Die „E-Mail made in Germany“-Initiative arbeitet mit einer kompletten Transportverschlüsselung, das bedeutet, die Nachricht wird vom Endgerät bis zum „E-Mail made in Germany“-E-Mail-Server und zwischen den E-Mail-Servern verschiedener „EmiG“-Provider verschlüsselt übertragen, wobei auch die Gültigkeit der Zertifikate und die Identität des Providers überprüft werden. Beim Provider selbst wird die Nachricht unverschlüsselt verarbeitet, um sie auf Viren und Spam zu prüfen. Allerdings stehen die Mail-Server alle in Deutschland. Damit erfolgt die Speicherung nach strengen deutschen Datenschutz-Standards. Die Zugriffsmöglichkeiten Dritter sind ausschließlich durch deutsche Gesetzgebung geregelt.
Kriterien für die Zertifizierung
Unternehmen und öffentliche Verwaltungen, die nach dem sichereren „E-Mail made in Germany“-Verfahren kommunizieren wollen, müssen sich durch TÜV Rheinland zertifizieren lassen. Als unabhängige Dritte prüfen die Fachleute für Informationssicherheit, ob die Organisation die notwendigen technischen, organisatorischen und prozessualen Sicherheitsanforderungen erfüllt. Grundlagen sind sicherheitstechnische Anforderungen aus den „E-Mail made in Germany“-Vorgaben für die Inter-MTA-Kommunikation (Mail Transport Agent - ein Programm zur Verteilung von E-Mails) sowie der internationale Standard für Informationssicherheit ISO/IEC 27001. Darüber hinaus werden technische Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie das Telekommunikationsgesetz (TKG) in seiner jeweils gültigen Fassung berücksichtigt. „Selbstverständlich prüfen wir in diesem Zusammenhang auch, ob die Organisation sichere Verschlüsselungsprotokolle verwendet und ob sie in der Lage ist, Sicherheitslücken zu erkennen und schnell zu beheben“, betont Björn Haan. Kann das Unternehmen oder die Behörde nachweisen, die sicherheitstechnischen Anforderungen zu erfüllen, vergibt TÜV Rheinland das Zertifikat „Geprüfter EmiG-Provider“. Das Prüfsiegel hat eine Laufzeit von drei Jahren, im zweiten und dritten Jahr erfolgt jeweils ein Monitoring.
Seit dem 29. April 2014 ist die Verschlüsselung bei allen E-Mail-Zugängen der EmiG-Provider bzw. den beteiligten E-Mail-Diensten vollständig umgesetzt. Neben der Transportverschlüsselung, die das „E-Mail made in Germany“-Verfahren nutzt, gibt es noch die Ende-zu-Ende-Verschlüsselung, bei der die Nachricht vom Absender verschlüsselt und in dieser Form unverändert über mehrere Rechner hinweg zum Empfänger übertragen wird. Diese ist optional auch schon heute bei den „E-Mail made in Germany“-Providern möglich, erfordert aber beim Endnutzer ein hohes Maß an technischer Kompetenz, was die Verbreitung aktuell stark einschränkt.
Umfassende Informationssicherheit für Unternehmen und Institutionen
Als führender unabhängiger Prüfdienstleister für Informationssicherheit in Deutschland bietet TÜV Rheinland Unternehmen und Institutionen ganzheitliche Informationssicherheit von der strategischen Beratung über Konzeption und Prozessoptimierung bis zu Implementierung, Betrieb oder Zertifizierung der Systeme. Exzellente Technologie-Expertise, umfassendes Branchen-Know-how und strategische Partnerschaften mit Marktführen ermöglichen die Entwicklung standardisierter und individueller Sicherheitslösungen. Kerngeschäftsfelder sind die Strategische Informationssicherheit, Qualität und Sicherheit für Applikationen und Portale, Mobile und Network Security sowie die IT-Sicherheit in Industrieanlagen und kritischen Infrastrukturen.
Weitere Informationen unter www.tuv.com/informationssicherheit im Internet.