ARGE Daten rät zur Mailverschlüsselung
Die Datenschutzorganisation ARGE Daten stellt den heimischen Mailservern in Sachen Sicherheit kein gutes Zeugnis aus. Nur etwa ein Drittel der rund 10.000 österreichischen Mailserver überträgt verschlüsselt. Der Verband der österreichischen Internet-Anbieter ISPA spricht von "unnötiger Verunsicherung".
Konservative Schätzungen gehen von etwa 56 Milliarden E-Mails pro Jahr in Österreich aus. Die meisten der 10.000 Server verwalten die Mails eines Unternehmens, nur jene der Internet-Service-Provider (ISPs) betreuen mehrere hundert Unternehmen mit zum Teil vielen zehntausend Benutzern. Auf nur einem Drittel der Server werden die Sendungen verschlüsselt. Dabei werden den Mails oft wertvolle Dokumente wie Bilanzen, Lohnkonten, Projektpläne und Angebote beigelegt. Nur die wenigsten Menschen seien sich dieses Sicherheitsproblems bewusst, warnte die ARGE Daten am Mittwoch in einer Aussendung.
Auch Behörden und Parteien betroffen
Nicht nur Kleinbetriebe, die mit der sicheren Konfiguration überfordert sind, sondern auch viele Behörden, börsennotierte Unternehmen, Branchenführer und Institutionen, die zu den wichtigsten Österreichs gehören, verwendeten leichtsinnigerweise unverschlüsselten Mailverkehr, so die ARGE.
Unter anderem sind 210 Behörden, 36 Aktiengesellschaften, meist börsennotiert, 213 Spitzenunternehmen und Branchenführer, 196 Gesundheits- und Sozialeinrichtungen und 113 ISPs darunter. Auch viele Mailserver von Parteien sind unsicher. Namen nannte die ARGE aus Sicherheitsgründen nicht.
"Grobe Fahrlässigkeit" der ISPs
Das Vorgehen der ISPs sei als grobe Fahrlässigkeit einzustufen. Kunden müssten darauf vertrauen können, dass der angebotene Maildienst nach dem letzten Stand der Technik angeboten wird, dazu gehöre selbstverständlich auch die verschlüsselte Übertragung.
Die ARGE Daten machte in diesem Zusammenhang auch darauf aufmerksam, dass Geschäftsführungen persönlich für die sichere Kommunikation im Unternehmen haften. Das sei in einem OGH-Urteil aus dem Jahr 1990 (OGH 9 ObA 182/90) eindeutig festgestellt worden. Werden vertrauliche Betriebsunterlagen ausgespäht, kann der Geschäftsführer für alle Folgekosten haftbar gemacht werden.
"Unnötige Verunsicherung"
Der Verband der Österreichischen Internet Service Anbieter (ISPA) reagierte auf die Aussendung der ARGE Daten verschnupft. Damit werde nicht nur Verunsicherung in Bezug auf die Verwendung von E-Mail in Österreich geschürt, sage ISPA-Generalsekretär Andreas Wildberger. Die ARGE Daten wolle offensichtlich auch mit dem "Geschäftsmodell Angst" eigene Produkte vermarkten.
Wildberger spielt damit den Dienst A-CERT der ARGE Daten an, der Zertifizierungen anbietet. Es sei unredlich von Fahrlässigkeit bei den heimischen Internet-Anbietern zu sprechen, so Wildberger unter Verweis auf Sicherheitsinitiativen und Schulungsangeboten der heimischen Internet-Wirtschaft für Provider und Mail-Administratoren.
(APA)