Newsletter Tools: ist es nach den Datenschutzskandalen noch sicher, meine Daten dort zu speichern?

30.09.2013 10:03

Dieser Artikel zeigt Ihnen, was die E-Mail Marketing Tools selbst zur Sicherheitssituation zu sagen haben und wo sie sich verbessern könnten. Neben vier deutschen Anbietern, die größtenteils sehr offen und detailliert antworteten, befragten wir auch ein amerikanisches Unternehmen. Mit seinen ungenauen Antworten warf dieses allerdings gleichzeitig auch neue Fragen auf.

datensicherheit

Die Frage der Datensicherheit ist aktuell präsenter denn je. Edward Snowden veröffentlichte vor wenigen Monaten, was viele zwar geahnt hatten, aber in diesen Auswüchsen nicht für möglich hielten. Beinahe der komplette Internetdatenfluss, der über die USA oder auch Großbritannien läuft, wird durch Prism oder Tempora überwacht.

Scheinbar installiert die US-Sicherheitsbehörde NSA bei bestimmten Internet-Providern sogar direkt Ihre eigenen Server-Boxen, mit denen sie die Daten dann absaugen können.

 

Was bedeutet das nun für ein Unternehmen, das E-Mail Marketing mit einem Tool macht, das seine Daten extern oder gar im Ausland hostet?

Speichert der Anbieter seine Daten in den USA, so ist grundsätzlich davon auszugehen, dass ein erhöhtes Risiko der Abschöpfung von Nutzerdaten durch US-Geheimdienste gegeben ist. Das ist erstmal sehr unangenehm, tut aber noch nicht wirklich weh. Etwas anderes ist es freilich, wenn diese Daten zur Verwendung für Industriespionage abgezweigt werden, was laut jüngsten Berichten scheinbar auch tatsächlich gemacht wird. 

Die viel wichtigere Frage ist allerdings, wie gut die Server der externen Dienstleister gegen Hacking-Angriffe aller Art gesichert sind. Denn das ist für die Vielzahl der Unternehmen eine brennendere Frage als der Zugriff durch Geheimdienste. Erfreulicherweise waren die deutschen Anbieter sehr offen, wie Sie in unserer Umfrage weiter unten lesen können.

Wie kann man sich vor Datenklau schützen?

Sobald Ihre Daten übers Internet erreichbar sind, verlieren Sie leider auch ein Stück weit die Kontrolle darüber. Deswegen ist es natürlich ratsam, dass Sie hochsensible Daten erst gar nicht über das Web zugänglich machen. Für jene Daten, die Sie bewusst einem Dienstleister anvertrauen, sollten Sie im Bilde darüber sein, welche Sicherheitsmaßnahmen dieser nutzt und in welchem Land er die Daten aufbewahrt.

Aus diesem Grunde haben wir uns direkt bei den Anbietern von Newsletter Tools schlau gemacht. Fünf von sechs Anbietern haben uns teilweise mehr, teilweise weniger ausführlich geantwortet. Hier sind die Resultate:
 

Frage 1: In welchem Land werden die Nutzerdaten gespeichert?

CleverReach: Deutschland und Irland (ausschließlich EU)

MailChimp: keine direkte Antwort auf die Frage, auch nicht auf eine konkrete Rückfrage. Da das Unternehmen in den USA sitzt, ist wohl davon auszugehen, dass dort auch die Daten gespeichert werden.

Newsletter2Go: Deutschland

Rapidmail: Deutschland

Clever Elements: Deutschland

 

Frage 2: Nutzen Sie eigene oder externe Server?

CleverReach: Externe Server

MailChimp: keine Antwort

Newsletter2Go: Externe Server

Rapidmail: Externe Server

Clever Elements: Externe Server von Netways

 

Frage 3: Was tun Sie bzw. der Dienstleister gegen Hacking-Versuche?

CleverReach: “Wir aktualisieren und warten regelmäßig unsere Systeme, um hohe Stabilität, Performance und maximale Sicherheit zu gewährleisten. Zudem ermutigen wir unsere Kunden dazu, mit den Zugangsdaten ihrer Accounts sicher umzugehen und das Passwort hin und wieder zu wechseln.

Wir nutzen erstklassige, überaus sichere Rechenzentren, die mit hochmoderner elektronischer Überwachung und Multifaktor-Zugriffskontrollsystemen arbeiten. Ein TÜV-geprüftes Informations-Sicherheits-Management-System gewährleistet hervorragende Datensicherheit und eine einwandfreie Einhaltung des Datenschutzes.

Unsere Rechenzentren haben sich unabhängigen Zertifizierungen und Überprüfungen unterzogen. Sie haben die DIN ISO/IEC 27001-Zertifizierung erhalten und wurde für den Datensicherheitsstandard der Kreditkartenbranche (DSS/PCI) als Level 1 Service-Anbieter bestätigt. Zudem unterziehen Sie sich jährlich SOC 1-Überprüfungen und wurden erfolgreich auf der Stufe ‘Moderate’ für US-Behördensysteme und auf der DIACAP-Stufe 2 für DoD-Systeme bestätigt.

Bezüglich des Datenschutzes und der IT-Sicherheit werden wir übrigens von unserem Partner datenschutz nord GmbH beraten."

MailChimp (Originalantwort auf Englisch):

“Our system has gone through a successful SOC II audit of our security controls and procedures. We are happy to release the full audit report to any organization that reaches out to us and signs an NDA. We do take the protection of our user’s data seriously and have established multiple levels of testing to ensure the integrity of our system. We conduct independent penetration tests on a quarterly basis. These testers attempt to gain unauthorized access to our systems and also include some type of social engineering. All MailChimp employees have undergone extensive background checks before joining the company. We also provide on-going training to our staff on new risks to monitor in their day-to-day company activities. 

We also offer our users extra security options such as AlterEgo, a 2-factor authentication application to access your MailChimp account, as well as account alerts. One can read more about our security measures at: http://mailchimp.com/about/security/

While we respect this response isn't directly what you were hoping for, we hope that you still find it to be insightful.”

Newsletter2Go: “Zunächst einmal wird der Login-Bereich temporär gesperrt, wenn zu viele (ungültige) Passwort-Eingaben in einer bestimmten Zeit durchgeführt werden.

Weiterhin sorgt eine Firewall dafür, dass zu viele unautorisierte Zugriffe auf unsere Server von vornherein geblockt werden, sodass auch DoS-Attacken erfolglos bleiben.

Parallel sorgt ein automatisiertes Access-Monitoring dafür, dass bei Auffälligkeiten bei den Server-Zugriffen unser IT-Team direkt benachrichtigt wird und somit sofort Gegenmaßnahmen einleiten kann.”

Rapidmail: “Die Server werden durch ständige Updates auf dem neusten Stand gehalten.”

Clever Elements: “Netways übernimmt für uns die kompletten Managed Serviceleistungen unserer dort stationierten Server. Für die Absicherung unserer Systeme und Infrastruktur setzen wir auf einen der Marktführer im Firewall-Bereich: Juniper. Genau wie alle Systeme die wir einsetzen, ist die Hardware hier ebenfalls redundant in einem Firewall-Cluster ausgelegt. Da sich die Systeme selbst überwachen, wird im Falle eines Ausfalls von einem der Firewall-Systeme innerhalb weniger Sekunden die andere Firewall aktiviert und für den gesamten Traffic genutzt. Hierdurch stellen wir eine stetige Verfügbarkeit der Firewall sicher und aufgrund der geringen Reaktionszeit, macht sich diese Umstellung im Live-Betrieb kaum bemerkbar.

Sämtliche Server und somit sämtliche Aktivitäten auf unseren Servern werden 24/7 redundant überwacht. Die neusten Sicherheitsmechanismen und Verschlüsselungstechniken garantieren optimalen Schutz unserer Applikation. Sobald Sicherheitsprobleme auftreten oder aus anderen Gründen Patches für unser Systeme veröffentlicht werden, testen wir diese in unseren Testumgebungen und deployen sie dann auf unser Produktivsystem. Dabei setzen wir besonders auf proaktive Lösungen, um Probleme bereits vor dem Eintreten zu erkennen und ohne spürbare Folgen zu beseitigen. Proaktive Serverwartung beginnt zum Beispiel bei automatisiertem Monitoring aller Server, Dienste und aktiver Netzwerkkomponenten wie Router und Switches, die sich in unserem Netzwerk befinden.”

 

Frage 4: Wir hören von manchen Kunden, dass die IT-Abteilung darauf besteht die Daten selbst zu hosten. Ist das wirklich sicherer?

CleverReach: „’Schuster, bleib bei deinem Leisten’ sage ich immer. Was wir gut können ist die Entwicklung unserer Software. Das Rechenzentrum ist darauf spezialisiert Daten sicher zu speichern, denn sie machen nichts anderes. Meiner Meinung nach, sind die Sicherheitsmaßnahmen in einem gut ausgewählten externen Rechenzentrum um ein vielfaches höher, als wenn man die Daten selber hostet."

MailChimp: Diese Frage wurde leider ebenfalls nicht beantwortet.

Newsletter2Go: “Sicherer als bei Newsletter2Go können Ihre Daten nur sein, wenn diese gar nicht über das Internet erreichbar sind. Ansonsten können Sie sich darauf verlassen, dass Ihre Daten bei uns in den allerbesten Händen sind. Durch unsere sichere IT-Infrastruktur und unser kompetentes IT-Team kommt kein Unbefugter an Ihre Daten heran.”

Rapidmail: “Das hängt von der IT Abteilung ab. Generell ist es ratsam, Serverspezialisten zur Verwaltung der Server zu haben, da sonst Risiken entstehen.”

Clever Elements: “Wir investieren jeden Monat einen großen Anteil unseres Umsatzes in den gesamten Server-Bereich. Alleine 12 Mitarbeiter sind für den laufenden Betrieb und die Sicherheit sämtlicher Clever Elements Server verantwortlich. Einige davon 24/7. Wir sind der Meinung, dass ein derart professionelles, spezialisiertes und sicheres Servermanagement allenfalls von Großunternehmen gestemmt werden kann.”
 

Hinweis: bei der Befragung haben wir uns auf jene Tools beschränkt, die wir bereits ausführlich getestet haben. Auch Benchmark Email bekam den Fragebogen, hat allerdings bis heute nicht darauf geantwortet. Falls Sie selbst für ein Newsletter Tool arbeiten und uns mitteilen möchten, welche Sicherheitsmaßnahmen Sie verwenden, können Sie uns dies gerne in den Kommentaren mitteilen!

 

Fazit

Was bedeutet das alles? Zunächst einmal werden Sie eine 100%ige Sicherheit nie erreichen. Selbst wenn Sie die Daten ausschließlich in Ihrem Unternehmen aufbewahren, wird es normalerweise immer verschiedene Leute geben, die auf diese Daten zugreifen können. Genau das reicht bereits aus, dass sich ein Datenklau ereignen kann, wie zuletzt bei Vodafone. Letztendlich war das ja auch genau diese Sicherheitslücke, die Edward Snowden die Chance gab, selbst NSA-Daten abzuzweigen und zu veröffentlichen.

Generell würden wir dazu raten, einen E-Mail Anbieter zu wählen, der seine Daten in Deutschland oder zumindest innerhalb der EU speichert.

google autheticatorDer US-Anbieter MailChimp baut durch seine verschwiegene Haltung nicht unbedingt viel Vertrauen auf. Was die Amerikaner aber wirklich gut machen, ist die 2-Step Authentication. Diese sorgt dafür, dass man sich in den Account nur einloggen kann, wenn man einen Sicherheitscode hat, der auf einer mobilen Smartphone App z.B über Google Authenticator generiert wird. Das schützt zwar nicht vor der NSA, wohl aber vor Hacking-Angriffen auf schwache Passwörter. Es wäre schön, wenn die deutschen Dienste diesbezüglich nachziehen könnten.

Ansonsten können wir den Anbietern nur zustimmen, wenn sie sagen “Schuster bleib bei deinen Leisten!”. Wer nicht zufällig Server- und Datenbankspezialisten im Hause hat, der ist in aller Regel bei einem spezialisierten Dienstleister besser aufgehoben.

 

Falls Sie noch Fragen oder Feedback zu diesem Artikel haben, hinterlassen Sie bitte einen Kommentar!

Image: © NLshop - Fotolia.com
blog comments powered by Disqus