mail.de erfüllt BSI Richtlinie "Sicherer E-Mail-Transport"
14:44 Uhr Verfasst von Michael Kliewe
Das BSI will für mehr Transparenz und Sicherheit bei der E-Mail-Kommunikation sorgen, was wir sehr begrüßen. Im Laufe der letzten Monate ist die "Technische Richtlinie TR-03108 Sicherer E-Mail-Transport" erarbeitet worden, um E-Mail-Anbieter anhand technischer Kriterien testen und auch zertifizieren zu können.
Wir haben bei der Erarbeitung und Verabschiedung dieser Richtlinie mitgearbeitet und dazu beigetragen, einen hohen Mindeststandard festzulegen. Wir erfüllen bereits heute schon alle Kriterien der Richtlinie, um als "Sicherer E-Mail-Transport"-Anbieter zu gelten. Um ein Zertifikat bzw. die Bezeichnung offiziell verwenden zu dürfen, müssen wir eine Zertifizierung durchlaufen. Doch dazu weiter unten mehr.
Das BSI hat, in Zusammenarbeit mit vielen namenhaften E-Mail-Anbietern, im Laufe einiger Treffen und Feedbackrunden eine Technische Richtlinie für E-Mail-Anbieter entworfen, die hauptsächlich auf 4 Säulen basiert:
- vertrauenswürdige Zertifikate
- sichere Kryptographie
- DNSSEC und
- DANE/TLSA
Zusammen mit einem Sicherheitskonzept nach dem Telekommunikationsgesetz oder einer Zertifizierung nach ISO27001 und den Datenschutzanforderungen aus dem Bundesdatenschutzgesetz kann ein E-Mail-Anbieter diese Technische Richtlinie erfüllen.
Dies sind natürlich nicht nur einige Worte, die schnell gesagt sind. Dahinter stecken größere Brocken an Gesetzen, Verschlüsselungsalgorithmen, moderne Infrastrukturen, datenschutzkonforme Prozesse usw.
Im Laufe der Erarbeitung in der Arbeitsgruppe ("AG TR Sicherer E-Mail Transport") war zuerst vorgesehen, DNSSEC+DANE nur "erwünscht", und nicht "verpflichtend" zu machen. Das allerdings hätte zu einem recht niedrigen Anforderungslevel geführt und nahezu jeder E-Mail-Anbieter hätte die Technische Richtlinie erfüllen können ohne sich anzustrengen. Erst beim letzten Treffen in Bonn am 12.04.2016, bei dem wir auch mit 2 Mitarbeitern vor Ort waren, konnten wir diese beiden Punkte "verpflichtend" machen. Die Richtlinie wird dafür sorgen, dass mehr Anbieter DNSSEC+DANE unterstützen. Ein Schritt in die richtige Richtung.
Wir setzen von vorn herein auf DNSSEC+DANE (siehe DANE-Test), nutzen natürlich moderne Zertifikate (EV-Zertifikate, u.a. am grünen Balken im Browser zu erkennen) und unsere Mailserver sind mit den aktuellsten SSL-Einstellungen konfiguriert (siehe A+ im SSL-Test). Ebenfalls erforderlich laut Richtlinie ist beispielsweise, den Kunden bei E-Mails anzuzeigen, ob eine E-Mail beim Versand verschlüsselt transportiert wird. All das unterstützen wir bereits seit längerem, und erfüllen damit alle Kriterien der neuen Technischen Richtlinie.
Aber da ist noch das Thema Zertifizierung. Das BSI muss E-Mail-Anbieter prüfen, die sich nach "TR 03108 - Sicherer E-Mail-Transport" zertifizieren lassen möchten. Einige technische Kriterien können automatisch geprüft werden, dazu wurde eine Technische Spezifikation auf 33 Seiten, mit 46 Testfällen, ausgearbeitet. Dazu kommen aber noch diverse manuelle Prüfungen, die von einem zertifizierten Auditor vor Ort durchgeführt werden. Am Ende entsteht ein langer Prüfbericht. Diese Zertifizierung wird voraussichtlich viel Geld kosten. Das stellt für Internetriesen keine Herausforderung dar, ist aber für kleinere E-Mail-Anbieter viel Geld, um am Ende das offizielle Zertifikatslogo auf der Webseite verwenden zu dürfen. Auch wir sind uns noch nicht sicher, ob wir so viel Geld dafür ausgeben möchten, nur damit jemand aufwändig prüft, was jeder Interessierte bereits jetzt bei uns prüfen kann. Für ein kleines Zertifikat auf der Webseite einen (wahrscheinlich) fünfstelligen Betrag zu zahlen erscheint uns nicht unbedingt sinnvoll. Wir werden abwarten, was eine Zertifizierung kosten wird und hoffen, dass sich die Richtlinie verbreitet sowie sich möglicht viele weitere E-Mail-Anbieter an den hohen Maßstäben messen lassen.
Wenn Sie Fragen zu unseren Sicherheitsvorkehrungen haben, kontaktieren Sie uns gern per Telefon oder E-Mail: info@mail.de
