BSI: Etwas mehr E-Mail-Sicherheit – und weiter Luft nach oben

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Anbieter von E-Mail-Diensten melden erste Erfolge bei einer gemeinsamen Aktion für mehr E-Mail-Sicherheit. Vor allem zwei technische Richtlinien des BSI sollen für eine bessere Absicherung sorgen, ohne dass die Endnutzer selbst etwas tun müssten.

Auch über 40 Jahre nach der ersten E-Mail in Deutschland ist Mail „nach wie vor der wichtigste Kanal“, sagte BSI-Chefin Claudia Plattner am Freitag in Berlin. „Es ist aber leider auch das wichtigste Einfallstor für Cyberangriffe.“

Sensibilisierung nicht ausreichend

Von Phishing über Fake News bis hin zu Sabotageaktionen spiele E-Mail eine wichtige Rolle, sagte die BSI-Präsidentin. Die in vielen Organisationen gelebte Sensibilisierung der Nutzer sei zwar wichtig, allein aber nicht ausreichend. Genau da setze die Kampagne des BSI zur Erhöhung der E-Mail-Sicherheit an.

Deren Zwischenstand präsentierte Plattner am Freitag zusammen mit den Branchenverbänden und Bitkom. Für den Eco betont Norbert Pohlmann die Relevanz von E-Mail. Trotz aller Alternativen von Slack über Teams und Messenger sei Mail nach wie vor das Mittel der Wahl, da sie ein globaler Akteur ohne dominierende Akteure sei.

Doch bei der Sicherheit sieht Pohlmann viel Luft nach oben: „Wir haben ein echtes Problem mit unserer E-Mail-Infrastruktur.“ Pohlmann, der auch Inhaber einer Professur für IT-Sicherheit ist, sieht dabei auch die Unternehmen in der Pflicht, deutlich mehr zu tun.

Ähnlich sieht es auch Susanne Dehmel, Vorstandsmitglied beim Bitkom: Die Verantwortung dürfe nicht länger ausschließlich bei Empfängerinnen und Empfängern der E-Mails gesehen werden. Korrekt implementierte Standards würden dabei helfen, die Risiken etwa durch Phishing und Spoofing deutlich zu reduzieren.

BSI bittet um freiwillige Verbesserung

150 Unternehmen, vor allem E-Mail-Anbieter, aber auch Hoster, hätten sich freiwillig bereit erklärt, hieran mitzuwirken, sagte Plattner. Auch ohne gesetzliche Regelung sei es also möglich, Wirkung in der Praxis zu erzielen.

Das BSI hat ab Februar 2025 eine Bestandsaufnahme durchgeführt, inwiefern Anbieter die empfohlenen Maßnahmen der technischen Richtlinien 03108 und 03182 umsetzen.

Nur 20 Prozent der Unternehmen haben demnach etwa DNSSEC korrekt eingesetzt; die DNS-basierte Authentisierung von Namen (DANE) sogar nur 11 Prozent. Das BSI habe daraufhin die Unternehmen aktiv angesprochen – und im Juni seien die Zahlen bereits deutlich besser gewesen. Hinzugekommen seien zudem zahlreiche Unternehmen, die sich von sich aus gemeldet hätten.

Während das BSI auf der einen Seite Unternehmen öffentlich lobt, die sich der Initiative angeschlossen haben, nutzt es an anderer Stelle seine gesetzlichen Befugnisse: eine öffentliche Liste von E-Mail-Anbietern und ihrer Entsprechung der BSI-Kriterien. Apples mac.com und me.com etwa erfüllen nur fünf der derzeit sieben BSI-Kriterien – etwa weil alte TLS-Versionen weiter zugelassen würden. Auf gleichem Niveau sieht die Bonner IT-Sicherheitsbehörde auch gmail.com, outlook.com und msn.com.

Verschlüsselung: BSI und Verbände einig

Was E-Mail auch nach über 40 Jahren nicht flächendeckend leisten kann, ist die Ende-zu-Ende-Verschlüsselung. Geht es nach Pohlmann, sollte sich das jedoch ändern. Derzeit aber sind hier Messenger wie Signal, Threema oder Wire gängig – und zugleich politisch unter Beschuss. Unklar ist derzeit, wie sich künftig Bundesinnenminister Alexander Dobrindt bei den Debatten um ein mögliches Brechen von Verschlüsselung positionieren wird.

„Wir sollten erstmal schauen, dass wir uns absichern, Prozesse absichern, Unternehmen absichern“, sagte Pohlmann. „Wir können nicht auf die Wahrscheinlichkeit, dass wir ein Prozent der Kriminellen identifizieren können, unsere ganze Gesellschaft unsicherer machen.“ Auch für den Bitkom gelte, dass Verschlüsselung das wichtigste Instrument für sichere Kommunikation sei, und das solle auch nicht angetastet werden, betonte Susanne Dehmel.

Für BSI-Präsidentin Plattner, deren Behörde in weiten Teilen dem Bundesinnenministerium unterstellt ist, gibt es technologisch hierbei eine klare Sicht: „Wir müssen immer dafür sorgen, dass wir sichere Infrastrukturen haben.“ Ende-zu-Ende-Verschlüsselung sei dafür ein wichtiges Mittel. Plattner warnte vor den möglichen Folgen künstlich eingebauter Abhörschnittstellen: Salt Typhoon habe gezeigt, welche Risiken mit solchen Herangehensweisen verbunden seien.

(vbr)