BSI definiert neue Sicherheitsstandards für Webmail-Dienste

E-Mail ist Rückgrat der digitalen Identität – doch viele Webmailer verlassen sich noch immer auf unsichere Standardmechanismen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt nun klare Anforderungen für sichere, transparente und nutzerfreundliche Webmail-Dienste vor und nimmt Anbieter stärker in die Verantwortung.

E-Mail als kritische Infrastruktur der digitalen Identität

Webmail-Dienste sind längst mehr als reine Kommunikationsmittel. Sie dienen als zentrale Schnittstelle für digitale Identitäten, Passwortrücksetzungen und Zugänge zu zahlreichen Online-Diensten. Umso kritischer ist ihre Rolle für die IT-Sicherheit von Verbraucherinnen und Verbrauchern.

In der Praxis zeigen sich jedoch deutliche Sicherheitslücken: Viele Anbieter setzen in ihren Grundeinstellungen weiterhin ausschließlich auf passwortbasierte Authentifizierung – häufig ohne aktivierte Zwei-Faktor-Authentisierung (2FA). Sichere Alternativen wie Passkeys oder moderne Multi-Faktor-Mechanismen sind oft nur optional oder gar nicht verfügbar.

Whitepaper definiert neue Maßstäbe für Webmail-Sicherheit

Mit dem Whitepaper „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ setzt das BSI erstmals einen umfassenden Orientierungsrahmen für Anbieter von Webmail-Diensten.

Im Fokus stehen dabei nicht nur technische Sicherheitsmechanismen, sondern ein ganzheitlicher Ansatz:

Authentisierung und Identitätsschutz
Ende-zu-Ende- und Transportverschlüsselung
Abwehr von Spam und Phishing
Sichere und nutzerfreundliche Account-Wiederherstellung
Transparente Kommunikation von Sicherheitsfunktionen
Benutzerfreundlichkeit als Sicherheitsfaktor

Ziel ist es, Sicherheitsmaßnahmen nicht als Zusatzfunktion, sondern als Standard und Teil der Produktarchitektur zu etablieren.

BSI: Verantwortung liegt bei den Anbietern

Caroline Krohn, Fachbereichsleiterin Digitaler Verbraucherschutz im BSI, macht deutlich, dass die Last der Sicherheit bislang zu stark auf den Schultern der Nutzenden liegt:

Die Anwender sollen sich mit Passkeys, Zwei-Faktor-Authentisierung und Verschlüsselung auskennen – doch die Verantwortung liegt bei den Anbietern. Sicherheitsmechanismen müssen ohne aufwendige Konfiguration funktionieren und standardmäßig aktiv sein.

Nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich umgesetzt werden, können sie ihre volle Wirkung entfalten und einen echten Sicherheitsgewinn bringen.

Marktanalyse zeigt Defizite bei Webmail-Anbietern

Im Rahmen von Marktsichtungen stellte das BSI fest, dass zahlreiche Webmailer weiterhin ausschließlich auf Passwortschutz in der Standardkonfiguration setzen. Zwei-Faktor-Authentisierung muss oft aktiv in den Einstellungen gesucht und manuell aktiviert werden.

Auch passwortlose Authentisierung über Passkeys ist bislang noch wenig verbreitet und wird von vielen Anbietern nicht offensiv angeboten – trotz hoher Sicherheits- und Usability-Vorteile.

Dialogangebot an die Branche

Das Whitepaper versteht sich nicht nur als Regelwerk, sondern auch als Impulsgeber für die Branche. Das BSI hat bereits zu Jahresbeginn den Austausch mit Anbietern von E-Mail-Diensten intensiviert – nun soll dieser Dialog weiter ausgebaut werden.

Ziel ist eine stärkere Zusammenarbeit zwischen Behörden und Wirtschaft, um langfristig ein höheres Sicherheitsniveau auf dem Webmail-Markt zu etablieren.

Fazit: Sicherheit als Standard, nicht als Option

Mit den neuen Anforderungen setzt das BSI ein klares Signal: Webmail-Dienste müssen Sicherheit, Transparenz und Benutzerfreundlichkeit künftig gleichermaßen berücksichtigen. Nur so kann E-Mail als zentrales Element digitaler Souveränität langfristig geschützt werden.

Mehr zum Thema: