BSI TR-03108 Sicherer E-Mail-Transport

Das BSI Bundesamt für Sicherheit in der Informationstechnik hat eine neue technische Richtlinie herausgegeben. Die Richtlinie TR 03108 betrifft die Anbieter von sicheren E-Mail-Lösungen, sogenannte E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. 

Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA): http://bit.ly/BSI-TR03108. Die "Technical Guideline" besteht aus drei Teilen: der eigentlichen Richtlinie "Secure E-Mail Transport", dem Entwurf der Testspezfikation (Version 1) und den zur Testspezifikation gehörenden XML-Dateien. Die Basis für die Anforderungen der Technischen Richtlinie bildet ein von dem EMDA zu erstellendes und umzusetzendes Sicherheitskonzept. Ergänzt wird dieses von weiteren technischen Anforderungen an die Kommunikationssysteme des EMDA. 

 Das Sichertheitskonzept setzt auf bestehenden nationalen wie auch internationalen Vorgaben und Standards auf. Grundlage sind das aktuelle BDSG Bundesdatenschutzgesetz und die ab Sommer geltende GDPR (DS-GVo Datenschutz-Grundverordnung der EU). Zwei andere BSI Technische Richtlinie decken die "vertrauenswürdige Zertifizierung" (BSI TR-03146 Trustworthy Certification) und die krypografische Verschlüsselung (BSI TR-03116-4 Secure Cryptography) ab. Bei den DNS-Aufrufen wird der "Protected DNS Lookup" nach DNSSEC (Domain Name System Security Extensions) verlangt. Bei der verbindlichen Verschlüsselung wird auf die "Obligatory Encryption nach DANE (DNS-based Authentication of Named Entities) und TLSA (RFC 6698) gesetzt. Letztere Vorgaben sind anderen Ortes längst Standard. Diese vier technsichen Vorgaben werden nach TKG Telekommunikationsgesetz und dem Sicherheitstandard ISO 27001 zusammen mit den Datenschutzanforderungen als durchgängiges Konzept betrachtet.  

Zukünftig soll ein EMDA über eine Zertifizierung nach dieser Technischen Richtlinie den Nachweis erbringen können, dass er ein definiertes Sicherheitsniveau erreicht. Hierdurch wird eine Vergleichbarkeit der Sicherheit von EMDA-Hostern. Die Basis für diese zukünftige Zertifizierung bildet die nun im Entwurf vorliegende Prüfspezifikation. Die Richtlinie passt gut in das neue "Framework" von eIDAS, wo es auch um entsprechende Vorgaben für Vertrauensdienste-Anbieter geht (spätestens beim Thema Kryptografie sind wir hier angelangt). Interessant wird nun werden, welche E-Mail-Anbieter (z.B. E-Mail-Made-In-Germany) mitmachen und ob auch De-Mail den neuen Anforderungen gerecht wird. Immerhin hatten bereits einige auif DANE/TLSA gesetzt - z.B. POSTEO.

Die drei Teile der Technical Guidelines:

• BSI TR-03108-1 Secure E-Mail Transport, Version 1.0 (PDF)
• BSI TR-03108-2 Testspezifikation, Version 1.0 Draft 1 (PDF)
• BSI TR-03108-2 Testspezifikation, Version 1.0 Draft 1 Schemadateien (ZIP mit XML-Dateien)