Dell - Server und Rechenzentren Bild © DellDell - Server und Rechenzentren (Bild © Dell)

Die Initiative richtet sich an Betreiber von internen E-Mail-Systemen und Anbieter, die E-Mail-Infrastrukturen für Kunden betreiben, mit dem Ziel, die Einführung moderner Authentifizierungs- und Transportschutzmaßnahmen in der gesamten deutschen Digitalwirtschaft zu beschleunigen.

Was von den Unternehmen erwartet wird

Die Bewerber werden gebeten, zwei technische Richtlinien des BSI zu übernehmen, die für einen sicheren E-Mail-Betrieb von zentraler Bedeutung sind:

Zusammen ergeben diese Referenzrahmen sieben praktische Maßnahmen, die E-Mail-Domänen gegen Spoofing, Manipulation und Abfangen schützen:

  • 1.SPF (Sender Policy Framework)
  • 2.DKIM (DomainKeys Identified Mail)
  • 3.DMARC (Domain-based Message Authentication, Reporting and Conformance)
  • 4.DNSSEC (Domain Name System Security Extensions)
  • 5.DANE (DNS-based Authentication of Named Entities)
  • 6.TLS (Transport Layer Security)
  • 7.MTA-STS (Mail Transfer Agent Strict Transport Security) als Alternative zu DNSSEC

Das BSI betont, dass eine sofortige vollständige Einhaltung nicht zwingend erforderlich ist, um sich zu bewerben. Stattdessen müssen sich Unternehmen formell verpflichten, beide Richtlinien umzusetzen und nachweisen, dass die Einführung begonnen hat. Unternehmen, die die Teilnahmekriterien erfüllen, werden in der BSI Hall of Fame aufgeführt und erhalten damit öffentliche Anerkennung für ihre Sicherheitsmaßnahmen.

Um die operativen Hürden für die Einführung zu senken, veröffentlicht die Allianz für Cybersicherheit des BSI umfangreiche Materialien und führt Informationsveranstaltungen durch, darunter

  • Webinare, Anleitungen und E-Mail-Briefings mit Tipps und Konfigurationsbeispielen
  • Live-Events und Podcasts zu häufigen Fallstricken und Einführungsstrategien
  • Kooperationsprogramme und Starter-Kits, die Teams bei der Planung ihrer Migration helfen
  • Kompetenzgruppensitzungen und Austausch von Best Practices unter Gleichgesinnten
  • Ein Online-E-Mail-Checker, Beratungsdienste und Unterstützung bei der Messung zur Validierung der Implementierung
  • Netzwerkformate, die Betreiber mit Anbietern und Experten verbinden Die Initiative legt den Schwerpunkt auf Zusammenarbeit statt Regulierung und nutzt Transparenz und gemeinsamen Wissensaustausch, um die einheitliche Einführung von Authentifizierungs- und Transportschutzmaßnahmen in kritischen E-Mail-Domänen voranzutreiben.

Zeitplan und nächste Schritte

  • 15. August 2025: Frist für Organisationen zur Registrierung ihrer Teilnahme und Verpflichtung.
  • 22. August 2025: Medienbriefing mit der BSI-Führung und den Partnerverbänden eco und Bitkom zur Erörterung der Fortschritte und der Zusammenarbeit in der Branche.
  • 23.–24. August 2025: Veröffentlichung der Email Security Hall of Fame 2025 während des Tags der offenen Tür der Bundesregierung, begleitet von einer breiten Sensibilisierungskampagne zum Thema E-Mail-Sicherheit, die über den Start hinaus fortgesetzt wird.

Organisationen, die Fragen zur Teilnahmeberechtigung, zum Umfang oder zur technischen Umsetzung haben, können sich unter [email protected] an das BSI wenden.