mailbox.org erhält IT-Sicherheitskennzeichen des BSI

Wir freuen uns, dass das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) uns drei IT-Sicherheitskennzeichen ausgestellt hat, die nun offiziell bestätigen, dass wir den Verbraucherschutz und die Sicherheitsanforderungen des BSI an E-Mail-Provider erfüllen.

Ab sofort tragen die Tarife PREMIUM, STANDARD und LIGHT das IT-Sicherheitskennzeichen des BSI, welches mit einem QR-Code überprüft werden kann.

Unsere Standards bei mailbox.org haben den Anforderungen der Technischen Richtlinie „Sicherer E-Mail-Transport“ (BSI TR 03108) im ersten Anlauf entsprochen. Wir mussten für die Prüfung keine Änderungen an unseren Systemen vornehmen.

Warum gibt es das Kennzeichen?

Durch das IT-Sicherheitsgesetz 2.0 wurde die Aufgabe des digitalen Verbraucherschutzes dem BSI übertragen. Dieses hat Anfang Februar 2022 das „IT-Sicherheitskennzeichen“ zur Stärkung des digitalen Verbraucherschutzes offiziell präsentiert und möchte Verbrauchern damit eine leichtere Orientierung bei der Sicherheit angebotener Produkte bieten. Unternehmen können das Sicherheitskennzeichen beantragen, indem sie eine Erklärung zu den Sicherheitsmerkmalen ihrer Dienste abgeben, die das BSI auf Vollständigkeit und Plausibilität prüft. Das Verfahren hat mailbox.org erfolgreich durchlaufen.

Was wurde geprüft?

Wir haben dem BSI Auskunft über unsere generellen Sicherheitsmerkmale gegeben, darunter:

1. Transportverschlüsselung
   Wir nutzen die gängigen Protokolle IMAP, POP3 und SMTP mit Transportverschlüsselung. Und wann immer möglich verwenden wir den aktuellsten Standard TLS 1.3.
2. Serverstandorte in Berlin
   Wir betreiben unsere eigene Infrastruktur in zwei unabhängigen Rechenzentren.
3. Absicherung der Nutzerdaten
   Wir legen großen Wert auf Datensparsamkeit und bieten anonyme Anmeldung und anonyme Bezahlung an. All unsere Systeme erhalten natürlich regelmäßige Updates, sodass sie auf dem aktuellen Stand sind. Wir haben eine strikte Passwortrichtlinie für sichere Passwörter, der Login ist gegen Brute-Force-Angriffe geschützt und Privatkunden können sich mit der Zwei-Faktor-Authentifizierung (2FA) schützen. Darüber hinaus haben wir den Service „Have I Been Pwned“ integriert, der Nutzer alarmiert, falls deren E-Mail-Adressen bei einer Datenschutzverletzung kompromittiert wurden.
4. Absicherung der Datenübertragung
   Zusätzlich zur oben erwähnten Transportverschlüsselung TLS haben alle mailbox.org-Privatkunden Zugriff auf @secure.mailbox.org-Adressen, die eine Transportverschlüsselung erzwingen und E-Mails andernfalls gar nicht erst übertragen werden. Ebenso verwenden wir das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities), welches den TLS-Standard noch weiter unterstützt. Und für alle mailbox.org-Kunden benutzen wir SPF und DKIM als weitere Schutzmaßnahme, die sogar mit der eigenen Domain einfach eingerichtet werden kann.

Sichere E-Mails brauchen mehr als ein Kennzeichen

Macht das IT-Sicherheitskennzeichen E-Mail-Anbieter sicherer? Wir denken nicht. Aber es hilft Verbrauchern bei der Auswahl vertrauenswürdiger Anbieter. Aus unserer Sicht handelt es sich bei den Anforderungen an das IT-Sicherheitskennzeichen um Merkmale, die wirklich jeder E-Mail-Provider erfüllen sollte, wenn er den Datenschutz seiner Kunden ernst nimmt.

mailbox.org unterstützt seine Kunden sehr gern dabei, die private und auch geschäftliche Kommunikation so sicher wie möglich zu gestalten, wie die aufgeführten Sicherheitsmerkmale zeigen.

Aber auch Sie als Kunde, können aktiv zur Absicherung Ihrer Kommunikation beitragen. Zur Erinnerung: Eine unverschlüsselte E-Mail ist ähnlich privat wie eine Postkarte – während eine verschlüsselte E-Mail in einem versiegelten Briefumschlag verschickt wird. Sie haben letztendlich die Wahl, wie sicher Ihre Kommunikation sein soll. Wie Sie E-Mail-Verschlüsslung bei mailbox.org einrichten, erfahren Sie in unserer Wissensdatenbank.

Informieren Sie sich gern über weitere Maßnahmen zu Sicherheit und Datenschutz bei mailbox.org und zur Einrichtung von SPF und DKIM für eine eigene Domain in unserer Wissensdatenbank.