Wie sicher ist E-Mail nach BSI TR-03108?
26. August 2015 12:41 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Das BSI Bundesamt für Sicherheit in der Informationstechnik hat eine neue Technische Richtlinie vorgelegt – die TR 03108 "Sicherer E-Mail-Transport". Da stellt sich doch sofort die Frage, wie sicher sind den die Provider der besonders sicheren De-Mail?
Im vorgelegten Entwurf Version 0.9 vom 20.8.2015 "Sicherer E-Mail-Transport | Anforderungen an E-Mail-Diensteanbieter für einen sicheren Transport von E-Mails" wird ausführlich auf die Sicherheit und Vertraulichkeit von E-Mail-Kommunikation und E-Mail-Diensten eingegangen. Die TR 03108 soll eine höhere Sicherheit als "normale" E-Mail bieten. Die Richtlinie richtet sich an E-Mail-Diensteanbieter (EMDA).
Gleich zu Beginn in der EInleitung sagt die TR <Zitat> "Häufig werden diese Nachrichten jedoch ohne die Anwendung von IT-Sicherheitsmaßnahmen, wie Verschlüsselung und Signatur, versandt. Dies liegt auch daran, dass Maßnahmen, wie Ende-zu-Ende-Verschlüsselung auf Grund des komplexen und aufwändigen Schlüsselmanagements bisher keine breite Nutzerakzeptanz finden" </Zitat>. Also geht es nicht um das Verschlüsseln der Kommunikation, sondern um ??? Aber immerhin wird beim Austausch von Nachrichten und den Schnittstellen berücksichtigt, dass es auch Provider gibt, die Kryptografie einsetzen. Kryptografie wird aber nicht als Standard vorausgesetzt. In der TR heißt es <Zitat> "Ziel der hier beschriebenen Anforderungen ist es, eine Infrastruktur zu schaffen, in der sichere Verbindungen zwischen zertifizierten EMDAn und dem Nutzer etabliert werden. Durch die sichere Kommunikation von Komponente zu Komponente wird eine Punkt-zu-Punkt-Sicherheit vom Sender bis zum Empfänger einer E-Mail erreicht. Es wird hierbei davon ausgegangen, dass die Systeme der einzelnen EMDA über ein grundsätzlich offenes Netzwerk (Internet) und auch mit nicht zertifizierten EMDAn kommunizieren"</Zitat>. in Abschnitt 2.1.2.1 heißt es dann <Zitat> "Kann keine sichere Verbindung aufgebaut werden, wird die E-Mail ungeschützt zugestellt." </Zitat>. Was beim Provider selbst mit der Nachricht gemacht wird, läuft ähnlich wie bei De-Mail ab. Eine durchgängige Sicherheit vom Absender zum Empfänger ist nicht standardmäßig gesichert. So sind auch in den "Fachlichen Anforderungen" Abschnitt 3.2 PKI und DANE nur optional. Für die sicheren Provider ist eine Zertifizierung nach ISO 27001 durch einen Auditor vorgesehen, der dann die angegebenen Sicherheitskriterien prüft.
Wird so unsere E-Mail-Kommunikation sicherer, wenn wir einen solcher Art zertifizierten Provider benutzen? Sichere E-Mail Made in Germany? Werden unsere E-Mails dann dort nicht abgehört? Oder reicht das nur für Marketing-wirksame Augenwischerei-Zertifikate?
Das Inhaltsverzeichnis des knappen, 13seitigen Dokumentes beinhaltet folgende Abschnitte:
1 Einleitung
1.1 Konzept
1.2 Zertifizierung
1.2.1 Zertifizierung auf Basis ISO 27001
1.2.2 Zertifizierung nach Technischer Richtlinie
2 Infrastruktur
2.1 Teilnehmer und zugehörige Komponenten
2.1.1 Nutzer
2.1.2 Zertifizierte E-Mail-Diensteanbieter
2.1.3 Nicht zertifizierte E-Mail-Diensteanbieter
2.2 Aufgaben
2.2.1 Vertrauenswürdiger Zertifikatsaustausch
2.2.2 Transparenz
3 Anforderungen
3.1 Sicherheitskonzept
3.2 Fachliche Anforderungen
3.3 Weitere Anforderungen
Literaturverzeichnis
Die Liste aktueller BSI Zertifizierungen findet sich hier. Die Liste der De-Mail-zertifizierten Anbieter findet sich hier. Man kann gespannt sein, wann denn der erste nach TR 03108 zertifizierte Provider oder E-Mail-Anbieter dort auftaucht … und was der zertifizierte Anbieter dann in seine Werbebotschaften und Broschüren reinschreibt. Und, braucht es noch De-Mail, wenn wir nach TR 03108 eine vergleichbare Übertragungssicherheit für E-Mail erhalten?
Wir freuen uns auf Kommentare!
E-Mail-Sicherheit: 6 Millionen Viren & 70% Spam
Michael Kroker: "E-Mail-Sicherheit: 6 Millionen Mail-Viren am Tag, 70 Prozent aller Mails sind Spam! Im Schnitt fallen die E-Mail-Systeme in den Unternehmen pro Jahr 8,5 Stunden aus – und sorgen dadurch für einen nicht unbeträchtlichen Produktivitätsausfall."
Zum Thema Sicherheit von E-Mail – nicht nur der Übertragung zwischen den Providern – sondern zu den Inhalten, zur Vertraulichkeit, zur Verseuchung, zum Spam gibt es bei Krokers Look on IT Details und eine Info-Grafik: http://blog.wiwo.de/look-at-it/2015/08/27/e-mail-sicherheit-6-millionen-mail-viren-am-tag-70-prozent-alles-mails-sind-spam/
Die Zahl der täglich verschickten und empfangenen E-Mails von rund 200 Millionen im vergangenen Jahr soll bis 2019 auf fast 240 Milliarden elektronische Briefe anschwellen: http://de.statista.com/statistik/daten/studie/252278/umfrage/prognose-zur-zahl-der-taeglich-versendeter-e-mails-weltweit/
E-Mail-Management ist in jedem Unternehmen ein wichtiges Desiderat – nicht nur unter Aufbewahrungsgesichtspunkten.