Bayern
34,5 Prozent der überprüften Unternehmens-Mailserver unsicher
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im September 2014 automatisiert die Mailserver von 2.236 bayerischen Unternehmen überprüft. 34,5 Prozent der Server waren unsicher, ihre Betreiber wurden vom BayLDA abgemahnt.
Zwar kein Schutz vor NSA & Co., aber gegen Ausspähen: Damit eine Unternehmens-Mail privater als eine Postkarte ist, muss ein Mailserver so eingestellt sein, dass er eine Transport-Verschlüsselung (Transport Layer Security, TLS) unterstützt. Unternehmens-Mailserver müssen für die Transport-Verschlüsselung das STARTTLS-Verfahren unterstützen. Außerdem sollten sie Perfect Forward Secrecy einsetzen, damit selbst bei unrechtmäßiger Erlangung eines geheimen Schlüssels der mit TLS verschlüsselte E-Mailverkehr nicht nachträglich entschlüsselt werden kann. Wenn das Unternehmen keine TLS-Zertifikate besitzt, müssen diese gegebenenfalls von einer vertrauenswürdigen Stelle erworben werden, um die Mailserver an den Stand der Technik anzupassen.
Von automatisiert überprüften 2.236 bayerischen Unternehmen betrieben 772 Mailserver, die den gestellten datenschutzrechtlichen Anforderungen nicht genügten. Die betroffenen Unternehmen wurden vom BayLDA schriftlich aufgefordert, ihre Mailserver auf den Stand der Technik zu bringen. Bei 44 Unternehmens-Servern wurde sogar die Heartbleed-Lücke festgestellt, ein sehr kritisches Problem in bestimmten Versionen der Softwarebibliothek OpenSSL.
Diese Lücke ermöglicht es Unbefugten über das Internet ohne Probleme Fragmente der E-Mail-Kommunikation - vom Nutzer unbemerkt - abgreifen oder sogar den privaten Schlüssel auslesen zu können. Durch ständig wiederholte Nachfragen könnte aus diesen Fragmenten der wesentliche Inhalt des Mailverkehrs erschlossen werden. Bereits im April 2014 wurde in den Medien umfangreich über diese Heartbleed-Sicherheitslücke informiert, so dass das BayLDA eigentlich davon ausgegangen ist, dass diese Schwachstelle nicht mehr bestehen dürfte.
Das BayLDA hat die betroffenen Unternehmen über das Ergebnis der Prüfung informiert sowie umfassende Hinweise zur rechtlichen und technischen Grundlage dieser Onlineprüfung mitgesandt. Zusätzlich informiert das BayLDA auf seiner Webseite darüber, auf welcher Basis die Prüfung durchgeführt wurde und welche Schritte angeschriebene Unternehmen durchführen müssen, um den gesetzlichen Anforderungen gerecht zu werden. Hierbei bietet das BayLDA auch einen umfassenden FAQ-Bereich mit Antworten zu den häufig gestellten Fragen an, der allen Betroffenen und Interessierten zur Verfügung steht. Darüber hinaus können sich Unternehmen mit konkreten Fragen, die über die allgemeinen Informationen hinausgehen, über die E-Mail-Adresse onlinepruefung@lda.bayern.de an die Aufsichtsbehörde wenden.
Lesen Sie mehr zum Thema
