Ein Großteil unserer Kommunikation findet heutzutage digital statt. Die E-Mail ist dabei nach wie vor ein weit verbreitetes Medium. Sicherer E-Mail-Transport schützt vor unberechtigtem Mitlesen und vor Manipulation von E-Mails (sog. Person-in-the-Middle Angriffe).

Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert prüfbare Anforderungen an einen E-Mail-Diensteanbieter. Ziel der Technischen Richtlinie (TR) ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ein "E-Mail-Diensteanbieter" oder "Betreiber eines E-Mail-Dienstes in seiner Organisation" kann mit der Konformität zur TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen.

Idealerweise werden die Maßnahmen für Sicheren E-Mail-Transport durch E-Mail-Authentifizierung ergänzt. Hierzu wurde die Technische Richtlinie BSI TR-03182 E-Mail-Authentifizierung veröffentlicht.

Konzeptionelle Übersicht von BSI TR-03108 und BSI TR-03182:

Aktuelle Versionen

Dokument	Titel, Version
BSI TR-03108-1	BSI TR-03108-1 Secure Email Transport, Version 1.0.2
BSI TR-03108-2	BSI TR-03108-2 Testspecification, Version 1.0.1
Schemadateien	Schemadateien zur BSI TR-03108-2, Version 1.0.1
BSI TR-03108	BSI TR-03108 Secure Email-Transport, Version 2.0
BSI TR-03108-P	BSI TR-03108-P Testspecification, Version 2.0
Schemadateien	Schemadateien zur BSI TR-03108-P, Version 2.0

IT-Sicherheitskennzeichen

Neben dem weiter unten auf dieser Internetseite beschriebenen Zertifizierungsverfahren, findet die TR Anwendung als zugrundeliegender Standard für die Produktkategorie "E-Mail-Dienste" des IT-Sicherheitskennzeichens. Diensteanbieter können ihre E-Mail-Dienste mit dem IT-Sicherheitskennzeichen des BSI auszeichnen, indem sie ihre Konformität mit der TR zusichern.

Grundlage für das IT-Sicherheitskennzeichen bildet bis auf Weiteres die TR-03108-1 in der Version 1.0.2 und die dazugehörige Testspezifikation TR-03108-2 in der Version 1.0.1. Sofern Sie die Beantragung eines IT-Sicherheitskennzeichens beabsichtigen, empfehlt das BSI eine Konformitätsprüfung bereits auf Grundlage der aktuelleren Version 2.0 durchzuführen. Diese ist rückwärts kompatibel und kann in Zukunft für das IT-Sicherheitskennzeichen herangezogen werden. Bei Fragen wenden Sie sich per E-Mail an: it-sicherheitskennzeichen@bsi.bund.de.

Weitere Informationen zum IT-Sicherheitskennzeichen und dessen Beantragung sind auf der Webseite des BSI veröffentlicht. Eine Liste der bereits in der Produktkategorie "E-Mail-Dienste" erteilten IT-Sicherheitskennzeichen ist online abrufbar unter www.bsi.bund.de/it-sik-suche

Zertifizierung

Mit der Zertifizierung eines E-Mail-Dienstes kann der unabhängige Nachweis über die Einhaltung der Anforderungen der Technischen Richtlinie (TR-03108, Version 2.0) erbracht werden. Zusammen mit der Prüfspezifikation (TR-03108-P, Version 2.0) bildet sie die Grundlage für das Zertifizierungsverfahren.

Als Hersteller haben Sie die Möglichkeit sich direkt an das BSI zu wenden, wenn Sie Interesse an einer Zertifizierung haben. Nutzen Sie dazu die Informationen und Kontaktdaten auf unserer Seite für Produktzertifizierung nach Technischen Richtlinien.

Anerkennung als Prüfstelle

Konformitätsprüfungen im Rahmen von Zertifizierungsverfahren nach BSI TR-03108 werden von vom BSI anerkannten Prüfstellen durchgeführt. Informationen zu den Anforderungen und dem Ablauf des Anerkennungsverfahrens als TR-Prüfstelle finden Sie auf unter Anerkennung als TR-Prüfstelle.

Kontaktadresse

Bei Interesse an der Thematik „Sicherer E-Mail-Transport“ oder inhaltlichen Fragen zu der TR können Sie sich per E-Mail an e-mail-trsp@bsi.bund.de wenden.
Zur verschlüsselten Kontaktaufnahme unter der oben genannten Kontaktadresse stehen die folgenden öffentlichen Schlüssel zur Verfügung.

S/MIME-Zertifikat
Fingerprint: 6A27 4A26 51DA 5170 D3BC C1E1 B752 D86E 822B 8746
Fingerprint der Wurzelzertifikate

Öffentlicher GPG Schlüssel
Fingerprint: 3770 6179 16B0 A5C1 B9BA D64D 7F7A 0D98 DE86 99E4