDA berichtet dazu auf seiner Internetseite:

„Allgemein bekannt ist die Tatsache, dass das Versenden unverschlüsselter E-Mails vom Grad der Geheimhaltung wie das Verschicken einer Postkarte bewertet wird. Jeder, der die Karte zu Gesicht bekommt, kann ohne größeren Aufwand den Inhalt lesen, auswerten oder sogar ändern. Dass ein solches Mitlesen unverschlüsselter E-Mails nicht nur für Geheimdienste problemlos möglich ist, ist nicht erst seit den Enthüllungen von Edward Snowden bekannt, aber sicherlich mehr in das Bewusstsein der Allgemeinheit gedrungen. Aus diesem Grund sind Unternehmen darauf hinzuweisen, dass sie nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG) verpflichtet sind, im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle Verschlüsselungsverfahren in angemessenem Umfang bei den von Ihnen eingesetzten Mailservern nach dem Stand der Technik zu verwenden.

Wenn eine E-Mail verschickt werden soll, „handeln“ die beteiligten Mailserver zunächst einen Standard für die Übertragung der Nachricht aus, bevor die E-Mail tatsächlich verschickt wird. …

Durch diese Art der Verschlüsselung können zwar gezielte Angriffe von Geheimdiensten oder Cyberkriminellen nicht gänzlich ausgeschlossen werden – das problemlose Mitlesen und Auswerten des gesamten E-Mailverkehrs wird damit aber deutlich erschwert.

Der Aufwand für Unternehmen, diese Maßnahmen zur Erhöhung der Sicherheit ihrer Mailserver umzusetzen, ist im Allgemeinen als relativ gering anzusehen.

Im Zuge dieser datenschutzrechtlichen Onlineprüfung, die auf die Sicherheitsaspekte STARTTLS und Perfect Forward Secrecy fokussiert war, hat das BayLDA auch festgestellt, dass bei 44 von bayerischen Unternehmen eingesetzten Mailservern die so genannte Heartbleed-Lücke besteht. Dabei handelt es sich um ein sehr kritisches Problem bei der Nutzung bestimmter Versionen der Softwarebibliothek OpenSSL. Bei Vorhandensein dieser Sicherheitslücke besteht die Gefahr, dass Unbefugte über das Internet ohne Probleme Fragmente der E-Mail-Kommunikation – vom Nutzer unbemerkt – abgreifen oder sogar den privaten Schlüssel auslesen können. Durch ständig wiederholte Nachfragen könnte aus diesen Fragmenten der wesentliche Inhalt des Mailverkehrs erschlossen werden.

Zusätzlich informiert das BayLDA auf seiner Webseite darüber, auf welcher Basis die Prüfung durchgeführt wurde und welche Schritte angeschriebene Unternehmen durchführen müssen, um den gesetzlichen Anforderungen gerecht zu werden.“

Kommentare

Schreiben Sie den ersten Kommentar zum Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.