29. September 2008 - E-Mail-Nutzung

Webmail am Arbeitsplatz: Gut für den Datenschutz, schlecht für die Sicherheit?

Die Vorgabe, private E-Mails über einen Webmail-Zugang am Arbeitsplatz zu verschicken, erleichtert die datenschutzkonforme Kontrolle und Archivierung des betrieblichen E-Mail-Verkehrs. In der Praxis werden jedoch private Webmail-Zugänge oft auch zu dienstlichen Zwecken genutzt, wie die Weiterleitung von Recherche-Ergebnissen aus dem Internet an den Arbeitsplatzrechner zeigt. Damit wird Webmail jedoch zu einem potenziellen Sicherheitsloch und Datenrisiko, das Sie selbst kaum beherrschen können. Sorgen Sie deshalb auch für Richtlinien zur Webmail-Nutzung.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Aus Sicherheitsgründen unterbinden viele Unternehmen am Arbeitsplatzrechner den direkten Internetzugang. Für die erforderlichen Recherchen steht dann meist ein spezieller Internet-PC zur Verfügung, der vom restlichen Netzwerk getrennt ist.

Die heimliche Verbindung ins Internet

Leider finden die eigenen Mitarbeiter ganz leicht eine Brücke zwischen Internet-PC und ihrem Computer am eigenen Arbeitsplatz. Webmail heißt das Zauberwort.

Mit diesem browserbasierten E-Mail-Dienst können Internetdownloads und Trefferlisten von Suchmaschinen ohne weiteres per E-Mail auf den Rechner am Arbeitsplatz transferiert werden.

Schwer zu behebende Sicherheitslücke

Vielleicht bietet Ihr Unternehmen auch direkt über den Arbeitsplatzrechner den Zugriff auf die Webmail-Konten des jeweiligen Mitarbeiters, so dass dieser seine privaten E-Mails nicht über den dienstlichen Mail-Zugang abwickelt und die Kontrolle und Archivierung des Mail-Verkehrs datenschutzgerecht erfolgen kann.

Auch dann stellt Webmail eine mögliche Sicherheitslücke dar, die schwer zu beheben ist.

Alle Formen von E-Mail bedenken

Sie sollten als Datenschutzbeauftragter also nicht nur die Privatnutzung des dienstlichen E-Mail-Kontos regeln lassen und die Sicherheitsfunktionen von Microsoft Outlook oder Mozilla Thunderbird kennen.

Auch Webmail gehört mit in das Datenschutz- und Sicherheitskonzept. Das fängt bereits damit an, dass Webbrowser die bequeme, aber gefährliche Funktion der Passwortspeicherung anbieten.

Da der Browser bei Webmail den lokalen E-Mail-Client ersetzt, betrifft eine solche Passwortspeicherung unter Umständen auch den Webmail-Zugang, der damit nicht mehr gegen unbefugte Zugriffe geschützt ist.

Sicherheit kann nicht allein intern gewährleistet werden

In der Vergangenheit sind zudem immer wieder Sicherheitsprobleme bei Webmail-Diensten aufgetreten, die durch das eigene Unternehmen nicht behoben werden können, aber sehr kritisch sind.

So bestand zum Beispiel schon die Gefahr, dass Hacker bei einem Webmaildienst das Sitzungscookie des Anwenders stehlen und so seine Identität übernehmen.

Unter dem Absendernamen des Opfers können dann Attacken erfolgen, die bei den Kollegen und Bekannten des Anwenders sehr erfolgversprechend sind. Schließlich vertraut man einer E-Mail eines Kollegen oder Freundes eher als bei einem unbekannten Absender.

Bestimmte Internetwürmer haben sich sogar auf die Sicherheitslücken von Webmail-Diensten spezialisiert. Die gefährlichen Löcher im Sicherheitssystem muss jedoch der externe Anbieter stopfen, die Frage ist nur, wann er dies macht.

SSL als Fluch und Segen

Auch die Verwendung von SSL bei Webmail hat ihre Tücken. Zum einen sollten Sie darauf hinweisen, dass ein Login bei Webmail nur bei SSL-Verschlüsselung erfolgen sollte. Leider besteht der SSL-Schutz bei manchem Webmail-Anbieter jedoch nur für die Einwahl und danach nicht mehr.

Zudem kann SSL auch zum Problem für die interne Sicherheit werden. So haben die internen Sicherheitsgateways, die das Firmennetzwerk schützen sollen, oft ihre Probleme damit, den Datenstrom bei Webmail zu analysieren, wenn eine SSL-Verbindung aufgebaut wurde.

Die Suche nach Malware in den Webmail-Attachments kann dadurch erschwert oder sogar verhindert werden.

Webmail ist eine Form von externer Datenhaltung

Ein weiteres Problem ist die Tatsache, dass die E-Mails auf fremden Mailservern gespeichert werden. Bei der Vielzahl von Webmail-Anbieter im In- und Ausland stellt sich die Frage, wie dort die Datensicherheit gewährleistet wird und wie man es dort mit dem Datenschutz hält.

Es gilt also, auch bei Webmail die Datenschutzerklärung genau zu hinterfragen. So kann es durchaus sein, dass die oft kostenlosen Webmail-Dienste durch Werbung finanziert werden, die jeweils auf den Inhalt der Nachrichten abgestimmt ist.

Mitunter könnten auch die Daten im Benutzerprofil bei der Registrierung für Webmail entsprechend missbraucht werden.

Welche Schutzfunktionen (wie Viren-Scanner, Verschlüsselung und Spam-Filter) ein Dienst bietet, ist ebenfalls von dem jeweiligen Anbieter abhängig. Ob und wann die durch den Anbieter gespeicherten Daten gelöscht werden, bleibt ebenfalls zu klären.

Nehmen Sie Webmail in Ihre Unterweisung auf

Webmail ist also ein Dienst, der den Datenschutz und die Sicherheit in Ihrem Unternehmen betreffen kann. Deshalb sollten Sie die Mitarbeiterinnen und Mitarbeiter auch über die Nutzung von Webmail unterweisen.

Empfehlen Sie dabei insbesondere
  • bei der Registrierung von Webmail auf Datensparsamkeit zu achten, also nur die für den Dienst erforderlichen Angaben zu machen oder aber auf den Dienst zu verzichten
  • bei der Wahl des Webmail-Anbieters auf die Sicherheitsfunktionen zu achten (wie SSL-Zugang, Viren-Scanner, Spam-Filter und Nachrichtenverschlüsselung)
  • die AGBs und Datenschutzerklärungen genau zu prüfen (insbesondere, aber nicht nur bei kostenlosen Webmail-Diensten)
  • einen Dienst zu nutzen, der aktive Inhalte und HTML-Mails nicht einfach ungefragt zulässt
  • das Passwort nicht zu speichern und auf die Passwortstärke zu achten
  • den Webmail-Dienst wirklich zu verlassen und nicht einfach den Browser zu schließen
  • bei automatischen Abwesenheitsmeldungen für Webmail daran zu denken, dass diese auch von Spammern gelesen werden könnten, wenn keine Filterung stattfindet

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln