Richtlinienentwurf für Email-Diensteanbieter vom Bundesamt für Sicherheit in der Informationstechnik veröffentlicht

Bundesamt für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte den Entwurf einer Richtlinie für E-Mail-Diensteanbieter: Quelle:Bundesamt für Sicherheit in der Informationstechnik

Gestern veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine dem Innenministerium unterstellte Behörde, einen ersten öffentlichen Entwurf (pdf) einer Richtlinie für den sicheren E-Mail-Transport. Das geschah sehr zeitnah zu der Ankündigung von GMX und Web.de, die Verschlüsselung von Emails per PGP zu ermöglichen. Beide Dienste gehören zu 1&1.

Die Richtlinie richtet sich hauptsächlich an Anbieter von E-Mail-Diensten und soll diesen ermöglichen, unabhängig von den IT-Kenntnissen ihrer Nutzer ein höheres Sicherheitsniveau anzubieten.

Bedingungen an Diensteanbieter

Der Richtlinienentwurf nennt verschiedene Kriterien, die Diensteanbieter zu erfüllen haben, darunter der Austausch von Zertifikaten, Transparenz gegenüber dem Nutzer, ob E-Mails an einen zertifizierten Anbieter geschickt werden oder nicht, außerdem muss ein Informationssicherheitsmanagementsystem betrieben werden. Das lehnt sich an Normen der Internationalen Organisation für Normung (ISO) an. Weiterhin muss für Interaktionen zwischen Benutzer und Anbieter TLS zur Verschlüsselung eingesetzt werden, was auch für Weboberflächen (HTTPS) und die Bereitstellung der E-Mails (STARTTLS) gilt. Sollte eine sichere Kommunikation nicht möglich sein, muss diese abgebrochen werden. Dabei muss so über diesen Abbruch informiert werden, dass auch nicht versierte Nutzer den Grund des Abbruchs verstehen können.

Zu den Rahmenbedingungen des Betriebs sieht die Richtlinie des BSI vor, dass die Systeme in der Regel in Deutschland betrieben werden, nur in Ausnahmefällen kann unter höheren Datenschutzanforderungen ein Betrieb im EU-Ausland oder in der Schweiz stattfinden. Nutzer müssen über Sicherheitsvorfälle informiert werden

Zertifizierung

Eine noch nicht benannte Stelle soll das Erfüllen der Anforderungen zertifizieren. Dadurch soll eine besondere Vertrauenswürdigkeit nachgewiesen werden. Diese Kontrolle soll entweder im Rahmen einer Prüfung auf Basis der ISO27001 oder durch „eine durch das BSI akkreditierte Prüfstelle“ erfolgen.

Zur Weiterentwicklung der Richtlinie hat das BSI eine Arbeitsgruppe gegründet. An der „AG TR Sicherer E-Mail Transport“ können sich interessierte E-Mail-Anbieter an der Erarbeitung der finalen Version beteiligen, so das BSI in einer Pressemitteilung.

Problematisch könnten die möglichen Kosten einer Zertifizierung sein: Während große E-Mail-Anbieter keine Probleme haben dürften, die eventuell erforderlichen Mittel aufzubringen, könnten kleinere Anbieter, die auch sicher oder sogar noch sicherer arbeiten, in die Situation geraten, Probleme aufgrund einer fehlenden Zertifizierung zu bekommen, obwohl die Bedingungen der Richtlinie erfüllt werden.

Summa summarum wird also die Richtlinie zusammen mit Diensteanbietern entwickelt, diese können dann ein Konzept erstellen und umsetzen, worauf hin eine Zertifizierung für die Umsetzung des eigenen Sicherheitskonzepts auf Grundlage der Richtlinie erfolgt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Ich weiß ja nicht, was man sich davon verspricht. Als halbwegs interessierter Anwender vertraue ich mich doch lieber einem Dienstleister wie Posteo an, der mir übersichtlich und detailliert erklärt, wie er meine Kommunikation schützt, als T-Offline oder sonst jemandem, nur weil derjenige das BSI-Siegel auf seiner Homepage pappen hat.

    1. Wobei der Inhaber von Posteo aber auch erklärt hat, immer brav mit Behörden zusammen zu arbeiten – er gehe doch „nicht etwa für die Mails seiner Kunden in den Knast“.

      Finde ich prinzipiell auch verständlich, ist halt doof sowas aus unsicheren Ländern wie Deutschland zu betreiben. Aber warum deiesem Service dann alle immer so vertrauen und ihn überall loben – gute PR wahrscheinlich!

  2. Also dann sollten wir auf der ganzen Welt aber alle auch nur noch Englisch sprechen. Auch wenn in Neuseeland niemand die Manchester-Jungs verstanden hat… Ach was solls, Hauptsache die Sicherheit kostet viel Geld und schafft neue Arbeitsplätze. Und irgendwer wirds schon drucken, das Geld.

  3. Sehr positive Entwicklung. Der Richtlinienentwurf zeigt, dass das BSI in Richtung obligatorischer DNSSSEC-/DANE-Implementierung möchte. Übergangsweise lässt man noch Zertifikats-Pinning à la „E-Mail made in Germany“ zu. Der Entwurf ist aber ein Wink mit dem Zaunpfahl, dass United Internet und Telekom auch in Richtung DANE marschieren müssen, weil es Pflicht wird. Das ist entsprechend auch für Nutzer kleiner Dienste wie Posteo, Mailbox.org und Mail.de sehr erfreulich – schließlich sind diese bei E-Mail made in Germany außen vor, setzen aber selbst auf DANE.

    Bin im Übrigen der Meinung, dass man diese Vorgaben – in leicht abgespeckter Form – schnellstmöglich auch bei ALLEN Behörden umsetzen sollte (da haben z.B. viele Finanzämter auch zwei Jahre nach Snowden immer noch keine Server-zu-Server-Verschlüsselung beim Mailversand eingeführt).
    Politische Parteien, Forschungseinrichtungen, Unternehmen mit einer größeren Kundenzahl, Ärzte, Rechtsanwälte, Newsletterversanddienste sollte man da auch schnellstmöglich dazu zwingen solche Standards zu implementieren (eigentlich sowieso durch das Bundesdatenschutzgesetz und die Datenschutzgesetze der Länder vorgegeben). Anders geht es offensichtlich nicht.

    Langfristig muss es natürlich zusätzlich weiter in Richtung Ende-zu-Ende-Verschlüsselung gehen. Schließlich haben die letzten beiden Jahre gezeigt, dass ALLE Systeme kompromittiert werden können und man das auch mit größtem Aufwand nicht herausbekommen kann. Gerade die öffentliche Verwaltung, aber auch diverse Großunternehmen hinken da noch sowas von hinterher. PKI-Karte für die Anmeldung am Rechner und standardisierte Signierung von Mails und Ende-zu-Ende-Verschlüsselung muss kommen.

  4. Da der Entwurf aus de Maizieres Machtbereich stammt, stellt sich mir zuerst mal die Frage, welche SSL-Backdoor das BSI gefunden zu haben meint.

    Ferner finde die Konzepte der 1&1 Töchter ein wenig befremdlich.

    PGP ist weder neu, noch braucht es dazu eigentlich ein weiteres Level von Indirektion; da der private key geheim beim User bleibt, kann der Provider die eingenden PGP-verschlüsselten Mails eh nicht lesen.

    Was soll also das Gehampel mit einem Schlüsselpaar, dessen private key beim Provider gespeichert wird um dann mittels eines weiteren secrets geschützt werden zu müssen; wie stark resp schwach ist denn die Kryptographie, für die jener master-key des users generiert wird?

  5. „Sollte eine sichere Kommunikation nicht möglich sein, muss diese abgebrochen werden“

    Bezieht sich das auf den vorherigen Satz, also wenn der Login mal nicht sicher abgewickelt werden kann muss abgebrochen werden? Oder bezieht sich das auf den EMail Versand, also wenn der Provider die Mail nicht sicher zur Empfänger bringen kann, wird die Mail nicht zugestellt? Ich glaube letzteres macht keiner…

    Auch „Nutzer müssen über Sicherheitsvorfälle informiert werden“ ist interessant. Mal sehen, wie genau das gemacht werde soll.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.