Wie sicher ist E-Mail nach BSI TR-03108?

26. August 2015 12:41 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Das BSI Bundesamt für Sicherheit in der Informationstechnik hat eine neue Technische Richtlinie vorgelegt – die TR 03108 "Sicherer E-Mail-Transport". Da stellt sich doch sofort die Frage, wie sicher sind den die Provider der besonders sicheren De-Mail?

Im vorgelegten Entwurf Version 0.9 vom 20.8.2015 "Sicherer E-Mail-Transport | Anforderungen an E-Mail-Diensteanbieter für einen sicheren Transport von E-Mails" wird ausführlich auf die Sicherheit und Vertraulichkeit von E-Mail-Kommunikation und E-Mail-Diensten eingegangen. Die TR 03108 soll eine höhere Sicherheit als "normale" E-Mail bieten. Die Richtlinie richtet sich an  E-Mail-Diensteanbieter (EMDA).

Gleich zu Beginn in der EInleitung sagt die TR <Zitat> "Häufig werden diese Nachrichten jedoch ohne die Anwendung von IT-Sicherheitsmaßnahmen, wie Verschlüsselung und Signatur, versandt. Dies liegt auch daran, dass Maßnahmen, wie Ende-zu-Ende-Verschlüsselung auf Grund des komplexen und aufwändigen Schlüsselmanagements bisher keine breite Nutzerakzeptanz finden" </Zitat>. Also geht es nicht um das Verschlüsseln der Kommunikation, sondern um ??? Aber immerhin wird beim Austausch von Nachrichten und den Schnittstellen berücksichtigt, dass es auch Provider gibt, die Kryptografie einsetzen. Kryptografie wird aber nicht als Standard vorausgesetzt. In der TR heißt es <Zitat> "Ziel der hier beschriebenen Anforderungen ist es, eine Infrastruktur zu schaffen, in der sichere Verbindungen zwischen zertifizierten EMDAn und dem Nutzer etabliert werden. Durch die sichere Kommunikation von Komponente zu Komponente wird eine Punkt-zu-Punkt-Sicherheit vom Sender bis zum Empfänger einer E-Mail erreicht. Es wird hierbei davon ausgegangen, dass die Systeme der einzelnen EMDA über ein grundsätzlich offenes Netzwerk (Internet) und auch mit nicht zertifizierten EMDAn kommunizieren"</Zitat>. in Abschnitt 2.1.2.1 heißt es dann <Zitat> "Kann keine sichere Verbindung aufgebaut werden, wird die E-Mail ungeschützt zugestellt." </Zitat>. Was beim Provider selbst mit der Nachricht gemacht wird, läuft ähnlich wie bei De-Mail ab. Eine durchgängige Sicherheit vom Absender zum Empfänger ist nicht standardmäßig gesichert. So sind auch in den "Fachlichen Anforderungen" Abschnitt 3.2 PKI und DANE nur optional. Für die sicheren Provider ist eine Zertifizierung nach ISO 27001 durch einen Auditor vorgesehen, der dann die angegebenen Sicherheitskriterien prüft.

Wird so unsere E-Mail-Kommunikation sicherer, wenn wir einen solcher Art zertifizierten Provider benutzen? Sichere E-Mail Made in Germany? Werden unsere E-Mails dann dort nicht abgehört? Oder reicht das nur für Marketing-wirksame Augenwischerei-Zertifikate?

Das Inhaltsverzeichnis des knappen, 13seitigen Dokumentes beinhaltet folgende Abschnitte:

1          Einleitung
1.1       Konzept
1.2       Zertifizierung
1.2.1   Zertifizierung auf Basis ISO 27001
1.2.2   Zertifizierung nach Technischer Richtlinie
2         Infrastruktur
2.1      Teilnehmer und zugehörige Komponenten
2.1.1   Nutzer
2.1.2   Zertifizierte E-Mail-Diensteanbieter
2.1.3   Nicht zertifizierte E-Mail-Diensteanbieter
2.2      Aufgaben
2.2.1   Vertrauenswürdiger Zertifikatsaustausch
2.2.2   Transparenz
3         Anforderungen
3.1      Sicherheitskonzept
3.2      Fachliche Anforderungen
3.3      Weitere Anforderungen
           Literaturverzeichnis

Die Liste aktueller BSI Zertifizierungen findet sich hier. Die Liste der De-Mail-zertifizierten Anbieter findet sich hier. Man kann gespannt sein, wann denn der erste nach TR 03108 zertifizierte Provider oder E-Mail-Anbieter dort auftaucht … und was der zertifizierte Anbieter dann in seine Werbebotschaften und Broschüren reinschreibt. Und, braucht es noch De-Mail, wenn wir nach TR 03108 eine vergleichbare Übertragungssicherheit für E-Mail erhalten?

Wir freuen uns auf Kommentare!

Ein Kommentar zu “Wie sicher ist E-Mail nach BSI TR-03108?

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.