Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Informationen zur Kategorie E-Mail-Dienste

IT-Sicherheitskennzeichen

Erteilungsgrundlage und Technische Richtlinie

Das IT-Sicherheitskennzeichen wird auf Grundlage des §9c BSI Gesetz erteilt.

Dienstleitungen der Kategorie E-Mail-Dienste können das IT-Sicherheitskennzeichen erhalten, wenn der Anbieter die Konformität des Dienstes mit der Technischen Richtlinie für sicheren E-Mail-Transport BSI TR-03108 versichert. Die Herstellererklärung für die Produktkategorie E-Mail-Dienste finden Sie hier.

Die folgende Auflistung gibt einen vereinfachten Überblick über einige erklärte Sicherheitsfunktionalitäten. Ausführliche Beschreibungen der erforderlichen und empfohlenen Anforderungen finden Sie in der Technischen Richtlinie und der zugehörigen Testspezifikation.

Informationen zu den erforderlichen und empfohlenen Diensteeigenschaften

1. Transparenz

Der Diensteanbieter sichert zu, transparent Informationen hinsichtlich der Sicherheit des von ihm betriebenen Dienstes zur Verfügung zu stellen.

Dies betrifft insbesondere:

  • Informationen zur Sicherheit der Schnittstellen und ein gültiges IT-Sicherheitskonzept. Ein IT-Sicherheitskonzept soll die Verfügbarkeit, Integrität und Vertraulichkeit von Unternehmens- und Kundendaten sowie den Betrieb fortlaufend sicherstellen. Es beinhaltet eine Analyse möglicher Angriffsszenarien sowie Richtlinien zur Vermeidung und Handlungsanweisung zur Behebung im Schadensfall.
  • Aktive Information der Nutzerinnen und Nutzer bei Sicherheitsvorfällen.
  • Bereitstellung von Sicherheitshinweisen für eine sichere Nutzung des Dienstes.

2. Stand der Technik

Der Diensteanbieter sichert zu, das von ihm erstellte Sicherheitskonzept fortlaufend zu aktualisieren und permanent umzusetzen.

Dazu gehört unteranderem:

  • Das Schließen von bekannten Sicherheitslücken.
  • Die Systeme entsprechen dem Stand der Technik. Das heißt, es werden keine Systeme oder Komponenten (wie z.B. Verschlüsselungstechniken) verwendet, die überholt sind und nach heutigem Wissen als unsicher gelten.

3. Sichere Schnittstellen

Der Diensteanbieter sichert zu, die Schnittstellen des Dienstes nach dem Stand der Technik zu schützen. Eine Verbindung zu dem Dienst erfolgt hierbei verschlüsselt und integritätsgeschützt, wenn dies von der Gegenseite ebenfalls unterstützt wird. Der Anbieter erklärt weiterhin, die in der Technischen Richtlinie geforderten Technologien vollumfänglich zu nutzen.

Das betrifft insbesondere:

  • Die Schnittstellen zur Kommunikation mit anderen Diensteanbietern.
  • Die Schnittstellen zur Kommunikation mit den Nutzerinnen und Nutzern.
  • Einen Schutz vor unberechtigtem Mitlesen durch Dritte.
  • Einen Schutz vor Manipulation.

4. Datensicherheit

Der Dienstanbieter erklärt, die Sicherheit der Daten von Nutzerinnen und Nutzern durch die Umsetzung seines Sicherheitskonzeptes zu gewährleisten. Ein Sicherheitskonzept beinhaltet Maßnahmen, um die Grundwerte der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) sicherzustellen:

  • Berücksichtigung aller an der Verarbeitung der Daten beteiligten Komponenten im Sicherheitskonzept (inklusive Nutzerverwaltung und Datenmanagement).
  • Schutz der Daten vor unberechtigtem Zugriff (Vertraulichkeit).
  • Schutz der Daten vor Manipulation (Integrität).
  • Die Daten werden vor Verlust geschützt (Verfügbarkeit).
  • Die Daten werden auf sicheren Servern gespeichtert.

Ergänzende Informationen

Ähnliche Themen

Zurück zu IT-Sicherheitskennzeichen