BSI entwickelt neues Zertifizierungsverfahren für E-Mail-Anbieter
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein neues Zertifizierungsverfahren für E-Mail-Anbieter entwickelt. Dieses Verfahren basiert auf der aktualisierten technischen Richtlinie „Sicherer E-Mail-Transport“ in der Version 2.0. Ein wesentlicher Bestandteil des Verfahrens ist die Testspezifikation TR 03108-P. E-Mail-Provider müssen ein Sicherheitskonzept erstellen und umsetzen, das auf dieser Richtlinie basiert, um die Zertifizierung zu erhalten. Zusätzlich gibt es weitere technische Vorgaben für die Kommunikationssysteme des E-Mail-Anbieters.
Das Ziel der TR-03108 ist es, die Sicherheit und Akzeptanz von E-Mail-Kommunikation zu verbessern und den bestmöglichen Schutz der Bürger in der digitalen Kommunikation sicherzustellen. Die Vorgaben sollen sicherstellen, dass beim Versenden von E-Mails ein Maximum an Vertraulichkeit und Integrität gewährleistet wird, um Spionage und Manipulation, wie zum Beispiel Man-in-the-Middle-Angriffe (MITM), zu verhindern.
Gemäß der TR-03108 ist es erforderlich, dass die sendende Seite DNS-Auflösungsserver verwendet, die die Sicherheitsstandards DNSSEC beherrschen. Durch die Signierung der DNS-Zone der Empfängerdomain können MITM-Attacken erkannt werden, und manipulierte DNS-Antworten werden unterdrückt. Das BSI empfiehlt außerdem die Verwendung des IETF-Standards DNS-based Authentication of Named Entities (DANE), der einen effektiven und skalierbaren Schutz vor MITM-Angriffen bietet und daher für die Einhaltung der TR-03108 unbedingt erforderlich ist.
In der Version 2.0 der Richtlinie wird optional auch die DANE-Alternative MTA-STS (Mail Transfer Agent-Strict Transport Security) vom BSI unterstützt. Dieser Standard ermöglicht die Verifizierung der TLS-Verbindung für jede an einen Provider gesendete E-Mail. MTA-STS bietet jedoch keine zusätzliche zuverlässige Identifizierung des Kommunikationspartners im Vergleich zur Verschlüsselung und regelmäßigen Überprüfung der Empfängerdomäne. Daher ist die Verwendung von MTA-STS nicht verpflichtend, aber dennoch eine Option.
E-Mail-Provider müssen ihre Konformität zur TR-03108 nachweisen, um die Zertifizierung nach dem neuen Verfahren zu erhalten. Im August hat das BSI erstmals die Firma OpenSource Security als Prüflabor für die Zertifizierung von E-Mail-Providern nach dem neuen Verfahren anerkannt. Nach der Feststellung der Konformität führt das BSI die eigentliche Zertifizierung durch, deren Bescheinigung eine Gültigkeitsdauer von fünf Jahren hat.
Darüber hinaus haben auch andere Institutionen und Unternehmen die Möglichkeit, beim BSI einen Antrag auf Anerkennung als Prüfstelle einzureichen. Dazu müssen sie unter anderem eine Matrix zur Kompetenzbewertung bereitstellen.
BSI-Präsidentin Claudia Plattner zeigt sich erfreut, den Nutzern eine praktische Orientierungshilfe zur Verfügung stellen zu können, um einen sicheren E-Mail-Dienst zu finden. Gleichzeitig motiviert das BSI dazu, dass sichere Dienstleistungen auf dem Markt einen Wettbewerbsvorteil erlangen. E-Mail-Anbieter haben neben der Zertifizierung auch die Möglichkeit, ein IT-Sicherheitskennzeichen zu erhalten, indem sie ihre Einhaltung der TR bestätigen. Dabei findet keine weitergehende Untersuchung statt.
Interessierte Personen können ab sofort die entsprechenden Logos elektronisch über das Portal des Bundes für das Onlinezugangsgesetz (OZG) beantragen.
Schlagwörter: Bundesamt für Sicherheit in der Informationstechnik BSI + Sichere EMailTransport + Zertifizierungsverfahren
Wie bewerten Sie den Schreibstil des Artikels?