Datenschutz – TLS Zwang beim Transport von Emails

Aus gegeben Anlass, daß Juristen, Manager und Admins die titelgebende Aussage verneinen, hier eine kleine, aber belastbare Zusammenfassung der Lage. All das hier gilt nur für Unternehmen oder Organisationen die zum Datenschutz verpflichtet sind, also bis auf Privatpersonen alle!

Datenschutz – TLS Zwang beim Transport von Emails

Es war 2018 als die Datenschutz Grundverordnung final in Kraft trat, als der Landesdatenschutz NRW folgendes Dokument verfasste:

LDI-NRW-E-Mail-Verschluesselung-BSI-TR-03108-1-2018-03-26

Darin war erstmal erwähnt, daß der Einsatz von Verschlüsselung für Datenschutzverantwortliche auch beim Transport von Email gilt. Geglaubt hat es leider kaum jemand 🙁

2018 hatte ich auch Kontakt zum Bundesdatenschutz und indirekt zur Deutschen Datenschutzkonferenz ( DDSK ), denen ich Auswertungen zum Einsatz von TLS geben konnte,  die die DDSK überzeugte, daß „Nicht-Verschlüsseln“ nicht mehr geht, weil das schon so viele können. (75% aller Verbindungen waren damals verschlüsselt.)

Seitdem habe ich immer wieder von Leuten gehört, daß mit der TLS Verschlüsselungspflicht wäre Blödsinn. Das muß anderen auch so gegangen sein, weil die DDSK 2021 eine Orientierungshilfe dazu verfasst hat, die eindeutiger nicht sein könnte:  Orientierungshilfe E-Mail-Verschluesselung.pdf

Wer das PDF nicht mag, der LDI NRW hat die aktuelle Fassung (2021) zusammengefasst:

https://www.ldi.nrw.de/technische-anforderungen-technische-und-organisatorische-massnahmen-beim-e-mail-versand

Stichwort: Obligatorische Verschlüsselung ( Seite 7 5.1. ) als Basisschutz ist Pflicht.

Wer wissen will woher das kommt

Die Pflicht zur Verschlüsselung leitet sich wie folgt her:

Artikel 32 DSGVO
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der
Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des
Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter
geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

Bezogen auf Emails ist der Stand der Technik in 2024 : TLS 1.3

Die Implementierungkosten sind IMHO gerundet 0 €, weil das jede aktuelle Mailserversoftware direkt können sollte.
( Wenn nicht kann die Software auch gleich gelöscht werden, weil Schrott.)

Daraus ergibt sich dann, das a) fraglos anzuwenden ist, weil die anderen Gründe nicht als zusätzlich „Hürden“ greifen,
denn 0 € Kosten ist das Killerargument schlechthin.

Das BDSG hat das etwas besser formuliert:

Bundesdatenschutzgesetz §64 Abs. 3 Ziff. 1-14

Anforderungen an die Sicherheit der Datenverarbeitung
(3) 2. Verhinderung des unbefugten Lesens, Kopierens,
Veränderns oder Löschens von Datenträgern
(Datenträgerkontrolle),
(3) 8. Gewährleistung, dass bei der Übermittlung
personenbezogener Daten sowie beim Transport von Datenträgern
die Vertraulichkeit und Integrität der Daten geschützt werden
(Transportkontrolle)
,

Dies reicht eigentlich schon aus, aber wer Zweifel hatte, wie „Verarbeitung“ ist so definiert wurde:

Artikel 4 DSGVO

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter
Verfahren ausgeführten Vorgang oder jede solche
Vorgangsreihe im Zusammenhang mit personenbezogenen Daten
wie das Erheben, das Erfassen, die Organisation,
das Ordnen, die Speicherung, die Anpassung oder Veränderung,
das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittlung, Verbreitung oder eine andere
Form der Bereitstellung, den Abgleich oder die
Verknüpfung, die Einschränkung, das Löschen oder die
Vernichtung;

Jetzt der nötige LOGIK Teil:

Man muß nur Emails verschlüsseln, die Personenbezogenen Daten enthalten.

Da man nie vorher wissen kann, wann einem jemand Personenbezogene Daten schickt,
ergibt sich aus der Pflicht, diese zu verschlüsseln, der Umstand,
immer zu verschlüsseln, weil nachträgliche Verschlüsselung einer bereits durchgeführten
Übermittlung logisch und praktisch nicht  möglich ist. QED.

Das Jahr 2024

Ich habe erst letzte Woche die eine BUNDESBEHÖRDE angeschrieben, weil die auch Emails in Klartext annehmen. Dazu heißt es in der Orientierungshilfe von der DDSK:

Seite 7  5.1. obligatorische Transportverschlüsselung

Bei dem letztgenannten Verfahren (STARTTLS) kann die obligatorische Transportver-
schlüsselung durch entsprechende Konfiguration des sendenden MTA (Mail Transfer
Agent) erreicht werden die entsprechenden Konfigurationseinstellungen werden
(En)Forced TLS, Mandatory TLS o. ä. genannt. Unterstützt die Gegenstelle kein TLS,
dann wird der Verbindungsaufbau abgebrochen
. Einige MTA ermöglichen eine domä-

nenspezifische oder regelbasierte Spezifizierung dieses Verhaltens.

Bitte beachten Sie: „Unterstützt die Gegenstelle kein TLS, dann wird der Verbindungsaufbau abgebrochen.“ d.h. Klartextemaileinlieferungen sind zu unterbinden.

Das ist genau der Modus Operandi, den wir unseren Kunden seit 2015 anbieten und empfehlen.

Der TLS Zwang ist also nicht weg zu diskutieren, sondern im Gegenteil mehr als real!

Wie testet man sowas?

Linuxuser sind natürlich wie immer im Vorteil, weil Ihr das direkt am Heimischen PC testen könnt:

Die IP und Emailadresse werden hier mal unterdrückt, weil der Fall noch nicht abgeschlossen ist:

[root@s113 ~]# nc a.b.c.d 25
220 mx1.<DOMAIN>.de ESMTP Smtpd; Tue, 27 Feb 2024 20:21:48 +0100
HELO s113.resellerdesktop.de
250 mx1.<DOMAIN>.de Hello s113.resellerdesktop.de [83.246.80.131], pleased to meet you
MAIL FROM: <info@cloud-foo.de>
250 2.1.0 <info@cloud-foo.de>… Sender ok
RCPT TO: <email>
451 4.3.2 Please try again later
QUIT
221 2.0.0 mx1.<DOMAIN>.de closing connection

Diese Ablehnung  war „Greylisting“ vom <DOMAIN> Server, der wollte, das wir später nochmal kommen:

[root@s113 ~]# nc a.b.c.d 25
220 mx1.<DOMAIN>.de ESMTP Smtpd; Tue, 27 Feb 2024 20:31:30 +0100
HELO s113.resellerdesktop.de
250 mx1.<DOMAIN>.de Hello s113.resellerdesktop.de [83.246.80.131], pleased to meet you
MAIL FROM: <info@cloud-foo.de>
250 2.1.0 <info@cloud-foo.de>… Sender ok
RCPT TO: <email>
250 2.1.5 <email>… Recipient ok
DATA
354 Enter mail, end with „.“ on a line by itself
FROM: <info@cloud-foo.de>
TO: <email>
Subject: TEST EMAIL AUF SMTP SECURITY
Date: Tue, 27 Feb 2024 20:21:05 +0100

TEST EMAIL, KANN GELÖSCHT WERDEN

SECURITY TEAM Cloud-Foo.de
.
250 2.0.0 41RJVUwi012500-41RJVUwj012500 Message accepted for delivery

Ich empfehle einen Server in einem öffentlichen Netz zu nehmen, da der einen validen PTR Record haben wird. Was passiert, wenn Ihr keinen habt, erfahrt Ihr bei LINUX-AM-DIENSTAG.de am 5.März um 19 Uhr ! Popkorn mitbringen!!!

Also, obiger Mailserver nahm die Email unverschlüsselt an, was, wenn er sich hätte sicher sein können, daß keine Personenbezogenen Daten drin sind, auch ok gewesen wäre, aber das konnte er nicht. Dazu hätte es mehr als nur etwas KI gebraucht, nämlich Echte Intelligenz 😉

Hinweis: Wer obiges Beispiel nachspielen will, sollte seinen Hostnamen und seine Emailadresse eingeben, weil die Email sonst als SPAM erkannt wird 😀

Attention! You have been hacked! Follow the instructions… äh, nein :D

Es macht immer wieder Spaß Emails von Amateuren zu bekommen. Auf den ersten Blick ist das nur die übliche „Wir haben Deinen PC übernommen und Deinen Pornokonsum gefilmt“ Mail, auf den zweiten übrigens auch 😉

Attention! You have been hacked! Follow the instructions… äh, nein 😀

Bei der Email unten ist nicht so wichtig was drinsteht, sondern an wen die Betrüger die Mail geschickt haben 😉 Die ging an eine Adresse, die Sie von der Mailingliste Full-Disclosure erscrapt haben ( scraping nennt man das, wenn man z.B. Email Adressen aus einem großen Umfang an Webseiten rauskratzt ). Auf der Liste schreiben i.d.R. nur Cybersicherheitsexperten, sowie und ein Rudel Journalisten und Admins die das mitlesen.
Wenn der möchtegern Scammer tatsächlich allen von denen so eine Mail geschickt hat, dann kann der jetzt vermutlich nicht mehr ruhig schlafen, weil er damit genug Leute ans Bein gepinkelt hat, die echt was draufhaben 😀 Daher, lieber indischer Scammer, entschuldige Dich lieber, sonst finden wir Dich schneller als Dir lieb ist 🙂
Jetzt kommt von Euch natürlich, das war aber doch ein VPN…. nein, wars nicht:
$ host 61.221.83.139
139.83.221.61.in-addr.arpa domain name pointer m.antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer vpn.antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer antnex.com.tw.
139.83.221.61.in-addr.arpa domain name pointer mail.antnex.com.tw.

Der Mailserver macht auch das VPN für die gehackte Firma:
Not shown: 1191 filtered tcp ports (no-response)
PORT STATE SERVICE
25/tcp open smtp
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1194/tcp open openvpn
Und jetzt viel Vergnügen mit dem Schwachsinn dieser offensichtlich mit einem Baukasten zusammengesetzten, sooooo gefährlichen, Betrugs-Email:
Return-path: <support@antnex.com.tw>
Envelope-to: fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX
Delivery-date: Wed, 15 Jun 2022 06:58:29 +0200
Received: from vpn.antnex.com.tw ([61.221.83.139] helo=m.antnex.com.tw)
 by XXXXXXXXXXXXXXXXXXXXXXX with esmtps (TLS1.3) tls TLS_AES_256_GCM_SHA384
 (Exim 4.94.2)
 (envelope-from <support@antnex.com.tw>)
 id 1o1L6q-00AL05-PR
 for fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX; Wed, 15 Jun 2022 06:58:29 +0200
Received: by m.antnex.com.tw (Postfix, from userid 98)
 id E888D9BB43; Wed, 15 Jun 2022 12:58:19 +0800 (CST)
Received: from [127.0.0.1] (unknown [43.224.182.87])
 (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
 (No client certificate requested)
 by m.antnex.com.tw (Postfix) with ESMTPSA id 2815FB8766
 for <fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX>; Wed, 15 Jun 2022 12:58:17 +0800 (CST)
Date: Wed, 15 Jun 2022 06:58:19 +0200
MIME-Version: 1.0
To: fulldisclosure@XXXXXXXXXXXXXXXXXXXXXXX
From: support@antnex.com.tw
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=UTF-8
Message-ID: <38381521293341.6453G20GAX@antnex.com.tw>
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=antnex.com.tw;
s=antnex; t=1655269099;
bh=fOF5T+fIJUkFhy6YN7TRDW4/lk59WRfUuUB+mVQcuf8=;
h=Date:To:From:Subject;
b=UgrsjIcPfuFsvR3m8jHiutMHaYLn5QHb2KsCcyb5ZG3pBIlBRvgiOkvvzNexCRQiT
y35Dql7iMAwMrkB8d+8vQIuodEcmgk2ragKsn0fY4/6gsPiQIsVewMLyo2VNjQ7FRf
a9KuZnpsIHyidMmEGlOwLMoLpCxuIL3o1Jncr+6E=
Subject: Attention! You have been hacked! Follow the instructions.Hi!

You can consider this message as the last warning.

We’ve hacked your system!We’ve copied all the data from your device to our own servers.

Curious videos were recorded from your camera and your actions while watching porn. Your device was infected with our virus when you visited the porn site.

Trojan virus gives us full access, allows us control your device. The virus allows not only to see your screen, but also to turn on your camera, microphone, without your awareness. We captured video from your screen and camera and then edited a video where you’re watching porn in one part of the screen and masturbating in the other one. But that’s not all! We have access to all the contacts from your phone book and social networks.

It won’t take us long to send this video to your friends, family and relatives on social networks, messengers and email in a few minutes. We have a lot of audio recordings of your personal conversations, where a lot of „interesting“ things are revealed!This information can destroy your reputation once and for all in a matter in minutes.

You have the opportunity to prevent irreversible consequences. To do so you need to:
Transfer 1200 USD (US dollars) to our Bitcoin wallet.

Don’t know how to make a transfer? Enter „Buy Bitcoin“ into the search box. Our Bitcoin wallet (BTC Wallet): bc1qkp5rfx26m3kt3mw2wvasfd963u233vs782xmsr
After you make the payment, your video and audio recordings will be completely destroyed and you can be 100% sure that we won’t bother you again.

You have time to think about it and make the transfer – 50 hours!After you read this letter, we’ll get an automatic notification. From that moment on, the timer will start. It is useless to complain, because Bitcoin-wallets can’t be tracked, as well as the sender email. You may not try to send a reply message, as it will not reach the addressee anyway.

We also advise you not to send the letter to anybody. In this case the system will automatically send a request to the server, and all data will be published in social networks and messengers. You will not be able to solve the problem by changing passwords in social networks, as all the information is already downloaded to the cluster of our servers. Think about what reputation means to you and how much the consequences will be.

You have 50 hours.