BSI-TR-Zertifizierung verbessert Sicherheit bei E-Mails

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein neues Zertifizierungsverfahren auf den Weg gebracht, um die Sicherheitszertifizierung für E-Mail-Diensteanbieter zu etablieren. Dieses Verfahren basiert auf der aktualisierten Technischen Richtlinie „Secure Email Transport“, kurz TR 03108 (Version 2.0), und der zugehörigen Testspezifikation TR 03108-P.

BSI-Präsidentin Claudia Plattner äußerte sich zu dieser Entwicklung positiv: „Ich freue mich, dass wir den Nutzern eine praktische Orientierungshilfe an die Hand geben können, um sichere E-Mail-Dienste zu finden. Gleichzeitig schaffen wir Anreize dafür, dass sicherheitsbewusste Dienstanbieter auf dem Markt einen Wettbewerbsvorteil erlangen. Durch die Zertifizierung können E-Mail-Anbieter die Sicherheit ihrer Dienste nachweisen.“

Die aktualisierte Version 2.0 der Richtlinie baut auf den Anforderungen der vorherigen Version 1.0.2 auf und ergänzt diese um wichtige Aspekte. Zu den bedeutsamsten Änderungen zählen der Reporting-Mechanismus „TLS Reporting“ und das optionale Angebot der DANE-Alternative „MTA-STS“, ebenso wie die Anforderung an die Verwendung der jeweils aktuellsten Kryptoverfahren. Ein E-Mail-Diensteanbieter, der die Version 2.0 der TR 03108 umsetzt, erfüllt automatisch die Anforderungen der vorherigen Version 1.0.2.

Darüber hinaus hat das BSI im August 2023 erstmals ein Prüflabor, die OpenSource Security GmbH, für die Zertifizierung von E-Mail-Providern nach dem neuen Verfahren anerkannt. Nachdem das Prüflabor die Konformität zur TR 03108 festgestellt hat, erfolgt die offizielle Zertifizierung durch das BSI. Die Gültigkeit des Zertifikats beträgt fünf Jahre ab dem Datum der Erteilung. Dieser Schritt zielt darauf ab, die Sicherheitsstandards und -praktiken im Bereich der E-Mail-Kommunikation zu stärken und den Nutzern die Möglichkeit zu geben, vertrauenswürdige E-Mail-Dienste leichter zu identifizieren.