Von: Joachim Lindenberg <****@lindenberg.one>
Gesendet: 27.06.2024 18:51
An: <poststelle@datenschutz.hessen.de>
Betreff: AW: 90.23.49:0171; Transportverschlüsselung auf "bahn.de" bzw. "deutschebahn.com"
Sehr geehrter ***********,
vielen Dank für Ihre Nachricht.
Auch wenn ich in meiner Email nicht ausdrücklich Email im Unterschied zu einer Webseite erwähnt habe, dürfte das in Angesicht der Ausdrücke „Your mailserver does not use SNI, …”, “RFC 7672”, “RFC 8461”, “obligatorische bzw. qualifizierte Transportverschlüsselung“ – aus der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ – und „Login-Vergessen“ völlig offensichtlich gewesen sein oder hätte sich durch einfaches Nachfragen klären lassen ohne dass man dafür ein Jahr Zeit in Anspruch nehmen müsste. Auch hätte Sie der Unterschied der von der Deutschen Bahn verwendeten unterschiedlichen Domänen „deutschebahn.com“ für Email (und das stand nur im Testreport in dem auch die meisten anderen Begriffe wahren) und „bahn.de“ für das Webangebot doch darauf aufmerksam machen müssen, dass Sie an der falschen Stelle suchen.
Das von Ihnen genannte Testtool testet nur den Empfang und das zumindest im ersten Schritt auch ohne SMTP-DANE aka “RFC 7672” und MTA-STS aka “RFC 8461”. In einem zweiten Schritt testet es auch MTA-STS, das die Deutsche Bahn zwar empfangsseitig, nicht aber sendeseitig unterstützt. Im Unterschied zu diesem Tool testet mein Test – ausführliche Beschreibung auf https://blog.lindenberg.one/EmailSicherheitsTest – sowohl das Versenden als auch den Empfang und das sowohl für SMTP-DANE als auch MTA-STS. Ein kurzer Test hat gerade ergeben, dass die Deutsche Bahn sendeseitig noch immer weder SMTP-DANE, MTA-STS, noch obligatorische Transportverschlüsselung verwendet, sondern (auch) unverschlüsselt übermittelt. Ich kann damit Ihre Feststellung “Die Verschlüsselung bietet sowohl im WWW als auch bei E-Mails ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 5 Abs. 1 lit f, 32 DS-GVO.“ Jedenfalls für Email nicht nachvollziehen. Dass MTA-STS an der Mehrheit (wenn nicht >70%) der Bürger vorbeigeht, können sie der Darstellung in meinem Videos auf https://blog.lindenberg.one/EmailVideo um Minute 13:30 entnehmen, denn außer Google und Outlook unterstützt eigentlich niemand MTA-STS.
Oder wollen Sie damit sagen, ein Kundenkonto bei der Bahn habe nur ein geringes Missbrauchsrisiko?
Ich darf Sie bitten, mir zu erklären wie Sie zu dieser Aussage kommen.
Vielen Dank und viele Grüße
Joachim Lindenberg
Von: poststelle@datenschutz.hessen.de <poststelle@datenschutz.hessen.de>
Gesendet: Donnerstag, 27. Juni 2024 18:15
An: ****@lindenberg.one
Betreff: 90.23.49:0171; Transportverschlüsselung auf "bahn.de" bzw. "deutschebahn.com"
Az.: 90.23.49:0171 (bitte stets angeben)
-----------------------------------------------
Sehr geehrter Herr Lindenberg,
ich beziehe mich auf Ihre Nachricht inkl. Anlage zur Transportverschlüsselung unter „bahn.de“ sowie auf meine Eingangsbestätigung vom 08.11.2023, mit der Sie bereits auf eine möglicherweise lange Bearbeitungszeit hingewiesen und um Geduld gebeten wurden. Ich bedauere, dass ich erst heute auf Ihre Nachricht zurückkommen kann.
In der Sache teile ich Ihnen mit, dass Ihre Hinweise aus mehreren Gründen nicht nachvollzogen werden können:
Im Betreff und im Text Ihrer Mitteilung haben Sie angegeben, die DB hätte für die Registrierung auf „bahn.de“ weder eine obligatorische noch eine qualifizierte Transportverschlüsselung implementiert. Dem habe ich zunächst entnommen, dass Sie die Datenverarbeitung über das WWW-Angebot unter https://www.bahn.de/ für unsicher halten. Bei einer Überprüfung der Verschlüsselungsqualität des WWW-Angebotes mit einem allgemein zugänglichen Prüftool (https://www.ssllabs.com/ssltest) war aber festzustellen, dass dort durchaus ein Zertifikat für eine 256-Bit-Transportverschlüsselung mit TLS Vers. 1.3 hinterlegt ist. Bei dem WWW-Angebot der Deutschen Bahn unter „deutschebahn.com“ hat ein Test mit diesem Prüftool das gleiche Ergebnis erbracht. Auch dort sind ein gültiges Zertifikat und eine Transportverschlüsselung mit TLS Vers. 1.3 vorhanden.
Ihrer Nachricht hatten Sie als Anlage zudem Ergebnisse von E-Mail-Tests für E-Mail-Adressen unter einer anderen Domain, nämlich „deutschebahn.com“ beigefügt. Obwohl sich der Zusammenhang zwischen der von Ihnen zuerst angeführten vermeintlichen Unsicherheit des WWW-Angebots unter „bahn.de“ und der Transportverschlüsselung von E-Mails bei „deutschebahn.com“ nicht erschließt, wurde hier auch die E-Mail-Sicherheit der Deutschen Bahn unter „bahn.de“ und „deutschebahn.com“ mit einem allgemein zugänglichen Online-Tool geprüft (https://www.checktls.com/TestReceiver). Für beide Domains war festzustellen, dass eine SSL-Verschlüsselung angewandt wird in der Version TLS 1.2.
Bei der Überprüfung beider Domains und beider Dienste der Deutschen Bahn hat sich also herausgestellt, dass das Unternehmen sowohl sein WWW-Angebot als auch seine E-Mails hinreichend sicher verschlüsselt. Die Verschlüsselung bietet sowohl im WWW als auch bei E-Mails ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 5 Abs. 1 lit f, 32 DS-GVO.
Für Ihre Prüfungsanregung darf ich mich dennoch bedanken.
Mit freundlichen Grüßen
Im Auftrag
***********
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit | |
Telefon: +49 (611) 1408 0 |