Nr. 5: Sicherheit bei Erwerb, Entwicklung und Wartung

Gesetzliche Anforderung: Schwachstellenmanagement und -offenlegung.

E-Mail-Bezug: E-Mail-Systeme müssen regelmäßig auf Schwachstellen geprüft und aktualisiert werden. Gateway-Lösungen übernehmen Updates automatisch.

Nr. 6: Bewertung der Wirksamkeit

Gesetzliche Anforderung: Konzepte zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.

E-Mail-Bezug: Die Wirksamkeit von Spam-Filtern, Verschlüsselung und Zugriffskontrollen muss regelmäßig evaluiert werden. Audit-Logs und Reports sind hierfür essenziell.

Nr. 7: Cyberhygiene und Schulungen

Gesetzliche Anforderung: Grundlegende Verfahren der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.

E-Mail-Bezug: Mitarbeiterschulungen zu Phishing-Erkennung sind Pflicht. Technische Maßnahmen wie MailGuard ergänzen die menschliche Verteidigungslinie.

Nr. 8: Kryptografie

Gesetzliche Anforderung: Konzepte und Verfahren für den Einsatz kryptografischer Verfahren und gegebenenfalls Verschlüsselung.

E-Mail-Bezug – DIE zentrale Maßnahme für E-Mail:

• Verschlüsselung in Transit: TLS für alle E-Mail-Verbindungen, konfigurierbar pro Domain
• Inhaltsverschlüsselung: S/MIME und/oder PGP für sensible E-Mails
• Schlüsselmanagement: Sichere Erzeugung, Speicherung, Verteilung und Vernichtung
• Kryptografie-Richtlinie: Dokumentation aller eingesetzten Verfahren
• BSI TR-02102: Nur aktuelle, als sicher geltende Algorithmen

Conbool-Lösung: SecureMail automatisiert die gesamte E-Mail-Verschlüsselung. Zentrales Zertifikats- und Schlüsselmanagement mit MPKI-Integration. BSI TR-02102 konforme Algorithmen.

Nr. 9: Personalsicherheit und Zugangssteuerung

Gesetzliche Anforderung: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.

E-Mail-Bezug: Zugriff auf E-Mail-Administration und Quarantäne muss rollenbasiert gesteuert werden. MFA für administrative Zugänge.

Conbool-Lösung: Rollenbasiertes Zugriffsmanagement mit Entra ID/LDAP Integration und SAML SSO.

Nr. 10: Sichere Kommunikation

Gesetzliche Anforderung: Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikation.

E-Mail-Bezug:

• Gesicherte E-Mail als primärer Textkommunikationskanal
• Verschlüsselungslösung für Empfänger ohne eigene Infrastruktur
• Nachweisbare Zustellung mit Audit-Trail
• Alternative Kommunikation bei kompromittiertem E-Mail-System

Conbool-Lösung: Gateway-Verschlüsselung + Secure Message Portal für externe Empfänger. Nachweisbare Zustellung mit vollständigem Audit-Trail.

BSI TR-02102: Die erlaubten Algorithmen

Die eingesetzten kryptografischen Verfahren müssen dem Stand der Technik entsprechen. Die BSI Technische Richtlinie TR-02102 definiert die zugelassenen Algorithmen:

Erlaubt:

• AES-128, AES-192, AES-256 (symmetrisch)
• RSA ab 2048 Bit (asymmetrisch)
• ECDSA mit mindestens 250 Bit
• SHA-256, SHA-384, SHA-512

Nicht mehr erlaubt:

• MD5, SHA-1 (für sicherheitskritische Anwendungen)
• RSA unter 2048 Bit
• 3DES (seit 2023 nicht mehr empfohlen)

Conbool SecureMail setzt ausschließlich BSI TR-02102 konforme Algorithmen ein und aktualisiert automatisch bei neuen Empfehlungen.

Dokumentationspflichten

§30 BSIG fordert nicht nur die Umsetzung, sondern auch die Dokumentation der Maßnahmen. Für E-Mail bedeutet das:

1. Kryptografie-Richtlinie: Welche Verfahren werden eingesetzt, für welche Kommunikation?
2. Schlüsselmanagement-Dokumentation: Wie werden Schlüssel erzeugt, verteilt und widerrufen?
3. Incident-Response-Plan: Wie wird auf E-Mail-Sicherheitsvorfälle reagiert?
4. Audit-Logs: Revisionssichere Protokolle aller sicherheitsrelevanten Ereignisse

Fazit: E-Mail ist der NIS2-Brennpunkt

Von den 10 Pflichtmaßnahmen nach §30 BSIG betreffen mindestens 6 die E-Mail-Sicherheit direkt. E-Mail ist nicht ein Randthema der NIS2-Compliance – es ist der zentrale Angriffspunkt, an dem Verschlüsselung, Bedrohungsschutz und Audit zusammenlaufen.

Conbool macht die Umsetzung einfach: Eine Plattform für alle E-Mail-Anforderungen, in Minuten eingerichtet und auditierbar.

Jetzt kostenlos testen →

Weiterführende Artikel:

• NIS2 und E-Mail-Sicherheit: Der komplette Guide
• NIS2 Geschäftsführerhaftung
• NIS2 E-Mail-Verschlüsselung im Detail