Abmahnung wegen fehlender Verschlüsselung durch E-Mail-Server

In Bayern greifen die Behörden nun zu neuen Maßnahmen im Namen des Datenschutzes. Unter Zuhilfenahme einer eigens entwickelten Software ermittelten die Behörden über 700 E-Mail Server Betreiber, deren Server nicht den Anforderung für Transportverschlüsselung entsprechen.

Heartbleed-Patch-Needed

Quelle: OpenClipart.org

Das Bayrische Landesamt für Datenschutzaufsicht, kurz „Bay LDA“ hat im September 2236 Unternehmen Überprüft und 772 abgemahnt um so auf die Unsicherheit Ihrer E-Mail Server hinzuweisen. Die Unternehmen wurden darauf hingewiesen, dass Ihre Server nicht den aktuellen Anforderungen des Bundesdatenschutzgesetzes (BDSG) entsprechen und wurden aufgefordert, ihre Server dem Stand der Technik anzupassen.

Neben Probleme mit „STARTTLS“ und „Perfect Forward Security“ stießen die Behörden in 44 Fällen auf ein hohes Risiko durch die sogenannte „Heartbleed-Lücke“. Hierbei handelt es sich um eine bekannte Lücke in der OpenSSL Bibliothek, über die ein Angreifer den Server und seine Funktionen unbemerkt übernehmen und verändern kann. So könnten selbst über STARTTLS und Perfect Forward Securety verschlüsselte E-Mails mitgelesen und verändert werden. Seit April 2014 ist diese Lücke bekannt und wurde mittlerweile von allen aktuellen Herstellen gefixt.

Die BayLDA macht auch nochmal darauf aufmerksam, dass die Server zu Server Verschlüsselung durch „STARTTLS“ und „Perfect Forward Security“ nicht die End zu End Verschlüsselung ersetzt, aber immerhin ein guter und notwendiger Anfang sei. Außerdem wollen die Bayrischen Behörden die Software auch anderen Ländern zur Verfügung stellen um so deutschlandweit zumindest ein Mindestmaß an Verschlüsselung zu erhalten.