Zwei Drittel der Mailserver schlecht gesichert

Unsichere Server finden sich, so die Datenschützer, bei Behörden, Sozialeinrichtungen, Unternehmen und sogar bei politischen Parteien und Internetprovidern. Oft werden unverschlüsselten Mails vertrauliche Dokumente beigelegt, etwa Bilanzen, Angebote oder Projektpläne. Dabei sei seit einigen Jahren mit "Transport Layer Security" (TLS) ein Standard verfügbar, der E-Mails beim Versand verschlüsselt, heißt es von der ARGE Daten.

Um Mails mit TLS zu verschlüsseln, muss zuerst ein Zertifikat, wie es bei Zertifizierungsstellen wie der A-CERT erhältlich ist, installiert werden. Ist dies geschehen, tauschen die Mailserver Nachrichten automatisch in verschlüsselter Form aus, was nicht nur die Sicherheit der Kommunikation erhöhe, sondern auch Spam-Mails reduzieren helfe, heißt es von der ARGE Daten. Unsichere Mailserver finden sich in erster Linie in kleinen Unternehmen, die mit der Sicherung ihrer Server überfordert sind. Haftbar für das Durchsickern wichtiger Informationen aufgrund mangelnder Sicherheitsmaßnahmen und die daraus resultierenden Folgeschäden ist die Geschäftsführung des betroffenen Unternehmens. Dies wurde bereits 1990 in einem Urteil des obersten Gerichtshofs beschlossen.

Auch 113 Internetprovider, über deren Infrastruktur die E-Mails mehrerer hundert Unternehmen laufen, sollen laut ARGE Daten "grob fahrlässig" die Sicherheit ihrer Mailserver vernachlässigen. "Wir schätzen die Expertise der ARGE Daten, meinen aber, dass hier über das Ziel hinausgeschossen wurde. Hier wird offenbar versucht, die eigenen Zertifizierungsprodukte zu bewerben", so Andreas Wildberger, Generalsekretär des Verbands der österreichischen Internetprovider (ISPA), gegenüber pressetext.

Im Internet, so der Branchenkenner, seien viele abgelaufene Zertifikate im Umlauf, sodass Administratoren oft gar nicht umhin könnten, ihre Mailserver ohne TLS zu betreiben, da sonst ein Großteil des Mailverkehrs abgeblockt werde. TLS sei auch deshalb unpraktisch, weil es, sobald mehr als zwei Server in den Versand einer Mail involviert sind, zusätzliche Zertifikate nötig mache, sagt er. "Wirklich sinnvoll ist nur eine End-to-End-Verschlüsselung, etwa durch PGP oder S/Mime."

Die österreichische Internetindustrie nehme den Schutz persönlicher und unternehmenskritischer Daten sehr ernst, sagt der ISPA-Generalsekretär. Man biete Schulungen für Systemadministratoren an, betreibe diverse Sicherheitsinitiativen wie die hauseigene Spam-Whitelist und informiere über die im Netz lauernden Gefahren, so Wildberger. In diesem Zusammenhang verweist er auch auf eine kürzlich herausgegebene Broschüre, die Internetnutzer für das Thema Sicherheit sensibilisieren soll.