Aufsichtsbehörde prüft E-Mailsicherheit

Das Bayerische Landesamt für Datenschutzaufsicht prüft aktuell erneut zufällig ausgewählte Unternehmen auf die Beachtung datenschutzrechtlicher Vorgaben. Diesmal geht es um ein sehr konkretes Thema: die Sicherheit der eingesetzten E-Mailserver.

Datenschutz-Prüfung

Die aktuelle Prüfung erfolgt aus mehreren Gründen. Angestoßen durch die immer noch aktuelle NSA Affäre kamen die Datenschutzbeauftragten des Bundes und der Länder im Frühjahr unter anderem überein, dass die Nutzung sicherer Verschlüsselungsmethoden mittlerweile einzufordern ist. Zusätzlich soll mit der laufenden Prüfung auch sichergestellt werden, dass betroffene Unternehmen die vor einigen Monaten entdeckte „Heartbleed“-Lücke geschlossen haben.

In der Konsequenz interessiert sich die Aufsichtsbehörde nun ganz konkret für:

  • den Einsatz des Verschlüsselungsprotokolls SSL/TLS bzw. STARTTLS,
  • den Einsatz von Perfect Forward Secrecy (PFS)
  • die Sicherheitslücke Heartbleed

und prüft zufällig ausgewählte Unternehmen online hierauf. Das heißt, die Behörde prüft bereits selbst und wartet nicht erst auf Auskunft!

Legen die Ergebnisse der Prüfung Defizite nahe, wird das Unternehmen angeschrieben und mit Fristsetzung zur Behebung aufgefordert. Die betroffenen IT-Systeme und der vermutliche Mangel werden in dem Anschreiben benannt. Es wird eine Behebung und detaillierte Antwort erwartet. Der Einsatz von STARTTLS und Perfect Forward Secrecy wird vom Landesamt als erforderlich angesehen, um die gesetzliche Pflicht gem. § 9 BDSG inkl. Anlage dazu zu erfüllen.

Wie auch die Aufsichtsbehörde ausdrücklich betont, sind Unternehmen, die Maillösungen mit Hilfe von Dienstleistern einsetzen, selbst für die Umsetzung der Anforderungen verantwortlich. In solchen Fällen müssen die erforderlichen Maßnahmen in Zusammenarbeit mit dem Dienstleister umgesetzt werden.

Nachdem leider in der Praxis viele Unternehmen noch gar nicht auf den Einsatz von Verschlüsselung vorbereitet sind, ist zu betonen, dass die Aufsichtsbehörde hier nicht verlangt, dass künftig jede unverschlüsselte Kommunikation geblockt, also abgewiesen wird. Unternehmen dürfen sich also auch weiterhin noch mit E-Mailkontakten austauschen, deren Mailsysteme die geforderte Verschlüsselung noch nicht vorsehen. Von den Unternehmen im Zuständigkeitsgebiet der Behörde wird aber erwartet, dass die eigene Technik auf die standardmäßige Verschlüsselung vorbereitet wird.

Historie der Datenschutz-Prüfungen durch das BayLDA

Artikelbild: Symbolbild (c) Unsplash / Pixabay

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.