Das unverschlüsselte Versenden von Emails ist, vom Grad der Geheimhaltung aus gesehen, wie das Verschicken einer Postkarte. Nicht nur wir weisen regelmäßig auf diesen Umstand hin.
Jeder, der eine solche Email abfängt, kann diese ohne größeren Aufwand lesen oder manipulieren. Dass ein solches Mitlesen unverschlüsselter Emails nicht nur problemlos möglich, sondern auch an der Tagesordnung ist, sollte spätestens seit den Enthüllungen von Edward Snowden jeder wissen.
Alles in trockenen Tüchern?
Man könnte meinen, dass durch die Thematisierung dieser Sicherheitslücke in den Medien in Unternehmen und bei freiberuflich Tätigen in der Bundesrepublik ein Umdenken stattgefunden hat.
Das Bayerische Landesamt für Datenschutzaufsicht wollte das herausfinden und hat im September 2014 bei 2.236 zufällig ausgewählten Unternehmen und Freiberuflern aus Bayern das Sicherheitsniveau der eingesetzten Email-Server überprüft. Hierbei wurde besonderes Augenmerk auf den Einsatz eines Verschlüsselungsprotokolls (STARTTLS oder SSL/TLS) und auf das Verfahren zum Schlüsseltausch (Perfect Forward Secrecy) gelegt. Außerdem wurde überprüft, ob die Heartbleed-Sicherheitslücke, die im Zusammenhang mit der Verschlüsselungssoftware OpenSSL bekannt wurde, auf den zu prüfenden Email-Servern noch vorzufinden ist.
Das Ergebnis: ca. ein Drittel der überprüften Email-Server sind nicht sicher. In 772 Unternehmen wurden Auffälligkeiten festgestellt. Die Unternehmen und Freiberufler wurden zwischenzeitlich aufgefordert, die Email-Server kurzfristig an den Stand der Technik anzupassen. Wer das nicht tut könnte durchaus in den Fokus einer genaueren Untersuchung der Aufsichtsbehörde geraten.
Verschlüsselung ist bundesweit Pflicht!
Auch wenn die Prüfung erstmals durch die bayerische Aufsichtsbehörde durchgeführt wurde, betrifft das Thema nicht nur Firmen und Freiberufler in Bayern. Die rechtliche Grundlage, von der sich die Verpflichtung zur Nutzung von dem technischen Stand entsprechenden Verschlüsselungsmethoden beim Transport von Daten – also auch beim Versand von Emails – ableiten lässt, gilt natürlich für die gesamte Bundesrepublik.
Letztlich hat das Bayerische Landesamt für Datenschutzaufsicht mit dieser Aktion eine Entschließung der 87. Konferenz der Datenschutzbehörden des Bundes und der Länder vom 27. März 2014 vollzogen, in der u. a. sichere Verschlüsselung beim Transport von Daten als wesentliches Element für den Datenschutz gefordert wurde.
Für Steuerberater und allen der berufsständischen Verschwiegenheitspflicht unterliegenden Berufen gilt das ganz besonders, da eben diese Verschwiegenheitspflicht beim unverschlüsselten Versand oder Empfang von Emails ganz klar untergraben wird.
Bin ich betroffen?
Das können Sie ganz einfach herausfinden, indem Sie Ihre Email-Server hinsichtlich der oben genannten Punkte überprüfen oder überprüfen lassen. Auch wenn Ihnen keine Prüfung der zuständigen Aufsichtsbehörde ins Haus steht, empfehlen wir ganz ausdrücklich, sich zu vergewissern, ob Ihre Kommunikation per Email sicher ist.
Der Email-Sicherheits-Check
Einen Sicherheits-Check Ihres Mailservers können Sie auch bei uns in Auftrag geben. Wir führen diese Prüfung gerne für Sie durch, sowohl für eigene Email-Server als auch für Email-Server, die von Providern betrieben werden. Ihre Kosten betragen EUR 295,- pro Email-Server zuzügl. MwSt. Bei Interesse wenden Sie sich einfach per E-Mail an datenschutz@munker.info oder können uns telefonisch unter 08152/9998-412 erreichen.