Udenlandske servere kan snage i dine e-mails til det offentlige

Skal du sende en e-mail til offentligt ansatte, bliver den ofte sendt til udlandet først for at blive scannet for malware. »Yderst betænkeligt,« mener internetveteran.

E-mails til et væld af ministerier og kommuner kommer på en rejse ud af Danmark, før de lander i indbakken hos modtageren.

Fordi mange offentlige kunder bruger udenlandske tjenester til for eksempel at scanne e-mails for malware, vil en e-mail til disse myndigheder som det første blive dirigeret til en server i udlandet, typisk Holland, England og USA.

Det viser en analyse af, hvilke mail exchanges (MX), der er tilknyttet domænerne i den offentlige sektor. Sender man for eksempel en e-mail til en ansat i Sundhedsministeriet, vil første stop være en Microsoft-server i staten Washington i USA.

På samme måde vil e-mail til mange af landets kommuner tage turen forbi udenlandske servere, og det er et problem. Internettrafik over landegrænser bliver nemlig i stigende grad overvåget, som for eksempel Sveriges efterretningstjeneste har gjort i halvandet år nu, lyder det fra Version2-læseren, der står bag analysen, men som gerne vil være anonym.

Samme vurdering kommer fra Peter Larsen, direktør for Larsen Data, der har arbejdet professionelt med e-mail og domæner siden 1998.

»Det finder jeg yderst betænkeligt. Man finder en tjeneste i udlandet, fordi det er billigere, men offentlige myndigheder bør så vidt muligt holde data inden for landets grænser. Min indre stemmer råber, at det er forkert at bruge udenlandske leverandører, når man godt kan finde det samme herhjemme,« siger han til Version2.

I en gennemgang af landets kommuner, som Version2 er kommer i besiddelse af, viste det sig, at 23 ud af 98 kommuner fik sendt e-mail ud af landet som standard. En hel stribe ministerier og styrelser, som Beskæftigelsesministeriet og Sundhedsministeriet, lader også e-mailen tage en tur til udlandet, mens Folketinget og Domstolsstyrelsen indtil for nyligt brugte en tjeneste, der holdt til i USA.

Læs også: Kommune: Vi sparer penge ved at virustjekke e-mails i udlandet

Ikke sikker kommunikation

E-mails er som udgangspunkt ikke betragtet som en sikker kommunikationsform, og offentlige myndigheder må derfor ikke sende for eksempel fortrolige oplysninger om en borger via e-mail, med mindre den bliver krypteret, hvilket sker meget sjældent.

Når en e-mail sendes til udlandet, før den havner i den egentlige mailserver, er formålet i langt de fleste tilfælde at få scannet alle e-mails for malware. Den tjeneste, der oftest betyder en udenlandstur for de danske e-mails, er Symantecs Messagelabs, som bruger tre datacentre i Europa til at behandle e-mails fra danske kunder.

»Vi overholder lovgivningen om datacentre i EU, og vi opbevarer ikke mails, men sender dem videre til mailserveren efter scanningen,« siger Peter Schjøtt, sikkerhedsekspert fra Symantec, til Version2.

Det er også muligt for kunderne at få krypteret forbindelsen mellem datacentrene og den hjemlige mailserver, men det vælger de færreste, forklarer han.

Han peger også på, at selvom e-mails fra en dansk afsender kun blev behandlet af servere i Danmark, kunne disse data også sagtens have taget en omvej på internettet og altså have passeret landegrænserne alligevel.

»Du ved ikke, hvilken vej data kører på internettet. Sender du fra en dansk by til en anden dansk by, vil disse data sandsynligvis blive i Danmark - men du kan aldrig være sikker. Så skal du bruge kryptering hele vejen, hvis du vil være sikker,« siger Peter Schjøtt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjørn Damborg Froberg

Email er som udgangspunkt lige så sikkert som et postkort. Man bruger kryptering hvis man ønsker at sikre informationerne. Om min kommune bruger en mail scanning tjeneste i udlandet er, for mig, larmende ligegyldigt - da informationen alligevel skal krypteres hvis jeg sender noget følsomt.

  • 7
  • 0
#2 Anonym

Ja og desuden har man mulighed for at sende beskeder via e-boks til sin kommune.

Kommunerne må ikke svare tilbage på mails der indeholder personfølsomme data, netop fordi at e-mail er at betragte som post kort. Det skal foregå via e-boks.

  • 2
  • 1
#5 Jesper Lund

Kryptering af mails (i afsenderens mail klient) vil kun gælde indholdet, ikke identiteten på afsenderen og modtageren af mail beskeden. Cloud-AV udbyderen (eller NSA hvis det er en amerikansk udbyder) vil have adgang til denne information, og hvis mange virksomheder og offentlige institutioner bruger den samme cloud-AV udbyder, vil denne udbyder kunne opbygge profiler over den enkelte borgers kontaktflade, i stil med hvad Facebook eller Google/Gmail kan (selv for dem som ikke bruger Gmail direkte).

  • 2
  • 0
#6 Knud Larsen

Det er da meget værre at bankerne outsourcer al IT til udlandet. Det åbner jo op for let adgang til følsomme og dyre oplysninger! email er jo bare åbne postkort og det er jo også ret tilfældigt havd der stopper det i de såkaldte spamchecks. I går fik jeg stoppet en mail til mig selv!

  • 0
  • 0
Log ind eller Opret konto for at kommentere