Nach Kritik von Experten: Stadt schaltet Mailserver ab
Als „schockierend“ bezeichnet das IT-Magazin heise.de die Ergebnisse einer Überprüfung von E-Mail-Servern deutscher Kommunen. Auch in Regensburg gibt es Probleme. Die Stadt sieht die Kritik als berechtigt an.
Eins vorneweg: Regensburg ist in guter Gesellschaft. Zu den Problem-Kommunen gehören nämlich auch Städte wie München, Mannheim oder Düsseldorf. Bei einem E-Mail-Test, den das IT-Magazin heise.de anlässlich der Bundestagswahl durchgeführt hat („Digitalisierung in Deutschland: Wahlleitung im E-Mail-Test“), wiesen 78 von 340 Behörden-Servern Probleme auf. Fehlende Verschlüsselung, ungültige oder nicht überprüfbare Zertifikate, Mail-Server, die in die Cloud von US-amerikanischen Unternehmen ausgelagert wurden, was sich wohl kaum mit DSGVO und digitaler Souveränität vereinbaren ließe, so die Autoren.
![Jungpflanzenmarkt_1024x500[1]](/wp-content/plugins/widgetkit/cache/gallery/67304/Jungpflanzenmarkt_1024x500[1]-ab6e4fc5d1.jpg)
„Marode Infrastruktur symptomatisch für die Digitalisierung der deutschen Verwaltung“
„Das Ergebnis unserer Tests ist schockierend“, lautet deren Fazit. „Fast ein Viertel der für die Kommunikation mit den Wahlleitern angegebenen offiziellen E-Mail-Server genügt nicht den Basisanforderungen an die Sicherheit.“ Zwar dürfe man dieses Ergebnis auch nicht überdramatisieren. Keines der festgestellten Sicherheitsprobleme bedeute, dass unsere Wahlen unsicher wären oder damit eine unmittelbare Wahlfälschung möglich wäre. „Aber dass ausgerechnet der bereits digitalisierte Teil der Bundestagswahl, nämlich die elektronische Kommunikation mit den Verantwortlichen, auf eine derartig marode Infrastruktur aufsetzt, ist symptomatisch für die Digitalisierung der deutschen Verwaltung.“ Es sei ein Armutszeugnis.
In Regensburg wurde ein Verschlüsselungsproblem ausgemacht. Der Backup-Server der städtischen Mail-Domain (mail-prot.regensburg.de) unterstützt demnach keinen TLS-Aufbau. TLS bedeutet Transport Layer Security und stellt die gesicherte Einlieferung einer E-Mail beim Mailserver sicher, damit sie unterwegs nicht mitgelesen oder gefälscht werden kann.
Regensburg ist in diesem Punkt aber keineswegs einer von den schwerwiegenden Fällen. Während hier lediglich der Backup-Server betroffen ist, verweigern die Mail-Server von Darmstadt und Düsseldorf von vorneherein einen Verbindungsaufbau via TLS. „Die Behörden, die Mail-Server ohne TLS-Unterstützung einsetzen, verstoßen grob gegen Sicherheits- und Datenschutzvorgaben“, resümieren die Heise-Autoren. „Ihr E-Mail-Verkehr kann auf dem Übertragungsweg komplett mitgelesen werden, sofern nicht explizit Ende-zu-Ende-Verschlüsselung via PGP oder S/MIME eingesetzt wird.“
Server wird neu konfiguriert
Bei der Stadt Regensburg hat man bereits auf die Recherchen reagiert. Zwar beziehe sich die Kritik in dem Heise-Bericht lediglich auf die Konfiguration des Backup-Mailservers (Dieser dient zur Zwischenspeicherung von Mails, wenn der primäre Mailserver nicht erreichbar ist.). Beim primären Mailserver sei eine TLS-Verschlüsselung bereits möglich. „Die Kritik an der Konfiguration des Backup-Mailservers mail-prot.regensburg.de sieht die Stadt als berechtigt an“, so eine Sprecherin. Als erste Maßnahme habe man noch am 31. August 2021, dem Tag des Erscheinens der Heise-Recherche, „die Zuweisung von Mailverkehr aus dem Internet an den Backupserver deaktiviert und eine Prüfung und Anpassung der Konfiguration beauftragt.“
Hthik
| #
Fehlkonfiguration sind Fehler der Verwaltung, die – oh Wunder – vorkommen.
Dazu kommt jetzt der “verantwortungsvolle” Umgang mit 0-day-Lücken nach Seehofer. Auf Deutsch: der Staat verzichtet darauf, seine Bürger zu schützen, damit er mit dem Bundes- und den Landestrojanern ebenso deren Daten absaugen und manipulieren kann, wie Kriminelle. Das ist dann kein Fehler mehr, denn das ist so gewollt.
Piedro
| #
Immer wieder allerliebst, sowas. Das kann für Menschen tiefgreifende Folgen haben, und dann putzt sich die Stadt (je nach Behörde) ab. Eigentlich tut sie das ja schon, wenn sie der Verpflichtung zu einer sicheren IT nicht nachkommt. Das ist, als ob man den Briefkasten so lange offen stehen lässt, bis jemand auf die Idee kommt ihn mal für ein paar Tage ganz zu schließen um herauszufinden wer den Schlüssel hat und was der damit tun soll. Schön, dass diese Probleme in R überschaubar scheinen.
Mr. B.
| #
“Mail-Server, die in die Cloud von US-amerikanischen Unternehmen ausgelagert wurden, was sich wohl kaum mit DSGVO und digitaler Souveränität vereinbaren ließe, so die Autoren.”
Aha…und was sagen da jetzt die hießigen und unabhängigen IT-Experten dazu?
Man hört und liest ja in der Presse nur von anderen, die mitlesen oder evtl. gar verfälschen wollen? Sind wir auf diesem Gebiet wirklich noch ein Entwicklungsland, fragt ein Fachunkundiger?
Lieschen Mueller
| #
Wenn schon eine Behörde solchen Pfusch baut, wie soll dann Lieschen Müller damit klarkommen?
Piedro
| #
@Lieschen Mueller
Kommt drauf an. Über wie viele Mailserver verfügen sie denn?
@Mr. B.
Die diversen “Verantworlichen” interessieren sich nicht für externe Expertise, es sei denn, die Verantwortung wurde ausgelagert. Viele interessieren sich nicht mal für den Bundesdatenschutzbeauftragten. Sonst hätte keine deutsche Behörde noch ein Facebook-Konto. Stattdessen kommuniziert man stur mit whats app und liefert dem Konzern gleich die Hoheit über alle Verbindungen mit.
Manu
| #
Beinahe schon ein Wunder dass die Stadtverwaltung hier wohl tatsächlich mal einen Fehler eingesteht.
Bernd
| #
Wenn eine E-Mail von A nach B geschickt wird, dann wird der Mailserver A nachsehen, welcher Mailserver für den Empfang zu B zuständig ist. Das kann ein einziger sein oder mehrere. Wenn es mehrere sind, bekommt A noch die Information, welchen aus der Liste er bevorzugen soll. Er wird dem Standard folgend immer an das Ziel senden, das die Betreiber der Mailserver von B als bevorzugt deklariert haben.
Normalerweise werden Mails an die “weniger präferierten” nur dann geschickt, wenn der bevorzugte Server gerade gar nicht oder über längere Zeit schlecht erreichbar ist oder wenn Spammer ihre E-Mails absetzen wollen. Spammer unterstellen, dass diese weniger präferierten Server (oder “Backup-Server”) schlechter gewartet (“Für Notfälle taugts schon”) werden und die Mails eher durchlassen.
Profis empfehlen, entweder keinen Backupserver bereitzustellen (weil Mailserver wie A im Regelfall sowieso über mehrere Tage versuchen, E-Mails zuzustellen) und lieber in der Lage zu sein, schnell den Betrieb wiederherzustellen; oder mehrere identisch aufgebaute Mailserver mit der gleichen Präferenz zu betreiben. A nimmt in diesem Fall einfach irgendeinen aus der Liste.
Eine große Sicherheitslücke ist das jetzt nicht, aber unschön. Wer sein eigenes Sicherheitslevel verbessern will um nicht in so eine Lücke zu laufen, kann bei einem guten E-Mail-Provider (da gibt es nur sehr wenige wie z.B. mailbox.org oder posteo.de) einstellen, ob E-Mails verschickt oder empfangen werden sollen, wenn der Empfänger oder Sender keine Transportverschlüsselung anbietet bzw. benutzt. Dann würde z.B. der Mailserver von A nicht an den Mailserver von B zustellen, wenn dieser keine Transportverschlüsselung anbietet.
Hthik
| #
@Piedro 2. September 2021 um 20:31 | #
“@Lieschen Mueller
Kommt drauf an. Über wie viele Mailserver verfügen sie denn?”
Das stimmt auf der einen Seite. Auf der anderen Seite kann man gegen 0days gar nichts machen, außer politisch dagegen vorzugehen, dass diese geheim gehalten werden. Man kann die Wahrscheinlichkeit von deren Auftreten verringern, wenn man zu Providern wechselt, die sich mit der Software die sie einsetzen auskennen und ihrerseits auf deren Qualität und richtige Konfiguration achten, siehe die Vorschläge von Bernd.
Außerdem gibt es noch solche Bundesinnenminister wie Hans-Peter Friedrich, die den Bürger auf Selbsthilfe verweisen. Wer nicht verschlüsselt, will, dass es öffentlich wird. Man wird doch dem eigenverantwortlichen Mitbürgern nicht verwehren zu wählen zwischen sich in PGP einzuarbeiten oder eben nur mehr öffentlich zu kommunizieren. Er kann auf dem Markt der Möglichkeiten frei wählen. Das freut auch die FDP.
Das ist übrigens dieselbe FDP, die rumjammert, jede Bevorzugung Geimpfter wäre eine indirekter Impfzwang. Nicht etwa ein Markt, auf dem man sich für oder gegen Impfung mit den sich eben ergebenden Konsequenzen wählen kann. Nur dass das klar ist und mir das hier keiner verwechselt.
Total verzögerte Leistung (TV-L)
| #
Jaja, die liebe IT (nicht nur) in Behörden…
Mein Lieblings-Beispiel, nicht mal 1 Jahr her: da war es möglich, das Terminsystem einer ganzen Stadt durch simple Eingabe von nicht-alphanumerischen Schriftzeichen in ein Formular zu crashen (ein Schelm, wer an SQL-Injection usw. denkt – eig. Probleme aus Kindertagen des Internets..).
Aber seis drum, das war während Corona schließlich eine Ausnahmesituation.
Das, was hier u.a. bei der Stadt Regensburg festgestellt wurde, ist ja nur die fast lächerliche Spitze des Eisbergs. Schön aber, dass die Stadt instant reagiert!
Weniger schön ist das, was man tagtäglich im Vollzug draußen feststellen muss:
Es gibt Behörden, die verfügen im Jahr 2021 immer noch nicht über ein Dokumentenmanagementsystem. Da werden Akten gescannt und mit E-Mails in kilometerweit verschachtelten Windows-Ordnern gespeichert, teilweise nicht einmal redundant.
Es wird geklagt, dass immer weniger Mitarbeiter immer mehr Arbeit zu bewältigen haben (was de facto auch der Fall ist). Dann aber werden Versuche, Arbeitsabläufe durch Einführung digitaler Prozesse deutlich zu beschleunigen und zu vereinfachen, sowohl für die Mitarbeiter, als auch z.B. Antragsteller, “torpediert”: Geht nicht, dürfen wir nicht weil.., haben wir schon immer so gemacht, kein Geld, dann dauerts halt 4 h statt 10 min..
Ich sehe Probleme v.a. in einer für IT nicht mehr zeitgemäßen Vergabepraxis, der Schwerfälligkeit der Behörden und einer völlig fehlenden Einheitlichkeit (wobei alle Faktoren wohl irgendwie zusammenhängen): Amt x macht es so, die Abteilungen a und b innerhalb eines Amts machen es unterschiedlich, und Amt y macht es komplett anders. Außerhalb von Bayern ist man dann im Vollzug gefühlt im Ausland.
Der Joker Datenschutz, der gerne als Totschlagargument gezogen wird, ist darüber hinaus eine einzige Finte. Aber da stinkt der Fisch vom Kopf her, denn wenn die entsprechende Infrastruktur und das entsprechende Personal im Hintergrund da ist, geht das 2021 auch DSGVO-usw.-konform.
Aber trotzdem bewegt sich schon ein bisschen was..
Die Masse ist träge, aber wenn sie mal in Schwung ist, dann ist sie kaum zu bremsen.
Oder?
Markus Feilner
| #
Naja, derlei sind Gründe, warum ich seit März in meinem Hauptberuf bei mailbox.org arbeite. Die nehmen Dir, liebes Regensburg (wie auch einige Konkurrenten das tun) alle sorgen rund um Sicherheit, Verschlüsselung und Datenschutz ab, zumindest, was E-Mail angeht. Und haben schon Bundesländer als Kunden. :-)
Total verzögerte Leistung (TV-L)
| #
@Markus Feilner:
Und genau das sollte eben nicht der Fall sein.
Behörden müssen autrak agieren können, was das anbelangt.
Bei uns wird auch ausgelagert, was nur geht. Mit dem Effekt, dass es die Arbeit erschwert, Know-How verloren geht und die Prüfbarkeit/Nachvollziehbarkeit manchmal mehr, manchmal weniger stark eingeschränkt ist. Innovation wird somit durch die behäbige Vergabepraxis nur noch weiter ausgebremst.
U.a. bei der (behördlichen) Bekämpfung der Corona-Pandemie hat sich diese Praxis der Auslagerung als großes Problem erwiesen.
Mr. B.
| #
Geht’s hier wieder einmal nur um Kosten und alles andere ist egal?
Ich finde, ein aufregendes Thema?
EDV
| #
Die Webseite regenbsurg.de musste auch schon geändert werden .
Es waren versteckte Google-Fonts eingebaut.
Seltsams, dass tausende Besucher das nicht merkten.
Allen voran die IT spezialisten der Stadt und deren Partner , REWAG etc…
Sowie die Landesbehörden, die sich anscheinend nichtmal die grössten Städte anschaun.
Diese Fonts baute die Agentur aus Berlin ein.
Also nicht DSGVO konform !
Schriften werden generell auch zum Tracken verwendet.
Ich glaube nicht , dass die Agentur das nicht wusste.
Die Änderung wurde im Stadtrat nicht bekannt gegeben.
Nun müsste Aigner mal fragen , ob das Absicht war , oder die Agentur das heimlich machte.(als Google Partner? Und nur für sich Nutzen zog ?