Datenschutz-Probleme mit E-Mail-Servern vermeiden

Viele Unternehmen müssen Einstellungen am Mail-Server ändern, um die Mail-Verschlüsselung zu verbessern, wie eine Prüfung durch die Aufsicht ergab.

Dieser Artikel behandelt

Datenschutz

Um die Verschlüsselung von E-Mails in Deutschland steht es nicht gut: Rund zwei Drittel der Berufstätigen, die dienstliche E-Mails verschicken, können an ihrem Arbeitsplatz keine Verschlüsselung für die Nachrichten nutzen. Weitere 19 Prozent gaben an, dass es zwar die technischen Voraussetzungen für E-Mail-Verschlüsselung gibt, sie diese aber grundsätzlich nicht einsetzen. Nur jeder Siebte verschlüsselt zumindest hin und wieder berufliche E-Mails, so das Ergebnis einer repräsentativen Befragung im Auftrag von BITKOM.

Doch das Problem mit der E-Mail-Verschlüsselung steckt noch tiefer, als die Umfrage zeigt. Selbst wenn Verschlüsselungslösungen für E-Mails am Arbeitsplatz zur Verfügung stehen und diese auch regelmäßig genutzt werden, bedeutet dies noch nicht, dass die E-Mail-Sicherheit gewährleistet ist. Eine aktuelle Prüfung durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) deckte Datenschutzprobleme bei vielen Mailservern auf.

Aufsichtsbehörden prüfen auch Mailserver

Anfang September 2014 hat das BayLDA bei insgesamt 2.236 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver automatisiert überprüft. Getestet wurden laut BayLDA insbesondere folgende Punkte:

  • werden die Verschlüsselungsprotokolls SSL/TLS beziehungsweise STARTTLS eingesetzt?
  • kommt Perfect Forward Secrecy (PFS) zum Einsatz?
  • ist die Sicherheitslücke Heartbleed beseitigt?

772 Unternehmen genügten dabei den gestellten datenschutzrechtlichen Anforderungen nicht und wurden deshalb vom BayLDA schriftlich aufgefordert, ihre Mailserver an den Stand der Technik anzupassen.

Da die Aufsichtsbehörden inzwischen viele Prüfungen automatisiert durchführen können, lassen sich solche Kontrollmaßnahmen leicht wiederholen und ausweiten. Zudem können Aufsichtsbehörden anderer Bundesländer einen ähnlichen Weg einschlagen und ohne großen Aufwand oder Vor-Ort-Termine zahlreiche Unternehmen überprüfen. 

Unternehmen sollten allerdings nicht abwarten, bis eine solche Kontrolle auch sie erfasst. Selbst dann, wenn der Mailserver durch einen Dienstleister betrieben wird, besteht für Unternehmen Handlungsbedarf, denn sie bleiben selbst für den Datenschutz verantwortlich.

Unternehmen sollten Mängel selbst aufdecken

Es empfiehlt sich aus zwei Gründen nicht, erst eine Prüfung der Mailserver durch die Aufsichtsbehörde abzuwarten: Erstens können Aufsichtsbehörden bei Mängeln im Datenschutz durchaus Bußgelder erlassen, und zweitens sollte es einem Unternehmen selbst daran gelegen sein, die E-Mail-Verschlüsselung zu verbessern. 

Immerhin gehört E-Mail zu den wichtigsten IT-Verfahren in Unternehmen und wird auch für den Austausch vertraulicher Daten genutzt. Die Datenschutzanforderung an sichere E-Mail und damit auch die Verschlüsselung sollten also erfüllt werden, alleine schon, um drohende Lauschangriffe durch Wirtschaftsspione abwehren zu können.

Einstellungen am Mailserver sollten kontrolliert werden

Wie die Aufsichtsbehörden betonen, sind Unternehmen auch rechtlich verpflichtet, im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle Verschlüsselungsverfahren in angemessenem Umfang bei den von ihnen eingesetzten Mailservern nach dem Stand der Technik zu verwenden. Dazu hatten die Aufsichtsstellen im Frühjahr 2014 auch eine entsprechende Entschließung verabschiedet, deren Titel „Gewährleistung der Menschenrechte bei der elektrischen Kommunikation“ deutlich macht, dass E-Mail-Verschlüsselung keine Nebensache sein darf.

Mailserver von Unternehmen müssen unter anderem das Verfahren STARTTLS zur Verschlüsselung unterstützen, damit eine Transport-Verschlüsselung bei der Übermittlung von E-Mails ermöglicht werden kann. Zudem ist Perfect Forward Secrecy zu nutzen, damit auch bei unrechtmäßiger Erlangung eines geheimen Schlüssels der mit TLS verschlüsselte E-Mailverkehr nicht nachträglich entschlüsselt werden kann.

Hier sind die Mail-Administratoren in den Unternehmen gefragt. Sie müssen den Sicherheitsstatus des eigenen Mail-Servers zu prüfen, gegebenenfalls den E-Mail-Provider zu kontaktieren und für eine Verschlüsselung nach dem Stand der Technik sorgen. Das ist zu erledigen, bevor eine der Aufsichtsbehörden Alarm schlägt und bevor Lauschangriffe erfolgreich stattfinden können.

Weitere Hinweise des Bayerischen Landesamtes für Datenschutzaufsicht, die auch für Unternehmen in anderen Bundesländern interessant sind, findet man unter „FAQ zur Onlineprüfung bei Mailservern“. Dort wird auch beschrieben, was passieren kann, wenn Unternehmen sich nicht um die Datenschutz-Probleme bei ihren Mailservern kümmern.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close