BSI aktualisiert Zertifizierung für sicheren E-Mail-Transport
Das BSI hat ein neues Zertifizierungsverfahren für E-Mail-Provider auf Basis einer aktualisierten Technischen Richtlinie zur Transportsicherheit aufgesetzt.
(Bild: Shutter z/Shutterstock.com)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein neues Zertifizierungsverfahren auf Basis der aktualisierten technischen Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) aufgesetzt, die mittlerweile in der Version 2.0 verfügbar ist. Dazu gehört eine Testspezifikation mit der Bezeichnung TR 03108-P. Um die Zertifizierung zu erlangen, müssen Provider unter anderem auf dieser Basis ein Sicherheitskonzept erstellen und umsetzen. Ergänzend dazu kommen weitere technische Anforderungen an die Kommunikationssysteme des E-Mail-Anbieters.
Ziel der TR-03108 ist es, "die Vergleichbarkeit und Akzeptanz sicherer E-Mail-Kommunikation zu erhöhen und so den bestmöglichen Schutz der Bürger in der digitalen Kommunikation zu gewährleisten". Mit den Vorgaben soll es möglich werden, "ein Höchstmaß an Vertraulichkeit und Integrität beim E-Mail-Versand zu gewährleisten". Dadurch sollen Spionage und Manipulation – etwa über sogenannte Man-in-the-Middle-Angriffe (MITM) – verhindert werden.
"Man in the Middle" verhindern
Die sendende Seite muss DNS-Auflösungsserver (Resolver) verwenden, die die Sicherheitsstandards Domain Name System Security Extensions (DNSSEC) beherrschen, heißt es in der TR etwa. Wenn die Empfängerdomain ihre DNS-Zone damit signiert hat, ließen sich MITM-Attacken erkennen. Zudem würden die (gefälschten) DNS-Antworten unterdrückt. Zusätzlich legt das BSI den Einsatz des IETF-Standards DNS-based Authentication of Named Entities (DANE) nahe. Dieses bietet dem BSI zufolge "wirksamen und skalierbaren Schutz" vor MITM-Angriffen und sei daher für die Einhaltung der TR zwingend erforderlich.
Optional befürwortet die Behörde mit Version 2.0 auch die DANE-Alternative MTA-STS (Mail Transfer Agent-Strict Transport Security). Mit diesem Standard wird die TLS-Verbindung bei jeder an einen Provider gesendeten E-Mail verifiziert. "MTA-STS bietet keine robustere Identifizierung des Kommunikationspartners als die Verschlüsselung und regelmäßige Auflösung der Empfängerdomäne", schränkt das BSI aber ein. Deswegen sei dieses Instrument nicht verbindlich.
Gültigkeit fünf Jahre
Ferner hat das BSI im August erstmals mit der Firma OpenSource Security ein Prüflabor für die Zertifizierung von E-Mail-Providern nach dem neuen Verfahren anerkannt. Wenn dieses die Konformität zur TR-03108 festgestellt hat, nimmt das BSI die eigentliche Zertifizierung vor. Die Gültigkeit der damit erteilten Bescheinigung beträgt fünf Jahre. Anderen Institutionen und Betrieben steht es offen, einen Antrag auf Anerkennung als Prüfstelle beim BSI einzureichen. Dafür müssen sie etwa eine Kompetenzmatrix liefern.
BSI-Präsidentin Claudia Plattner freut sich, "Nutzern so eine praktische Orientierungshilfe für die Suche nach einem sicheren E-Mail-Dienst an die Hand geben können". Zugleich schaffe das Amt Anreize, "dass sichere Dienstleistungen auf dem Markt einen Wettbewerbsvorteil erhalten". Jenseits einer Zertifizierung können Anbieter weiterhin ein IT-Sicherheitskennzeichen erhalten, wenn sie ihre Konformität mit der TR zusichern. Eine tiefere Prüfung erfolgt dann nicht. Entsprechende Logos können Interessierte ab sofort elektronisch über das Portal des Bundes für das Onlinezugangsgesetz (OZG) beantragen.
(vbr)
