Nach Recherchen der Frankfurter Allgemeinen Zeitung nehmen es einige Wohnungsbaugesellschaften anscheinend nicht so genau mit dem Datenschutz. Die Zeitung berichtet, dass Formulare mit persönlichen Daten wie dem Einkommen und dem Arbeitsverhältnis von Interessenten unverschlüsselt über das Internet übertragen wurden. Den Angaben zu Folge haben mindestens neun Unternehmen in fünf Bundesländern in dieser Weise verfahren.
Dabei müssen sensible persönliche Daten bei einer Übertragung im Internet immer verschlüsselt werden.
Doch wie?
Für eine symmetrische Verschlüsselung von Daten eignet sich dabei unter anderem der Advanced Encryption Standard (AES) mit einer Mindestschlüssellänge von 128 Bits. Eine Transportverschlüsselung sollte grundsätzlich nur noch mit TLS (Transport Layer Security) und nicht mehr mit SSL (Secure Sockets Layer) umgesetzt werden, wobei besonders darauf geachtet werden sollte, dass keine Algorithmen mit SHA-1 zur Signaturerstellung oder der RC4-Stromverschlüsselung aktiviert sind. Konkrete Empfehlungen zu kryptographischen Verfahren und Schlüssellängen erhalten Sie unter anderem in den technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Passwörter sollten ausschließlich mit speziell dafür entwickelten Verfahren, wie z.B. bcrypt oder PBKDF2, als Hash-Wert gespeichert werden.
Um die Angriffsfläche zu minimieren sollten sensible Daten nur im zwingend erforderlichen Maße über das Internet kommuniziert werden. Zudem sollten Funktionen zur Autovervollständigung oder zum Caching innerhalb von Formularen mit vertraulichen Informationen deaktiviert werden.
Betrifft mich nicht
…vielleicht ja doch, denn neben dem Imageverlust den Sie als Webseitenbetreiber befürchten müssen, stehen Ihnen bei Verstößen wohlmöglich auch juristische Verfahren bevor.
Doch selbst wenn keine Daten über Ihren Webserver übermittelt werden, stehen Sie vor dem Problem der Absicherung von E-Mail-Inhalten. Denn um die Vertraulichkeit der via E-Mail gesendeten Informationen zu bewahren, muss die E-Mail auf allen Transportwegen und an allen Ablageorten geschützt werden.
Zum Erreichen dieses Schutzes wird ebenfalls Verschlüsselung eingesetzt.
Schutz von E-Mails – was ist zu beachten?
Versandte E-Mails durchlaufen bis zur Ankunft beim Empfänger auf dem Transportweg mehrere Stationen. Sie werden vom Rechner des Absenders zu dessen E-Mail Provider übertragen und dort im Postfach abgelegt. Danach wird die E-Mail an den Provider des Empfängers übertragen und dort im Empfängerpostfach abgelegt. Zum Abschluss wird die E-Mail beim nächsten Abruf zum Rechner oder Smartphone des Empfängers übertragen, damit sie dort geöffnet und gelesen werden kann.
Welche Sicherheitsmaßnahmen auf den verschiedenen Abschnitten zu beachten sind haben wir hier ausführlich beschrieben.