BSI veröffentlicht Leitfaden zur Absicherung von E-Mail-Infrastrukturen : Konkrete Empfehlungen zur Implementierung von E-Mail-Sicherheitsstandards sollen Unternehmen vor Cyber-Angriffen schützen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Leitfaden vorgelegt, der Unternehmen bei der Verbesserung ihrer E-Mail-Sicherheit unter die Arme greifen soll. Die Empfehlungen zeigen auf, wie Organisationen ihre E-Mail-Infrastrukturen durch korrekte Implementierung etablierter Sicherheitsstandards effektiv absichern können.
E-Mail ist für die meisten Organisationen nach wie vor unverzichtbar für die externe Kommunikation. Die zugrundeliegende Technik stammt jedoch aus den 1980er-Jahren und bietet in ihrer Grundform erhebliche Angriffsflächen. Das BSI adressiert diese Problematik mit konkreten Handlungsempfehlungen, die sich besonders an Unternehmen richten, die ihren E-Mail-Dienst nicht oder nur teilweise selbst betreiben.
Häufige Konfigurationsfehler bei Sicherheitsstandards
Die Empfehlungen des Bundesamtes basieren auf Messungen der Sicherheitseigenschaften von E-Mail-Infrastrukturen in Deutschland. Dabei kam das hauseigene, nicht-invasive Analyse-Tool Katti zum Einsatz. Das ernüchterne Ergebnis: Viele Unternehmen implementieren zwar bereits Sicherheitsstandards wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance), machen dabei jedoch vermeidbare Fehler.
„Die Standards helfen dabei, die Identität eines sendenden E-Mail-Servers und die von ihm versendeten E-Mails an eine Internet-Domain zu binden“, erläutert das BSI im Dokument. Häufige Fehlerquellen seien demnach Tippfehler in DNS-Einträgen, DNS-Einträge in Anführungszeichen, Mehrfacheinträge, ungültige Versionsbezeichnungen, verwaiste DNS-Einträge und fehlerhafte Syntax.
Transportverschlüsselung mit DANE und MTA-STS
Neben der korrekten Implementierung von Authentifizierungsstandards empfiehlt das BSI zwei Technologien zur Absicherung des E-Mail-Transports: DANE (DNS-based Authentication of Named Entities) mit DNSSEC (Domain Name System Security Extensions) sowie MTA-STS (Mail Transfer Agent Strict Transport Security).
Für Microsoft Exchange Online-Nutzer rät die Behörde zu DANE mit DNSSEC. „Der Standard basiert vereinfacht zusammengefasst darauf, dass ein Fingerabdruck des für die TLS-Verschlüsselung verwendeten Schlüsselmaterials geschützt durch DNSSEC in einem DNS-Eintrag des empfangenden E-Mail-Servers hinterlegt wird“, erklärt das BSI. Dies schützt vor Downgrade-Angriffen und Person-in-the-Middle-Angriffen.
Wer hingegen auf Google Workspace mit Gmail setzt, sollte MTA-STS implementieren. Dieser Standard erfüllt denselben Zweck, stützt sich aber auf digitale Zertifikate als Sicherheitsanker statt auf DNSSEC.
Praktische Umsetzungsanleitungen für gängige Plattformen
Der BSI-Leitfaden enthält detaillierte Schritt-für-Schritt-Anleitungen zur Implementierung der vorgeschlagenen Standards sowohl für Microsoft Exchange Online als auch für Google Workspace mit Gmail. Diese umfassen das Anpassen von DNS-Einträgen, die Aktivierung von DANE beziehungsweise die Erstellung und Veröffentlichung einer MTA-STS-Richtlinie.
„Die für den Betrieb von E-Mail-Diensten empfohlenen Sicherheitsstandards sind durch entsprechende Angebote von Dienstleistern und die Verfügbarkeit der Implementierungen schon jetzt für eine breite Masse verfügbar“, betont das BSI. „Häufig lässt sich mit einem überschaubaren Aufwand die Umsetzung dieser Sicherheitsstandards deutlich verbessern.“
Umsetzung soll kontinuierlich überprüft werden
Das BSI plant weitere Messungen, um fortlaufend zielgerichtete Empfehlungen aussprechen und verfeinern zu können. Für Unternehmen, die mehr Informationen benötigen, verweist die Behörde auf ihre Technischen Richtlinien BSI TR-03108 „Sicherer E-Mail-Transport“ und BSI TR-03182 „E-Mail-Authentifizierung“.
In Fachkreisen stößt der Leitfaden auf positive Resonanz. Prof. Dr. Dennis-Kenji Kipker, ein Experte auf dem Gebiet der Cybersicherheit, bezeichnet den Leitfaden auf LinkedIn als „Must read für alle Sysadmins“. In der Kommentarspalte seines Beitrags weisen Fachleute jedoch auch darauf hin, dass die empfohlenen Standards bereits seit Jahren als obligatorische Anforderungen des IT-Grundschutzes gelten, allerdings oft nicht umgesetzt werden.
(Quellen: BSI, LinkedIn / Dieser Beitrag wurde mithilfe von KI-Tools erstellt und redaktionell geprüft.)