Emailsicherheit und die Aufsichten

Einige meiner Leser werden natürlich denken, schon wieder Email. Stimmt. Ich werde in diesem Artikel auch so wenig wie möglich aus den vorhergehenden Artikeln wiederholen sondern aufzeigen, wie wenig sich seit Veröffentlichung der Orientierungshilfe geändert hat und woran ich das Scheitern sehe. An Email kann man das Sicherheitsbewusstsein der Nation oder Verwaltung und die Trägheit der Aufsicht (leider) sehr gut ablesen. Dass die Aufsicht über die Schonfrist von Mai 2016 bis Mai 2018 hinaus und drei Jahre nach Veröffentlichung der ersten Orientierungshilfe diese selbst nicht umsetzt, ist ein Verstoß gegen Artikel 32 DSGVO, dass sie bei anderen Verantwortlichen die Datenschutzgrundverordnung nicht durchsetzt, ist in meinen Augen Rechtsbeugung, denn Artikel 57 Abs. 1 lit. a erklärt mit die Anwendung dieser Verordnung überwachen und durchzusetzen das eindeutig zur Aufgabe der Aufsicht, und Artikel 58 liefert auch entsprechende Möglichkeiten dazu.

Anfrage an die Datenschutzaufsichten

In der Anfrage habe ich zunächst Testergebnisse der Emailkommunikation der Aufsichten selbst verwendet und gefragt, wann man die Orientierungshilfe selbst befolgen wird, und auch ob beabsichtigt ist, die Orientierungshilfe zu verändern. Ich habe auch aufgefordert, sich selbst zu testen, denn die abgehende Konfiguration kann ich nicht ohne Mitwirkung eines Senders prüfen.

Anfrage an die jeweilige Pressestelle der Aufsichten

Änderungsbedarf an der Orientierungshilfe?

Ich greife den Antworten vor... auch wenn die Aufsichten schreiben Orientierungshilfen werden regelmäßig überprüft und mit weiterhin Gültigkeit keinen Änderungsbedarf sehen, denke ich, dass die Orientierungshilfe nicht erfolgreich ist und würde mir einige Änderungen wünschen. Was sind die Probleme?

  • Die Orientierungshilfe knüpft an die Risikoklassifizierung in Kurzpapier Nr. 18: Risiko für die Rechte und Freiheiten natürlicher Personen an. Die DSGVO unterstützt grundsätzlich einen risikobasierten Ansatz, aber wenn der Verantwortliche das Risiko unterschätzt oder verdrängt, kommt halt nichts brauchbares heraus. Und es ist meiner Meinung nach sinnvoller, über Lösungen zu diskutieren als über Risiken.
  • Die Orientierungshilfe besagt nichts ausdrücklich zu (vermeintlich) niedrigem Risiko. Beim genauen Lesen fällt einem aber Abschnitt 2 Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte alsauch die Umstände der Kommunikation, soweit sich aus letzteren Informationen übernatürliche Personen ableiten lassen und Abschnitt 3.1 Zum Schutz der Vertraulichkeit und Integrität der verarbeiteten personenbezogenen Daten müssen öffentliche E-Mail-Diensteanbieter die Anforderungen der TR 03108-1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) einhalten auf. Richtig, neben dem Grundrecht auf Datenschutz gibt es auch noch das Grundrecht auf vertrauliche Kommunikation aka Fernmeldegeheimnis. Das scheinen die Autoren der Orientierungshilfe gewusst zu haben, aber in der Beratungspraxis scheint das keine Rolle zu spielen. Vertraulichkeit ohne Verschlüsselung? Geht nicht.
  • Sowohl die obligatorische als auch die qualifizierte Transportverschlüsselung haben das grundsätzliche Problem, dass der Sender Verschlüsselung erzwingen soll, ohne zu wissen, ob der Empfänger das kann. Konfiguriert er das trotzdem, erhalten seine Anwender oder Prozesse – man denke an noreply@... – Nichtzustellbarkeitsnachrichten, mit denen die Anwender und Prozesse oft nichts anfangen können. Darüberhinaus definiert die qualifizierte Transportverschlüsselung nicht, welche Standards konkret verwendet werden dürfen, sollen, oder müssen, was die Kommunikation mit den Informationstechnikern und deren Suche nach geeigneten Lösungen erschwert.
  • Der Hinweis auf die BSI TR 03108 ist nur konkret für öffentliche Emailanbieter in Abschnitt 3.1 und sehr vage sollten sich an der TR 03108 orientieren in Abschnitt 4.2.1. Dass die TR 03108 weitgehend übereinstimmt mit SMTP-DANE (RFC 7672) – kein Hinweis darauf.
  • Bei hohem Risiko wird sowohl qualifizierte Transportverschlüsselung als auch PGP und S/MIME erwartet, ohne dass klar ist, ob das Alternativen für den Verantwortlichen, alternative Angebote an den Betroffenen sein sollen, oder grundsätzlich alles drei zum Einsatz kommen soll.
  • PGP und S/MIME führen ein Nischendasein bei Aufsichten und Enthusiasten, Normalbürger kennen und verwenden es nicht. Verantwortliche wie die Deutsche Post DHL bestätigen das. Und von den wenigen Nutzern verwendet niemand die offiziellen Standards für Schlüsselmanagement, und sollten die sich irgendwann doch durchsetzen wird es als Konsequenz PGP- und S/MIME verschlüsselte Spam geben, die aufgrund der Ende-zu-Ende-Verschlüsselung leider nicht vom Spamfilter erkannt werden können. Und weil die Standards nicht verwendet werden, werden gerne mal öffentliche Schlüssel über eine ungeschützte Email ausgetauscht – das hat mit Sicherheit dann wenig zu tun.
  • Auf andere Techniken wie verschlüsselte Zips oder PDFs geht die Orientierungshilfe nicht ein, insbesondere sagt sie auch nicht, dass für den Schlüssel – siehe auch PGP / S/MIME – ein anderer sicherer Kanal verwendet werden muss als unsichere, nicht qualifiziert transportverschlüsselte, Email.

Mir erscheint es wesentlich sinnvoller:

  1. Alle Verantwortlichen müssen unabhängig von der Risikoklasse die Verwendung von SMTP-DANE nach RFC 7672 oder BSI TR 03108 in beiden Richtungen umsetzen. Immerhin sind allein durch United-Internet etwa die Hälfte der Bundesbürger damit verschlüsselt und authentifiziert erreichbar, und viele andere Anbieter, leider nicht alle, verwenden diesen Standard auch. Testergebnisse auf Emailsicherheit — der Test.
  2. Verantwortliche sollten bei der Erfassung von Emailadresse bereits ab normalem Risiko beispielsweise in einem Kontaktformular prüfen, ob diese Emailadresse SMTP-DANE unterstützt und falls nicht den Betroffenen darauf hinweisen. Bei alten Datenbeständen kann man die auch durchprüfen und den Betroffenen eine Email schicken und darauf hinweisen.
  3. Die Forderung nach PGP und S/MIME sollte gestrichen werden.
  4. Ein Schlüsselaustausch für die Kommunikation per Email darf nicht per Email stattfinden (oder nur dann, wenn sichergestellt ist, dass beide Seiten SMTP-DANE einsetzen).

Absurd? Nein, in den Niederlanden steht dieser RFC auf der Pflichtliste (siehe DANE for SMTP how-to und dort Suche nach Comply or Explain). Die niederländische nationale Cybersecurity-Center (NCCA) schreibt The NCSC recommends enabling STARTTLS and DANE for all your organisation´s incoming and outgoing email traffic. Die Umsetzung von SMTP-DANE ist leicht, eine ernsthafte Risikoanalyse deutlich aufwändiger. Die Certified Senders Alliance empfiehlt DANE. Und Encrypt Everything ist der neue Trend. Sogar das BSI verlangt im Grundschutz NET.1.1.A7 Verschlüsselung als Basisanforderung unabhängig vom Risiko und liefert für Email die schon angesprochene technische Richtlinie TR 03108, nach der Emailanbieter zertifiziert werden können.

Auch die Prüfung in einem Formular ist kein Problem, ich habe das selbst seit Anfang 2022 im Einsatz. Und warum ich nichts von PGP und S/MIME halte, steht im Vergleich RFC 7672 vs. PGP / S/MIME. Wenn das Unabhängige Landeszentrum für Datenschutz schreibt, geschätzt zwischen 1 und 5 %, dann lässt das nur vermuten, dass datenschutzbewusste Bürger eher bereit sind, PGP zu nutzen als die anderen – und diese anderen sind die Mehrheit.

Wenn man sich den Vorschlag genauer ansieht, wird man feststellen, dass der Zwang zur Verschlüsselung beim Sender ersetzt wird durch die Verpflichtung zu SMTP-DANE und eine geeignete Information des Betroffen bei der Erfassung oder Weiternutzung der Emailadresse, damit das Problem der Fehler massiv reduziert wird und damit der Haupteinwand der Techniker adressiert wird.

Wenn man tatsächlich die Orientierungshilfe anfasst, dann kann man auch gleich noch SPF, DKIM, und DMARC empfehlen. Die Verwendung von MTA-STS hingegen halte ich für entbehrlich – weil MTA-STS ohne DNSSEC eine schlechtere Sicherheit als SMTP-DANE erreicht, und weil die sendeseitige Komplexität im Vergleich zu SMTP-DANE erheblich höher ausfällt, und damit die Umsetzung erheblich seltener stattfindet als die von SMTP-DANE. Und auch wenn man die Orientierungshilfe nicht anfassen will, kann man SMTP-DANE, SPF, DKIM, und DMARC als Schritt in die richtige Richtung einfordern.

Dass man drei Jahre nach Veröffentlichung trotz fehlender Umsetzung keinen Änderungsbedarf sieht – wollen die Aufsichten wegsehen?

Anfragen und Beschwerden zu mangelhafter Verschlüsselung

Dass schiefgehen wird, was schiefgehen kann, zeigen meine Erfahrungen und Beschwerden:

Tabellen überspringen.

Verantwortlicher Aktenzeichen Status der Beschwerde Datum der Beschwerde Aktuellste Informationen (inkl. nach Artikel 77/78) Beschwerdeinhalt bzw. Kommentar
Datum/ZeitSenderEmpfängerThema

Telekom

Das Telekom E-Mail Encryption Gateway soll vertrauliche Dokumente übertragen – aber verwendet keine obligatorische Transportverschlüsselung
17.03.2023 14:00Joachim LindenbergBundesbeauftragter für den Datenschutz und die Informationsfreiheit,
Telekom
Beschwerde wegen unsicherem Registrierungsmechanismus beim Telekom E-Mail ...ateway
20.03.2023 15:21Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekomunikation, Az. 24-193-2 II#1721
20.03.2023 17:22Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721
11.07.2023 10:25Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekomunikation, Az. 24-193-2 II#1721
11.07.2023 14:44Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721
07.08.2023 11:31Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekomunikation, Az. 24-193-2 II#1721
07.08.2023 12:23Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721

Vodafone

Keine obligatorische Transportverschlüsselung bei der Registrierung am Vodafone Portal. Vodafone unterstellt niedriges Risiko – ich sehe das anders.
20.03.2023 17:51Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz in der Telekommunikation, Geschäftszeichen 24-193 II#5740
11.04.2023Bundesbeauftragter für den Datenschutz und die InformationsfreiheitVodafoneDatenschutz in der Telekommunikation, Az. 24-193 II#6079
23.05.2023VodafoneBundesbeauftragter für den Datenschutz und die InformationsfreiheitStellungnahme zur Eingabe von Joachim Lindenberg
06.06.2023VodafoneBundesbeauftragter für den Datenschutz und die InformationsfreiheitStellungnahme zur Eingabe von Joachim Lindenberg
07.06.2023 09:10Bundesbeauftragter für den Datenschutz und die InformationsfreiheitVodafoneDatenschutz in der Telekommunikation, Az. 24-193 II#6079
11.07.2023 14:14Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekommunikation, Az. 24-193 II#6079
11.07.2023 14:34Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz in der Telekommunikation, Az. 24-193 II#6079
11.07.2023 15:07Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekommunikation, Az. 24-193 II#6079
11.07.2023 16:13Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz in der Telekommunikation, Az. 24-193 II#6079
04.09.2023 14:16Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekommunikation, Az. 24-193 II#6079
04.09.2023 15:35Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz in der Telekommunikation, Az. 24-193 II#6079
05.09.2023 10:48Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekommunikation, Az. 24-193 II#6079

Stadt Karlsruhe

Termin abgesagt. Weder normale Mails noch die über Julia Mailoffice versandten Mails nutzen obligatorische Transportverschlüsselung.
22.06.2023 15:13Joachim LindenbergStadt KarlsruheGefahren des Internet bei unverschlüsselter Kommunikation – Verbesserungsg...lsruhe
28.06.2023 12:44Stadt KarlsruheJoachim LindenbergRe Gefahren des Internet bei unverschlüsselter Kommunikation – Verbesseru...lsruhe
29.06.2023 16:02Joachim LindenbergStadt KarlsruheRe Gefahren des Internet bei unverschlüsselter Kommunikation – Verbesseru...lsruhe
30.06.2023 07:58Stadt KarlsruheJoachim LindenbergRe Gefahren des Internet bei unverschlüsselter Kommunikation – Verbesseru...lsruhe
04.07.2023 13:09Stadt KarlsruheJoachim LindenbergUnser gestriges Telefonat
05.07.2023 12:54Joachim LindenbergStadt KarlsruheRe Unser gestriges Telefonat
05.07.2023 14:04Stadt KarlsruheJoachim LindenbergRe Unser gestriges Telefonat
19.07.2023 15:31Stadt KarlsruheJoachim LindenbergGefahren des Internet bei unverschlüsselter Kommunikation – Verbesserungsb...lsruhe
19.07.2023 15:31Stadt KarlsruheJoachim LindenbergPDF-Bereitstellung für Empfänger ...@lindenberg.one
29.07.2023 14:51Joachim LindenbergAllgeier CyrisKonfigurationsfehler Julia Mailoffice
31.07.2023 09:02Allgeier CyrisJoachim LindenbergRe Konfigurationsfehler Julia Mailoffice
31.07.2023 09:37Joachim LindenbergAllgeier CyrisRe Konfigurationsfehler Julia Mailoffice
31.07.2023 13:06Joachim LindenbergStadt KarlsruheGefahren des Internet bei unverschlüsselter Kommunikation – Verbesserungsg...lsruhe
03.08.2023 19:23Joachim LindenbergAllgeier CyrisRe Konfigurationsfehler Julia Mailoffice
13.09.2023 13:38Stadt KarlsruheJoachim LindenbergRe Gefahren des Internet bei unverschlüsselter Kommunikation – Verbesseru...lsruhe
14.09.2023 09:53Joachim LindenbergStadt KarlsruheRe Gefahren des Internet bei unverschlüsselter Kommunikation – Verbesseru...lsruhe

Bundestag

Immerhin eine Eingangsbestätigung. Die erlag allerdings dem Downgradeangriff.
04.07.2023 17:49Joachim LindenbergBundestagDatenschutz beim Bundestag
06.07.2023 10:11BundestagJoachim LindenbergRe Datenschutz beim Bundestag
22.08.2023 13:45Joachim LindenbergBundestagRe Datenschutz beim Bundestag
22.08.2023 16:39BundestagJoachim LindenbergRe Datenschutz beim Bundestag
22.08.2023 17:21Joachim LindenbergBundestagRe Datenschutz beim Bundestag
17.09.2023 12:03Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Datenschutz beim Bundestag
20.09.2023 10:22BundestagJoachim LindenbergRe Datenschutz beim Bundestag
21.09.2023 09:09Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhre E-Mail vom 17.09.2023 # 12-201 II#0326
21.09.2023 09:53Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Ihre E-Mail vom 17.09.2023 # 12-201 II#0326

Bundesanstalt für Arbeit

Keine Antwort
14.07.2023 15:24Joachim LindenbergBundesanstalt für ArbeitWG Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
21.07.2023 17:01Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitWG Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
31.07.2023 10:04Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergWG Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...I#1835
31.07.2023 10:35Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...I#1835
02.08.2023 10:03Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...I#1835
02.08.2023 10:29Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...I#1835

Deutsche Bahn

22.07.2023 12:59Joachim LindenbergHessische Beauftragte für Datenschutz und InformationsfreiheitKeine obligatorische oder qualifizierte Transportverschlüsselung auf bahn.de

Privatärztliche Verrechnungsstelle Südwest

Schlüsseltausch per unsicherer Email
26.07.2023 14:45Privatärztliche Verrechnungsstelle SüdwestJoachim LindenbergIhre E-Mail vom 22.07.2023
26.07.2023 14:53Joachim LindenbergPrivatärztliche Verrechnungsstelle SüdwestRe Ihre E-Mail vom 22.07.2023
28.07.2023 09:45Privatärztliche Verrechnungsstelle SüdwestJoachim LindenbergIhre E-Mail vom 26.07.2023

Telekom und Vodafone

Fehlende Umsetzung von BSI TR 03108 bei einem öffentlichen Email-Anbieter
27.07.2023 08:32Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitMaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
27.07.2023 10:34Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
04.08.2023 16:17Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekommunikation, Az. 24-193 II#6195

Datenschutzaufsichten der Länder

Fehlende Umsetzung von obligatorischer und qualifizierter Transportverschlüsselung. Schon eine Eingangsbestätigung lässt auf sich warten.
09.08.2023 13:46Joachim LindenbergBehördliche DatenschutzbeauftragteFehlende obligatorische_qualifizierte Transportverschlüsselung
14.08.2023 12:00Sächsische DatenschutzbeauftragteJoachim LindenbergRe Fehlende obligatorische_qualifizierte Transportverschlüsselung
22.08.2023 10:07Bayerischer Landesbeauftragter für den DatenschutzJoachim LindenbergFehlende obligatorische_qualifizierte Transportverschlüsselung
25.08.2023 11:17Landesbeauftragte für Datenschutz und Informationsfreiheit BremenJoachim LindenbergRe Fehlende obligatorische_qualifizierte Transportverschlüsselung
08.09.2023 10:01Bayerischer Landesbeauftragter für den DatenschutzJoachim LindenbergFehlende obligatorische_qualifizierte Transportverschlüsselung
08.09.2023 11:05Joachim LindenbergBayerischer Landesbeauftragter für den DatenschutzRe Fehlende obligatorische_qualifizierte Transportverschlüsselung
08.09.2023 14:20Landesbeauftragte für Datenschutz und Informationsfreiheit SaarlandJoachim LindenbergIhre Nachricht vom 9. August 2023; Transportverschlüsselung beim E-Mail-Versand
08.09.2023 15:47Joachim LindenbergLandesbeauftragte für Datenschutz und Informationsfreiheit SaarlandRe Ihre Nachricht vom 9. August 2023; Transportverschlüsselung beim E-Mai...ersand
13.09.2023Sächsische DatenschutzbeauftragteJoachim LindenbergFehlende obligatorische_qualifizierte Transportverschlüsselung
17.09.2023 12:30Joachim LindenbergSächsische DatenschutzbeauftragteRe Fehlende obligatorische_qualifizierte Transportverschlüsselung

Ich kann in keinem dieser Vorgänge erkennen, dass eine Aufsicht vor meiner Anfrage oder Beschwerde zum Thema Email oder der Orientierungshilfe beraten hat.

Downgradeangriffe gegen den Emailserver der Aufsicht?

Ich habe in meiner Anfrage zwar zur Nutzung meines Tests aufgefordert, aber mir war klar, dass den allenfalls eine Minderheit verwenden wird. Zu groß wohl das schlechte Gewissen, die eigene Orientierungshilfe nicht umzusetzen. Aber einer meiner Emailserver für die Domäne lindenberg.one versucht Downgradeangriffe gegen sendende Emailserver. Ausgenommen sind nur einige wenige Sender, die SMTP-DANE verwenden und sofort Fehlermeldungen senden, wenn STARTTLS nicht angeboten wird. Das liefert weniger Informationen als ein vollständiger Test, aber zumindest einen Hinweis ob der sendende Emailserver für obligatorische Transportverschlüsselung konfiguriert ist oder SMTP-DANE (RFC 7672) alias BSI TR 03108 oder MTA-STS (RFC 8461) unterstützt. Wirklich auseinanderhalten kann der Downgradeangriff das leider nicht, dafür braucht es – wie beim Test – zwei unterschiedlich konfigurierte Domänen.

Und da ich Emails – Antworten auf die Anfrage oben und andere – von Aufsichten bekommen habe, kann ich in der Tabelle darstellen, ob die Aufsicht dem Downgradeangriff erlegen ist (✗) oder nicht, also nicht unverschlüsselt gesendet hat (✓). Überraschend dabei Bremen, Hamburg, und Sachsen-Anhalt, denn die haben nicht unverschlüsselt gesendet obwohl sie empfangsseitig keine qualifizierte Transportverschlüsselung unterstützen. Die bayerische Landesanstalt für Datenschutzaufsicht ist sowohl beim Test als auch beim Downgradeangriff durchgefallen. Auch der BfDI hat den Test nicht gemacht, ist aber dem Downgradeangriff nicht erlegen, bei ihm vermute ich, dass er zwar keine obligatorische Transportverschlüsselung verwendet, dafür aber SMTP-DANE verwendet.

DatumAufsicht
24.07.2023 10:25Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
21.07.2023 12:11Bayerisches Landesamt für Datenschutzaufsicht
21.07.2023 11:58Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
21.07.2023 11:41Hessischer Landesbeauftragte für Datenschutz und Informationsfreiheit
21.07.2023 10:39Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen
21.07.2023 10:25Landesbeauftragte für Datenschutz und Informationsfreiheit Sachsen-Anhalt
20.07.2023 09:03Landesbeauftragte für Datenschutz und für das Recht auf Akteneinsicht Brandenburg
18.07.2023 16:51Landesbeauftragte für Datenschutz und Informationsfreiheit Thüringen
18.07.2023 15:54Landesbeauftragte für Datenschutz und Informationsfreiheit Niedersachsen
18.07.2023 11:24Landesbeauftragte für Datenschutz und Informationsfreiheit Saarland
17.07.2023 13:56Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
17.07.2023 12:12Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
14.07.2023 17:31Sächsischer Datenschutz- und Transparenzbeauftragter
10.07.2023 10:29Unabhängiges Datenschutzzentrum Schleswig-Holstein
11.07.2023 15:09Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit
05.07.2023 10:30Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Die Empfangsseite findet sich in Aufsichten. Mit anderen Worten: eine einzige von 18 Aufsichten, der BfDI, setzt die Orientierungshilfe oder zumindest SMTP-DANE in beiden Richtungen um. Als Verantwortlicher – auch Aufsichten sind Verantwortliche – muss man dem Auftragsverarbeiter die technischen und organisatorischen Maßnahmen vorgeben oder einen geeigneten Auftragsverarbeiter auswählen, statt akzeptieren was irgendwer anbietet.

Kommunikation mit den Aufsichten

Der Bayerische Landesbeauftragte für den Datenschutz und Berlin haben überhaupt nicht geantwortet. Immerhin keine Ausreden, aber man ignoriert damit das jeweilige Pressegesetz. Thüringen fragt per Email nach meinem öffentlichen Schlüssel und entscheidet sich für den Postweg.

Datum/ZeitSenderEmpfängerThema
07.07.2023 13:59Joachim LindenbergAufsichtenMaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
10.07.2023 23:50Joachim LindenbergHessische Beauftragte für Datenschutz und InformationsfreiheitMaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
11.07.2023 14:20Lindenberg Email Test ServiceSächsische DatenschutzbeauftragteTestergebnis für sdtb.sachsen.de (pzd-svn.de, sdtb.sachsen.de)
14.07.2023 17:31Sächsische DatenschutzbeauftragteJoachim LindenbergIhre Anfrage
17.07.2023 12:07Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitJoachim LindenbergRe [SPAM][EXTERN] Maßnahmen zum Schutz personenbezogener Daten bei der Üb...E-Mail
17.07.2023 13:55Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-PfalzJoachim LindenbergRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
18.07.2023 08:06Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
18.07.2023 11:24Landesbeauftragte für Datenschutz und Informationsfreiheit SaarlandJoachim LindenbergVW.3.4-2023-1439 – Ihre Anfrage vom 7. Juli 2023
18.07.2023 13:40Joachim LindenbergAufsichtenMaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Ma...l (2.)
18.07.2023 15:53Landesbeauftragte für den Datenschutz NiedersachsenJoachim LindenbergRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
18.07.2023 16:51Thüringer Landesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim Lindenberg1. AW Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung p...E-Mail
18.07.2023 17:03Joachim LindenbergThüringer Landesbeauftragter für den Datenschutz und die InformationsfreiheitRe 1. AW Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlu...E-Mail
20.07.2023 09:03Landesbeauftragte für Datenschutz und Akteneinsicht BrandenburgJoachim LindenbergAntw Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung pe...E-Mail
21.07.2023 09:04Lindenberg Email Test ServiceBayerisches Landesamt für DatenschutzaufsichtTestergebnis für lda.bayern.de (bayern.de, lda.bayern.de)
21.07.2023 10:20Unabhängiges Landeszentrum für DatenschutzJoachim LindenbergRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
21.07.2023 10:25Landesbeauftragter für den Datenschutz Sachsen-AnhaltJoachim LindenbergRe [EXTERN] Maßnahmen zum Schutz personenbezogener Daten bei der Übermitt...E-Mail
21.07.2023 10:39Landesbeauftragte für Datenschutz und Informationsfreiheit BremenJoachim LindenbergMaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
21.07.2023 11:41Hessische Beauftragte für Datenschutz und InformationsfreiheitJoachim LindenbergRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...l (2.)
21.07.2023 11:58Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-WestfalenJoachim LindenbergWG Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
21.07.2023 12:11Bayerisches Landesamt für DatenschutzaufsichtJoachim LindenbergIhre Anfrage zu 'Maßnahmen zum Schutz personenbezogener Daten bei der Über...-Mail'
21.07.2023 15:45Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-WürttembergJoachim LindenbergRe EXTERN Maßnahmen zum Schutz personenbezogener Daten bei der Übermittl...l (2.)
21.07.2023 18:02Landesbeauftragter für den Datenschutz Sachsen-AnhaltJoachim LindenbergIhre ergänzende Anfrage vom 21. Juli 2023
19.07.2023 +3Thüringer Landesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergMaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
24.07.2023 08:59Joachim LindenbergBayerisches Landesamt für DatenschutzaufsichtRe Ihre Anfrage zu 'Maßnahmen zum Schutz personenbezogener Daten bei der ...-Mail'
24.07.2023 10:24Landesbeauftragter für den Datenschutz und die Informationsfreiheit Mecklenburg-VorpommernJoachim LindenbergAntwort LfDI MV Maßnahmen zum Schutz personenbezogener Daten bei der Überm...E-Mail
24.07.2023 17:26Joachim LindenbergAufsichtenRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...l (3.)
27.07.2023 10:34Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
31.07.2023 12:31Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
31.07.2023 16:33Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per ...E-Mail
08.09.2023 11:05Joachim LindenbergBayerischer Landesbeauftragter für den DatenschutzRe Fehlende obligatorische_qualifizierte Transportverschlüsselung

Tut mir leid, da ist wiedermal ganz viel bla, bla, bla, oder auch Ausreden. Ich zitiere Mal stellvertretend den BfDI, und fast wörtlich das gleiche findet sich in vielen anderen Antworten:

Antwort des BfDI

die Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der aktuellen Fassung weiterhin Gültigkeit. Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn notwendig.

In der Aufsichtspraxis können jedoch nicht alle Empfehlungen auch sofort umgesetzt werden. Wir beraten die unserer datenschutzrechtlichen Aufsicht unterstehenden Stellen intensiv zu Maßnahmen, um die Vorgaben der Orientierungshilfe zu erreichen. Wir bitten jedoch um Verständnis, dass solche Prozesse aufgrund der beteiligten Akteure und der Größe der Systeme regelmäßig länger dauern.

Daneben verweisen wir darauf, dass verschlüsselte E-Mails nicht der einzige Kommunikationsweg sind. Kommunikationswege sollten insgesamt mit Blick auf das datenschutzrechtliche Risiko und die verfügbaren Mittel ausgewählt werden.

Wenn eine Orientierungshilfe nicht die Beratung weitgehend ersetzen kann und nicht umgesetzt wird, dann sollte man sie – siehe oben – verbessern. Von sofort ist keine Rede. Wir reden von inzwischen drei Jahren, die Umsetzung von SMTP-DANE hat bei meinem Emailserver nur zwei Tage gedauert. Dass bei der Beratung im Ergebnis nicht viel passiert ist, zeigen die Statistiken weiter unten – zwischen Januar 2022 und Juli 2023 hat sich an der Umsetzung der qualifizierten Transportverschlüsselung nicht signifikant verändert und sie ist im einstelligen Prozentbereich und damit eindeutig zu niedrig.

Dass Email nicht der einzige Kommunikationsweg ist, ist mir bewusst. Aber von der Briefpost abgesehen ist er einer der wichtigsten und häufigsten verwendeten, und viele Ersatzlösungen (Kontaktformulare einschließlich den von den Aufsichten angebotenen Beschwerdeformularen, Verwaltungsportale, Telekom Encrypting Email Gateway, Julia Mailoffice sind nicht besser und verwenden zur Registrierung, Benachrichtigung oder als Rückkanal auch wieder Email. Und wenn die Briefpost zum Einsatz kommen muss, dann ist das ja wohl eher ein Armutszeugnis für die Digitalisierung in Deutschland, ganz abgesehen davon, dass Drucken, Transport und Entsorgung des Altpapiers klimaschädlicher als eine Email ist, zumindest wenn diese nicht ausgedruckt wird (E-Mail vs. Brief: Wie ist das eigentlich mit der CO2-Bilanz? Klimabilanz: E-Mail vs. Brief).

Der BfDI schreibt in seinem 22. Tätigkeitsbericht zur Beratung bei Email etwas über ausgesperrte Benutzer und Sicherheitsfragen, nicht aber über Verschlüsselung. Möglicherweise habe ich mit meinen Anfragen und Beschwerden mehr bewirkt als die Aufsichten beraten. Mein Email-Sicherheitstest hat inzwischen mehr als 100 Domänen in beiden Richtungen geprüft, und einige Verwender des Tests haben ihren Server daraufhin besser konfiguriert. Und bereits zweimal habe ich für rund 20.000 Domänen öffentlicher Einrichtungen einen Test der Empfangsseite gestartet.

Klartext: die DSGVO ist fünf Jahre in Kraft, die Orientierungshilfe ist drei Jahre alt. Die Orientierungshilfe ist nicht angekommen. Wenn der Beratungsaufwand zu groß ist, dann gehört sie geändert, Vorschläge oben. Wenn die Aufsichten weder die Orientierungshilfe ändern noch durchsetzen, dann scheint es am Willen zu fehlen, und wenn die Aufsicht nicht den Willen hat, die DSGVO durchzusetzen, dann verstößt sie klar gegen Artikel 57 Abs. 1 lit. a.

Aufforderung an die jeweilige Pressestelle der Aufsichten (24.07.2023)

Tests öffentlicher Einrichtungen

Datenquelle für Tests öffentlicher Einrichtungen

Um erneut das Ausmaß des Problems zu beleuchten habe ich wie im früheren Test die Emailadressen von Frag-Den-Staat verwendet. Rund 20.000 Domänen mit zusammen 40.000 Emailadressen, die im nächsten Schritt auf Basis der von Frag-Den-Staat erfassten "Jurisdiction" einem Bundesland oder dem Bund zugeordnet wurden. Das ist für die Auswertungen natürlich eine Fehlerquelle. Schon mir ist aufgefallen, dass einige Ausländerbehörden dem Bund statt dem Bundesland zugeordnet waren und habe das an Frag-Den-Staat gemeldet, so dass die Rohdaten besser wurden. Dennoch ist diese Zuordnung eine Fehlerquelle, weil die Aufsicht aus Datenschutzsicht nicht unbedingt identisch mit dieser Zuordnung sein muss. Auch sind nach dieser Zuordnung die Arbeitsagenturen und Job-Center Länderaufgabe, aber alle verwenden den gleichen Emailserver der Bundesanstalt für Arbeit. Ich habe daher die Bundesanstalt für Arbeit direkt angeschrieben und Arbeitsagenturen und Job-Center im übrigen herausgefiltert.

Bei den verbleibenden Domänen sind einige nicht mehr existent, haben einen Null MX Record nach RFC 7505 oder haben weder einen MX-Record noch einen A- oder AAAA-Record, und sind damit nicht empfangsbereit. Die wurden aus den Ergebnissen herausgefiltert.

Test und Datenaufbereitung

Die Aufbereitung von den Emailadressen bis zu den fertigten Tabellen wird durch das Diagramm dargestellt:

Diagramm der Aufbereitung

Die Testroutinen wurden gegenüber den früheren Tests komplett neugeschrieben, primär um genauere Resultate und eine bessere Darstellung für den Email-Sicherheits-Test zu bekommen. Die neue Version vermeidet auch die Unschärfe der damaligen Gruppierung nach Providern auf Basis der letzten zwei Elementen der Domäne. Auch wurden Verbindungsfehler nicht als Fehler gewertet, die (seltenen) DNS-Fehler werden dargestellt.

Testergebnisse und Statistik

Die Testergebnisse nach zuständiger Auskunft finden sich unter den Links der Spalte ganz links. Daraus ergeben sich die aggregierten Ergebnisse der Empfangssituation nach Aufsicht:

AufsichtObligatorische Transportverschlüsselung (STARTTLS)Qualifizierte TransportverschlüsselungSMTP-DANEMTA-STSAnzahl Domänen
Aufsichten18100 %317 %317 %211 %18
Bund61298 %7512 %7512 %81 %622
Baden-Württemberg5082100 %50 %50 %20 %5087
Bayern235598 %44518 %44518 %141 %2413
Berlin82499 %142 %142 %71 %829
Brandenburg73497 %10414 %10414 %132 %754
Bremen8499 %00 %00 %00 %85
Hamburg164100 %53 %53 %21 %164
Hessen2785100 %1325 %1325 %10 %2792
Mecklenburg-Vorpommern25299 %104 %104 %00 %255
Niedersachsen232499 %261 %261 %30 %2359
Nordrhein-Westfalen140299 %151 %151 %111 %1411
Rheinland-Pfalz115099 %131 %131 %40 %1164
Saarland19297 %42 %42 %42 %197
Sachsen124499 %131 %131 %20 %1253
Sachsen-Anhalt1197100 %60 %60 %00 %1203
Schleswig-Holstein40698 %20 %20 %31 %413
Thüringen79898 %81 %81 %10 %811
Summe2160599 %8774 %8774 %750 %21812
Vergleich Januar 20222198098 %13206 %nicht ermittelt22394

Während nahezu alle Behörden empfangsseitig STARTTLS anbieten, sieht es mit der Verwendung von qualifizierter Transportverschlüsselung und SMTP-DANE sehr viel schlechter aus. Der Prozentsatz qualifizierter Transportverschlüsselung ist sogar gesunken. Nahezu unbedeutend ist MTA-STS, zumal MTA-STS nur von wenigen Sendern verwendet wird. Und erneut muss ich hinzufügen, dass viele Verantwortliche nur die von außen sichtbare Empfangsseite verbessern, nicht aber die Sendeseite.


Veröffentlicht am 28.07.2023

© 2023 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.