Na prima, jetzt auch "E-Mail made in Germany" verschlüsselt

Mit der plakativen Schlagzeile „E-Mail made in Germany" berichtet Spiegel Online über die Initiative der Telekom und United Internet, die Mail-Übertragung in Zukunft durchgängig via TLS zu verschlüsseln. Muß man bei dieser Meldung nicht die Stirn in Falten lagen und sich fragen: Warum erst jetzt? Werden Mails unverschlüsselt übertragen, hat weder die NSA noch irgendein Kleinkrimineller Probleme die Mail zu lesen, da die Mail Transfer Agents untereinander im "Klartext" kommunizieren. In den meisten Fällen geht die Übermittlung der Datenüber einen oder mehrere Router. Dieser kann im schlimmsten Fall den gesamten Datenverkehr zwischen Client und Server mitprotokollieren und auswerten. Um einen sicheren Mailversand zur gewährleisten, gibt es die Möglichkeit, eine SMTP-Verbindung per TLS-Verschlüsselung aufzubauen. Dies scheint aber einer sehr großen Zahl von Unternehmen und Hostern unbekannt zu sein. Eine einfache Möglichkeit zur Überprüfung des eigenen Mail-Servers bietet das Tool CheckTLS.com . Wie im Spiegel Artikel zutreffend beschrieben ist, nutzt Google den Standard bereits seit längerer Zeit. Zusätzlich lassen sich beispielsweise über die Chrome Extension „Mymail-Crypt for Gmail“ die Mails individuell verschlüsseln.

Mymail-Crypt for Gmail

Bedeutet „Made in Germany“ mehr Sicherheit?

 Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, müssen sich beim Auftragnehmer von den technischen und organisatorischen Maßnahmen vor der Auftragsvergabe überzeugen. Und zwar bei jedem Dienstleister - unabhängig vom Standort. Für die Prüfung ist es unerheblich, ob sich der Service Provider in Deutschland, irgendwo in Europa oder den USA befindet. Die Prüfung der technischen und organisatorischen Maßnahmen vor Auftragsvergabe muss aber nicht persönlich und nicht vor Ort durchgeführt werden. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetz (BDSG) genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001 hingegen schon.

Folgt man den öffentlichen Meldungen in Deutschland, drängt sich der Eindruck auf, dass Kunden von den Prüfpflichten entbunden sind, wenn sich das Rechenzentrum des Dienstleisters in Deutschland befindet. Oder sogar, dass es ein Qualitätsmerkmal sei, wenn das Datacenter in München, Hamburg oder Berlin steht. Aber ist das so? Der Hinweis von marketingorientierten Initiativen, wie “E-Mail made in Germany”, ersetzt keine Zertifizierung nach ISO 27001. Google bietet Zertifizierungen nach ISO 27001 und SAS 70 Type II für Google Apps for Business an, die regelmäßig von externen Drittanbietern geprüft werden.

Aber dürfen Personendaten nach außerhalb der EU übermittelt werden? Gemäß den gesetzlichen Regelungen darf die Übermittlung nur in solche Staaten erfolgen, die als sog. “sichere Drittstaaten” über ein ausreichendes gesetzliches Datenschutzniveau verfügen. Für den Datentransfer bspw. in die USA hat die EU-Kommission im Jahr 2010 die aktualisierten EU-Standardvertragsklauseln veröffentlicht. Werden personenbezogene Daten in den USA verarbeitet, sollte das bei den Parteien des Cloud-Vertrags wie bei Google Apps for Business unter Verwendung der EU-Standardvertragsklauseln erfolgen.