IT-Sicherheit: BSI will Webmail-Anbieter stärker in die Pflicht nehmen

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) richtet eine klare Forderung an die Betreiber digitaler Postfächer: Sie müssten die Verantwortung für die IT-Sicherheit ihrer Dienste systematisch und umfassend übernehmen, da der Schutz der Verbraucher vor Risiken wie Phishing und Identitätsdiebstahl aktuell noch lückenhaft umgesetzt sei. Das ist der Tenor des am Montag veröffentlichten Weißbuchs aus der Reihe "Digitaler Verbraucherschutz" zu "sicheren, transparenten und benutzerfreundlichen Webmail-Diensten".

In dem Whitepaper beklagt das BSI, dass ein elementarer Teil der E-Mail-Sicherheit – insbesondere eine einfach nutzbare Ende-zu-Ende-Verschlüsselung (E2EE) und der Schutz vor Angriffen – noch zu stark auf den Schultern der Anwender laste. Dabei existierten zunehmend technische Schutzmechanismen, die automatisiert wirken könnten. Angesichts der Tatsache, dass die E-Mail die zentrale Schlüsselkomponente zur Verwaltung digitaler Identitäten ist und oft zur Wiederherstellung anderer Accounts diene, sei die Gewährleistung von Verlässlichkeit, Sicherheit und Nutzerfreundlichkeit gerade bei besonders häufig genutzten Webmail-Services wie Gmail, GMX, web.de und Hotmail von erheblicher Bedeutung.

Die Autoren identifizieren fünf zentrale Handlungsfelder, um die Prinzipien Security by Design und Security by Default für nutzerfreundliche IT-Sicherheit durchzusetzen. Demnach sollen Anbieter einfache und sichere Authentisierungsverfahren als Standard implementieren. Dazu gehört die verpflichtende Einführung der Zwei-Faktor-Authentisierung (2FA) oder moderner Passkeys, die Anwender über biometrische Merkmale identifizieren. Flankierend seien eine dem Stand der Technik entsprechende Passwort-Politik und technische Maßnahmen wie Ratenbegrenzung bei der Eingabe von Kennungen erforderlich.

Besser schützen vor Spam und Phishing

Eine interoperable und einfach nutzbare durchgehende Verschlüsselung (E2EE) sieht das BSI als zentralen Baustein für die Vertraulichkeit der Kommunikation an. Da E2EE aufgrund der manuellen Schlüsselverwaltung derzeit nur ein Nischenthema sei, fordert das BSI, den Einsatz offener Standards wie OpenPGP und S/MIME direkt im Webmailer zu ermöglichen. Dies erfordere die automatisierte Generierung und Verwaltung von Schlüsselpaaren im Dienst sowie den niedrigschwelligen Austausch des öffentlichen Schlüssels, etwa über das Web Key Directory (WKD). Ergänzend müsse die Transportverschlüsselung über DANE oder MTA-STS umgesetzt werden.

Das Amt verlangt ferner wirksame Schutzmechanismen gegen Spam und Phishing, wobei die Verantwortung nicht allein auf die Endnutzer verlagert werden dürfe. Ein mehrschichtiges System, das im Backend auf Verfahren wie SPF, DKIM und DMARC zur Überprüfung der Absenderauthentizität baue, müsse durch benutzerfreundliche Funktionen zum Melden von unerwünschten Mails und Betrugsversuchen ergänzt werden. Dazu hat das BSI voriges Jahr bereits Hinweise gegeben.

Zudem sei eine sichere und nachvollziehbare Option zur Kontenwiederherstellung unerlässlich, insbesondere im Falle einer Account-Übernahme durch Dritte, schreibt das Amt. Die Prozesse müssten klar geführt und sicher gestaltet werden, da herkömmliche Wiederherstellungsverfahren wie Backup-E-Mails oder Sicherheitsfragen manipulierbar seien.

Basis für digitale Teilhabe

Anbieter sollen auch transparente Sicherheitsprofile und nachvollziehbare Vertrauensmodelle bereitstellen. Weil die Funktionsweise zentraler Sicherheitsmechanismen für Verbraucher nicht direkt überprüfbar sei, stärke die Offenlegung von verwendeten Protokollen und Prozessen das Vertrauen und unterstütze die Kunden bei der Wahl eines sicheren Dienstes.

"Sichere E-Mail-Kommunikation ist eine Grundvoraussetzung für digitale Teilhabe und Selbstbestimmung", betonen die Verfasser. Neben technischen Weiterentwicklungen seien daher verbindliche Rahmenbedingungen, ein gesellschaftlicher Konsens über Schutzstandards und gezielte politische Impulse nötig. Die Appelle richteten sich daher "an Wirtschaft, Politik und Zivilgesellschaft gleichermaßen". Einschlägige Dienstleister hätten "jetzt die Chance, mit der Umsetzung der in diesem Whitepaper aufgeführten konkreten Maßnahmen per freiwilliger Selbstverpflichtung sichtbar Vertrauen aufzubauen". Die BSI-Fachbereichsleiterin für digitalen Verbraucherschutz, Caroline Krohn, sagt, nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich seien, "entfalten sie ihre volle Wirkung".

(nie)