Sicherheit

Technische Richtlinie TR-03108 für E-Mail-Dienstanbieter

© Jaroslav Machacek-Fotolia

„Secure E-Mail Transport“, so nennt sich die Technischen Richtlinie, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich veröffentlicht hat. Inhaltlich richtet sich die TR-03108 an Betreiber von E-Mail-Diensten und soll ein Mindestmaß an IT-Sicherheitsmaßnahmen definieren.

E-Mail-Dienstanbieter, die einen sicheren Betrieb ihrer Dienste gewährleisten möchten, können nun auf die finale Version der im letzten Jahr vorgestellten TR-03108 zurückgreifen. Nach Auskunft des BSI wurde zur Ausarbeitung eigens eine Arbeitsgruppe mit 20 E-Mail-Dienstanbietern aus Deutschland sowie verschiedenen europäischen Partnerbehörden gebildet.

Anforderungen präzisiert

Im Zuge der Weiterentwicklung des Entwurfs durch die Arbeitsgruppe habe man die Anforderungen der Technischen Richtlinie deutlich präzisiert. Zudem wurde das Profil für die Mindestanforderungen erweitert, so das BSI. Die sogenannten Technologien „DNSSEC“ und „DANE/TLSA“ würden nun von Beginn an verpflichtend implementiert.

Darüber hinaus habe das BSI eine Prüfspezifikation erarbeitet, die die Basis für das Zertifizierungsverfahren nach der TR-03108 bilden soll. Jeder E-Mail-Dienstanbieter soll so die Möglichkeit erhalten, die Konformität seines Dienstes zu der Technischen Richtlinie gegenüber seinen Nutzern sowie Dritten nachzuweisen.

Neuausrichtung der Technischen Richtlinie

Auch international agierende E-Mail-Dienstanbieter aus Deutschland sowie E-Mail-Dienstanbieter aus anderen Ländern sollen von der Richtlinie profitieren können. Daher habe man nun eine Neuausrichtung der Technischen Richtlinie vorgenommen und die Richtlinie entsprechend gestaltet.

Eine konzeptionelle Übersicht über die Technische Richtlinie hat das BSI in der folgenden Grafik dargestellt. Die Anforderungen in Bezug auf den Datenschutz (Data Protection), die sichere Kryptographie (Secure Cryptography), die Nutzung von DNSSEC (Protected DNS Lookup) sowie DANE/TLSA (Obligatory Encryption) und das Sicherheitskonzept sind entsprechend hervorgehoben.

 

© BSI, Konzeptionelle Übersicht zu BSI TR-03108 Sicherer E-Mail Transport

 

Die Technische Richtlinie sowie den Entwurf der Prüfspezifikation finden Sie hier.

 

Quellen: Mitteilung des BSI vom 20.05.2016 (zuletzt abgerufen am 29.06.2016)

Publikation BSI TR-03108 Sicherer E-Mail-Transport (zuletzt abgerufen am 29.06.2016)