E-Mail als zentrales Kommunikationsinstrument
E-Mail-Kommunikation ist heute praktisch unverzichtbar, trotzdem machen viele sich überraschend wenige Gedanken über Mailverkehr und die Verbesserung seiner Sicherheit. Meist wird das Problem an die Provider delegiert, Motto “der wird schon wissen, was er tut”. Den wenigsten Menschen ist bewusst, dass E-Mails unnötig oft offen verschickt und damit von Unbefugten leicht gelesen werden können.
Oft werden den E-Mails wertvolle Dokumente, wie Bilanzen, Lohnkonten, Projektpläne und Angebote beigelegt, diese können durch Dritte abgefangen und ausgespäht werden. Eine verschlüsselte und damit sichere Datenübertragung ist Gebot der Stunde.
Es gibt keine offiziellen Statistiken über den Umfang des Mailverkehrs in Österreich, konservative Schätzungen gehen von etwa 56 Milliarden E-Mails im Jahr aus.
Zwei Drittel der österreichischen Mailserver übertragen unverschlüsselt
Österreichweit sind etwa 10.000 Mailserver im Einsatz. Meist verwalten sie nur die Mails eines Unternehmens. Mailserver der Internet-Serviceprovider verwalten gleichzeitig mehrere hundert Unternehmen, zum Teil viele zehntausend Benutzer.
Im Schnitt sind jedoch nur ein Drittel der Mailserver am letzten Stand der Technik und übertragen E-Mails verschlüsselt.
Nicht nur Kleinbetriebe, die mit der sicheren Mailserverkonfiguration überfordert sind, sondern auch viele Behörden, börsennotierte Unternehmen, Branchenführer und Institutionen, die zu den TOP-500 Österreichs gehören, verwenden leichtsinnigerweise unverschlüsselten Mailverkehr.
Viele Einrichtungen mit unsicherem Mailverkehr sind der ARGE DATEN bekannt, werden jedoch aus Sicherheitsgründen nicht bekannt gegeben.
Unter anderem sind es 210 Behörden, 36 Aktiengesellschaften, meist börsennotiert, 213 TOP-Unternehmen und Branchenführer, 196 Gesundheits- und Sozialeinrichtungen, sogar 113 Internetserviceprovider sind darunter. Auch viele Mailserver von Parteien sind unsicher, kein Wunder, wenn brisante E-Mails in falsche Hände geraten.
Das Vorgehen der Internetserviceprovider ist als grobe Fahrlässigkeit einzustufen. Kunden müssen darauf vertrauen können, dass der angebotene Maildienst nach dem letzten Stand der Technik angeboten wird, dazu gehört selbstverständlich auch die verschlüsselte Übertragung von E-Mails.
Verschlüsselungstechnologie leicht und preiswert verfügbar
Die Nachlässigkeit ist umso unverständlicher, da seit einigen Jahren mit “TLS” weltweit ein Standard zum verschlüsselten Austausch von Mails existiert. TLS steht für “Transport Layer Security” und verschlüsselt die Mails bei der Übertragung, ähnlich dem bekannten https:// bei Webseiten.
Dazu muss nur ein digitales Zertifikat installiert werden. Mailserver mit einem derartigen Zertifikat tauschen Mails automatisch verschlüsselt aus. Alle modernen Mailsysteme unterstützen dieses Service. Der Installationsaufwand liegt bei weniger als einer Stunde.
Böswillige Beobachter, Spyware und andere Schnüffler haben keine Chance. Angenehmer Nebeneffekt, durch das Zertifikat sind auch Mailempfänger und -absender eindeutig identifiziert. Damit können auch Spam-Mails leichter erkannt und abgewehrt werden. Spammer geben ihre Identität nicht preis!
A-CERT Initiative “Sicherer Mailverkehr”
A-CERT, der Signaturdienst der ARGE DATEN, hat eine Initiative gestartet und bietet Serverzertifikate mit einer Langzeitlaufzeit von 10 Jahren zu besonders günstigen Konditionen an.
Ausführliche Informationen und die Möglichkeit zur Online Bestellung befinden sich unter: https://www.globaltrust.eu/php/cms_monitor.php?q=PUB&s=33659caa.
Geschäftsführungen haften für sichere Kommunikation
E-Mail-Nutzung ist für praktisch alle Unternehmen eine Selbstverständlichkeit geworden, der kaum mehr Beachtung geschenkt wird. Geschäftsführungen übersehen jedoch, dass sie persönlich für die sichere Kommunikation im Unternehmen haften. Schon in einem OGH-Urteil aus dem Jahr 1990 (OGH 9 ObA 182/90) wurde diese persönliche Haftung eindeutig festgestellt. Werden vertrauliche Betriebsunterlagen ausgespäht, kann der Geschäftsführer für alle Folgekosten haftbar gemacht werden. Ob sich ein Haftungsrisiko über viele hunderttausend oder gar Millionen Euro bezahlt macht, um wenige hundert Euro für sicheren Mailverkehr zu sparen?
EU-Richtlinie Kommunikationsdatenschutz verlangt Verschlüsselung
Nicht ganz unwesentlich: erst mit verschlüsselter Mailkommunikation wird die verbindliche EU-Richtlinie 2002/58/EG, kurz Kommunikations-Datenschutzrichtlinie, erfüllt. Ein weiterer Grund, rasch auf sicheren Mailverkehr umzusteigen.