[datensicherheit.de, 25.11.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ als vierte Edition den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ herausgegeben. Das BSI fordert von den Anbietern, dass diese wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionieren und einen elementaren Sicherheitsgewinn darstellen sollen.

Abbildung: BSI

E-Mail-Dienste seien ein zentraler Baustein digitaler Kommunikation und Identitätsverwaltung – doch der Schutz der Verbraucher vor Sicherheitsrisiken wie Phishing und Identitätsdiebstahl sei bei Webmail-Anbietern teilweise noch lückenhaft umgesetzt…

BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern

E-Mail-Dienste – vor allem sogenannte Webmailer, über einen Webbrowser genutzte E-Mail-Dienste – gelten inzwischen als integraler Bestandteil des Alltagslebens. Diese ermöglichen das Erstellen von E-Mails, ihren Versand an beliebige Kontakte sowie die Verwaltung eines Postfachs. Zu beachten ist, dass E-Mail-Adressen auch als Zugang für viele weitere Dienste genutzt werden.

• Somit sind sie eine wesentliche Schnittstelle digitaler Kommunikation und Identitätsverwaltung. Der Schutz der Verbraucher vor Sicherheitsrisiken wie zum Beispiel unsicheren Authentisierungsverfahren und Identitätsdiebstahl ist bei Webmail-Anbietern laut BSI „jedoch mitunter lückenhaft umgesetzt“.

Das neue BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern, um die Sicherheit der Verbraucher systematisch und zukunftsorientiert zu erhöhen.

BSI-Marktbeobachtung: Zahlreiche E-Mail-Dienste setzen noch in ihrer Standardkonfiguration allein auf Passwörter

„Das Whitepaper betrachtet dabei nicht nur technische Sicherheitsfunktionen, sondern auch ,Usability’, Transparenz und Vertrauen als wesentliche Bestandteile Digitaler Souveränität.“

• Marktsichtungen des BSI hätten ergeben, dass zahlreiche E-Mail-Dienste in ihrer Standardkonfiguration allein auf Passwörter setzten, um die Zugänge ihrer Kunden zu schützen – zumeist eben ohne Zwei-Faktor-Authentisierung (2FA). Eine solche müssten Nutzer dann oftmals erst in den „Einstellungen“ aktivieren.

Auch seien nachweislich sichere und praktische Alternativen zum Passwort – wie etwa die passwortlose Authentisierung mittels Passkey – immer noch wenig verbreitet oder würden nicht proaktiv angeboten.

BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“ fordert alltagstaugliche Schutzmaßnahmen

Die BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“, Caroline Krohn, kommentiert: „Ein elementarer Teil der E-Mail-Sicherheit lastet derzeit noch auf den Schultern der Anwenderinnen und Anwender. Sie sollen sich mit Zwei-Faktor-Authentisierung, Passkey und Verschlüsselung auskennen. Wir sehen die Verantwortung bei den Anbietern!“

• Diese müssten wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionierten und einen elementaren Sicherheitsgewinn darstellten. „Nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich sind, entfalten sie ihre volle Wirkung“, betont Krohn.

Das nun publizierte Whitepaper „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienst“ sei zugleich Ansporn für E-Mail-Dienste und eine Einladung zur Zusammenarbeit: Seit Jahresbeginn 2025 habe das BSI den Dialog mit den E-Mail-Anbietern intensiviert – dieser Austausch solle nun ausgebaut werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Dialog für Cybersicherheit
Dialogteam des BSI / Caroline Krohn

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
Whitepaper des Digitalen Verbraucherschutzes #4: Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
WHITEPAPER #04:Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste / DIGITALER VERBRAUCHERSCHUTZ

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 25.07.2025
Digitale Resilienz erfordert auch E-Mail-Sicherheit: Bewerbungsphase für BSI Hall of Fame läuft / Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen

datensicherheit.de, 13.02.2025
Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand / Bundesamt für Sicherheit in der Informationstechnik und Deutschland sicher im Netz klären gemeinsam Verbraucher über Sicherheitsaspekte der E-Mails-Nutzung auf

[datensicherheit.de, 22.08.2025] Da in der digitalen Welt über den Kommunikationskanal E-Mail nahezu alle Prozesse zusammenlaufen, wurde zum „E-Mail-Sicherheitsjahr 2025“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem eco – Verband der Internetwirtschaft e.V. und dem Digitalverband Bitkom eine Aktionskampagne zur Verbesserung der E-Mail-Sicherheit in Deutschland ins Leben gerufen. Nun veröffentlichen diese Initiatoren erstmals eine „Hall of Fame der E-Mail-Sicherheit“: Damit sollen demnach rund 150 Unternehmen ausgezeichnet werden, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen und so die E-Mail-Kommunikation in Deutschland messbar sicherer machen – sowohl für Organisationen, als auch für Verbraucher.

In der „Hall of Fame“ gelistete Unternehmen dazu verpflichtet, Technische Richtlinien (TR) des BSI umzusetzen

Die in dieser „Hall of Fame“ gelisteten Unternehmen hätten sich dazu verpflichtet, zwei Technische Richtlinien (TR) des BSI und damit zentrale Schutzmechanismen umzusetzen oder aktiv auf deren Implementierung hinzuarbeiten:

• „In den Technischen Richtlinien TR-03108 und TR-03182 legt das BSI Kriterien für den sicheren Transport von E-Mails und die sichere Authentifizierung fest. Erstere sorgt dafür, dass E-Mails auf dem Weg zum Server sowie zwischen Servern verschlüsselt werden.“ Dies erschwere es Unbefugten, E-Mail-Nachrichten zu lesen oder zu verändern.

Zweitere bewirke, dass E-Mail-Programme u.a. erkennen, „welcher Absender eine E-Mail geschickt hat und ob dessen Adresse ggf. gefälscht ist“. Dies verhindere, dass Kriminelle sich als jemand anderes ausgeben.

Foto: BMI, Hennig Schacht

Claudia Plattner zum „E-Mail-Sicherheitsjahr 2025“: Gemeinsam machen wir den E-Mail-Verkehr in Deutschland in der Fläche sicherer!

Gemeinsam soll E-Mail-Verkehr in Deutschland in der Fläche sicherer gemacht werden

Die BSI-Präsidentin, Claudia Plattner, betont: „Als Cybersicherheitsbehörde Deutschlands ist es unser Anspruch, die Bürgerinnen und Bürger nicht nur für die Gefahren im Netz zu sensibilisieren, sondern sie aktiv zu schützen. Das leistet das ,E-Mail-Sicherheitsjahr’: Gemeinsam machen wir den E-Mail-Verkehr in Deutschland in der Fläche sicherer!“

Dazu hätten sie Unternehmen, die E-Mail-Infrastruktur betreiben oder anbieten, dazu gewonnen, ihre Technischen Richtlinien zum Sicheren E-Mail-Transport und E-Mail-Authentifizierung umzusetzen – bei sich selbst oder für andere, welche die Infrastruktur nutzen.

Foto: eco

Prof. Dr. (TU NN) Dipl.-Ing. Norbert Pohlmann: Sichere E-Mail-Kommunikation ist ein zentraler Baustein für das Vertrauen in die Nutzung digitaler Dienste!

„Hall of Fame“ würdigt genau jenes Engagement, welches der eco mit Nachdruck unterstützt

Prof. Dr. Norbert Pohlmann, Vorstand „IT-Sicherheit“ beim eco, kommentiert: „Sichere E-Mail-Kommunikation ist ein zentraler Baustein für das Vertrauen in die Nutzung digitaler Dienste!“

Die Unternehmen, welche sich jetzt engagierten, trügen nicht nur zur Stärkung der eigenen Marke bei – sie leisteten einen wichtigen Beitrag zum Schutz der Verbraucher. „Die ,Hall of Fame’ würdigt genau dieses Engagement, das wir als eco mit Nachdruck unterstützen.“

Anbieter, welche E-Mail-Verkehr ermöglichen, tragen große Verantwortung für digitale Kommunikation

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, führt aus: „Die Anbieter, die jeden Tag unseren E-Mail-Verkehr sicherstellen, tragen eine große Verantwortung für die digitale Kommunikation. Nur wenn E-Mails wirksam abgesichert sind, sind Geschäftsprozesse sowie Kundendaten geschützt und wird das Vertrauen in digitale Dienste gestärkt.“

Sicherheit entstehe aber nicht nur durch die beste digitale Infrastruktur, sondern brauche auch gezielte Aufklärung und Sensibilisierung. Das „E-Mail-Sicherheitsjahr“ leiste deshalb nicht nur einen Beitrag zur technischen Absicherung von E-Mails, sondern vermittele auch Unternehmen sowie Bürgern das Wissen, sich wirksam zu schützen.

E-Mail-Systeme so absichern, dass Manipulationen erkannt, abgewehrt oder bestenfalls sogar unmöglich werden

Caroline Krohn, Fachbereichsleiterin für „Digitalen Verbraucherschutz“ im BSI und Leiterin dieser Aktionskampagne, unterstreicht: „Organisationen, die sich an unserer Initiative beteiligen, setzen nicht nur ein starkes Signal, sondern bewirken auch ganz direkt etwas:

Sie übernehmen Verantwortung für die Integrität, Vertraulichkeit und Authentizität ihrer digitalen Kommunikation, indem sie ihre E-Mail-Systeme so absichern, dass Manipulationen erkannt, abgewehrt oder bestenfalls gar nicht erst möglich gemacht werden.“

E-Mail-Konto als „digitales Zuhause“ der allermeisten Bürger

Beruflich wie privat sei das persönliche E-Mail-Konto quasi das „digitale Zuhause“ der allermeisten Bürger in Deutschland – und damit eben auch eine attraktive Zielscheibe für Cyberkriminelle. Den meisten sei nicht bewusst, dass Cyberkriminelle in der Lage seien, E-Mail-Verkehr einfach mitzulesen.

Unsichere E-Mails seien ein klassisches Einfallstor für Spionage- und Sabotageaktivitäten: Nutzer fielen häufig Betrugsmaschen wie Phishing und Identitätsdiebstahl zum Opfer. Daher wende sich das BSI im Rahmen des „E-Mail-Sicherheitsjahres“ zusätzlich mit einer multimedialen „Awareness“-Kampagne an Verbraucher.

Zahlreiche BSI-Angebote zur Stärkung der Sicherheit des E-Mail-Verkehrs

Mit dem „E-Mail-Checker“, einem neuen Online-Angebot des BSI, könnten Nutzer prüfen, ob ihr E-Mail-Anbieter die Kriterien der Technischen Richtlinien TR-03108 und TR-03182 einhält und E-Mails so vor unberechtigtem Mitlesen und Manipulation schützt. Der „Wegweiser Kompakt: 8 Tipps für mehr E-Mail-Sicherheit“ gebe zudem Handlungsempfehlungen für den digitalen Alltag – von der Absicherung des eigenen E-Mail-Kontos bis zum Schutz vor Phishing-Mails.

• Darüber hinaus erläutere eine von BSI und Polizei gemeinsam veröffentlichte „Checkliste für den Ernstfall“ die wichtigsten Schritte, sollten Unbefugte ein E-Mail-Konto übernehmen.

Das Informationsangebot für Verbraucher soll am 23. August 2025 auf der BSI-Website „einfachabsichern.de“ veröffentlicht werden. Beim „Tag der offenen Tür der Bundesregierung“ am 23. und 24. August 2025 in Berlin werde das BSI zudem Verbraucher an seinem Stand im Bundesministerium des Innern (BMI) beraten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Deine E-Mails, dein digitales Zuhause / E-Mail-Sicherheitsjahr 2025

Bundesamt für Sicherheit in der Informationstechnik
Hall of Fame: Diese Unternehmen, Verbände und Akteure tragen einen Anteil an der Verbesserung des Sicherheitsniveaus der E-Mail in der Cybernation Deutschland

Bundesamt für Sicherheit in der Informationstechnik
8 Tipps für mehr E-Mail-Sicherheit

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03108 Sicherer E-Mail-Transport

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03182 E-Mail-Authentifizierung

Bundesamt für Sicherheit in der Informationstechnik
E-Mail-Check des BSI / Überprüfung des E-Mail-Anbieters

Bundesamt für Sicherheit in der Informationstechnik
Notfallplan gehacktes E-Mail-Konto – Hilfe für Betroffene

Bundesamt für Sicherheit in der Informationstechnik
Wenn ich du wäre – würde ich mich #einfachaBSIchern

Bundesamt für Sicherheit in der Informationstechnik, 30.06.2023
Claudia Plattner neue BSI-Präsidentin

NP
Norbert Pohlmann

bitkom
Susanne Dehmel – Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

Dialog für Cybersicherheit
Dialogteam des BSI

datensicherheit.de, 25.07.2025
Digitale Resilienz erfordert auch E-Mail-Sicherheit: Bewerbungsphase für BSI Hall of Fame läuft / Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen