Københavns Universitet har egen Exchange-server, men sender alligevel mails forbi Microsoft i udlandet

Indgående, udgående og interne mails på Københavns Universitet ryger en tur forbi Microsofts servere i udlandet, selvom universitet har egen mailserver on site. Også Aarhus Universitet sender post forbi servere i udlandet.

Whistleblower Edward Snowdens afsløringer af amerikanske myndigheders dataovervågning har blandt andet rejst en diskussion af, hvorvidt europæiske data er sikre i hænderne på amerikanskejede virksomheder eller ej. Danske universiteter har dog ikke noget problem med at sende mails, der principielt kan indeholde følsomme personoplysninger eller andre fortrolige data, forbi Microsoft-servere i udlandet.

Læs også: V: Danske myndigheder skal beskytte databehandlere mod amerikansk pres

Mail-kommunikation til og fra Københavns Universitet bliver eksempelvis sendt en tur forbi et Microsoft-datacenter uden for landet. Også dele af den interne kommunikation bliver ifølge universitetet sendt forbi Microsofts vesteuropæiske datacentre, som ligger i henholdsvis Irland og Holland.

Og i sjældne tilfælde kan kommunikationen i princippet blive sendt forbi servere uden for Europa, oplyser Microsoft.

Mailtrafikken fra Aarhus Universitet bliver ligeledes sendt en tur forbi Microsofts servere uden for landets grænser. Den interne kommunikation på universitetet bliver dog som udgangspunkt ikke sendt til servere i udlandet.

Lektor ved Datalogisk Institut på Københavns Universitet og blogger på Version2 Torben Mogensen er ikke begejstret for, at mails på universitetet konsekvent bliver sendt forbi servere i udlandet.

»Jeg finder det selvfølgelig bekymrende, da mails ind og ud af huset kan indeholde fortrolig og personfølsom information, f.eks. i forbindelse med eksamener, hvor man kommunikerer med eksterne censorer, og i forbindelse med ansættelsessager, hvor man kommunikerer med eksterne medlemmer af ansættelsesudvalg. Min holdning er, at evt. filtrering af post skal ske på en lokal server,« skriver han i en mail.

Københavns Universitet har egen mail-server stående. Forklaringen på, hvorfor trafikken alligevel bliver sendt en tur forbi Microsoft-domænet ku-dk.mail.protection.outlook.com er, at Københavns Universitet anvender en cloud-baseret antispam-løsning fra Microsoft. Derfor bliver mailtrafikken sendt forbi serverne uden for Danmark.

Samme forklaring ligger til grund for, at Aarhus Universitet sender post forbi au-dk.mail.protection.outlook.com, der også skulle levere anti-virus-funktionalitet.

Begge domæner ser ud til at køre forbi IP-adresser i Storbritannien, nærmere bestemt London. Microsoft oplyser, at selvom en Ip-adresse i denne forbindelse måtte se ud til at ligge i eksempelvis London, så finder håndteringen af mails i forbindelse med virksomhedens cloud-baserede anti-spamløsning sted ved datacentrene i enten Irland eller Holland, hvad danske databehandleraftaler angår.

Professor: Mails er at sammenligne med et postkort

Professor og ekspert i kryptologi ved universitetet Ivan Damgård er vendt tilbage med sin egen holdning på en direkte henvendelse fra Version2. Og modsat Torben Mogensen finder Ivan Damgård det som udgangspunkt ikke problematisk, at mails bliver sendt forbi Microsofts servere i udlandet.

»Som tingene ser ud i dag, så er en (ukrypteret) mail sammenligneligt med et postkort. Man har ingen reel kontrol over, hvilke nodes i internettet den kommer forbi, og hvem
der kan have set den. Heller ikke selvom der bliver brugt TLS/SSL undervejs, for mailen vil jo findes i klartekst, mens den lagres temporært undervejs, og det kan ske mange steder,« skriver han i en mail.

Ivan Damgård peger i den forbindelse på, at den eneste måde at sikre mailkommunikation, er ved at bruge end-to-end-kryptering. Altså kryptere mailindhold hos afsender og dekryptere det hos modtager. I privacy-sammenhæng er det underordnet, om mails kommer forbi en server hos Microsoft eller forbi en server et andet sted i verden, påpeger professoren.

»Det her skyldes jo alt sammen, at når du først har bestemt dig til at sende noget på mail, så har du 'solgt din sjæl' til den måde, internettet virker på. Hvis det derimod havde handlet om, at AU lagrede sine interne data ukrypteret på en udenlandsk cloud, se det havde været en helt anden historie! Men mig bekendt er det ikke tilfældet,« skriver Ivan Damgård.

Informationssikkerhedschef på Aarhus Universitet Ole Boulund Knudsen er helt enig i, at mails generelt ikke kan betragtes som et fortroligt medie, medmindre man anvender kryptering.

»En stor del af vores mail-korrespondance foregår i øvrigt fra/til konti hos især Hotmail/Outlook.com, Gmail, eller Yahoo, så megen mail-trafik er i forvejen i kontakt med diverse cloud-løsninger. Det giver os naturligvis ikke fripas til bare at give køb på sikkerheden, men det mener jeg bestemt heller ikke, at vi gør. Jeg er således helt tryg ved den løsning, vi har valgt,« påpeger Ole Boulund Knudsen i en mail.

Argumentet med, at mailkommunikation jo alligevel er usikkert, og at det derfor kan være hip som hap, om det kommer forbi den ene eller den anden server i udlandet, køber Torben Mogensen fra Københavns Universitet ikke.

»Selvom e-mail ikke er 100 procent sikkert, så mindskes sikkerheden for hvert ekstra led, der skydes ind mellem afsender og modtager, specielt hvis disse led ligger geografisk langt fra sender og modtager, da mailen skal routes gennem flere hop,« skriver Torben Mogensen, og tilføjer:

»Det kommer i øvrigt ikke bag på mig, da en kollega på Aarhus Universitet, som før KU skiftede til Outlook, fortalte mig om dette. Så vidt jeg erindrer, blev selv lokale mails sendt forbi Microsofts servere i udlandet.«

Ivan Damgård medgiver, det kan være problematisk, såfremt den interne mail-kommunikation på Aarhus Universitet konsekvent bliver sendt ud af huset:

»Hvis man kan godtgøre, at en bestemt praksis virkelig udsætter data for mere 'exposure' end man behøver, så er det jo altid et problem.«

Ifølge Ole Boulund Knudsen bliver interne mails på Aarhus Universitet - modsat Københavns Universitet - dog som udgangspunkt ikke sendt forbi spamfilteret hos Microsofts servere i udlandet.

»Vi har således vores egne interne mail-servere og anvender Microsoft til filtrering af ind- og udgående post,« skriver Ole Boulund Knudsen.

KU: Ikke noget problem med spamfilter

Henrik Larsen er informationssikkerhedschef på Københavns Universitet. Og ifølge ham bliver dele af den interne mail-kommunikation på KU sendt forbi Microsofts servere i udlandet. Det ser han ikke noget problem i. Som Ivan Damgård fra Aarhus Universitet påpeger også Henrik Larsen, at mails pr. definition ikke er egnet til sikker kommunikation af eksempelvis følsomme personoplysninger.

»Vi har valgt en Europa-løsning hos Microsoft, så mails bliver scannet i Storbritannien og/eller Holland. Og rent undtagelsesvis vil det kunne ske andre steder også. Eksempelvis USA. Men det sker ikke i udgangspunktet,« siger Henrik Larsen og tilføjer:

»Også (dele af, red.) vores interne mails bliver scannet i den løsning. Det er en afvejning. Vil vi risikere, at vi sender vores interne mails udenhus, eller vil vi påtage os selv at vedligeholde et spamfilter? Det er den ledelsesmæssige vurdering, der ligger i det.«

Selvom han mener, at mails ikke bør indeholde følsomme personoplysninger, så kan Henrik Larsen heller ikke afvise, at det alligevel forekommer på Københavns Universitet fra tid til anden.

»Det kan jeg ikke udelukke. Men jeg har givet mine anbefalinger, og vi har vores regler og politikker. Selvom det kun er tilladt at køre 80 km/h på landevejen, så er der jo alligevel nogen, der kører hurtigere.«

Henrik Larsens anbefalinger er, at hvis man sender følsomme data jf. Persondataloven paragraf 8 stk. 1 og paragraf 7 stk. 1 eller mails indeholdende CPR-numre, så skal det ske krypteret.

Paragrafferne omhandler blandt andet håndtering af oplysninger om racemæssige og helbredsmæssige forhold samt oplysninger, der vedrører strafbare forhold og væsentlige sociale problemer.

I den forbindelse påpeger Henrik Larsen også, at der faktisk er en krypteringsløsning på universitetet, der er integreret i Outlook-mailklienten.

»På trods af, at man strammer procedurerne, så sker der smuttere alligevel. Men det er helt klart min anbefaling, at man anvender kryptering. I forbindelse med KU-mail har vi en løsning, der hedder Bluewhale, som er integreret i den Outlook, alle brugere på KU har. Og den kan anvendes af alle,« siger han.

Også Aarhus Universitet har en sikker-mail løsning, som kan bruges til at sende mails i krypteret form, oplyser Ole Boulund Knudsen.

ITU kører med Microsoft Cloud

På IT-Universitetet i København bliver Microsoft også anvendt til mails. Men her er der ikke blot tale om et spamfilter, men om, at blandt andet oplysninger i forbindelse med personaleadministration kan lagres via Microsofts cloud-tjeneste Office 365.

I den forbindelse har universitetet været igennem et større forløb, involverende Datatilsynet, som startede tilbage i 2012, og som tidligere har været omtalt her på Version2.

Læs også: Derfor ruller ITU Office 365 ud, mens Odense venter på Google Apps

ITU har angivet Microsoft som databehandler i forbindelse med to lovpligtige anmeldelser til Datatilsynet.

»I hele den proces, vi var igennem, havde vi et tæt samarbejde med Datatilsynet og Microsoft,« siger it-chef på ITU Henrik Ejby Bidstrup.

Den amerikanske whistleblower Edward Snowdens afsløringer om amerikanske myndigheders overvågning og indsamling af data har blandt andet rejst diskussion om, hvorvidt det er sikkert at opbevare oplysninger hos amerikanske virksomheder. Her har danske politikere blandt andet været bekymrede over udsigten til, at amerikanskejede databehandlere kan blive presset til at udlevere også følsomme personoplysninger om danskere til USA.

Henrik Ejby Bidstrup mener dog, at der godt kan argumenteres for, at data ligger sikrere hos eksempelvis Microsoft end i en kælder på en server på et universitet.

»Det er en stor diskussion. Microsoft er det mest angrebne mål i verden. Så de har en masse sikkerhed bygget op omkring grundstammen i deres løsning. De har musklerne til at have et sikkerhedsniveau, der er stort i forhold til små virksomheder og andre.« siger han og tilføjer:

»Det er ikke en ubetinget sandhed, at bare fordi det er in-house, så er det mere sikkert.«

Hverken Aarhus Universitet eller Københavns Universitet har ifølge en søgning via Datatilsynets hjemmeside anmeldt Microsoft som databehandler i forbindelse med de lovpligtige anmeldelser, universiteterne har indgivet til tilsynet.

Og det er heller ikke nødvendigt, når blot der er tale om mails, der passerer gennem et spamfilter, fortæller Henrik Larsen fra Københavns Universitet.

»Der er forskel på, om mails bliver scannet under transport, eller om man opbevarer dem eksternt. Vores mails bliver opbevaret in-house, og det bliver formodentlig ikke lagt ud nogen steder,« siger han.

Københavns Universitet har dog en databehandleraftale med Microsoft i forhold til spamfilteret, understreger Henrik Larsen. Databehandleraftaler skal dog i udgangspunktet ikke godkendes af Datatilsynet.

En databehandleraftale er en skriftlig aftale mellem en dataansvarlig og en databehandler, fremgår det af Datatilsynets hjemmeside. Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal træffe forskellige tekniske og organisatoriske sikkerhedsforanstaltninger. Foranstaltningerne skal forhindre, at oplysninger:

  • hændeligt eller ulovligt tilintetgøres, fortabes eller forringes.
  • kommer til uvedkommendes kendskab eller misbruges, eller
  • i øvrigt behandles i strid med lov om behandling af personoplysninger.

Microsoft: Vores aftaler overholder dansk lovgivning

Teknologidirektør hos Microsoft Danmark Ole Kjeldsen fortæller, at de mails, der kommer forbi spamfilteret i eksempelvis Dublin, ikke bliver lagret. Det vil sige, at der hverken sker en lagring af mailindhold eller personhenførbare data generelt. Uden at kende de tekniske detaljer i anti-spamløsningen til bunds, vil Ole Kjeldsen dog ikke afvise, at der for at stoppe spam kan ske en lagring af det, han beskriver som signaturer for mails.

Han fortæller desuden, at de databehandleraftaler, Microsoft indgår med kunder, bygger på standardkontrakter, som opfylder bestemmelserne i dansk lovgivning.

»Vi garanterer til enhver tid, at vi behandler vores kunders data efter gældende lovgivning. Det vil sige, at hvis det er en dansk kunde, der har en aftale med os, så er det dansk lovgivning, vi overholder.«

Derudover fortæller han, at data lagret i forbindelse med en databehandleraftale i udgangspunktet befinder sig inden for EU i datacentrene ved Dublin i Irland eller ved Amsterdam i Holland.

Dog kan det principielt ske, at data opbevaret i centrene bevæger sig uden for EU også.

»Men det sker nu absolut meget sjældent. Det skulle være, hvis begge vores datacentre går ned samtidig. Så kan der være behov for at føre data uden for EU, men det er ikke sket indtil videre,« siger Ole Kjeldsen.

Opdateret klokken 09.18 med kommentarer fra informationssikkerhedschef på Aarhus Universitet Ole Boulund Knudsen.

Opdateret klokken 14.45. Informationssikkerhedschef på Københavns Universitet Henrik Larsen er blevet opmærksom på, at det kun er dele af den interne kommunikation på KU, der bliver sendt ud af huset. Det afhænger af, hvorvidt et fakultet er kommet på den fælles mailløsning eller ej. Artiklen er opdateret, så den afspejler dette.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

Rigtig mange kommuner og myndigheder sender og modtager sin email via Microsoft-servere i USA. Skriver man med myndigheder der kommunikerer via USA, så kan man i følge de lækkede dokumenter fra Edward Snowden være 100% sikker på at NSA gemmer kopier af alle mails.

Når det offentlige sender borgernes kommunikation via usikre lande, så krænkes danske borgeres ret til privatliv i kommunikationen med det offentlige. USA er jo om nogen et veldokumenteret unsafe harbor for alt elektronisk kommunikation.

Det burde være forbudt for danske myndigheder at bruge servere i usikre lande som USA, Nordkorea, Kina osv.

  • 24
  • 0
Brian Josefsen

En central anti spam/virus løsning burde være til rådighed på forskningsnettet med servere på DIX og i Århus. Det er til grin hvis ikke de danske uddannelsesinstitutioner kan kommunikere internt uden at sende det over grænserne. Bare se hvor stor trafik besparelsen ville være. Man kunne så ved lov lave en forpligtigelse til at servicere landets gymnasier, handelsskoler etc. hvor der ikke er budgetteret med sikkerhedsfolk.

Det er 2015 for pokker !

/Brian

  • 27
  • 0
Bjarne Nielsen

Jeg er gammel nok til, at jeg kan huske de første diskussioner af borger certifikater. Jeg troede dengang, at det ville give os en mulighed for bruge end-to-end kryptering af vores elektroniske kommunikation, når det engang kom. Både med det offentlige, men sandelig også med hinanden.

Hvor var det dog naivt.

  • 11
  • 0
Bent Jensen

Kryptere alt også E-Mail.

Spørgsmålet er hvordan det gøres så nemt at alle vil bruge det. Men de store web udbyder af mail er nok ikke interesseret i dette, da de så ikke kan læse med, og måske skal bruge mere CPU kraft når de søger gennem mail for at levere reklamer til en. For at det skal lykkes må man starte med finde en fælles standart alle bruge.

Det under mig desuden at det er nødvendigt at scanne mail for virus, det giver bare en falsk trykhed, som man kunne se på fyn.

Strip mail for det meste vedhæftning og formatering, og tillad kun bestemte typer af filer. Som billeder og zip med password, så har vi nemmelig et Postkort. Så skal man "kun" sørge for at enes ud pakke eller billede program sørger for sikkerhed.

  • 0
  • 0
Bent Jensen

Med software og hardware leveret fra en af de store Danske producenter der af !

Vi må snart tilbage til ringlager i stedet for hardiske, der kan det være lidt svært, at lægge en ny firmware ind.

Det er måske tiden hvor vi i Europa må indrømme, som da vi importeret Atomkraft teknologi fra USA, at alt der kommer der fra ikke er svaret. En lidt dyre teknologi, som USA ikke kunne levere, som formeringsreaktor ville have sparet os for en meget stor del af det radioaktive affald. Samt have haft mange andre fordele, (eller undlemper) som at den ikke er god til at lave Atomvåben.

  • 0
  • 3
Klaus Slott

Så vidt jeg er orienteret, koster det ikke KU noget at benytte Microsofts spam filtrering. Det er jo svært at konkurre mod. Man kan jo spekulere på hvorfor, jeg gætter på at det er med i den pakkeløsning som KU skovler penge ud til MS for.

  • 2
  • 0
Bent Jensen

Hvad i alverden har (i Danmark ikke forekommende) kernekraft med sagen at gøre?

Nu har vi nu haft 3 reaktor. Men det kræver meget indsagt og er en meget lang historie. Men kort. Grunden til vi har de reaktorer typer som vi har, er at der er importeret teknologi fra USA, hvor de blev udviklet til at lave materiale til atomvåben. Den 3-4 genration som man burde have bygget civil atomkraft på, bruget mindre brændsel og levere mindre affald. Men det som lå, som billig hyldevarer fra USA var ikke denne type. Rusland brugte og solgte typer generation før, hvor man brugte grafik som moderator. Det kan brænde hvad man også oplevet i England, de have heldigvis brugt penge på et filter som forhindre et meget støre udslip. (det var tænkt på at spare dette væk), da sådan et uheld var næsten utænkeligt. Ja nu bliver det en lang historie, men meget interessant prøv at læse den.

Min "forsøg" med en pointe var. At billige hyldevarer, fra et andet land, med en anden agenda ikke altid er det bedste.

  • 0
  • 4
Bent Jensen

De er for længst blevet pillet ned.

Nej lukket ned, mener at de stadig venter på at kernen blive mere kold. samt der findes et sted at placerer affaldet. Men de kunne snart være færdige, hvis dette var løst.

Dette viser måske også niveau, bredden og viden om debatørene her på V2. Der er ikke alle som er ingenøre, godt for det. Ellers er man det så meget, at men ikke har viden ud over sin faggrænse . Samt mange midt i mellem, samt JS :-)

  • 0
  • 2
Log ind eller Opret konto for at kommentere