BSI-Bewertung zur Sicherheit von E-Mail-Programmen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jüngst im Rahmen seines Digitalen Verbraucherschutz-Berichts (DVS) eine Untersuchung zur Sicherheit gängiger E-Mail-Programme veröffentlicht. Der Report beleuchtet, inwiefern etablierte Clients und Softwarelösungen zentrale Sicherheits- und Datenschutzanforderungen erfüllen, insbesondere im Hinblick auf Verschlüsselung, Authentifizierung und Schadsoftware-Abwehr.
Kernpunkte der Analyse
- Transport- und Inhalts-Sicherheit:
Der Bericht untersucht, ob E-Mail-Programme TLS-basierte Transportverschlüsselung unterstützen und ob sie Mechanismen für end-to-end-Verschlüsselung (z. B. S/MIME, OpenPGP) anbieten, um Nachrichteninhalte vor unberechtigtem Mitlesen zu schützen. - Spam-, Phishing- und Tracking-Schutz:
Ein Schwerpunkt liegt auf der Frage, wie Clients Verdächtiges filtern, manipulierte Absender-Identitäten erkennen oder Tracking-Mechanismen blockieren. Das BSI bewertet, ob solche Funktionen grundsätzlich vorhanden oder eher rudimentär umgesetzt sind. - Lokale Speicherung von Daten:
Ein weiterer Aspekt ist die Art, wie Programme E-Mails und Zugangsdaten lokal persistieren – verschlüsselt oder im Klartext – und welches Risiko dies für den Schutz personenbezogener Inhalte birgt, etwa bei Geräteverlust.
Ergebnisse und Einordnung
Die vorläufige Bewertung des BSI zeigt, dass viele E-Mail-Programme zwar grundlegende Transportverschlüsselung unterstützen, doch die Implementierung umfassender Verschlüsselungs- und Authentifizierungsstandards – insbesondere für Ende-zu-Ende-Sicherheit – stark variiert und in vielen Fällen nicht vollständig umgesetzt ist. Ebenso unterscheiden sich die Mechanismen zur Erkennung und Abwehr von Spam, Phishing oder Tracking erheblich zwischen den Clients.
Bedeutung für Datenschutz und Sicherheitsverantwortliche
Die Ergebnisse verdeutlichen, dass die Wahl und konfigurative Absicherung von E-Mail-Programmen maßgeblichen Einfluss auf die Informationssicherheit und den Datenschutz hat – sowohl in Behörden als auch in Unternehmen. Neben der reinen Transportverschlüsselung empfiehlt das BSI, auf weitreichendere Schutzmaßnahmen zu achten und bei Bedarf zusätzliche Sicherheitsschichten (z. B. starke Authentifizierung, E-Mail-Verschlüsselungslösungen) einzusetzen, um Datenverlust und Missbrauch zu verhindern.
(Foto: wpw -stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 87: Reformbedarf bei der DSGVO: Eine Parallelspur für den Digitalomnibus
An der Technischen Universität München (TUM) hat sich ein Think Tank formiert. Er bietet die organisatorische Plattform für Impulse zur Diskussion aktueller Themen der Digitalisierung. Für die Gesellschaft für Datenschutz und Datensicherheit ist Dr. Stefan Brink vom wissenschaftlichen Institut für die Digitalisierung der Arbeitswelt (WIDA) beteiligt. Ende 2025 hat das Gremium mit einem erweiterten Kreis von
Mehr erfahren -
Personalakten sind nicht Teil des Bewerbungsverfahrens
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat sich im Tätigkeitsbericht 2024 grundsätzlich gegen die Praxis ausgesprochen, im öffentlichen Dienst Bewerbenden die Einwilligung zur Personalakteneinsicht abzuverlangen, und entsprechende Änderungen bei der Senatsverwaltung für Finanzen (SenFin) angeregt. Bisherige Praxis Wer sich aus einem bestehenden öffentlich-rechtlichen Beschäftigungsverhältnis heraus auf eine neue Stelle im Berliner Landesdienst bewirbt,
Mehr erfahren -
Ignorierte Verwarnung der Aufsichtsnehörde wirkt bußgelderhöhend
Das Landgericht Berlin hat in einem Bußgeldverfahren gegen einen E-Commerce-Konzern grundlegende Aussagen zur Bemessung von DS-GVO-Geldbußen getroffen. Der Fall ist dem Tätigkeitsbericht 2024 der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) zu entnehmen. Ausgangslage Die BlnBDI hatte 2022 ein Bußgeld gegen ein Unternehmen wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt: Die als DSB benannte Person
Mehr erfahren
