Mailserver: STARTTLS & Perfect Forward Secrecy

Anlass und Ziel der Prüfung

Das BayLDA hat eine automatisierte Onlineprüfung bei Mailservern bayerischer Firmen mit dem Ziel durchgeführt, die Verwendung bestimmter Verschlüsselungsmöglichkeiten zum Schutz personenbezogener Daten im Rahmen der E-Mail-Kommunikation zu kontrollieren. In den Vor-Ort-Kontrollen bei bayerischen verantwortlichen Stellen hatte das BayLDA zuvor vermehrt festgestellt, dass gerade die sichere Konfiguration von Mail-Servern und der damit eingehende Schutz personenbezogener Daten oftmals vernachlässigt wurde und deshalb Verbesserungsbedarf bestand.

Zeitraum der Prüfung

September 2014

Status der Prüfung

Zu 100% abgeschlossen.

Anzahl geprüfte verantwortliche Stellen

Insgesamt wurden 2236 verantwortliche Stellen mit insgesamt 3538 MX-Einträgen branchenübergreifend in ganz Bayern geprüft. Angeschrieben wurden jedoch lediglich die Stellen, bei denen mindestens ein datenschutzrechtlicher Mangel bezüglich der geprüften Kriterien festgestellt werden konnte. Bei den überprüften verantwortlichen Stellen handelt es sich um eine rein zufällig ausgewählte und branchenübergreifende Stichprobe in ganz Bayern.

Prüffragen

Im Rahmen dieser fokussierten Überprüfung wurden insbesondere folgende Punkte durch das BayLDA bei den betroffenen Mailservern begutachtet: Einsatz des Verschlüsselungsprotokolls SSL/TLS bzw. STARTTLS, Einsatz von Perfect Forward Secrecy (PFS) und Ausschluss einer Verwundbarkeit über die Sicherheitslücke Heartbleed.

Fazit

Die allermeisten Unternehmen konnten innerhalb von vier bis acht Wochen die vorhandenen Defizite beheben. Überraschend war jedoch, dass gerade für E-Mail-Hosting spezialisierte Dienstleister teilweise nicht in der Lage waren, auf einen den Mindestanforderungen entsprechenden Umstand hinzuwirken.