providerübergreifende Initiative „E-Mail made in Germany" (EmiG)

Die komplette Datenübertragung ist verschlüsselt mit Zertifikaten deutscher Zertifizierungsstellen, die Speicherung erfolgt ausschließlich innerhalb Deutschlands: Dafür steht „E-Ma...

Die komplette Datenübertragung ist verschlüsselt mit Zertifikaten deutscher Zertifizierungsstellen, die Speicherung erfolgt ausschließlich innerhalb Deutschlands: Dafür steht „E-Mail made in Germany" (EmiG), eine providerübergreifende Initiative von United Internet und Deutsche Telekom. Bislang beteiligt sind die E-Mail-Dienste T-Online Email, freenet, GMX und WEB.DE.


Dem Verbund beitreten können nicht nur Provider, sondern auch Unternehmen und Behörden, die ihren Sitz in Deutschland haben. Voraussetzung für einen Beitritt ist eine Überprüfung und Zertifizierung durch TÜV Rheinland. Ziel der „E-Mail made in Germany"-Initiative ist es, die Vertraulichkeit und Integrität des E-Mail-Verkehrs innerhalb Deutschlands zu steigern. „In punkto sicherer Kommunikation ist das auf jeden Fall ein Gewinn", erklärt Björn Haan, Geschäftsführer der TÜV Rheinland i-sec, der auf Informationssicherheit spezialisierten Gesellschaft bei TÜV Rheinland. „Wer eine Nachricht mit dem Signet ,E-Mail made in Germany` versendet oder erhält, kann sicher sein, dass für Übertragung und Verarbeitung ein höheres Niveau in Datenschutz und Datensicherheit gilt als bei herkömmlichen E-Mails mit Speicherung außerhalb Deutschlands."

Die „E-Mail made in Germany"-Initiative arbeitet mit einer kompletten Transportverschlüsselung, das bedeutet, die Nachricht wird vom Endgerät bis zum „E-Mail made in Germany"-E-Mail-Server und zwischen den E-Mail-Servern verschiedener „EmiG"-Provider verschlüsselt übertragen, wobei auch die Gültigkeit der Zertifikate und die Identität des Providers überprüft werden. Beim Provider selbst wird die Nachricht unverschlüsselt verarbeitet, um sie auf Viren und Spam zu prüfen. Allerdings stehen die Mail-Server alle in Deutschland. Damit erfolgt die Speicherung nach strengen deutschen Datenschutz-Standards. Die Zugriffsmöglichkeiten Dritter sind ausschließlich durch deutsche Gesetzgebung geregelt.

Kriterien für die Zertifizierung

Unternehmen und öffentliche Verwaltungen, die nach dem sichereren „E-Mail made in Germany"-Verfahren kommunizieren wollen, müssen sich durch TÜV Rheinland zertifizieren lassen. Als unabhängige Dritte prüfen die Fachleute für Informationssicherheit, ob die Organisation die notwendigen technischen, organisatorischen und prozessualen Sicherheitsanforderungen erfüllt. Grundlagen sind sicherheitstechnische Anforderungen aus den „E-Mail made in Germany"-Vorgaben für die Inter-MTA-Kommunikation (Mail Transport Agent - ein Programm zur Verteilung von E-Mails) sowie der internationale Standard für Informationssicherheit ISO/IEC 27001. Darüber hinaus werden technische Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie das Telekommunikationsgesetz (TKG) in seiner jeweils gültigen Fassung berücksichtigt.

„Selbstverständlich prüfen wir in diesem Zusammenhang auch, ob die Organisation sichere Verschlüsselungsprotokolle verwendet und ob sie in der Lage ist, Sicherheitslücken zu erkennen und schnell zu beheben", betont Björn Haan. Kann das Unternehmen oder die Behörde nachweisen, die sicherheitstechnischen Anforderungen zu erfüllen, vergibt TÜV Rheinland das Zertifikat „Geprüfter EmiG-Provider". Das Prüfsiegel hat eine Laufzeit von drei Jahren, im zweiten und dritten Jahr erfolgt jeweils ein Monitoring.

Seit dem 29. April 2014 ist die Verschlüsselung bei allen E-Mail-Zugängen der EmiG-Provider bzw. den beteiligten E-Mail-Diensten vollständig umgesetzt. Neben der Transportverschlüsselung, die das „E-Mail made in Germany"-Verfahren nutzt, gibt es noch die Ende-zu-Ende-Verschlüsselung, bei der die Nachricht vom Absender verschlüsselt und in dieser Form unverändert über mehrere Rechner hinweg zum Empfänger übertragen wird. Diese ist optional auch schon heute bei den „E-Mail made in Germany"-Providern möglich, erfordert aber beim Endnutzer ein hohes Maß an technischer Kompetenz, was die Verbreitung aktuell stark einschränkt.

Umfassende Informationssicherheit für Unternehmen und Institutionen

Als führender unabhängiger Prüfdienstleister für Informationssicherheit in Deutschland bietet TÜV Rheinland Unternehmen und Institutionen ganzheitliche Informationssicherheit von der strategischen Beratung über Konzeption und Prozessoptimierung bis zu Implementierung, Betrieb oder Zertifizierung der Systeme. Exzellente Technologie-Expertise, umfassendes Branchen-Know-how und strategische Partnerschaften mit Marktführen ermöglichen die Entwicklung standardisierter und individueller Sicherheitslösungen. Kerngeschäftsfelder sind die Strategische Informationssicherheit, Qualität und Sicherheit für Applikationen und Portale, Mobile und Network Security sowie die IT-Sicherheit in Industrieanlagen und kritischen Infrastrukturen.

Weitere Informationen unter www.tuv.com/informationssicherheit im Internet.

TÜV Rheinland ist ein weltweit führender unabhängiger Prüfdienstleister mit über 140 Jahren Tradition. Im Konzern arbeiten 18.000 Menschen in 66 Ländern weltweit. Sie erwirtschaften einen Jahresumsatz von über 1,6 Milliarden Euro. Die unabhängigen Fachleute stehen für Qualität, Effizienz und Sicherheit von Mensch, Technik und Umwelt in fast allen Lebensbereichen. TÜV Rheinland prüft technische Anlagen, Produkte und Dienstleistungen, begleitet Projekte und Prozesse für Unternehmen. Die Experten trainieren Menschen in zahlreichen Berufen und Branchen. Dazu verfügt TÜV Rheinland über ein globales Netz anerkannter Labore, Prüf- und Ausbildungszentren. Seit 2006 ist TÜV Rheinland Mitglied im Global Compact der Vereinten Nationen für mehr Nachhaltigkeit und gegen Korruption.

Meist gelesen