My Email Communications Security Assessment

574

Schützt Ihr Email-Anbieter Ihre Emails ausreichend bei der Übertragung?

Artikel 32 der Datenschutzgrundverordnung (EU-DSGVO / GDPR) sieht die Verschlüsselung von personenbezogenen Daten ausdrücklich als geeignete Maßnahmen zum Schutz der Daten vor. Immer mehr findet die Verschlüsselung von Datenträgern, Datenbanken und Inhalten von Datenbanken Einzug in die Schutzstrategie von Unternehmen.

Wenn Angriffe alle anderen Schutzmechanismen wie Firewall oder Antiviren-Software überwunden haben, ist die Verschlüsselung manchmal das letzte Bollwerk vor der Datenkatastrophe. Insbesondere dann aber wenn sensible Daten übermittelt werden, sind viele technische Sicherheitskonzepte löchrig wie ein Schweizer Käse und oft genug gehen dann vertrauliche und höchstpersönliche Informationen ungeschützt über das Internet in alle Welt und werden von unberechtigten Dritten mitgelesen und abgehört.

Viele Anbieter von Email-Diensten und Servern schützen bereits die Kommunikation ihrer Nutzer mit einer sogenannten Transportverschlüsselung, von der der Anwender meistens gar nichts mitbekommt, ob Sie überhaupt existiert und auf dem eigenen Email-System eingesetzt wird. Die europäische Kommission hat nun einen Sicherheitscheck veröffentlicht, mit dem E-Mail Nutzer prüfen können ob zumindest dieser Sicherheitsmechanismus auf dem eigenen Mailserver eingerichtet ist und funktioniert.

Dabei untersucht die Plattform „MECSA“, nach Eingabe der eigenen Email-Adresse ob die Kommunikation zwischen den E-Mail-Servern (MTAs) ausreichend sicher funktioniert. Um dieses Ziel zu erreichen, prüftdie MECSA-Plattform acht verschiedene Funktionen (StartTLS, x509 Zertifikatsvalidierung, SPF, DKIM, DMARC, DANE, DNSSEC).

Datenschutz Aufsichtsbehörden haben sich in der Vergangenheit kritisch geäußert, ob dieser Schutz ausreichend ist. Auch wir sind der Auffassung, dass eine garantierte Ende zu Ende Verschlüsselung mit S-MIME Zertifikaten oder PGP-Schlüsseln die bessere Lösung ist. Leider aber zurzeit immer noch zu wenig verbreitet und wenig anwenderfreundlich in die Produkte und Dienste integriert. Den Basisschutz den heutige Email-Server bereits zur Verfügung stellen, ist aber zumindest eine Grundabsicherung für die Übermittlung von ungeschützten E-Mails über das Internet.