Das Magazin für Innere und Äußere Sicherheit, Bevölkerungsschutz, Katastrophenhilfe und Kritische Infrastrukturen
Home
© Public Security

Bonn, 30.10.2023

Mehr Sicherheit bei E-Mails - Diensteanbieter können sich mit BSI-TR zertifizieren lassen

E-Mails zählen nach wie vor zu den am häufigsten genutzten digitalen Kommunikationsmitteln. Umso wichtiger ist, dass sich Nutzerinnen und Nutzer darauf verlassen können, dass E-Mail-Diensteanbieter großen Wert auf Informationssicherheit legen. Sie können durch eine Zertifizierung das von ihnen erreichte Sicherheitsniveau nachweisen. Zu diesem Zweck hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Zertifizierungsverfahren auf Basis der aktualisierten Technischen Richtlinie "Secure Email Transport", TR 03108 (Version 2.0), und der dazugehörigen Testspezifikation, TR 03108-P, aufgesetzt.

BSI-Präsidentin Claudia Plattner sagte dazu: "Ich freue mich, dass wir Nutzerinnen und Nutzern so eine praktische Orientierungshilfe für die Suche nach einem sicheren E-Mail-Dienst an die Hand geben. Gleichzeitig schaffen wir Anreize, dass sichere Dienstleistungen auf dem Markt einen Wettbewerbsvorteil erhalten. Mit einer Zertifizierung können die E-Mail-Diensteanbieter die Sicherheit ihrer Dienste nachweisen."

Die aktualisierte Version 2.0 baut auf den Anforderungen der Version 1.0.2 auf und ergänzt diese. Der Reporting-Mechanismus "TLS Reporting" und das optionale Angebot der DANE-Alternative "MTA-STS", ebenso wie die Forderung nach den jeweils aktuellsten Kryptoverfahren gehören zu den wichtigsten Änderungen. Ein E-Mail-Diensteanbieter, welcher die Version 2.0 der TR 03108 umsetzt, erfüllt automatisch die Anforderungen der Version 1.0.2.

Daneben hat das BSI im August 2023 erstmals ein Prüflabor, die OpenSource Security GmbH, für die Zertifizierung von E-Mail-Providern nach dem neuen Verfahren anerkannt. Wenn das Prüflabor die Konformität zur TR 03108 festgestellt hat, wird anschließend die Zertifizierung durch das BSI vorgenommen. Die Gültigkeit des Zertifikats beträgt fünf Jahre ab Erteilungsdatum.

(Quelle: BSI – Bundesamt für Sicherheit in der Informationstechnik)