Original-URL des Artikels: https://www.golem.de/news/bayern-datenschutzbeauftragter-mahnt-mangelnde-verschluesselung-an-1409-109260.html    Veröffentlicht: 15.09.2014 17:15    Kurz-URL: https://glm.io/109260

Bayern

Datenschutzbeauftragter mahnt mangelnde Verschlüsselung an

Das Bayerische Landesamt für Datenschutzaufsicht hat die E-Mail-Server bayerischer Unternehmen überprüft. Wer keine Verschlüsselung einsetzt, erhält eine schriftliche Aufforderung.

Anfang September hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) anlasslos die E-Mail-Server von Unternehmen im Freistaat auf Verschlüsselung überprüft. Wer eine solche nicht einsetzt, erhält eine E-Mail der Datenschutzbehörde. Darin werden die Firmen schriftlich aufgefordert, TLS-Verschlüsselung und Perfect Forward Secrecy umzusetzen. Außerdem suchte die Behörde nach Servern, die die Heartbleed-Lücke noch nicht geschlossen haben.

Insgesamt habe das BayLDA die Mailserver von 2.236 bayerischen Unternehmen automatisiert überprüft, schreibt die Behörde in einer Mitteilung. 772 Unternehmen hätten den gestellten Anforderungen nicht genügt. Bei 44 Unternehmen sei zudem die Heartbleed-Lücke festgestellt worden. Bei Mängeln seien E-Mails an die betroffenen Unternehmen verschickt worden.

BDSG fordert Verschlüsselung

Die überprüften Mailserver habe das BayLDA anhand ihrer MX-Records und DNS-Anfragen ausfindig gemacht. Als Grundlage für die Überprüfung habe die Behörde die Vorgaben des RFC 5321 für SMTP-Server beziehungsweise RFC 3207 für StartTLS verwendet. Die rechtliche Grundlage dafür sei § 38 des Bundesdatenschutzgesetzes (BDSG), der die Datenschutzbehörden mit der Überwachung des BDSG beauftrage. Nach § 9 des BDSG, insbesondere Satz 2 Nummer 2 bis 4 der Anlage, sind Wirtschaftsunternehmen, Vereine und Verbände sowie Freiberufler dazu verpflichtet, "insbesondere Verschlüsselungsverfahren nach dem Stand der Technik" umzusetzen.

Die Überprüfung sei erfolgt, nachdem Vor-Ort-Kontrollen im Laufe des Jahres ergeben hätten, dass "gerade die sichere Konfiguration von Mail-Servern und der damit einhergehende Schutz personenbezogener Daten bislang oftmals vernachlässigt wurde und deshalb Verbesserungsbedarf besteht." Außerdem verweist das BayLDA auf die aktuelle Entschließung "Gewährleistung der Menschenrechte bei der elektronischen Kommunikation" der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27. März 2014.

In der E-Mail ist ein Fragebogen enthalten, mit dem das Unternehmen die Aktualisierung ihrer Mailserver bestätigen muss. Wer diesen nicht wahrheitsgemäß ausfüllt und an die BayLDA zurückschickt, riskiert ein Bußgeld. Ziel sei aber "die sichere Konfiguration der Mailserver und nicht das Verhängen von Bußgeldern", so die Behörde.  (jt)


Verwandte Artikel:
Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen   
(13.05.2014, https://glm.io/106436 )
Verschlüsselung: Niemand hat die Absicht, TLS zu knacken   
(13.10.2017, https://glm.io/130594 )
JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software   
(20.11.2017, https://glm.io/131238 )
Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen   
(20.09.2017, https://glm.io/130166 )
Optionsbleed: Apache-Webserver blutet   
(18.09.2017, https://glm.io/130105 )

© 1997–2020 Golem.de, https://www.golem.de/