Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene
Redaktion: Heinz Schmitz
Anforderungen an Webmailer-Sicherheit
Das BSI hat in einem Whitepaper neue Standards für sichere und transparente Webmailer definiert. (Quelle. hiz)
E-Mail-Dienste - insbesondere Webmailer (E-Mail-Dienste, die über einen Webbrowser genutzt werden) - sind ein integraler Bestandteil des Alltagslebens. Sie ermöglichen das Erstellen von E-Mails, ihren Versand an beliebige Kontakte sowie die Verwaltung eines Postfachs. Nicht zuletzt werden E-Mailadressen als Zugang für viele weitere Dienste genutzt. Damit sind sie eine wesentliche Schnittstelle digitaler Kommunikation und Identitätsverwaltung. Der Schutz der Verbraucherinnen und Verbraucher vor Sicherheitsrisiken wie zum Beispiel unsicheren Authentisierungsverfahren und Identitätsdiebstahl ist bei Webmail-Anbietern jedoch mitunter lückenhaft umgesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun ein Whitepaper veröffentlicht, das Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern festlegt, die die Sicherheit der Verbraucherinnen und Verbraucher systematisch und zukunftsorientiert erhöhen.
Das Whitepaper betrachtet dabei nicht nur technische Sicherheitsfunktionen, sondern auch Usability, Transparenz und Vertrauen als wesentliche Bestandteile digitaler Souveränität. Marktsichtungen des BSI haben ergeben, dass zahlreiche E-Mail-Dienste in ihrer Standardkonfiguration allein auf Passwörter setzen, um die Zugänge ihrer Kundinnen und Kunden zu schützen - zumeist ohne Zwei-Faktor-Authentisierung. Eine solche müssen Nutzende oftmals erst in den Einstellungen aktivieren. Auch sind nachweislich sichere und praktische Alternativen zum Passwort, wie etwa die passwortlose Authentisierung mittels Passkey, immer noch wenig verbreitet oder werden nicht proaktiv angeboten.
Caroline Krohn, Fachbereichsleiterin Digitaler Verbraucherschutz: „Ein elementarer Teil der E-Mail-Sicherheit lastet derzeit noch auf den Schultern der Anwenderinnen und Anwender. Sie sollen sich mit Zwei-Faktor-Authentisierung, Passkey und Verschlüsselung auskennen. Wir sehen die Verantwortung bei den Anbietern: Diese müssen wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Accountwiederherstellung bereitstellen, die ohne größeres Zutun der Nutzenden funktionieren und einen elementaren Sicherheitsgewinn darstellen. Nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich sind, entfalten sie ihre volle Wirkung.“
Das nun publizierte Whitepaper „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienst““ ist zugleich Ansporn für E-Mail-Dienste und eine Einladung zur Zusammenarbeit: Seit Jahresbeginn hat das BSI den Dialog mit den E-Mail-Anbietern intensiviert - dieser Austausch soll nun ausgebaut werden.
Siehe auch: