federation.cloud-foo.de

Marius Friendica

T-Online schützt den Datentransport nicht per TLS

Wenn man internen Adressen von T-Online, in diesem Fall dem Server-Support, eine Mail schicken will, dann kann man das nicht, ohne das Gesetz zu brechen:

"2020-02-25 04:55:03 1j69ZJ-0001iL-S3 H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support"

Artikel 32 1 a DSGVO meint dazu:

"Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten .... treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;"

Artikel 4 Satz 2 DSGVO definiert als Verarbeitung auch den Transport von Personenbezogenen Daten. Wegen der einfachen, kostengünstigen und dem Stand der Technik entsprechenden Technik Namens STARTTLS, in Form von TLS1.2, ist der Transportschutz ganz leicht zu implementieren. Die Kosten einen Mailserver TLS sprechen zu lassen, sind praktisch nicht vorhanden, wenn da nicht eine vor sich hin siechende uralt Mailserveranlage wäre.

Die oben gezeigte Logzeile stammt von einer Email an T-Online und nachdem alle personenbezogenen Daten Dritter aus selbiger entfernt waren, durfte Sie dann auch endlich T-Online zugestellt werden, manuell versteht sich ;)

Die Antwort von T-Online war zwar inhaltlich super, aber leider offenbarten die RECEIVED Header das wahre Ausmaß des TLSGATES bei T-ONLINE.

Der Teamserver vom Support konnte nur TLS 1.0 zu einem internen Mailserver reden, der wiederum sprach dann gar komplett unverschlüsselt mit einem dritten Server, welcher dann final mit unserem Mailserver TLSv1.2 kommunizierte.

Jetzt regelt die DSGVO nicht nur den Umgang mit Daten nach außen, sondern auch den Internen Umgang damit und dies bedeutet, daß Artikel 32 auch bei den internen Mailservern greift, womit eine unverschlüsselte bzw. gebrochene Krypto Kommunikation dann wohl einen Datenschutzverstoß darstellt.

Oder wie sehen Sie das Herr @Ulrich Kelber ? Sie sind doch vom Fach, das müßte doch jetzt genau Ihr Ding sein :)

Nun wird man natürlich wie folgt argumentieren: "Da wurden ja gar keine Personenbezogenen Daten transportiert, ergo gilt Artikel 32 gar nicht."

Tja, klingt toll, ist aber Unsinn, weil man als Betreiber des Servers nie wissen kann, was einem da in Zukunft mal geschickt wird. Aus der Unmöglichkeit die Kommunikation der Vergangenheit nachträglich fallbezogen zu verschlüsseln, ergibt sich eine Pflicht zur generellen Verschlüsselung von Emailtransporten.

Jetzt kommt erschwerend hinzu, daß Emailadressen wie niels.böhrdings@blah auch als personenbezogene Daten gelten. Solche Adressen gibt es viele, eine Eintrittswahrscheinlichkeit dafür, daß man auf so eine Adresse stößt, ist also hoch. Damit ist das Argument, daß Eintrittrisiko wäre gering, weg gefallen.

Zum Glück muß man sich das nicht auf mein Wort verlassen, fachkundige Stellen z.b. beim Landesdatenschutz NRW ließen dies bereits 2018 verlautbaren:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

An T-Online gerichtet, freut Euch schon mal auf das Audit durch den LDS, dann bekommt ihr endlich neue Server und ein neues Supportsystem, denn das schickt Emails mit ISO-8859-1 Zeichensatz passend zum Gebrauch von TLS 1.0 ;D


@Ulrich Kelber : Die waren doch mal Bundesbehörde, da gibt es doch bestimmt einen guten Kontakt hin ;)

# # # # #

(Pinnwand kopie)