BSI-Richtlinie: Mehr Transparenz bei E-Mail-Sicherheit

Zukünftig können E-Mail-Anbieter ihre IT-Sicherheit zertifizieren lassen. Anwender werden bei der Suche nach einem sicheren Anbieter unterstützt.

Der Versand vertraulicher Informationen über unsichere E-Mails gehört zum Alltag in vielen Unternehmen, trotz aller Risiken durch mögliche Lauschangriffe. Nur 40 Prozent der Unternehmen in Deutschland setzen auf eine Verschlüsselung ihres E-Mail-Verkehrs, so eine Bitkom-Umfrage. Der Branchenverband TeleTrusT kommt zu etwas anderen Zahlen, die aber den Mangel an E-Mail-Verschlüsselung ebenfalls unterstreichen: Demnach werden 60 Prozent der E-Mails transportverschlüsselt übertragen. Der Anteil verschlüsselter E-Mails (PGP oder S/MIME) geht allerdings gegen Null, so TeleTrusT.

In naher Zukunft soll sich die Verschlüsselung von E-Mails etwas verbessern. Laut Marktforscher IDC wollen weitere 18 Prozent der Unternehmen in Deutschland in naher Zukunft E-Mails verschlüsseln. Dies wäre aber immer noch nicht der durchschlagende Erfolg, das Ziel einer durchgehenden E-Mail-Verschlüsselung auf Anwenderseite scheint in weiter Ferne.

Da erscheint es mehr als sinnvoll, wenn die E-Mail-Anbieter selbst Funktionen zur E-Mail-Verschlüsselung bereits im Standard anbieten. So wichtig aber eine Ende-zu-Ende-Verschlüsselung bei E-Mail auch ist, alleine durch verschlüsselte E-Mails ist die E-Mail-Sicherheit nicht gewährleistet. E-Mail-Anwender und E-Mail-Anbieter müssen hierfür noch mehr tun.

E-Mail-Sicherheit bedeutet mehr als E-Mail-Verschlüsselung

E-Mail-Sicherheit verlangt neben der verpflichtenden, durchgehenden Verschlüsselung zum einen auch, dass die Verschlüsselung tatsächlich dem Stand der Technik entspricht. Zum anderen spielen für die Integrität der E-Mails und für die Nachweisbarkeit des Absenders digitale E-Mail-Zertifikate eine Rolle. Ebenfalls wichtig für die E-Mail-Sicherheit ist die Möglichkeit, die Echtheit der angegebenen Domain des Absenders auf Basis von DNSSEC (Domain Name System Security Extensions) prüfen zu können. Falsche Absenderangaben bei Spam- und Phishing-Attacken können so leichter enttarnt werden. Nicht zuletzt die rechtlichen Vorgaben für sichere E-Mails aus dem Telekommunikationsgesetz (§ 109 TKG) müssen beachtet werden, ebenso die Datenschutzvorgaben.

Anwender müssen E-Mail-Sicherheit hinterfragen können

Die zuvor erwähnten Bestandteile der E-Mail-Sicherheit könnten noch erweitert werden. Doch bereits diese Bausteine der E-Mail-Sicherheit sind für ein Anwenderunternehmen in aller Regel nicht so einfach zu prüfen, wenn es darum geht, unter der Vielzahl der E-Mail-Anbieter in Deutschland den richtigen und damit auch einen sicheren Mail-Provider zu finden.

Unabhängige Zertifikate für E-Mail-Sicherheit können je nach Schutzbedarf eigene Prüfungen zur Sicherheit des E-Mail-Anbieters nicht komplett ersetzen.

Es ist deshalb sehr zu begrüßen, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich den Entwurf einer technischen Richtlinie "Sicherer E-Mail-Transport" veröffentlicht hat. Die technische Richtlinie richtet sich an E-Mail-Anbieter und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die E-Mail-Provider umsetzen sollten, um einen sicheren Betrieb ihrer Dienste zu gewährleisten. Basisanforderung der technischen Richtlinie ist ein Sicherheitskonzept, das der E-Mail-Anbieter erstellen muss. Zudem enthält die technische Richtlinie Anforderungen an die Schnittstellen des Anbieters zu anderen Teilnehmern der E-Mail-Infrastruktur.

Als Ziele der neuen technischen Richtlinie nennt das BSI die Erhöhung des Sicherheitsniveaus der Kommunikationsverbindungen sowie die Schaffung eines vergleichbaren Sicherheitsniveaus unter den Anbietern.

Ein weiteres Vorhaben sorgt für mehr Transparenz bei der E-Mail-Sicherheit, die für die Anbietersuche durch Anwenderunternehmen wichtig ist: So soll jeder E-Mail-Provider in Zukunft die Möglichkeit erhalten, die Konformität seines Dienstes zu der neuen technischen Richtlinie im Rahmen eines Zertifizierungsverfahrens belegen. Durch die Zertifizierung erhält der E-Mail-Anbieter von einer unabhängigen Stelle den Nachweis darüber, dass er ein definiertes Sicherheitsniveau erreicht. Das Zertifikat kann zu einem wichtigen Entscheidungskriterium für die E-Mail-Nutzer werden und ein Ansporn für die Anbieter, mehr Sicherheitsfunktionen im Standard ihres Dienstes zu integrieren.

Wichtig ist aber, dass die Anwenderunternehmen genau wissen und verstehen, welcher Umfang an E-Mail-Sicherheit denn zertifiziert wird. E-Mail-Verschlüsselung gehört dazu, doch je nach Schutzbedarf der E-Mails werden weitere E-Mail-Sicherheitsfunktionen erforderlich sein, die womöglich nicht durch das Zertifikat bescheinigt werden. Anwenderunternehmen werden also auch in Zukunft nicht ihre Prüfungen im Rahmen der Beschaffung durch die Orientierung an Zertifikaten vollständig ersetzen können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im September 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close