BSI TR-03108 Sicherer E-Mail-Transport

20. Mai 2016 10:07 Uhr  |   |  Permalink


Das BSI Bundesamt für Sicherheit in der Informationstechnik hat eine neue technische Richtlinie herausgegeben. Die Richtlinie TR 03108 betrifft die Anbieter von sicheren E-Mail-Lösungen, sogenannte E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. 

Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA): http://bit.ly/BSI-TR03108. Die "Technical Guideline" besteht aus drei Teilen: der eigentlichen Richtlinie "Secure E-Mail Transport", dem Entwurf der Testspezfikation (Version 1) und den zur Testspezifikation gehörenden XML-Dateien. Die Basis für die Anforderungen der Technischen Richtlinie bildet ein von dem EMDA zu erstellendes und umzusetzendes Sicherheitskonzept. Ergänzt wird dieses von weiteren technischen Anforderungen an die Kommunikationssysteme des EMDA. 

 Das Sichertheitskonzept setzt auf bestehenden nationalen wie auch internationalen Vorgaben und Standards auf. Grundlage sind das aktuelle BDSG Bundesdatenschutzgesetz und die ab Sommer geltende GDPR (DS-GVo Datenschutz-Grundverordnung der EU). Zwei andere BSI Technische Richtlinie decken die "vertrauenswürdige Zertifizierung" (BSI TR-03146 Trustworthy Certification) und die krypografische Verschlüsselung (BSI TR-03116-4 Secure Cryptography) ab. Bei den DNS-Aufrufen wird der "Protected DNS Lookup" nach DNSSEC (Domain Name System Security Extensions) verlangt. Bei der verbindlichen Verschlüsselung wird auf die "Obligatory Encryption nach DANE (DNS-based Authentication of Named Entities) und TLSA (RFC 6698) gesetzt. Letztere Vorgaben sind anderen Ortes längst Standard. Diese vier technsichen Vorgaben werden nach TKG Telekommunikationsgesetz und dem Sicherheitstandard ISO 27001 zusammen mit den Datenschutzanforderungen als durchgängiges Konzept betrachtet.  

Zukünftig soll ein EMDA über eine Zertifizierung nach dieser Technischen Richtlinie den Nachweis erbringen können, dass er ein definiertes Sicherheitsniveau erreicht. Hierdurch wird eine Vergleichbarkeit der Sicherheit von EMDA-Hostern. Die Basis für diese zukünftige Zertifizierung bildet die nun im Entwurf vorliegende Prüfspezifikation. Die Richtlinie passt gut in das neue "Framework" von eIDAS, wo es auch um entsprechende Vorgaben für Vertrauensdienste-Anbieter geht (spätestens beim Thema Kryptografie sind wir hier angelangt). Interessant wird nun werden, welche E-Mail-Anbieter (z.B. E-Mail-Made-In-Germany) mitmachen und ob auch De-Mail den neuen Anforderungen gerecht wird. Immerhin hatten bereits einige auif DANE/TLSA gesetzt – z.B. POSTEO.

Die drei Teile der Technical Guidelines:

  • BSI TR-03108-1 Secure E-Mail Transport, Version 1.0 (PDF)
  • BSI TR-03108-2 Testspezifikation, Version 1.0 Draft 1 (PDF)
  • BSI TR-03108-2 Testspezifikation, Version 1.0 Draft 1 Schemadateien (ZIP mit XML-Dateien)

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.