| Sicherheits-Zertifizierung

Bundesamt für Sicherheit in der Informationstechnik will E-Mails sicherer machen

Datensicherheit von E-Mail-Provider sollen künftig zertifiziert werden
Bild: MEV Verlag GmbH, Germany

E-Mail-Verkehr kann zum Datensicherheits-Leck werden: Per Mail werden jede Menge Informationen, darunter auch vertrauliche Daten, ausgetauscht, doch um Datenschutz und Sicherheit auf diesem Übertragungskanal ist es meistens nicht gut bestellt. E-Mail-Provider sollen sich daher künftig zertifizieren lassen können, wenn ihre Dienste besonderen Sicherheitsanforderungen entsprechen.

Die Sensibilität für Überwachungsgefahren und Hackerprobleme steigt und damit auch die Nachfrage nach sicheren E-Mail-Lösungen. Etliche Anbieter haben bereits begonnen, zusätzliche Sicherheitsmaßnahmen einzubauen, doch fehlt es bislang an Transparenz, um die verbesserten Angebote zu erkennen.

BSI macht verbindliche Vorgaben

Hier will jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) tätig werden und hat deshalb  verbindliche Vorgaben in einer neuen Richtlinie zusammengestellt, die als Grundlage für eine künftige Zertifizierung dienen soll.

Mehr Transparenz für Anwender

Über diese Zertifikate sollen Internetnutzer demnächst einfacher als bisher erkennen können, ob ein E-Mail-Dienst eine sichere Übertragungstechnik verwendet.  Die Zertifikate sollen dann vergeben werden, wenn ein Dienstleister bestimmte Anforderungen erfüllt und dem ihm damit die Einhaltung eines definierten Sicherheitsniveaus bescheinigt werden kann. Einen ersten Entwurf der Technischen Richtlinie Sicherer E-Mail-Transport hat das BSI nun unter der Kennung BSI TR-03108 veröffentlicht.

Anforderungen an die Anbieter

In dieser Richtlinie sind etwa Vorgaben im Hinblick auf folgende Sicherheitsaspekte enthalten:

 

  • Gesicherte DNS-Abfragen per DNSSEC
  • Obligatorische Verschlüsselung bei der Übertragung zwischen den Mail-Servern der beteiligten Provider (DANE)
  • Sichere Kryptographieverfahren
  • Vertrauenswürdige TLS-Zertifikate

Ein auf diesen Bausteinen basierendes Sicherheitskonzept sollen die E-Mail-Provider selbständig erstellen und umsetzen, und sich dann bei einer derzeit noch nicht näher benannten Stelle zertifizieren können.

Erste Anbieter verbessern die Sicherheit bereits

Mit United Internet hat bereits einer der führenden E-Mail-Provider hierzulande eine Erweiterung der Sicherheitsfunktionen angekündigt bzw. bereits umgesetzt.

  • So steht allen Nutzern der E-Mail-Dienste GMX und Web.de seit kurzem die Ende-zu-Ende-Verschlüsselung mit PGP zur Verfügung.
  • Voraussetzung ist hierfür allerdings die Nutzung des Web-Zugangs und die Verwendung der Browser Firefox oder Chrome bzw. der Einsatz der jeweiligen Apps auf Mobilgeräten.

Darüber hinaus will das Unternehmen künftig auch die vom BSI für das Zertifikat geforderten Sicherheitstechniken DNSSEC und DANE verwenden.

Vgl. zu dem Thema auch:

Dienstliche Mails meist unverschlüsselt

keine unverschlüsselte E-Mail-Übertragung an Behörde

18 Millionen gestohlene E-Mail-Konten

Schlagworte zum Thema:  E-Mail, E-Mail-Sicherheit, Zertifizierung, Datenschutz, Bundesamt für Sicherheit in der Informationstechnik (BSI)

Aktuell

Meistgelesen