sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365

E-Mail-Verschlüsselung: Bayerische Aufsichtsbehörde prüft Unternehmen

Anfang September hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nach eigenen Angaben bei 2.236 zufällig ausgewählten bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver automatisiert überprüft. Bei insgesamt 772 Unternehmen wurden Mängel entdeckt. Diese Unternehmen hat die Behörde nun schriftlich aufgefordert, ihre E-Mailserver an den Stand der Technik anzupassen.

Schwerpunkte der Prüfung waren

  • die Fähigkeit zur Transportverschlüsselung mittels STARTTLS
  • die Schlüsselstärke
  • die Unterstützung von Perfect Forward Secrecy (PFS)
  • Vorhandensein des Heartbleed-Bugs in OpenSSL (falls eingesetzt)

Die 772 angeschriebenen Unternehmen, bei denen Mängel auffielen haben nun einen Fragebogen zu beantworten und natürlich die Mängel zu beseitigen.

Heartbleed immer noch nicht flächendeckend eliminiert

Speziell 44 Unternehmen, bei denen eine Angreifbarkeit mit dem Heartbleed-Bug festgestellt wurde, müssen schnellstens handeln. Wobei die Nicht-Behebung dieser Sicherheitslücke durchaus als absolute Schlamperei bezeichnet werden darf. Unter Ausnutzung des Hearbleed-Bugs ist es möglich, an den privaten Schlüssel des Servers heranzukommen und damit jegliche verschlüsselte Kommunikation zu entschlüsseln. Dabei reicht es übrigens nicht aus, nur den Fehler zu beheben, denn er könnte bereits in der Vergangenheit ausgenutzt worden sein. Damit muss das aktuell genutzte Zertifikat als kompromitiert angesehen und bei der Fehlerbehebung gleich mit ausgetauscht werden.

Warum das ganze?

Grund für die Online-Untersuchung ist übrigens die Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder („Düsseldorfer Kreis“) am 27. und 28. März in Hamburg (hier kann die Entschließung eingesehen werden) zum Thema „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“.

Aus dieser Entschließung geht auch hervor, dass beschlossen wurde, dass die Aufsichtsbehörden die Umsetzung der gewünschten Maßnahmen vorantreiben. Es ist also zu vermuten, dass dem Beispiel aus Bayern weitere Bundesländer folgen werden.

Aber ich nutze doch einen Dienstleister…?…

Auch die Verlagerung der Verantwortung an einen Dienstleister nützt nichts, bzw. funktioniert nicht. Denn beim Betrieb eines E-Mail-Servers für einen Kunden handelt es sich klassischer Weise um eine Datenverarbeitung im Auftrag gem. § 11 BDSG. Und bei dieser liegt die Verantwortung für jegliche Verstöße des Dienstleisters beim Auftraggeber. Es ist vielmehr zu befürchten, dass Unternehmen, die sich hierauf berufen auch noch eine Prüfung der ordnungsgemäßen vertraglichen Lage für die Auftragsdatenverarbeitung ins Haus steht. Bei dieser dürften dann die nächsten unangenehmen Überraschungen warten…

Reicht Transport-Verschlüsselung?

Da das Thema E-Mail-Verschlüsselung nicht nur beim Versand personenbezogener Daten schützt, sondern auch sehr nützlich zur Wahrung von Geschäftsgeheimnissen ist, empfehle ich aber ohnehin allen meinen Kunden, nicht nur die Übertragungskanäle zu verschlüsseln (also STARTTLS und PFS), sondern zusätzlich noch eine Ende-zu-Ende-Verschlüsselung mit PGP oder S/MIME einzusetzen. Denn was nützt der beste verschlüsselte Übertragungskanal, wenn z. B. beim Dienstleister für den Betrieb des E-Mail-Servers Vollzugriff auf die unverschlüsselten Inhalte besteht…

Entgegen bisheriger Aussagen sehen die Aufsichtsbehörden (oder zumindest die bayerische) das auch so.

Da kommt noch einiges auf uns zu…

Auch die weiteren in der Entschließung genannten Maßnahmen lesen sich sehr interessant. Unter anderem wird dort bereits der „nächste Schritt“ gefordert, nämlich Ende-zu-Ende-Verschlüsselung in Kombination mit Verfahren zur Verbindungsverschlüsselung. Damit ist dann nicht der Einsatz von SSL oder TLS gemeint, sondern die vollständige Verschlüsselung der Verbindung, also auch der Informationen, wer miteinander kommuniziert. Das war übrigens ein Punkt, der auch bereits im Rahmen der Datenschutz-Sommerakademie 2014 des ULD angesprochen wurde.

Sprechen Sie mich an, gerne unterstütze ich Sie bei der bedarfsgerechten Analyse und Umsetzung von Verschlüsselungsmaßnahmen.


Diesen Beitrag teilen