Sehr geehrter Herr Sachs,

der Test soll nicht anregen, MTA-STS zu unterstützen, sondern versucht lediglich einigermaßen systematisch die Situation für beide Richtungen darzustellen. Der Test zeigt, dass Sie zwar eingangsseitig SMTP-DANE können, nicht aber beim Senden. Eine sinnvolle Priorisierung – die ich auch von einer Aufsicht erwarte – würde Ihnen jetzt nahelegen SMTP-DANE vollständig zu unterstützen bevor Sie über das unsicherere und weniger gebräuchliche MTA-STS nachdenken. Das Ziel kann nicht sein, möglichst viel nur in einer Richtung, sondern wenn, dann immer in beiden Richtungen.

Auch von einer doppelten Verschlüsselung wie PGP im Browser + https halte ich nichts. Was wollen Sie damit erreichen? Vor allem wenn Sie selbst schreiben, der Rückkanal kann das nicht? Und Sie prüfen bei Email perfect-forward-secrecy, aber nicht ob STARTTLS und Authentifizierung erzwungen wird? Ich habe darüber nachgedacht, mit meinen Tests auch noch BSI TR 02102-2 oder PFS zu prüfen, aber zum einen ergibt das in meinen Augen nur Sinn, wenn Verschlüsselung erzwungen wird, zum anderen würde es den Test deutlich verkomplizieren und in die Länge ziehen.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter Herr Lindenberg,

vielen Dank für ihre Anfrage vom 07. Juli 2023 zu der wir gerne Stellung nehmen:

Die von Ihnen angesprochene Orientierungshilfe ist die momentan aktuellste Fassung der Datenschutzkonferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Die Aufsichtsbehörden überprüfen als Teil der Arbeitsgruppen der DSK regelmäßig alle Orientierungshilfen und aktualisieren diese wenn notwendig.

Die in Abhängigkeit des Risikos erforderliche Verschlüsselung, auch von E-Mails, bewerten wir anhand von Datenschutzbeschwerden oder im Rahmen von anlasslosen Prüfungen (z.B. in 2014 mit einer Großprüfung mit Fokus auf STARTTLS mit Perfect Forward Secrecy). Ob in der Prüfstategie 2024 wieder E-Mail-Verschlüsselungen aufgenommen werden können ist momentan noch aufgrund der weiterhin hohen Notwendigkeit von Prüfungen zur Abwehr von Cyberbedrohungen offen.

Für die Zusendung von sehr sensiblen Informationen an uns über unserere Online-Services (z.B. Datenschutzbeschwerden) setzen wir neben einer HTTPS-Verschlüsselung auch eine browserseitige PGP-Verschlüsselung ein – für den Weg zu unseren internen Systemen wird demnach keine Email-Technologie eingesetzt. Für den Rückkanal auf Wunsch der Beschwerdeführer allerdings schon, wenn auch hier die Möglichkeit einer PGP-Verschlüsselung (oder auch des Postwegs) besteht.

Vielen Dank für ihren Online-Service, mit dem wir eine AdHoc-Rückmeldung der ausgehenden Verschlüsselung von unseren E-Mails, die über das staatliche bayerische Rechenzentrum versendet werden, erhalten konnten. Da bei der Aushandlung von Verschlüsselungsverfahren mit vielen Kommunikationspartnern (und vielen datenschutzrechtlichen Verantwortungssphären) möglichst viele Technologieoptionen zum Tragen kommen sollten, werden wir trotz einer “qualifizierten Transportverschlüsselung” und DANE den Einsatz von MTA-STS entsprechend anregen.

Wir hoffen Ihnen weitergeholfen zu haben.

Mit freundlichen Grüßen,

Andreas Sachs

Dipl.-Inf. (Univ.)

Bereichsleiter Cybersicherheit und Technischer Datenschutz

Vizepräsident

Bayerisches Landesamt für Datenschutzaufsicht

Promenade 18

91522 Ansbach

Tel.: Tel.: 0981-180093140

PC-Fax: 0981-180093-840

E-Mail: andreas.sachs@lda.bayern.de

www.lda.bayern.de

Sehr geehrte Damen und Herren Datenschutzbeauftragte, sehr geehrte Pressesprecherinnen und Pressesprecher,

die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist jetzt gut zwei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (16.06.2021) – bzw. drei – Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (13.06.2020) – Jahre alt. Nur leider kann ich nicht feststellen, dass sie in der Praxis angekommen oder von Ihnen durchgesetzt wird.  Sogar bei Ihnen selbst – siehe Anlage – gibt es Defizite. Von 18 Aufsichten unterstützen nur 3 eingangsseitig die in der Orientierungshilfe definierte qualifizierte Transportverschlüsselung. Erfahrungsgemäß setzen deutlich weniger Organisationen sendeseitig qualifizierte Transportverschlüsselung oder auch die dafür geeigneten Standards BSI-TR 03108-1 /  RFC 7672 ein, als die Unterstützung eingangsseitig veröffentlicht wird.

Wie viele von Ihnen sendeseitig die obligatorische Transportverschlüsselung verwenden weiß ich bisher nicht, aber ich weiß sicher, dass mindestens zwei Aufsichten durchfallen, also unverschlüsselt senden obwohl mein Emailserver RFC 7672 in beiden Richtungen unterstützt. Ich will die Aufsichten hier mal nicht nennen, stattdessen darf ich Sie alle bitten, den Test auf https://blog.lindenberg.one/EmailSicherheitsTest zu machen, und Sie alle fragen, bis wann Sie gedenken, Ihrer eigenen Empfehlung nachzukommen?

Oder planen Sie eine neue Orientierungshilfe mit anderem Inhalt? In der vielleicht die BSI-TR 03108-1 oder der weitgehend übereinstimmende RFC 7672 nicht nur empfohlen sondern eingefordert wird, wie das auch bei unseren Nachbarn in den Niederlanden der Fall ist, und den mehr als die Hälfte der Bundesbürger meist ohne ihr Wissen verwenden, denn beim – nach eigenen Behauptungen – mit 50% Marktanteil Marktführer United Internet wird dieser Standard verwendet, bei vielen anderen öffentlichen Anbietern auch, bei Verantwortlichen egal ob im öffentlichen oder privaten Bereich sehe ich das bisher nicht.

Vielen Dank und viele Grüße

Joachim Lindenberg

(Presseausweis anbei)