Ein Großteil unserer Kommunikation findet heutzutage digital statt. Die E-Mail ist dabei nach wie vor ein weit verbreitetes Medium. Sicherer E-Mail-Transport schützt vor unberechtigtem Mitlesen und vor Manipulation von E-Mails (sog. Person-in-the-Middle Angriffe).

Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert prüfbare Anforderungen an einen E-Mail-Diensteanbieter. Ziel der Technischen Richtlinie (TR) ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ein "E-Mail-Diensteanbieter" oder "Betreiber eines E-Mail-Dienstes in seiner Organisation" kann mit der Konformität zur TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen.

Idealerweise werden die Maßnahmen für Sicheren E-Mail-Transport durch E-Mail-Authentifizierung ergänzt. Hierzu wurde die Technische Richtlinie BSI TR-03182 E-Mail-Authentifizierung veröffentlicht.

Konzeptionelle Übersicht von BSI TR-03108 und BSI TR-03182:

Aktuelle Versionen

Dokument	Titel, Version
BSI TR-03108-1	BSI TR-03108-1 Secure Email Transport, Version 1.0.2
BSI TR-03108-2	BSI TR-03108-2 Testspecification, Version 1.0.1
Schemadateien	Schemadateien zur BSI TR-03108-2, Version 1.0.1
BSI TR-03108	BSI TR-03108 Secure Email-Transport, Version 2.0
BSI TR-03108-P	BSI TR-03108-P Testspecification, Version 2.0
Schemadateien	Schemadateien zur BSI TR-03108-P, Version 2.0

IT-Sicherheitskennzeichen

Neben dem weiter unten auf dieser Internetseite beschriebenen Zertifizierungsverfahren, findet die TR Anwendung als zugrundeliegender Standard für die Produktkategorie "E-Mail-Dienste" des IT-Sicherheitskennzeichens. Diensteanbieter können ihre E-Mail-Dienste mit dem IT-Sicherheitskennzeichen des BSI auszeichnen, indem sie ihre Konformität mit der TR zusichern.

Grundlage für das IT-Sicherheitskennzeichen bildet bis auf Weiteres die TR-03108-1 in der Version 1.0.2 und die dazugehörige Testspezifikation TR-03108-2 in der Version 1.0.1. Sofern Sie die Beantragung eines IT-Sicherheitskennzeichens beabsichtigen, empfehlt das BSI eine Konformitätsprüfung bereits auf Grundlage der aktuelleren Version 2.0 durchzuführen. Diese ist rückwärts kompatibel und kann in Zukunft für das IT-Sicherheitskennzeichen herangezogen werden. Bei Fragen wenden Sie sich per E-Mail an: it-sicherheitskennzeichen@bsi.bund.de.

Weitere Informationen zum IT-Sicherheitskennzeichen und dessen Beantragung sind auf der Webseite des BSI veröffentlicht. Eine Liste der bereits in der Produktkategorie "E-Mail-Dienste" erteilten IT-Sicherheitskennzeichen ist online abrufbar unter www.bsi.bund.de/it-sik-suche

Zertifizierung

Mit der Zertifizierung eines E-Mail-Dienstes kann der unabhängige Nachweis über die Einhaltung der Anforderungen der Technischen Richtlinie (TR-03108, Version 2.0) erbracht werden. Zusammen mit der Prüfspezifikation (TR-03108-P, Version 2.0) bildet sie die Grundlage für das Zertifizierungsverfahren.

Als Hersteller haben Sie die Möglichkeit sich direkt an das BSI zu wenden, wenn Sie Interesse an einer Zertifizierung haben. Nutzen Sie dazu die Informationen und Kontaktdaten auf unserer Seite für Produktzertifizierung nach Technischen Richtlinien.

Anerkennung als Prüfstelle

Konformitätsprüfungen im Rahmen von Zertifizierungsverfahren nach BSI TR-03108 werden von vom BSI anerkannten Prüfstellen durchgeführt. Informationen zu den Anforderungen und dem Ablauf des Anerkennungsverfahrens als TR-Prüfstelle finden Sie auf unter Anerkennung als TR-Prüfstelle.

Kontaktadresse

Bei Interesse an der Thematik „Sicherer E-Mail-Transport“ oder inhaltlichen Fragen zu der TR können Sie sich per E-Mail an e-mail-trsp@bsi.bund.de wenden.
Zur verschlüsselten Kontaktaufnahme unter der oben genannten Kontaktadresse stehen die folgenden öffentlichen Schlüssel zur Verfügung.

S/MIME-Zertifikat
Fingerprint: 2A6A B736 FA65 317A 3C06 5BAB 21BF 5AD6 C50B 1DD2
Fingerprint der Wurzelzertifikate

Öffentlicher GPG Schlüssel
Fingerprint: 3A0E 57B6 9FC9 E97A 0322 B588 9CBF D0F0 7A74 CA70