Bereits vor längerer Zeit hat ein Abgeordneter des Schulzendorfer Gemeinderates seine E – Mail Adresse, die mit der Domain „Schulzendorf. de“ endete, im Rathaus abgemeldet und sich bei einem privaten Unternehmen eine neue zugelegt.
-
Wie sicher ist der E – Mail Verkehr in Schulzendorfs Verwaltung? (Foto: mwBild)
Erstaunt war der Politiker, als ihm jüngst vom Rathaus eine unverschlüsselte E – Mail weitergeleitet wurde, die ihm ein Bürger an die alte und gelöscht geglaubte E – Mail Adresse sandte: „Es kann nicht sein, dass eine Nachrichte an mich, von einer Sekretärin an mich weitergeleitet wird und sie faktisch jeder mitlesen kann.“
Der für den elektronischen Datenverkehr in der Gemeindeverwaltung verantwortliche Mitarbeiter soll nach Angaben des Abgeordneten erklärt haben, dass unlängst Änderungen der Einstellungen am Gemeindeserver vorgenommen wurden. Die Folge: Nachrichten an einen unbekannten oder mit einem Schreibfehler behafteten, jedoch mit der Domain “Schulzendorf.de” versehenen Adressaten landen in einem speziellen „Pool“. Fachleute bezeichnen diese Mailweiterleitung als „Catch-All“.
Bürgermeister Mücke rechtfertigt die Einstellungsänderung: „Wir müssen damit rechnen, dass Menschen mit uns Kontakt aufnehmen wollen, ihnen aber ein Fehler bei der Eingabe der E – Mail Adresse unterläuft. Wir wollen diese E – Mails bekommen, um sie beantworten zu können. Ich sehe das hohe Gut, ansprechbar zu sein, als wichtiger an, keine E – Mail zu erhalten, weil sie fehlerhaft ist.“
„Aus Gründen des Datenschutzes ist es sinnvoller den Server so einzustellen, dass er Mails an nicht existente oder fehlerhaft geschriebene Empfänger nicht annimmt.“, sagt dagegen ein Wildauer IT – Experte gegenüber dem Schulzendorfer.
Offen bleibt, wie die Kontrolle der im Pool eingehenden Nachrichten, nach welchen Kriterien eine Weiterleitung an den Empfänger erfolgt und wer das vornimmt.
Bürgermeister Mücke geriet bereits zweimal, 2014 und 2016, wegen Rechtsverstößen ins Visier des Brandenburger Datenschutzbeauftragten.
@PIT: Vielen Dank für die notwendigen Erläuterungen.
Ein ähnlichlautender Kommentar meinerseits wurde leider nicht veröffentlicht.
Sehr geehrte Damen und Herren,
zur Beurteilung des Artikels und seiner Kommentare sind ein paar Hintergrundinformationen erforderlich.
Bitte verdeutlichen Sie sich, dass jeglicher unverschlüsselter E-Mail-Verkehr unsicher und nicht vertraulich abläuft.
Eine unverschlüsselte E-Mail ist wie eine Postkarte ohne Briefumschlag. Eine solche Postkarte kann durch verschiedene Situationen (Fehlleitung, Schreibfehler in der Adresse, Zugriff durch Administratoren usw.) von Jedem problemlos, das heißt in vielen Fällen ohne Verletzung irgendwelcher Gesetze wie Briefgeheimnis usw. gelesen werden. So wird eine unverschlüsselte E-Mail rechtlich in der Regel auch behandelt.
Eine unverschlüsselte E-Mail muss auf dem Weg vom Absender zum Empfänger viele Stationen (Mail-Server) durchlaufen. An jeder dieser Stationen ist es technisch möglich, die „offene E-Mail-Postkarte“ zu lesen, zu kopieren, weiterzuleiten oder zu verändern.
Nur unter Verwendung einer sogenannten E-Mail-Verschlüsselung wird eine E-Mail nicht mehr offen, sondern in einer Art Umschlag versendet. Der Inhalt wird verschlüsselt und kann nicht von „Jedermann“ gelesen werden. Sollte nun Jemand unberechtigt versuchen die Verschlüsselung zu knacken, so entstehen hier in der Regel Straftatbestände.
Leider sind die derzeitigen Verschlüsselungs-Methoden für viele Anwender zu kompliziert und zu aufwendig. Daher setzt sich die E-Mail-Verschlüsselung unglücklicherweise nicht durch.
In jedem Fall sollten Sie wichtige und vertrauliche Informationen bzw. Dokumente über andere Korrespondenzwege oder ausschließlich über verschlüsselte E-Mails versenden.
Wie ein Unternehmen oder eine Institution mit E-Mails umgeht, die vor dem @-Zeichen in der E-Mail-Adresse einen Schreibfehler oder einen nicht existenten Namen beinhalten, ist dort in der Regel im Innenverhältnis unter Berücksichtigung von Datenschutz- und IT-Sicherheitsaspekten zu regeln.
Das Weiterleiten einer unverschlüsselten E-Mail an den richtigen Empfänger durch einen autorisierten Personenkreis ist -unter Berücksichtigung der oben aufgeführten Aspekte- aus meiner Sicht unbedenklich und eine pragmatische Lösung.
Aus Gründen der IT-Sicherheit hat es sich bewährt keine automatisierten Nachrichten wie beispielsweise Abwesenheitsbenachrichtigungen und Benachrichtigungen über die Nichtexistenz von E-Mail-Adressen zu versenden. Informationen die sich bereits über diese automatisierten Antworten sammeln lassen, stellen bei Cyberangriffen oftmals die erste Angriffsphase dar.
Mein Fazit: Insbesondere der Absender muss sich im Klaren darüber sein, dass seine unverschlüsselte E-Mail in bestimmten Fällen eben von Dritten gelesen werden kann.
Ich habe sehr viel mit dem Thema IT-Sicherheit zu tun und mir sind die Risiken sowie das oftmals fehlende Bewusstsein der Benutzer zu diesem Thema bekannt.
Daher sah ich mit diesem Post eine gute Möglichkeit auch hier einmal das Thema E-Mail-Sicherheit zu sensibilisieren.
Für Interessierte empfehle ich folgenden Link aus dem Jahr 2008:
https://www.heise.de/ct/artikel/Verraten-und-verkauft-291550.html
Mit freundlichen Grüßen
PIT
@Marcus D. Mein Post bezog sich nicht direkt auf Ihren Kommentar. Natürlich soll hier jeder seine Meinung frei äußern können und man muss nicht in allem Experte sein. Ich bezog mich eher auf die Textpassage im Artikel “Aus Gründen des Datenschutzes ist es sinnvoller den Server so einzustellen, dass er Mails an nicht existente oder fehlerhaft geschriebene Empfänger nicht annimmt.“, sagt dagegen ein Wildauer IT – Experte gegenüber dem Schulzendorfer.”
Deswegen auch die Erklärung warum einige Firmen und eben auch Schulzendorf die Einstellung wählen, alle Nachrichten anzunehmen. Eben aus Erreichbarkeitsgründen und als SpamSchutz, damit man nicht durch massives erraten an die richtigen E-Mail-Adressen rankommt. Das wird z.b. gern beim “Chefbetrug” (Mal in Google suchen) gemacht.
Bzgl. Herausfinden ob die E-Mail gelesen wurden. Man kann beim versenden von E-Mails einstellen, dass man eine Lesebestätigung erhalten möchte. Das kann der Lesende dann zwar auch noch verhindern, aber die meisten klicken einfach “ok” und somit sieht man zumindest das jemand die E-Mail geöffnet hat.
@Einschulzendorfer
Warum sollte man hier nicht schreiben, auch wenn man nicht über IT Kenntnisse verfügt?
Ich habe z.Bsp. erst letzte Woche eine Email-Benachrichtigung erhalten, dass die Mail nicht zugestellt wurde. Dann bin ich eben fälschlicher Weise davon ausgegangen, dass dies immer so ist.
@ karo
Da gebe ich ihnen recht. Es gibt selbstverständlich auch einige Mitarbeiter, mit denen man gerne Kommuniziert und die ihren Job im Sinne des Bürgers ausüben.
Was mache ich nun mit meinen unbeantworteten Mails? Herausfinden, wer die schon alles gelesen hat, oder ob sie bei der zuständigen Mitarbeiterin gelandet sind, vielleicht liegen sie auch im Pool, bei der Sekretärin oder dem BM. Na dann ……weiter so ……
Wie soll denn der Bürger an die E Mail Adresse gekommen sein?, wenn Sie vor längerer Zeit gelöscht wurde. Denkt sich der Bürger so etwas aus? Die kann er ja nur von dem Abgeordneten selber bekommen haben.
…das hohe Gut erreichbar zu sein… so ein Quatsch. Bei mir entsteht der Eindruck, dass in fremden Nachrichten herumgeschnüffelt wird. Kann die Meinung des Experten nur zustimmen. Wenn es jemanden nicht mehr gibt oder die Adresse fehlerhaft, dann geht die Mail zurück. Ende der Durchsage!!!
Es geht hier nicht um “Kontakt mit der Gemeinde wollen” sondern leider Kotakt aufnehmen müssen. Ich habe die gleiche Erfahrung Antwort gleich null. Doch es geht bei einigen Mitarbeitern auch besser – sehr gute Kommunikation –
Schön zu sehen, wie Leute ohne viele IT Kenntnisse hier wieder rum schreiben.
Das alle E-Mails angenommen werden hat einen einfachen Grund: man sendet keine “nicht erreicht” Nachrichten mehr, damit Spammer nicht durch Ausprobieren an die wirklich echten E-Mail-Adressen kommen. Senden Sie einfach mal eine E-Mail an ihrname@microsoft.de. Sie werden sehen das Ihre E-Mail ankommen wird. Das ist einfach ein Spam Schutz. Und bzgl. Datenschutz: die E-Mail wurde von der Sekretärin weitergeleitet? Sind sie sich sicher das die Sekretärin nicht die entsprechende Berechtigung hat und Datenschutzvereinbarung unterschrieben hat? Jede Sekretärin in der freien Wirtschaft liest die E-Mails ihres Chefs und sortiert vor.
Bzgl. Mitlesen: sofern sie Ihre E-Mails nicht mit PGP oder ähnlichem verschlüsseln kann jeder Mit entsprechenden Mitteln und Know How Ihre E-Mails mitlesen.
Eine Frage: Der ehemalige Abgeordnete hat auf die ihm weitergeleitete E-Mail natürlich nicht geantwortet sondern sie sofort gelöscht, richtig? Denn sie hätte ihn ja nie erreichen dürfen!
So was gibt es nur in Schulzendorf. Krass mit welchen billigen Argumenten sich Herr Mücke herausredet.
@karo
und die liegt bestimmt auf dem Desktop
Wenn ich eine E-mail verschicke, dann will ich auch, dass sie dort landet, wohin ich sie verschickt habe. Sollte dies nicht möglich sein, aus welchen Gründen auch immer, dann erhalte ich eine Benachrichtung, dass die Mail nicht zugestellt werden konnte. Dann weiß ich, woran ich bin und kann mich kümmern.
Aber ich will nicht, das meine Mails in irgend einem Pool landen.
Gerade aktuell habe ich mehrere Mails an die Verwaltung geschickt, ohne bisher eine Antwort bekommen zu haben. Liegen die nun alle im Pool, oder werde ich als Bürger einfach nur ignoriert?
In einem hat Herr Mücke recht, manche Menschen wollen wirklich noch Kontakt mit der Verwaltung aufnehmen. Aber ist das wirklich von der Verwaltung erwünscht?
wen wundert es? Auch die Passwörter der Geräte !!!! kann man auf dem Server nachlesen. Wenn die Geräte übergeben werden, werden die Passwörter in einer Excel-Tabelle notiert.