Wir scannen regelmäßig die Mail-Server von rund 4.000 Domains von deutschen Gesundheitseinrichtungen (Ärzten, Krankenhäusern, etc.), um einen Überblick über den Stand der Umsetzung der Maßnahmen zur E-Mail-Sicherheit zu erhalten. Die Scans werden monatlich automatisch wiederholt und die Ergebnisse fortlaufend aktualisiert.
Hinweis: Die nachfolgenden Ergebnisse liefern Informationen über die Entgegennahme von E-Mails, also über die eingehende Konfiguration von Mail-Servern. Die ausgehende Konfiguration wird nicht untersucht.
Verteilung der niedrigsten TLS-Versionen auf die getesteten Domains (untere TLS-Grenze)
Die folgende Grafik gibt an, wie viele Mail-Server der getesteten Domains ab welcher TLS-Version E-Mails annehmen. Fahren Sie für Details mit Ihrer Maus auf die Grafik.
Verteilung der höchsten TLS-Versionen auf die getesteten Domains (obere TLS-Grenze)
Die folgende Grafik gibt an, wie viele Mail-Server der getesteten Domains bis zu welcher TLS-Version E-Mails annehmen. Fahren Sie für Details mit Ihrer Maus auf die Grafik.
Verteilung von DANE auf die getesteten Domains
Die folgende Grafik gibt an, wie viele Mail-Server der getesteten Domains DANE eingehend unterstützen. Fahren Sie für Details mit Ihrer Maus auf die Grafik. Der niedrige Prozentsatz (< 1 %, Stand Oktober 2022) bedeutet, dass die Mail-Infrastruktur von 99 % der untersuchten Gesundheitseinrichtungen nicht für risikobehaftete E-Mail-Kommunikation bereit ist!
Details zu den getesteten Providern und den Test-Domains
Unsere Analysen haben ergeben, dass mehr als die Hälfte der untersuchten Gesundheitseinrichtungen ihre Mail-Infrastruktur durch sechs Provider abwickeln lassen. Die folgende Grafik enthält Angaben zu den getesteten Providern und zur Verteilung der getesteten Domains. Fahren Sie für Details mit Ihrer Maus auf die Grafik.
Die folgende Tabelle gibt Auskunft über die getesteten Provider, die Verteilung der getesteten Domains und die niedrigste und höchste TLS-Version, die jeweils unterstützt wird. Außerdem liefert sie für jeden Provider die Information, ob DANE unterstützt wird.
Die folgende Tabelle gibt an, wie viele der getesteten Domains für die Scans verwendet werden können, und welche aufgrund von fehlenden MX-Records, Verbindungsproblemen oder Fehlkonfigurationen nicht.
Selber testen
Im Netz finden Sie mehrere Test-Tools, mit denen Sie Ihre eingehenden E-Mail-Server schnell und unkompliziert auf Konformität mit den geforderten Maßnahmen der Datenschutz-Aufsichtsbehörden testen können. Uns haben insbesondere folgende Tools überzeugt:
| TLS-Verschlüsselung eingehender Mail-Server (inkl. PFS) | https://tls.imirhil.fr/ (prüft kein TLS 1.3) https://www.checktls.com/TestReceiver (prüft auch TLS 1.3) https://github.com/drwetter/testssl.sh (für erfahrene Anwender; prüft auch TLS 1.3) |
| DANE | https://dane.sys4.de/ https://www.checktls.com/TestReceiver |
| DNSSEC | https://dnssec-analyzer.verisignlabs.com/ |
Auf die Empfehlung eines Tools zur Überprüfung des Verfahrens MTA-STS verzichten wir an dieser Stelle bewusst, da mit DANE ein höheres Schutzniveau erreicht werden kann, und MTA-STS in der Orientierungshilfe der Aufsichtsbehörden nicht explizit benannt wird.
Die Konfiguration Ihrer ausgehenden E-Mail-Server (z.B. ob für den E-Mail-Versand eine obligatorische Transportverschlüsselung eingerichtet ist) lässt sich mit Test-Tools „von außen“ leider nicht prüfen. Hierzu sind interne Tests notwendig.
Weitere Tests
Zusätzlich zu den oben genannten Verfahren gibt es weitere sinnvolle Mechanismen zur Absicherung der E-Mail-Kommunikation, auf die in der Orientierungshilfe der Aufsichtsbehörden nicht eingegangen wird. Im Netz gibt es ebenfalls Test-Tools, die eine einfache Überprüfung der jeweiligen Konfiguration ermöglichen:
| SPF, DKIM1 & DMARC | https://www.uriports.com/tools https://www.mailhardener.com/tools/ |
| TLS-Reporting (TLS-RPT) | https://www.mailhardener.com/tools/tls-rpt-validator |
| BIMI | https://www.mailhardener.com/tools/bimi-validator |
1 DKIM wird in der Orientierungshilfe der Aufsichtsbehörden nur zur Überprüfung eingehender E-Mails genannt. Ein DKIM-Record für die eigene E-Mail-Domain im DNS wird nicht gefordert. Daher haben wir den Test zur Überprüfung des eigenen DKIM-Records bei „weitere Tests“ eingeordnet.