Wie die EU bei der E-Mail-Sicherheit nachbessern kann

Die EU steht beim Schutz digitaler Kommunikation vor einer entscheidenden Weichenstellung: Noch immer bestehen erhebliche Sicherheitslücken im E-Mail-Verkehr, die Cyberkriminellen Tür und Tor öffnen. Ein wirksames Instrument, um diese Schwachstellen europaweit zu schließen, liegt bereits auf dem Tisch – die NIS2-Richtlinie.

Mit ihrer Hilfe könnte Brüssel künftig verbindliche Sicherheitsstandards wie DMARC, DKIM und SPF für alle Mitgliedstaaten vorschreiben. Diese Protokolle sind zentrale Bausteine, um die Echtheit von Absendern zu überprüfen und Phishing-Angriffe einzudämmen.

Durch ein koordiniertes und entschlossenes Vorgehen hätte die EU nicht nur die Chance, ihr digitales Binnenmarkt-Ökosystem widerstandsfähiger zu machen – sie könnte zugleich international Maßstäbe für moderne Cybersicherheit setzen.

Wichtigste Erkenntnisse:

• Die NIS2-Richtlinie bietet der EU eine entscheidende Gelegenheit, die universelle Einführung von E-Mail-Sicherheitsprotokollen (DMARC, DKIM, SPF) vorzuschreiben, um langjährige Schwachstellen zu beheben und Standards in allen Mitgliedstaaten zu harmonisieren.
• Jüngste Maßnahmen großer Anbieter (Google, Yahoo!) und Branchenstandards (PCI DSS 4.0.1) haben bewährte Verfahren für die E-Mail-Authentifizierung weiter verbreitet, doch die bestehenden Anforderungen sind nach wie vor unzureichend – was die Notwendigkeit strengerer, EU-weit durchsetzbarer Vorschriften deutlich macht.
• Koordinierte Maßnahmen der EU unter der Führung von Gremien wie ENISA und der NIS-Kooperationsgruppe können die Umsetzung einer robusten E-Mail-Sicherheit vorantreiben, regulatorische Lücken schließen und die EU als weltweit führend bei Best Practices im Bereich Cybersicherheit positionieren.

Als digitales Rückgrat der modernen Kommunikation bleibt E-Mail eine kritische Schwachstelle für Unternehmen in ganz Europa, die aufgrund veralteter oder inkonsistenter Sicherheitsmaßnahmen häufig ausgenutzt wird. Die bevorstehende NIS2-Richtlinie der EU, die auf den Vorgaben der DSGVO aufbaut, bietet eine entscheidende Gelegenheit, strengere, harmonisierte E-Mail-Sicherheitsstandards in allen Mitgliedstaaten vorzuschreiben.

Durch die Verpflichtung zur Einführung von Protokollen wie DMARC, DKIM und SPF und die Nutzung des regulatorischen Einflusses der EU kann der Block nicht nur sein eigenes digitales Ökosystem schützen, sondern auch einen globalen Präzedenzfall für bewährte Verfahren im Bereich der Cybersicherheit schaffen. Da einige Mitgliedstaaten bereits eine Vorreiterrolle übernommen haben, ist die Zeit reif für einen einheitlichen, EU-weiten Ansatz, der Lücken schließt und einen robusten Schutz für alle gewährleistet.

Ein Beispiel aus der DSGVO

Die Netzwerk- und Informationssysteme-Richtlinie 2 (NIS2) ist die Nachfolgerin der Netzwerk- und Informationssysteme-Richtlinie (NIS), die 2016 als erste EU-weite Rechtsvorschrift zur Cybersicherheit in Kraft trat und die Mitgliedstaaten der Europäischen Union (EU) verpflichtet, eine Vielzahl von Anforderungen in nationales Recht umzusetzen und mit Anbietern wesentlicher digitaler Dienste zusammenzuarbeiten, um die Cybersicherheit zu verbessern. NIS2 enthält strengere Bedingungen für die Verhängung von Verwaltungsstrafen. Die E-Mail-Sicherheit ist eine von vielen expliziten Anforderungen, die in der Richtlinie enthalten sind.

Als einer der größten Handelsblöcke der Welt hat die EU die Möglichkeit, ein sichereres Verbraucherökosystem zu fördern. Impulse kamen durch die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePD), die zu erheblichen Verbesserungen im Bereich des Datenschutzes und der Datensicherheit führten und schnell in den Fokus der Öffentlichkeit rückten.

Wenn die EU strengere Regulierungsstandards verabschiedet, schafft sie damit oft einen globalen Präzedenzfall, der sich über ihre Grenzen hinaus auf Politik und Praxis auswirkt. Ein gutes Beispiel dafür sind Richtlinien, die extraterritorial gelten und alle Organisationen betreffen, die mit der EU Geschäfte tätigen oder personenbezogene Daten aus der EU verarbeiten. Obwohl die DSGVO eine EU-spezifische Verordnung ist, haben viele amerikanische Unternehmen aufgrund der Komplexität der Aufrechterhaltung separater Datenschutzrichtlinien beschlossen, die DSGVO-Standards universell auf alle Nutzer anzuwenden, nicht nur auf EU-Bürger.

Dieser Ansatz vereinfacht nicht nur die Einhaltung der Vorschriften, sondern verbessert auch den Datenschutz weltweit und führt zu einer positiven Kapitalrendite. Ähnlich verhält es sich, wenn die EU strengere Cybersicherheitsstandards durchsetzt, wie sie beispielsweise in der NIS2-Richtlinie festgelegt sind. Dann ist es wahrscheinlich, dass Unternehmen außerhalb der EU diese höheren Standards übernehmen, um einen reibungslosen Betrieb und die Einhaltung der Vorschriften zu gewährleisten, was einen „Trickle-down-Effekt“ zur Verbesserung der globalen Sicherheitspraktiken zur Folge hat. Gleichzeitig werden Probleme aufgrund der Nichteinhaltung wie Geldstrafen und andere nichtfinanzielle Sanktionen vermieden.

Inwiefern hängt NIS2 mit E-Mail-Sicherheit zusammen?

E-Mails sind standardmäßig unsicher, da sie keine Authentifizierung, Autorisierung oder sogar Verschlüsselung während der Übertragung erfordern. All diese Aspekte mussten nachträglich entwickelt und hinzugefügt werden. Jeder, der schon einmal einen Dienst zum Versenden von E-Mails konfigurieren musste, ist dabei auf DomainKeys Identified Mail (DKIM) und Sender Policy Framework (SPF) gestoßen, zwei Mechanismen, die bei der Autorisierung und Authentifizierung von E-Mails helfen. Insbesondere DKIM bietet eine starke kryptografische Autorisierung und Authentifizierung von E-Mails.

Was passiert jedoch, wenn die E-Mail nicht als „DKIM-konform“ verifiziert werden kann oder die Entscheidung über die SPF-Konformität dem Empfänger überlassen bleibt? Dies ist der Hauptzweck von Domain-based Message Authentication, Reporting, and Conformance (DMARC). DMARC wurde entwickelt, um Domain-Inhabern einen Mechanismus zur Verfügung zu stellen, mit dem sie ausdrücklich festlegen können, dass E-Mail-Empfänger alle E-Mails ablehnen sollen, die nicht mit DKIM oder SPF autorisiert sind. Damit signalisieren sie, dass sie alle Dienste, die in ihrem Namen E-Mails versenden dürfen, ordnungsgemäß konfiguriert haben.

Ist Ihre E-Mail sicher?

Kennen Sie Ihren aktuellen DMARC-Status? Jetzt kostenlos prüfen.

Die Unterstützung für DMARC, DKIM und SPF durch alle Teile des E-Mail-Ökosystems, sowohl auf Sender- als auch auf Empfängerseite, war in einigen Branchen stark, aber uneinheitlich. Erst Anfang 2024 wurden sie dank der neuen Anforderungen für Massenversender von Google und Yahoo! sowie der vom Payment Card Industry Data Security Standard (PCI DSS 4.0.1) empfohlenen Best Practices zu de facto-Industriestandards.

Die Auswirkungen der neuen Anforderungen waren enorm: Nach nur sechs Monaten meldete Google einen Rückgang von 65 % bei nicht authentifizierten E-Mails, 50 % mehr Massenversender, die diese Best Practices befolgen, und 265 Milliarden weniger nicht authentifizierte Nachrichten.

Dennoch ist die von Google und Yahoo! gesetzte Messlatte mit einer schwachen DMARC-Richtlinie von „none“ (keine) relativ niedrig, da der Empfänger nicht angewiesen wird, nicht autorisierte E-Mails abzulehnen. Unternehmen sind noch nicht verpflichtet, alle ihre E-Mail-Versandsysteme ordnungsgemäß zu inventarisieren und zu konfigurieren, und Nutzer von E-Mail-Anbietern, die nicht so streng sind wie Google oder Yahoo!, sind anfälliger für Identitätsdiebstahl, als sie sein müssten. Ebenso empfiehlt PCI DSS 4.0.1 derzeit allen Unternehmen, die Kreditkartendaten verarbeiten, die Verwendung von DMARC, DKIM und SPF.

Wie die EU einen Unterschied machen sollte

Die Durchsetzung von DMARC, bei der Unternehmen eine Richtlinie von p=reject umsetzen, erfordert eine umfassende globale Zusammenarbeit und Regulierung. Die EU ist durch die NIS2-Richtlinie gut gerüstet, um hier eine Vorreiterrolle zu übernehmen, zumindest für Unternehmen, die einen überproportionalen Einfluss auf die europäische Gesellschaft haben.

Artikel 21 verpflichtet die Mitgliedstaaten, sicherzustellen, dass diese wesentlichen und wichtigen Einrichtungen:

---

„geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Stellen für ihren Betrieb oder für die Bereitstellung ihrer Dienste nutzen, zu bewältigen und die Auswirkungen von Störungen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren.

Unter Berücksichtigung des Stands der Technik und gegebenenfalls einschlägiger europäischer und internationaler Normen sowie der Implementierungskosten gewährleisten die in Unterabsatz 1 genannten Maßnahmen ein den Risiken angemessenes Sicherheitsniveau für Netz- und Informationssysteme. Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind der Grad der Gefährdung der Stelle, ihre Größe und die Wahrscheinlichkeit des Eintritts von Vorfällen sowie deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend zu berücksichtigen.“

Artikel 21 / NIS-2-Richtlinie – Europäische Union

---

Obwohl die ursprüngliche Richtlinie die E-Mail-Sicherheit nicht ausdrücklich erwähnt, tut dies der Anhang einer Durchführungsmaßnahme, die die Richtlinie erweitert und von den betroffenen Stellen Folgendes verlangt:

---

„einen Umsetzungsplan für die Einführung international vereinbarter und interoperabler moderner E-Mail-Kommunikationsstandards zur Sicherung der E-Mail-Kommunikation verabschieden, um Schwachstellen im Zusammenhang mit E-Mail-Bedrohungen zu mindern, und Maßnahmen zur Beschleunigung dieser Einführung festlegen;

ein vollständiges, genaues, aktuelles und konsistentes Verzeichnis ihrer Assets erstellen und pflegen. Sie müssen Änderungen der Einträge in dem Verzeichnis in nachvollziehbarer Weise aufzeichnen.“

Durchführungsrechtsakt / Europäische Kommission

---

Obwohl dies im obigen Text nicht ausdrücklich erwähnt wird, lässt sich „sichere E-Mail-Kommunikation zur Minderung von Schwachstellen“ am besten durch den Einsatz verfügbarer Tools wie DMARC, DKIM und SPF erreichen. Insbesondere DMARC stellt die beste proaktive und sinnvolle Cybersicherheitsmaßnahme dar, die Ihrem Unternehmen Schutz bietet und den Best Practices entspricht.

Neben Transport Layer Security (TLS) bildet das Protokoll die Grundlage für die Verschlüsselung während der Übertragung für fast die gesamte Internetkommunikation, einschließlich E-Mails. Keine anderen Standards oder Mechanismen bieten die gleiche einfache Implementierung und Wirkung. SPF ist zwar ebenfalls weit verbreitet, aber ein viel schwächerer Mechanismus als DKIM. S/MIME wird aufgrund seiner komplizierten Implementierung viel seltener verwendet. Vielleicht könnte Mail Transfer Agent Strict Transport Security (MTA-STS) ein weiterer Kandidat sein, ist aber unter bestimmten Umständen noch schwierig.

Mitglieder zeigen uneinheitliche Fortschritte

Einige Fortschritte wurden erzielt, da mehrere EU-Mitgliedstaaten bereits Vorschriften für DMARC und DKIM erlassen haben, in der Regel zumindest für öffentliche Stellen, wobei die Anforderungen manchmal auf einige kritische Infrastruktursektoren ausgedehnt wurden.

• Tschechien verlangt seit mindestens 2021 von öffentlichen Stellen sowie wichtigen und wesentlichen Einrichtungen die Implementierung von DMARC und DKIM.
• Dänemark verlangt seit mindestens 2022 von staatlichen Stellen die Implementierung von DMARC und DKIM.
• Estland verlangt seit mindestens 2023 von öffentlichen Stellen die Implementierung von DMARC zusätzlich zu MTA-STS oder DANE.
• Irland verlangt seit mindestens 2022 von öffentlichen Dienstleistungsorganen die Implementierung von DMARC und DKIM.
• Niederlande verlangen seit mindestens 2018 von öffentlichen Stellen die Implementierung von DMARC und DKIM
• Polen verlangt seit mindestens 2023 von öffentlichen und einigen privaten Stellen die Implementierung von DMARC und DKIM
• Der ehemalige Mitgliedstaat Vereinigtes Königreich verlangt seit mindestens 2016 DMARC für digitale Dienste der Regierung

Die übrigen 21 Mitgliedstaaten haben keine nationalen Vorschriften, und nur wenige haben überhaupt Leitlinien oder Empfehlungen für ihre öffentlichen Stellen oder Unternehmen herausgegeben.

Es ist Zeit für eine gemeinsame Front

Die EU mit ihren 27 Mitgliedstaaten kann am effektivsten handeln, wenn alle an einem Strang ziehen und Hindernisse bei der Vergleichbarkeit der aktuellen Vorschriften der einzelnen Länder abgebaut werden. Tatsächlich wurden bereits Fortschritte durch eine NIS-Kooperationsgruppe erzielt, die die zuständigen Behörden der Mitgliedstaaten bei der Umsetzung und Anwendung der Richtlinie beraten soll.

Bereits 2017 veröffentlichte CERT-EU, das Cybersecurity Emergency Response Team der EU, eigene Leitlinien, in denen die Verwendung von DMARC empfohlen wird. CERT-EU ist Mitglied des europäischen CSIRT-Netzwerks, das die NIS-Kooperationsgruppe unterstützt und durch die ursprüngliche NIS-Richtlinie eingerichtet wurde. ENISA, die Agentur der Europäischen Union für Cybersicherheit (ENISA), ist ebenfalls Mitglied der NIS-Kooperationsgruppe und hat die Aufgabe, die Mitgliedstaaten bei der konsequenten Umsetzung der Politik und des Rechts der Union im Bereich der Cybersicherheit im Zusammenhang mit der NIS-Richtlinie zu unterstützen. In diesem Sinne haben ENISA und die NIS-Kooperationsgruppe bereits mehrere Leitlinien zum Nutzen aller Europäer erstellt, darunter zu Wahlen, 5G-Netzen, Domainnamenregistern, der Meldung von Vorfällen und der Offenlegung von Schwachstellen.

Weitere Fortschritte sind erforderlich, und obwohl E-Mails standardmäßig unsicher sind, verfügen wir über alle technischen und regulatorischen Instrumente, um sie zumindest in Europa sicher zu machen. Was noch fehlt, sind entschlossene Maßnahmen auf europäischer und nationaler Ebene. Könnte die ENISA also dazu beitragen, die Einführung von Vorschriften zur E-Mail-Sicherheit voranzutreiben? Kurz gesagt: Ja, wenn die ENISA die NIS-Kooperationsgruppe dazu drängen würde, klare und praktische Leitlinien für die Erfüllung der gesetzlichen Anforderungen an die E-Mail-Sicherheit bereitzustellen, könnte dies ein kooperatives Umfeld in allen Mitgliedstaaten schaffen, das eine stärkere E-Mail-Sicherheit für alle EU-Bürger gewährleistet. Durch Zusammenarbeit könnte die EU als erste Mitgliedsorganisation mit gutem Beispiel vorangehen und den Weg für den Rest der Welt ebnen.

Source: Red Sift-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html