Kürzlich hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwürfe für eine Richtlinie veröffentlicht, die technische Anforderungen für den sicheren Mail-Transport beschreibt. Das Dokument soll die "Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation" fördern. Im Mittelpunkt steht ein vom Mail-Provider zu erstellendes und umzusetzendes Sicherheitskonzept, dieses soll durch weitere technische Anforderungen an die Kommunikationssysteme des Anbieters ergänzt werden.

"Definiertes Sicherheitsniveau"

Bemerkenswert an der Arbeit erscheint, dass das BSI die darin genannten Rahmenbedingungen für die Zertifizierung von Mail-Diensten heranziehen will; ein solches Zertifikat soll einem Mail-Provider ein "definiertes Sicherheitsniveau" bescheinigen. Bedeutsam erscheint auch, dass das BSI nicht nur vertrauenswürdige TLS-Zertifikate für den Mail-Transport sowie eine "sichere Kryptografie" fordert, sondern auch mittels DNSSEC abgesicherte DNS-Abfragen und zusätzlich einen per DANE abgesicherten Mail-Transport zwischen den SMTP-Servern der Provider – so sieht eine gemäß aktuellem Internet-Standards lückenlos gegen Mithörer abgesicherte Mail-Kommunikation aus.

Als Zugeständnis für etablierte Mail-Anbieter mit Sicherheitszertifikat kann man werten, dass DANE zurzeit lediglich optional ist. Bei Neu- und bei Rezertifizierungen wird es jedoch verpflichtend. Warum DANE (oder ein vergleichbares Verfahren) trotz TLS-Verschlüsselung erforderlich ist und wie DANE im Detail funktioniert, beschreiben wir auf der zugehörigen DANE-Themenseite.

Vier-Säulen-Modell für Sicherheit beim Mail-Transport: DNSSEC und DANE gehören dazu, nicht jedoch das von der Initiative EmiG verwendete Verfahren. (Bild: BSI)

Die Veröffentlichung der Richtlinie fällt zeitlich eng zusammen mit gleich zwei substanziellen Verbesserungen der Mail-Dienste Web.de und GMX: Für beide hat der Eigner United Internet unlängst bekundet, nicht nur DNSSEC und DANE einzurichten, sondern beide bieten seit Kurzem auch eine Ende-zu-Ende-Mailverschlüsselung auf PGP-Basis an. In der Folge hatte das dem BSI übergeordnete Bundesinnenministerium die Verschlüsselungsinitiative von United Internet ausdrücklich begrüßt.

DANE verbreitet sich

Besonders der Schritt, DNSSEC und DANE einzuführen, erscheint ohne die Richtlinie des BSI überraschend – United Internet gehört nämlich zu den Teilnehmern der Initiative "E-Mail made in Germany", die den Mail-Transport mittels eines eigenen, wenig verbreiteten Verfahrens absichert. Dafür dürfte es nach Lage der Dinge jedoch kein Zertifikat vom BSI geben. Insofern kann man gespannt beobachten, wie andere EmiG-Teilnehmer auf die veränderte Situation reagieren werden.

Unterdessen nimmt die Verbreitung der DNSSEC- und DANE-Technik in Deutschland langsam, aber stetig zu. Inzwischen aktiviert der Hoster UD Media für alle seine Kundendomains nicht nur DNSSEC, sondern auch DANE. Eine erste Übersicht über Hoster mit entspechenden Angeboten finden Sie im heise-Netze-Beitrag Hoster und Registrare mit DNSSEC-Diensten.

Den aktuellen Entwurf der Richtlinie TR-03108 hat das BSI auf seiner Website veröffentlicht. (dz)