mailbox.org erfüllt neue BSI-Richtlinie „Sicherer E-Mail-Transport“ TR-03108
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach rund 9 Monaten Arbeit heute die neue BSI-Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) veröffentlicht. Diese Technische Richtlinie legt konkrete Anforderungen an E-Mail-Anbieter fest und hat das Ziel die Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation zu erhöhen.
Wir waren als Mitglied der Arbeitsgruppe, am Entstehen dieser Richtlinie in den vergangenen Monaten aktiv beteiligt und freuen uns darüber, dass wir den flächendeckenden Einsatz von DNSSEC als Verpflichtung in der Richtlinie durchsetzen konnten. -Nicht alle Provider waren zunächst von dieser Anforderung angetan. Im unserem Blog bei Heinlein Support haben wir ausführlichere Informationen zu Inhalt und Entstehungsprozess der Richtlinie zusammengestellt.
Zukünftig können sich nun also E-Mail-Anbieter in einem aufwändigen und durchaus teuren Prüfprozess vom BSI zertifizieren lassen, dass sie die Anforderungen dieser Richtlinie erfüllen. Damit ist für die Verbraucher leichter ersichtlich, wer eine sichere E-Mail-Kommunikation lt. Richtlinie anbietet. – ABER, so sehr wir die festgelegten technischen Anforderungen auch begrüßen, wir sehen den Vergabeprozess des Prüfsiegels durchaus auch skeptisch. Letztlich handelt es sich auch um ein Siegel, über das sich die Marketingabteilungen freuen dürften. Der genaue Prüfprozess, wie also ein Anbieter zu einer Zertifizierung kommt, ist noch nicht fertiggestellt, so dass mit ersten Zertifizierungsverfahren erst in einigen Monaten zu rechnen ist. Wir sehen kritisch, dass die Höhe der Kosten für diese Zertifizierung noch nicht absehbar ist. Sie dürften aber im unteren fünfstelligen Bereich liegen – eine Investition, die sich Provider kleiner und mittlerer Größe also genau überlegen müssen.
mailbox.org und die BSI-Richtlinie
Nach unserer Einschätzung, erfüllt mailbox.org als einer der ersten Provider alle Anforderungen der Richtlinie TR-03108 schon jetzt in vollem Umfang. Wir gehen davon aus, dass ein entsprechender Zertifizierungsprozess diese Einschätzung bestätigt.