Australische Premierministerin lässt Webmail-Dienste blockieren

Das Amt der australischen Premierministerin Julia Gillard und des Regierungskabinetts will den Zugriff seiner Mitarbeiter auf Webmail-Dienste wie Google Mail und Windows Live Hotmail ab 1. Juli blockieren. Damit reagiert das Amt auf eine Empfehlung des australischen Bundesrechnungshofs, der diese Dienste als Sicherheitsrisiken eingestuft hat.

Der oberste Rechnungsprüfer Ian McPhee hatte in einem Bericht zur Informationssicherheit von Regierungsbehörden empfohlen, „dass die Behörden ihren Mitarbeitern nicht erlauben sollten, E-Mails über webbasierte Dienste auf den IT-Systemen der Behörden zu senden und zu empfangen“. Als Beispiele für solche Dienste hob er explizit Windows Live Hotmail und Google Mail heraus. Das Problem sei, dass diese Dienste „einen leicht erreichbaren Zugangspunkt für Angriffe von außen“ darstellten. Abteilungen und Behörden müssten mit der Möglichkeit einer „absichtlichen oder unabsichtlichen Weitergabe von Informationen“ rechnen.

McPhee hatte nicht nur die Dienststellen der Regierung, das Department of Prime Minister and Cabinet (PMC), wegen ihrer IT-Sicherheit unter die Lupe genommen. Auch das Gesundheitsministerium Medicare Australia, die Verwaltung ComSuper und die Haushaltsbehörde Australian Office of Financial Management wurden kontrolliert.

Beim PMC fanden die Rechnungsprüfer heraus, dass Webmail-Konten für alle Mitarbeiter zugänglich waren. Laut den Logdateien wurden sie auch „regelmäßig genutzt“. Man habe über eine Million Zugriffe in der zweimonatigen Prüfungsperiode beim PMC registriert.

Falls es notwendig sei, Webmail-Dienste zu nutzen, empfahlen die Prüfer, eine Art „Internet-Café“ für die Mitarbeiter in den Behörden einzurichten. Gemeint war damit ein einzelner, vom übrigen Netzwerk getrennter Rechner, der bei Bedarf Zugriff auf die gewünschten Dienste bietet.

Das PMC reagierte auf die Empfehlungen des Rechnungshofs mit der Ankündigung, den Zugriff auf die Webmail-Plattformen zu blockieren. „Die derzeitigen Einrichtungen für webbasierte E-Mail-Dienste werden ab dem 1. Juli 2011 eingestellt“, schrieb die Behörde. „Der Zugriff auf die webbasierten E-Mail-Dienste wurde als Reaktion auf die Anforderungen der Behördenarbeit eingerichtet. Außerdem gab es Kontrollmaßnahmen. Wir nehmen aber zur Kenntnis, dass sich die Bedrohungen und die Risikoeinschätzung geändert haben. Deshalb wird es keinen Zugriff mehr von Systemen der Behörde aus geben.“

Neben der Kritik an der Webmail-Nutzung gab es auch Lob für die Behörden von Rechnungsprüfer McPhee. Im Großen und Ganzen habe man die Sicherheitsvorschriften gut umgesetzt. „Die Behörden haben einen Sicherheitsrahmen eingerichtet. Es gibt Kontrollinstrumente, um Informationen und die Netzwerkinfrastruktur zu schützen wie auch unerlaubte Zugriffe auf Informationen zu verhindern und zu melden. Schließlich gibt es Überwachungsmaßnahmen, die Verluste und Schäden bei den IT-Ressourcen oder deren Kompromittierung verringern.“ Allerdings sehe er auf manchen Gebieten wie der Passwortsicherheit und der regelmäßigen Aktualisierung von Software noch Verbesserungspotential.