Mit diversen Publikationen möchten wir aufzeigen, inwieweit die von den Aufsichtsbehörden geforderten Maßnahmen in der Praxis tatsächlich umgesetzt werden.
Data Privacy Management International Workshop (DPM) 2022
Petrlic, Lange, Chang, Fiedler: An Email a Day Could Give Your Health Data Away
«Are doctors allowed to communicate with their patients via email? The GDPR sets the bar high for securing health data: either an end-to-end-encryption (E2EE) or a guaranteed transport encryption needs to be used. As E2EE (with PGP or S/MIME) is not widely used in practice, only a guaranteed transport encryption comes into question. But are doctors’ email servers properly configured and provide such strong security guarantees? As we found out in a large-scale investigation of German medical institutions, this is not the case at all. Only a very small minority of email servers provides state-of-the-art security. In all other cases, communication between doctors and patients via email is not secure and, thus, not permitted with regards to the GDPR.»
c’t, Ausgabe 13, 2021
Dessani, Petrlic: Fehlender Vertrauensanker
«Firmen und Vereine sind spätestens mit Inkrafttreten der DSGVO für die Sicherheit beim Empfang und Versand ihrer E-Mails verantwortlich. Viele von ihnen sind Kunden von Webhosting-Anbietern. Die Datenschutzkonferenz hat längst konkrete technische Anforderungen an die E-Mail-Sicherheit formuliert. Doch unsere Tests zeigen: Viele Hoster setzen diese nicht ausreichend um.»
Artikel online: https://www.heise.de/select/ct/2021/13/2110920371335813014
Datenschutz und Datensicherheit (DuD), Ausgabe 8, 2021
Petrlic, Dessani: E-Mail-Sicherheit auf dem Prüfstand
«Die Datenschutz-Aufsichtsbehörden haben strenge Anforderungen an die Übermittlung personenbezogener Daten per E-Mail formuliert. Doch ein Streifzug durch die Praxis zeigt: Wenige Verantwortliche und nicht einmal die Aufsichtsbehörden selbst setzen die Anforderungen vollständig um. Umgekehrt sind nicht alle Anforderungen der Aufsichtsbehörden realistisch umsetzbar.»
Der Beitrag kann unter https://rdcu.be/cpigW kostenfrei abgerufen werden.
Datenschutz-Berater, Ausgabe 3, 2021
Petrlic: Endlich eine Entscheidung zur E-Mail-Verschlüsselung – eine technische Sicht auf das Urteil des VG Mainz
In dem Beitrag wird das wegweisende Urteil des VG Mainz zur E-Mail-Verschlüsselung kommentiert und insbesondere aus technischer Sicht analysiert. Dabei zeigen sich einige Schwächen im Urteil und fehlende Festlegungen zur Art der Transportverschlüsselung, die für die Praxis wichtig wären.
c’t, Ausgabe 1, 2021
Dessani, Mahn: DKIM-Fail. Fehler bei Hostern gefährden die Sicherheit von DKIM
«Online-Kriminelle versenden regelmäßig E-Mails unter falschem Namen, um Nutzer zur Herausgabe von sensiblen Daten zu bewegen. Mit DKIM sind Spam-Filter in der Lage, solche gefälschten Mails zu erkennen. Doch unsere Analysen zeigen, dass einige Webhoster mit Fehlkonfigurationen Spammern und Phishern Tür und Tor öffnen.»
Artikel online: https://www.heise.de/select/ct/2021/1/2031022191973405333