Bundesamt für Sicherheit in der Informationstechnik

M 2.123 Auswahl eines Groupware- oder Mailproviders

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Vor der Auswahl eines Groupware- oder Mailproviders sollten sich die Verantwortlichen über die beim Provider geltenden Regelungen informieren, beispielsweise ob und wie lange Vorgänge und Kommunikationsdaten archiviert werden, ob es Obergrenzen für den Umfang von E-Mails beim Empfang oder Versand gibt, ob E-Mails gefiltert werden, und wenn ja, nach welchen Regeln.

Institutionen nehmen Dienstleistungen von Groupware- oder Mailprovidern in Anspruch, wenn sie auf den Aufbau und Wartung eigener Systeme verzichten wollen oder eigene Systeme flexibler gestalten wollen. Daneben gibt es neben der Komplett-Auslagerung von Groupware-Diensten auch die Möglichkeit, einzelne Dienstleistungen von Groupware-Providern zu nutzen, die im Internet angeboten werden, um die Arbeit in Teams oder unterwegs zu erleichtern, wie Web-Mail-Dienste und Gruppen-Terminkalender. Viele Mitarbeiter benutzen solche Dienste auch privat. Daher muss hier allen Mitarbeitern klar sein, dass sie dienstlich nur von ihrer Institution freigegebene externe Groupware-Dienste benutzen dürfen. Generell muss für alle Mitarbeiter verständlich geregelt sein, was sie bei der Nutzung von externen Groupware-Diensten beachten müssen.

Die Institution sollte vorab klären, welche Sicherheitsmechanismen beim Groupware- oder Mailprovider umgesetzt werden und ob damit die internen Sicherheitsanforderungen erfüllt werden. Die Sicherheitsverantwortlichen sollten sich überzeugen, dass beim Groupware- oder Mailprovider deren Server sicher betrieben werden, also die in M 5.56 Sicherer Betrieb eines Mailservers beschriebenen Anforderungen erfüllt sind.

Beim Provider sind Daten über die Benutzer für Abrechnungszwecke gespeichert (Name, Adresse, Benutzer-Kennung, Bankverbindung) ebenso wie Verbindungsdaten und für eine je nach Provider kürzere oder längere Zeitspanne auch die übertragenen Inhalte.

Die Anwender sollten sich bei ihrem Groupware- oder Mailprovider erkundigen, welche Daten wie lange über sie gespeichert werden. Bei der Auswahl von Providern sollte berücksichtigt werden, dass deutsche Betreiber den einschlägigen datenschutzrechtlichen Regelungen für die Verarbeitung dieser Daten unterliegen.

Bei E-Mail können die Benutzer durch den Einsatz von Verschlüsselung verhindern, dass der Provider die Inhalte der übertragenen Informationen mitlesen kann. Bei anderen Groupware-Diensten wie Adressbüchern oder Kalendern ist dies meist nicht möglich, daher sollten sich Anwender vor der Nutzung solcher Dienste informieren, wie hierbei die Daten vor unberechtigten Zugriffen abgeschirmt werden.

Große Provider mit großem eigenem Netz haben den Vorteil, dass E-Mails oder andere Informationen, die nur innerhalb dieses Netzes ausgetauscht werden, sicherer vor Manipulationen ist als bei Weiterleitung über das Internet.

Bei Providern, die ihren Hauptsitz im Ausland haben, werden häufig auch alle E-Mails und andere Informationen über dieses Land geroutet. Dieser Punkt sollte berücksichtigt werden, wenn man sich Gedanken darüber macht, über wie viele Gateways die Informationen weiterverteilt werden, also wer sie beispielsweise mitlesen kann.

Prüffragen:

  • Ist sichergestellt, dass alle erforderlichen Sicherheitsmechanismen beim Groupware- oder Mailprovider umgesetzt werden?

  • Ist allen Mitarbeitern bekannt, was bei der Nutzung von externen Groupware-Diensten, z. B. Web-Mail-Diensten, zu beachten ist?

Stand: 13. EL Stand 2013