Neues aus der IT-Welt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. November 2025 ein Whitepaper mit dem Titel Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste veröffentlicht. Darin fordert es Webmail-Anbieter auf, mehr Verantwortung für die IT-Sicherheit ihrer Dienste zu übernehmen, da viele Anbieter derzeit nur schwache Sicherheitsmaßnahmen wie den reinen Passwortzugang ohne Zwei-Faktor-Authentifizierung anbieten.

BSI definiert Maßstäbe für Webmail-Sicherheit.

• Webmail-Dienste sollen Sicherheitsmaßnahmen nicht als Zusatzfunktion, sondern als Standard integrieren (Security by Design und Security by Default).
• Verbindliche Einführung sicherer und nutzerfreundlicher Authentifizierungsverfahren wie Zwei-Faktor-Authentifizierung (2FA) und moderne Passkeys.
• Ende-zu-Ende-Verschlüsselung (E2EE) soll direkt im Webmailer durch offene Standards wie OpenPGP oder S/MIME realisiert werden, inklusive automatisierter Schlüsselverwaltung.
• Transportverschlüsselung mittels Technologien wie DANE und MTA-STS zur Abwehr von Man-in-the-Middle-Angriffen.
• Mehrschichtiger Schutz vor Spam und Phishing, wobei Verantwortung nicht auf die Nutzer abgewälzt wird. Backend-Mechanismen (SPF, DKIM, DMARC) sollen obligatorisch sein, ergänzt um benutzerfreundliche Meldefunktionen.
• Transparenz in Sicherheitsfunktionen und benutzerfreundliche Account-Wiederherstellung sind weitere zentrale Anforderungen.

Das BSI sieht Webmail-Dienste als kritische Infrastruktur für unsere digitalen Identitäten und fordert deshalb eine umfassende Sicherheits- und Verbraucherschutzstrategie als Standard für alle Anbieter. Die Verantwortung für Sicherheit liegt dabei klar bei den Anbietern, nicht bei den Nutzern.