Unserer Meinung nach sind nicht alle geforderten Maßnahmen der Datenschutz-Behörden zur Absicherung der E-Mail-Kommunikation realistisch umsetzbar. Andere kommen zu kurz. Auf dieser Seite schlagen wir konkrete Verbesserungen vor.
DomainKeys Identified Mail (DKIM)
DKIM wird lediglich beim Empfang von E-Mails gefordert – hier sollen verantwortliche Stellen die Signaturen von eingehenden E-Mails prüfen. Unserer Meinung nach sollte eine Empfehlung für verantwortliche Stellen mit in die Orientierungshilfe aufgenommen werden, DKIM auch für ausgehende E-Mails zu implementieren. Damit wird allen ausgehenden E-Mails eine Signatur hinzugefügt, die von anderen (böswilligen) Mail-Servern nicht gefälscht werden kann.
Ende-zu-Ende-Verschlüsselung (E2EE)
E2EE von E-Mails mittels PGP oder S/MIME eignet sich unseres Erachtens erst dann für die breite Masse, wenn sie (in möglichst vielen (Web-)Mail-Clients) einfach nutzbar sind, also im besten Fall, ohne dass der Nutzer etwas davon bemerkt. Aktuell stellt die Handhabung viele verantwortliche Stellen vor Herausforderungen – auch weil der Kommunikationspartner (z.B. eine Privatperson) das entsprechende Verfahren ebenfalls unterstützen muss, was meistens nicht der Fall ist. Techniken wie Autocrypt konnten bisher nicht zur großflächigen Verbreitung beitragen. In unseren Augen sollte der Fokus auf den übrigen Verfahren liegen, um schnellstmöglich ein hohes homogenes Sicherheitsniveau zu erreichen.
Obligatorische Transportverschlüsselung
Die Forderung nach einer obligatorischen Transportverschlüsselung (schon bei normalem Risiko) ist aktuell1 nicht praxisnah. Zwar unterstützen ca. 90% aller Mail-Server Transportverschlüsselung, bei der Kommunikation mit den übrigen 10% ohne Transportverschlüsselung würde sich eine verantwortliche Stelle jedoch von der Kommunikation ausschließen. Hierzu sind die Statistiken von Gmail sehr interessant.
Stattdessen sprechen wir uns in diesem Kontext für eine reine Empfehlung von DANE aus – unabhängig vom Risiko. Unterstützen sowohl der sendende als auch der empfangende Mail-Server DANE, so kommt man einer obligatorischen Transportverschlüsselung sehr nahe, einschließlich einer Authentifizierung des Empfängers.
Weitere Techniken
Weitere Techniken wie SPF, DMARC, SMTP-TLS-Reporting oder BIMI werden in der Orientierungshilfe nicht erwähnt. Wir sprechen uns daher auch für eine Empfehlung weiterer Maßnahmen zur Erhöhung der Mail-Sicherheit aus.
1 Stand: August 2021