Posteo erhält als erster Anbieter Zertifikat über sicheren E-Mail-Versand
Erstellt am 07.Dezember 2016, 13:07 Uhr | Kategorie: Info
Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,
uns ist besonders wichtig, dass Sie Ihre E-Mails sicher versenden und empfangen können. Dazu haben wir eine Neuigkeit für Sie: Wir haben heute als erster Anbieter ein Zertifikat nach der neuen Richtlinie “Sicherer E-Mail-Transport” des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten.
Das Zertifikat wurde uns von der Zertifizierungsstelle datenschutz cert übergeben. Auch Vertreter des BSI waren anwesend. Sie können ab sofort an dem Zertifikat auf unserer Webseite erkennen, dass unsere Sicherheitsmaßnahmen unabhängig geprüft wurden und nachweislich den Anforderungen des BSI entsprechen.
Übergabe des Zertifikats bei Posteo: Thomas Gast (BSI), Thomas Gilles (BSI), Ralf von Rahden (datenschutz cert), Patrik Löhr (Posteo), Florian Bierhoff (BSI)
Die neue Richtlinie beschreibt Maßnahmen, die ein E-Mail-Dienst ergreifen sollte, um E-Mails beim Transport wirksam vor unbefugten Mitlesern zu schützen. So müssen E-Mail-Dienste die Technologie DANE einsetzen, wenn sie eine Zertifizierung erhalten möchten. DANE beseitigt verschiedene Schwachstellen der gängigen Transportwegverschlüsselung TLS und verhindert so genannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer in einen Kommunikationsvorgang einklinken und die Verschlüsselung aushebeln. Posteo war 2014 der erste Anbieter, der DANE eingesetzt hat. Seither engagieren wir uns für die Verbreitung dieser noch recht neuen, aber für die Vertraulichkeit von digitaler Kommunikation wegweisenden Technologie. Damit unsere Kunden nicht nur untereinander sicher kommunizieren – sondern auch mit den Nutzern anderer E-Mail-Dienste. Deshalb freut uns besonders, dass der freie Standard DANE für eine Zertifizierung verpflichtend ist.
Wir haben uns seit 2014 in einer Arbeitsgruppe gemeinsam mit anderen E-Mail-Anbietern an einem offenen Dialog mit dem BSI beteiligt und an der Entstehung der Richtlinie mitgewirkt. Dabei haben wir uns für hohe Sicherheitsanforderungen und eine einfache Umsetzbarkeit eingesetzt.
Wir kritisieren Behörden häufig, wenn Dinge in der Praxis nicht funktionieren – zum Beispiel in unseren Transparenzberichten. Die neue Richtlinie „Sicherer E-Mail-Transport“ des BSI begrüßen wir hingegen. Das BSI hatte ein großes Interesse daran, die Richtlinie in Zusammenarbeit mit den Anbietern praxisnah zu konzipieren. Die Richtlinie entspricht höchsten Sicherheitsanforderungen und eine Zertifizierung ist auch für kleinere Anbieter wie Posteo vom Zeit- und Kostenaufwand her umsetzbar.
Neues Zertifikat kennzeichnet sichere E-Mail-Dienste
Auch für die Verbraucherinnen und Verbraucher ist es aus unserer Sicht ein großer Fortschritt, dass Angaben von E-Mail-Diensten über ihre Sicherheitsvorkehrungen nun von unabhängigen Stellen überprüft werden können. Ob ein Dienst die Kriterien der Richtlinie nachweislich erfüllt, können sie künftig an den Zertifikaten auf der Website eines Anbieters erkennen. Das Logo verweist mit der Aufschrift “BSI TR-03108 zertifiziert” auf die entsprechende Richtlinie.
Die Richtlinie des BSI stellt keine rechtliche Verpflichtung, sondern eine Empfehlung über Sicherheitsvorkehrungen dar. Anbieter, die ein entsprechendes Zertifikat erhalten möchten, müssen allerdings nachweisen, dass sie alle Anforderungen der Richtlinie erfüllen.
Die Zertifizierung übernimmt eine unabhängige Stelle. Posteo wurde von datenschutz cert zertifiziert. Andere E-Mail-Anbieter und E-Mail-Dienste wie beispielsweise von Firmen oder Universitäten können sich ab sofort für eine Überprüfung anmelden. Wir hoffen, dass die Richtlinie die Verbreitung der empfohlenen Sicherheitstechnologien weiter stärkt. Hohe gemeinsame Standards verbessern das Sicherheitsniveau auch für E-Mails, die Sie an Kontakte bei anderen E-Mail-Anbietern verschicken. So wird E-Mail-Kommunikation insgesamt sicherer.
Viele Grüße,
Ihr Posteo-Team
Zusatzinformationen für Technikinteressierte
– Die Technische Richtlinie finden Sie auf der Website des BSI,
- Posteo verwendet DANE seit Mai 2014. Mehr zu DANE können Sie hier nachlesen.
- Ende-zu-Ende-Verschlüsselung macht Transportwegverschlüsselung übrigens nicht überflüssig: Ende-zu-Ende-Verschlüsselung schützt in der Regel lediglich die Inhalte Ihrer Kommunikation, nicht aber Metadaten – wie die Betreffzeile und die Informationen, wer mit wem kommuniziert. Eine Transportwegverschlüsselung mit TLS schützt sowohl die Inhalte als auch die Metadaten von E-Mails auf dem Weg durch das Internet. DANE sichert diese Verschlüsselung zusätzlich ab. Eine Ende-zu-Ende-Verschlüsselung liegt immer in der Hand der Nutzerinnen und Nutzer selbst, da niemand außer ihnen Zugang zu den privaten Schlüsseln haben darf. Wir raten, Ende-zu-Ende-Verschlüsselung mit einer starken providerseitigen Transportwegverschlüsselung zu kombinieren.
Material für Presseberichterstattung
Posteo-Pressemittelung 07.12.2016, Foto 1, Foto 2, Foto 3, Foto 4, Foto 5, Foto 6