Von Verschlüsselung keine Spur: Mailserver im Test: Viele Firmen fallen durch

Die Mailserver vieler Unternehmen entsprechen nicht aktuellen Sicherheitsanforderungen und machen so Hackern und Datenspionen das Leben leicht. Das zeigt ein aktueller Test.

Oh Schreck: Die Mailserver vieler Unternehmen entsprechen offenbar nicht aktuellen Sicherheitsanforderungen (Foto: © Minerva Studio - Fotolia.com).

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bei 2.236 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver automatisiert überprüft. 772 Unternehmen genügten dabei den gestellten datenschutzrechtlichen Anforderungen nicht und wurden deshalb vom BayLDA schriftlich aufgefordert, ihre Mailserver an den Stand der Technik anzupassen.

Besonders bei der Verschlüsselung hapert in den betroffenen Unternehmen. Dabei ist längst bekannt, dass das Versenden unverschlüsselter E-Mails vom Grad der Geheimhaltung dem Versenden einer Postkarte gleichkommt. Das bedeutet, dass sie ohne größeren Aufwand gelesen, ausgewertet oder sogar geändert werden kann. Nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG) sind Unternehmen verpflichtet, im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle Verschlüsselungsverfahren zu verwenden.

Damit eine Transport-Verschlüsselung bei der Übermittlung von E-Mails überhaupt ermöglicht werden kann, müssen Mailserver in Unternehmen das Transport-Verschlüsselungsverfahren STARTTLS zur Verschlüsselung unterstützen. Außerdem muss Perfect Forward Secrecy gesetzt werden, damit selbst bei unrechtmäßiger Erlangung eines geheimen Schlüssels der mit TLS verschlüsselte E-Mailverkehr nicht nachträglich entschlüsselt werden kann. Dadurch lassen sich zwar gezielte Angriffe von Spionen und Cyberkriminellen nicht ganz ausschließen, das Mitlesen und Auswerten des Mailverkehrs wird dadurch jedoch deutlich erschwert. In diesem Zusammenhang weisen die Experten darauf hin, dass Transportverschlüsselung durch STARTTLS keinen Ersatz für eine Ende-zu-Ende Verschlüsselung wie etwa mit PGP ist, sondern dass es sich dabei lediglich um einen zusätzlichen Baustein zur Erhöhung der Kommunikationssicherheit handelt.

Im Rahmen der Überprüfung hat das BayLDA übrigens auch festgestellt, dass bei 44 von bayerischen Unternehmen eingesetzten Mailservern die so genannte Heartbleed-Lücke besteht. Dabei handelt es sich um ein sehr kritisches Problem bei der Nutzung bestimmter Versionen der Softwarebibliothek OpenSSL. Wenn diese Sicherheitslücke vorhanden ist besteht die Gefahr, dass Unbefugte über das Internet problemlos und vom Anwender unbemerkt auf dessen E-Mail-Kommunikation zugreifen kann.