Pressemitteilung von Günter Esch

Ungenügender E-Mail-Schutz: Bayerische Unternehmen ziehen blank

---

---

In den letzten Tagen trafen in den Büros des IT-Sicherheitsexperten SEPPmail (http://www.seppmail.de/) einige aufgeregte Anrufe und E-Mails ein: Mehrere Unternehmensverantwortliche wollten bzw. mussten den Schutz ihres Mailservers erhöhen. Dazu wurden sie kürzlich per Brief vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) aufgefordert. Die Firmen genügten nicht den datenschutzrechtlichen Anforderungen des Freistaates. Jetzt ist die Unsicherheit in vielen Betrieben groß.

Das BayLDA hat Anfang September 2014 bei insgesamt 2.236 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver überprüft. Bei 772 Unternehmen mahnte die Behörde das Fehlen von Transportverschlüsselung und Perfect Forward Secrecy für den E-Mail-Versand an. Daher wurden entsprechende Firmen vom BayLDA schriftlich aufgefordert, ihre Mailserver besser abzusichern. Dieser Forderung liegt sogar ein Paragraph 9 des Bundesdatenschutzgesetzes (BDSG) zugrunde. Dieser weist Unternehmen darauf hin, das im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle spezielle Verschlüsselungsverfahren eingesetzt werden müssen, die die internen Mailserver nach aktuellem Stand der Technik schützen, z.B. mit dem Protokoll StartTLS und Perfect Forward Secrecy.

Wir bei SEPPmail haben uns bei der Beratung der besorgten Neukunden zunächst mit deren akuten Sicherheitslücken befasst. Bei einigen fehlte z.B. die E-Mail-Transportsicherung TLS. Zudem wurden vielerorts Perfect Forward Secrecy (PFS) nicht unterstützt: PFS hindert Angreifer daran, aus einem aufgedeckten geheimen Langzeitschlüssel auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals zu schließen. Ein weiteres Manko stellten zu "schwache" Schlüssel dar, wie etwa 512-Bit-Schlüssel. Diese widersprechen den heutigen Sicherheitsanforderungen an Schlüsselmaterial. In schwerwiegenden Fällen fiel sogar ein fehlender Fix gegen die Heartbleed-Attacke auf, was uns fassungslos machte. Denn so war es Hackern jederzeit möglich, private Daten von Clients und Servern auszulesen - obwohl die Firmen TLS-Verschlüsselung einsetzen.

Aufgrund dieser teilweise erschütternden Sicherheitsmängel, die bayerische Unternehmen aufwiesen, möchten wir ihnen konkrete Ratschläge mit auf den Weg geben: TLS ist Pflicht, ebenso wie PFS und ein Heartbleed-Fix. Dennoch stimmen wir dem BayLDA zu, dass die Transportverschlüsselung gezielte Angriffe von Geheimdiensten oder Cyberkriminellen nicht gänzlich verhindern kann. TLS bzw. StartTLS ist somit kein Ersatz für eine hochsichere Ende zu Ende-Verschlüsselung, wie sie beispielsweise das Programm PGP bietet. Neben PGP existieren auch noch weitere hochwertige Verschlüsselungstechniken wie S/MIME, Domainverschlüsselung und unsere eigene, patentierte Verschlüsselungsmethode GINA. All diese Technologien plus PFS für Simple Mail Transfer Protokolle werden von der SEPPmail-Appliance unterstützt. Vom BayLDA ermahnte Unternehmen haben nur noch bis Anfang Oktober Zeit, ihre Mailserver ganzheitlich abzusichern. Mit SEPPmail erhalten sie alle geforderten Mindeststandards (und noch viel mehr Schutz) in einer einfach zu bedienenden E-Mail-Verschlüsselungslösung.

Hinweis: Alle genannten Marken- und Produktnamen sind Eigentum der jeweiligen Markeninhaber. Firmen- & Pressekontakt