Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Anfang September 2014 eine automatisierte Onlineprüfung bei Mailservern bayerischer Firmen mit dem Ziel durchgeführt, die Verwendung bestimmter Verschlüsselungsmöglichkeiten zum Schutz personenbezogener Daten zu kontrollieren. Bei den überprüften Mailservern handelt es sich um eine rein zufällig ausgewählte und branchenübergreifende Stichprobe in ganz Bayern. Im Nachgang wurden die Firmen und Organisationen von dem Prüfungsergebnis in Kenntnis gesetzt und aufgefordert sich fristwahrend zu dem Sachverhalt zu äußern. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) informiert auf seiner Webseite ausführlich zu der Thematik.
REDDOXX wird bis spätestens 15. November 2014 ein Sicherheitsupdate veröffentlichen, dass die Implementierung von Perfect Forward Secrecy (PFS) enthält. STARTTLS ist bereits seit 2011 mit der Firmwareversion 2027 implementiert. Die Heartbleed Sicherheitslücke wurde eine Woche nach bekanntwerden mit einem Sicherheitsupdate (2030 SP3) geschlossen.
Begriffserläuterung
(Quelle: Bayrisches Landesamt für Datenschutz)
- STARTTLS
STARTTLS bezeichnet ein Verfahren zur abgesicherten Kommunikation beim E-Mail-Transport, in dem auf Serverseite eine Verschlüsselung des Datenaustauschs auf Transportebene eingeleitet wird. Personenbezogene Daten der Nachrichten werden bei der anschließenden Datenübertragung somit verschlüsselt übertragen. Wir weisen jedoch darauf hin, dass eine STARTTLS-Unterstützung keinen Ersatz für eine Ende-zu-Ende Verschlüsslung darstellt.
- Perfect Forward Secrecy (PFS)
Werden (personenbezogene) Daten über das TLS-Protokoll ausgetauscht, so handeln die beiden beteiligten Stellen einen kryptographischen Schlüssel aus, mit dem die Inhalte verschlüsselt werden. Dieser Sitzungsschlüssel wird aus dem Langzeitschlüssel abgeleitet und würde bei Entwendung desselben bzw. “Brechens” des Sitzungsschlüssels dazu führen, dass bereits verschlüsselt übertragene Daten, sofern diese aufgezeichnet wurden, nachträglich entschlüsselt werden können. Bei Verfahren zum Schlüsseltausch, die in die Klassifizierung Perfect Forward Secrecy fallen, werden Sitzungsschlüssel derart erzeugt, dass diese zu einem späteren Zeitpunkt selbst bei Kenntnis des Langzeitschlüssels bzw. “Brechens” anderer Sitzungsschlüssel nicht mehr rekonstruiert werden können.
- Heartbleed
Im April 2014 wurde der kritische Heartbleed-Bug in OpenSSL entdeckt. Beim Vorhandensein dieser Sicherheitslücke besteht die Gefahr, dass Unbefugte über das Internet z. B. Fragmente der Email-Kommunikation bei Mailservern unbemerkt in Erfahrung bringen oder sogar den privaten Verschlüsselungsschlüssel auslesen können. Aus diesem Grund ist eine unmittelbare Behebung nach Bekanntwerden erforderlich.