Ungenügender E-Mail-Schutz: Bayerische Unternehmen ziehen blank

Kommentar von Günter Esch, Director Sales bei SEPPmail

Ungenügender E-Mail-Schutz: Bayerische Unternehmen ziehen blank

Secure E-Mail Appliances von SEPPmail

In den letzten Tagen trafen in den Büros des IT-Sicherheitsexperten SEPPmail einige aufgeregte Anrufe und E-Mails ein: Mehrere Unternehmensverantwortliche wollten bzw. mussten den Schutz ihres Mailservers erhöhen. Dazu wurden sie kürzlich per Brief vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) aufgefordert. Die Firmen genügten nicht den datenschutzrechtlichen Anforderungen des Freistaates. Jetzt ist die Unsicherheit in vielen Betrieben groß.

Das BayLDA hat Anfang September 2014 bei insgesamt 2.236 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver überprüft. Bei 772 Unternehmen mahnte die Behörde das Fehlen von Transportverschlüsselung und Perfect Forward Secrecy für den E-Mail-Versand an. Daher wurden entsprechende Firmen vom BayLDA schriftlich aufgefordert, ihre Mailserver besser abzusichern. Dieser Forderung liegt sogar ein Paragraph 9 des Bundesdatenschutzgesetzes (BDSG) zugrunde. Dieser weist Unternehmen darauf hin, das im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle spezielle Verschlüsselungsverfahren eingesetzt werden müssen, die die internen Mailserver nach aktuellem Stand der Technik schützen, z.B. mit dem Protokoll StartTLS und Perfect Forward Secrecy.

Wir bei SEPPmail haben uns bei der Beratung der besorgten Neukunden zunächst mit deren akuten Sicherheitslücken befasst. Bei einigen fehlte z.B. die E-Mail-Transportsicherung TLS. Zudem wurden vielerorts Perfect Forward Secrecy (PFS) nicht unterstützt: PFS hindert Angreifer daran, aus einem aufgedeckten geheimen Langzeitschlüssel auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals zu schließen. Ein weiteres Manko stellten zu „schwache“ Schlüssel dar, wie etwa 512-Bit-Schlüssel. Diese widersprechen den heutigen Sicherheitsanforderungen an Schlüsselmaterial. In schwerwiegenden Fällen fiel sogar ein fehlender Fix gegen die Heartbleed-Attacke auf, was uns fassungslos machte. Denn so war es Hackern jederzeit möglich, private Daten von Clients und Servern auszulesen – obwohl die Firmen TLS-Verschlüsselung einsetzen.

Aufgrund dieser teilweise erschütternden Sicherheitsmängel, die bayerische Unternehmen aufwiesen, möchten wir ihnen konkrete Ratschläge mit auf den Weg geben: TLS ist Pflicht, ebenso wie PFS und ein Heartbleed-Fix. Dennoch stimmen wir dem BayLDA zu, dass die Transportverschlüsselung gezielte Angriffe von Geheimdiensten oder Cyberkriminellen nicht gänzlich verhindern kann. TLS bzw. StartTLS ist somit kein Ersatz für eine hochsichere Ende zu Ende-Verschlüsselung, wie sie beispielsweise das Programm PGP bietet. Neben PGP existieren auch noch weitere hochwertige Verschlüsselungstechniken wie S/MIME, Domainverschlüsselung und unsere eigene, patentierte Verschlüsselungsmethode GINA. All diese Technologien plus PFS für Simple Mail Transfer Protokolle werden von der SEPPmail-Appliance unterstützt. Vom BayLDA ermahnte Unternehmen haben nur noch bis Anfang Oktober Zeit, ihre Mailserver ganzheitlich abzusichern. Mit SEPPmail erhalten sie alle geforderten Mindeststandards (und noch viel mehr Schutz) in einer einfach zu bedienenden E-Mail-Verschlüsselungslösung.

Hinweis: Alle genannten Marken- und Produktnamen sind Eigentum der jeweiligen Markeninhaber.

Über SEPPmail AG:
Das in der Schweiz ansässige, international tätige und inhabergeführte Unternehmen SEPPmail ist Hersteller im Bereich „Secure Messaging“. Seine patentierte, mehrfach prämierte Technologie für den spontanen sicheren E-Mail-Verkehr verschlüsselt elektronische Nachrichten und versieht diese auf Wunsch mit einer digitalen Signatur. Die Secure E-Mail-Lösungen sind weltweit erhältlich und leisten einen nachhaltigen Beitrag zur sicheren Kommunikation mittels elektronischer Post. Dadurch maximiert SEPPmail die Kommunikationssicherheit von hunderttausenden von Benutzern. Das Unternehmen verfügt über eine mehr als zehnjährige Erfahrung im sicheren Versenden digitaler Nachrichten. Bei der Entwicklung ihrer E-Mail-Security-Technologie achtet SEPPmail besonders auf die Benutzerfreundlichkeit und reduziert Komplexität auf ein absolutes Minimum. Kleine, mittlere und große Firmen können die Lösungen schnell, unkompliziert und ohne zusätzliche Schulungen anwenden. Weitere Informationen unter www.seppmail.de.

Firmenkontakt
SEPPmail AG
Günter Esch
Ringstraße 1c
85649 Brunnthal b. München
+49 151 165 44228
esch@seppmail.de
http://www.seppmail.de

Pressekontakt
Sprengel & Partner GmbH
Maximilian Schütz
Nisterstraße 3
56472 Nisterau
02661-912600
administration@sprengel-pr.com
http://www.sprengel-pr.com