Sicherer E-Mail-Transport für Europa
Trotz der wachsenden Bedeutung von (mobilen) Instant-Messengern bleibt die E-Mail ein bedeutendes Medium zum Austausch von Nachrichten in der digitalen Kommunikation – speziell im Businessbereich erfreut sie sich nach wie vor großer Beliebtheit. Durch intensive europäische Zusammenarbeit sollen die Sicherheit bei der E-Mail-Kommunikation erhöht und die Verbreitung moderner Sicherheitsstandards gefördert werden. Europa kann hierbei eine Vorreiterrolle bei der nachhaltigen Steigerung der Cybersicherheit einnehmen.
Das BSI hat bereits 2015 mit dem Vorhaben zur „Technischen Richtlinie (TR) Sicherer E-Mail-Transport“ (BSI TR-03108, [1]) begonnen, Basissicherheitsanforderungen an den Transport von E-Mails zu definieren und damit zur weiteren Verbreitung sicherer E-Mail beizutragen.
Der Fokus wurde auf Verfahren gelegt, die ausschließlich vom E-Mail-Diensteanbieter (EMDA) umgesetzt werden müssen und somit auch ohne ein Zutun der Nutzer ihren sicherheitstechnischen Mehrwert entfalten. Dieser ergibt sich vor allem aus der konsequenten Verwendung bereits in der Praxis erprobter und etablierter Standards. Neben BSI-eigenen Standards, wie den TR zu kryptografischen Vorgaben für Projekte der Bundesregierung (BSI TR-03116-4) und zum sicheren Betrieb von Zertifizierungsstellen (BSI TR-03145), spielen in diesem Zusammenhang einige internationale Standards eine tragende Rolle.
Besonders positiv wurde in der Öffentlichkeit die Verwendung von „DNS-Based Authentication of Named Entities“ (DANE) in der Verbindung mit DNSSEC aufgenommen. Dieser Standard ermöglicht es InternetDiensteanbietern, ihre für die Authentifizierung und Verschlüsselung notwendigen Zertifikate über die Veröffentlichung auf DNS-Servern bekannt und abrufbar zu machen. Mithilfe der über DANE bereitgestellten Zertifikate kann jeder, der mit einem Diensteanbieter kommunizieren möchte, die Verbindung verschlüsseln und authentifizieren. Zudem ist die Nutzung von DANE ein verbindliches Statement, dass der Diensteanbieter in der Lage ist, eine verschlüsselte Verbindung anzubieten. Auch das BSI bietet seine Dienste schon seit einiger Zeit mit DANE und DNSSEC abgesichert im Internet an.
Internetverbindungen, die mithilfe von Transport-Layer-Security (TLS) abgesichert werden, genießen im Gegensatz zu DANE schon jetzt weite Verbreitung. Sicherheitslücken wie BEAST oder Poodle haben gezeigt, dass für die Sicherheit vor allem der Einsatz zeitgemäßer Kryptoverfahren von essenzieller Bedeutung ist. Das BSI veröffentlicht aus diesem Grund jährlich und anlassbezogen aktualisierte kryptografische Vorgaben, die ebenfalls beim sicheren E-Mail-Transport angewandt werden. Durch die Kombination von DNSSEC zur sicheren Abfrage beim DNS-Server, DANE zum Abruf und zur Bereitstellung von Zertifikatsinformationen und dem Einsatz von sicheren Algorithmen bei TLS wird mithilfe von Standardverfahren ein Basissicherheitsniveau nach dem aktuellen Stand der Technik erreicht.
Tragfähiges Konzept
In Verbindung mit den Anforderungen an das vom EMDA verpflichtend zu erstellende Sicherheitskonzept und den in Europa geltenden hohen Anforderungen an den Datenschutz ergibt sich damit ein tragfähiges Konzept. Dieses adressiert die Sicherheit einer E-Mail vom Absender bis zum Empfänger auf operativer und technischer Ebene. Dabei wird die Übertragung der EMail jeweils von Punkt zu Punkt abgesichert – dies lässt sich bei Bedarf jederzeit um Ende-zu-Ende-Sicherheit, zum Beispiel durch die Nutzung von PGP oder S/MIME, auf der Anwendungsebene ergänzen. Hierbei unterstützt das BSI beispielsweise mit dem Ende dieses Jahres veröffentlichten vereinfachten Verfahren zum Schlüsseltausch (EasyGPG, [3]).
Die zu Beginn dieses Jahres bekannt gewordenen Efail-Schwachstellen haben gezeigt, dass eine Kombination aus Ende-zu-Ende-Verschlüsselung auf Anwendungsebene und Punkt-zu-Punkt-Verschlüsselung auf Transportebene sinnvoll ist und die Sicherheit nachhaltig anheben kann. Zudem werden bei dieser Kombination auf Transportebene zusätzlich die Verbindungsdaten aus dem E-Mail-Header, wie Informationen zum Absender und Empfänger der E-Mail (Metadaten), verschlüsselt.
Ergänzend zu der technischen Richtlinie wurde vom BSI ein Zertifizierungsverfahren etabliert, das von geprüften Auditoren auf Basis von Prüfspezifikationen durchgeführt wird. Durch dieses Verfahren wird die Sicherheit von E-Mail-Diensten nachweisbar und vergleichbar. Bereits 2016 konnte das erste Zertifikat an einen EMDA vergeben werden.
Für die Zertifizierung müssen die prüfenden Auditoren für eine bei der Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditierten Prüfstelle tätig sein und erfolgreich eine Zertifizierung als Auditor im Bereich „Sicherer E-Mail Transport“ beim BSI durchlaufen haben [2]. Diese sogenannte Personenzertifizierung umfasst neben dem Nachweis der Fachexpertise auch den Nachweis über den korrekten Umgang mit den vom Auditor gewählten Prüftools. Dies wird bei der beispielhaften Prüfung eines fiktiven E-Mail-Diensteanbieters (EMDA) in einer virtuellen Umgebung beim BSI nachgewiesen.
In Zukunft wird das BSI, um die Tätigkeit als Auditor attraktiver zu gestalten, eine Referenz-Implementierung eines solchen Prüftools in Form einer Skriptsammlung an interessierte Auditoren herausgeben. Die Skriptsammlung setzt dabei vollständig auf frei verfügbare Kryptobibliotheken auf. Durch das Zertifizierungsverfahren wird letztlich eine Nachweisbarkeit und Vergleichbarkeit der Sicherheit von E-Mail-Diensten geschaffen.
Eine europäische Chance
Schon im Rahmen der TR-Erstellung fanden Abstimmungsgespräche mit europäischen Partnerbehörden des BSI statt. Dabei stellte sich heraus, dass es auch in anderen Ländern ähnliche Ansätze gab, die Transportsicherheit von E-Mails zu erhöhen: Sie lagen inhaltlich nah beieinander, unterschieden sich jedoch in der Methodik. So gibt es in Frankreich eine von der Agence nationale de la sécurité des systèmes d’information (ANSSI) erstellte Charta zur E-Mail-Sicherheit, die von Regierungsvertretern und Vertretern der fünf größten EMDA in Frankreich unterzeichnet wurde. In den Niederlanden wurde vom Nationaal Cyber Security Centrum (NCSC) ein Factsheet zu dem Thema veröffentlicht, das für niederländische Behörden auf allen Ebenen nach der „Comply-or-Explain“-Methodik verbindlich ist (sinngemäß: „erfülle oder erkläre, warum du nicht erfüllst“).
Um diese Kompetenzen in Zukunft zu bündeln und möglichst geschlossen auf dem Markt, zum Beispiel gegenüber E-Mail-Softwareherstellern, auftreten zu können, haben die Niederländische NCSC-NL und das BSI am 8. Juni 2018 Vertreter europäischer Behörden, der Kommission sowie Industrievertreter zu einem gemeinsamen Workshop nach München eingeladen. Hierbei stand, neben einem Erfahrungsaustausch zu Standards und Technologie, die Abschätzung des Potenzials einer weiteren Zusammenarbeit im Vordergrund. Diese Initiative wurde auch von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) begrüßt, die für die weitere Zusammenarbeit ihre Unterstützung zugesichert hat.
Auf diese Weise sollen Schritt für Schritt die Sicherheit bei der E-Mail-Kommunikation erhöht und die Verbreitung moderner Sicherheitsstandards gefördert werden. Europa kann hierdurch eine Vorreiterrolle bei der nachhaltigen Steigerung der Cybersicherheit im Bereich der E-Mail einnehmen.
Literatur
[1] BSI, Sicherer E-Mail-Transport, TR-03108 www.bsi.bund.de/TR03108
[2] BSI, Zertifizierung als Auditor „Sicherer E-MailTransport“ für BSI TR-03108, www.bsi.bund.de/auditoremailtransport
[3] BSI, E-Mail-Verschlüsselung: Schlüsseltausch einfach gemacht (EasyGPG), www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/EMail_Verschluesselung/EasyGPG/EMail_EasyGPG_node.html