Anmelden
Oeffentliche Verwaltung · BSI · OZG · NIS-2

Verwaltung.Verschlüsselt.Behörden-E-Mail mit BSI-Grundschutz.

MailGuard, SecureMail und SecureFiles für Bund, Land und Kommune. BSI-IT-Grundschutz-Bezug, VS-NfD-taugliches Vorgehen, OZG-konforme Begleitkommunikation. EU-Hosting in Frankfurt, EVB-IT-fähig.

Demo anfragenMailGuard im Detail
Auf einen BlickStand 2026

Verschlüsselte Verwaltungskommunikation ohne Eigenbetrieb.

  • Eigenbetrieb von Mail-Sicherheit im RechenzentrumBSI-Grundschutz-fähiger Service mit AVV nach Art. 28 DSGVO
  • Verwechslung von Bürgerpost mit DE-Mail oder beBPoKlare Abgrenzung, Conbool ergänzt die Pflichtkanäle
  • Vergabe ohne EVB-IT-Cloud-BezugEVB-IT-Cloud-fähige Vertragsstruktur, Bezug über Rahmenverträge
Conbool deckt die alltägliche Verwaltungs-E-Mail von Bund, Land und Kommune ab, mit BSI-IT-Grundschutz-Bezug, BSI-C5-Testat-Pfad und EU-Hosting. Pflichtkanäle wie DE-Mail, beBPo, EGVP und das OZG-Portal bleiben unverändert. Conbool ist die Schicht für Bürgerpost, Behörden-zu-Behörden-Korrespondenz und Anlagentransport, die heute noch über unverschlüsselte Standard-Mail läuft.
Geeignet für Sie wenn:Bund, Land, Kommune, AöROZG-Umsetzung & EfAEVB-IT- und Rahmenvertrag-fähig
100 %
EU-Hosting, Rechenzentrum in Frankfurt
BSI
IT-Grundschutz-Bausteine APP.5.3 & NET.1.1
OZG
EfA-konforme Begleitkommunikation
30 Min.
Setup je Fachbereich, Pilot in einem Amt

Compliance-Anker für die Verwaltung

BSI IT-Grundschutz, Bausteine APP.5.3 (E-Mail) und NET.1.1 (Netzkommunikation)Onlinezugangsgesetz (OZG) und OZG-Aenderungsgesetz, Begleitkommunikation zu Online-DienstenNIS-2-Richtlinie (EU) 2022/2555, Umsetzung im NIS2UmsuCG für öffentliche StellenBSI-Standard 200-2 (IT-Grundschutz-Methodik) und VS-NfD-konformes Vorgehen nach VSA

Conbool unterstützt Maßnahmen aus BSI-IT-Grundschutz auf Mail- und Datenebene. Conbool ersetzt nicht DE-Mail (§ 2 De-Mail-G), beBPo, EGVP, das EfA-Portal oder andere gesetzlich vorgeschriebene elektronische Kanäle und ergänzt sie nur in der allgemeinen Verwaltungskommunikation.

Vier Bausteine für Bund, Land und Kommune.

MailGuard für Posteingänge der Behörde, SecureMail für vertrauliche Bürger- und Amtspost, SecureFiles für große Akten und Anlagen, Disclaimer für Pflichtangaben nach E-Government-Gesetz.

MailGuard

MailGuard

BEC-, Phishing- und Anhang-Schutz für Bürgerpost, Pressestellen und Funktionspostfächer. Erkennt Lookalike-Domains, gefälschte Bürgeranfragen und Ransomware-Dropper, bevor sie das Fachverfahren erreichen. SIEM-Anbindung an das Behörden-SOC oder das BSI-Lagezentrum möglich.

MailGuard im Detail
SecureMail

SecureMail

S/MIME und OpenPGP für Korrespondenz zwischen Behörden, an Anwältinnen, Notare, Sachverständige und Bürger. Web-Reader für Empfänger ohne Zertifikat, damit die alte Frau Müller den Bescheid lesen kann, ohne Software zu installieren oder ein Konto anzulegen.

SecureMail im Detail
SecureFiles

SecureFiles

Sicherer Transport für Bauakten, Vergabeunterlagen, Wirtschaftspläne und große Anlagen jenseits der Outlook-Größenlimits. Audit-Log pro Zugriff, AVV nach Art. 28 DSGVO, EU-Hosting. Löst die händischen USB-Stick- und WeTransfer-Umwege im Amt ab.

SecureFiles im Detail
Disclaimer

Disclaimer

Server-seitige Signaturen mit Pflichtangaben nach § 5 TMG analog und nach E-Government-Gesetz, je nach Amt, Fachbereich und Sachgebiet. Anbindung an das Behördenverzeichnis über AD oder LDAP, einheitliche Darstellung über Outlook Classic, New und Web.

Disclaimer im Detail
Typische Workflows aus der Verwaltung

Vier Szenarien aus dem Amtsalltag.

Vom Bürger-Posteingang im Bürgeramt über die Bescheidzustellung im Sozialamt und die Bauaktenübergabe zwischen Stadt und Landkreis bis zur vergaberechtskonformen Korrespondenz mit Bietern und Sachverständigen.

1

Bürgerpost und Pressestelle absichern

Phishing-Wellen an info@stadt.de und presse@landratsamt.de mit gefälschten Bürgeranfragen, Bewerbungsanhängen und Rechnungsmaschen fängt MailGuard auf SPF-, DKIM- und DMARC-Ebene ab. Backpressure-Schutz verhindert, dass das Funktionspostfach durch Massenmails kippt. Erkannt werden auch Homoglyph-Angriffe auf Domains wie stadt-muenster.de versus stadt-muenste.rde, die heute regelmäßig in Kommunalverwaltungen ankommen.

2

Verschlüsselte Bescheid-Zustellung an Bürger

Sozialamt, Ausländerbehörde und Steueramt versenden Bescheide an Bürger, die kein S/MIME-Zertifikat haben und keine DE-Mail-Adresse. Der Web-Reader liefert die Nachricht über einen Einmal-Link mit Out-of-Band-Passwort per SMS oder Brief, ohne Account, ohne App, mit Lese-Bestätigung für den Sachbearbeiter. Damit lassen sich auch sensible Bescheide nach SGB II oder dem Ausländerrecht datenschutzkonform digital zustellen, statt sie weiter per Briefpost zu versenden.

3

Behörden-zu-Behörden-Akten und EfA-Begleitkommunikation

Bauamt, Standesamt und Jugendamt tauschen große Akten zwischen Stadt, Landkreis und Land. SecureFiles ersetzt das Brennen auf CD und das ungesicherte WeTransfer in der Verwaltung. EfA-Begleitkommunikation, etwa Rückfragen zu einem Online-Antrag aus dem OZG-Portal, läuft verschlüsselt über SecureMail mit Bezug zur Vorgangsnummer. Anlagen über 25 MB, etwa Baupläne oder Gutachten, gehen über SecureFiles mit Audit-Log und Ablauf-Datum.

4

Vergabe- und Bieterkorrespondenz parallel zur eVergabe

Anfragen, Aufklärungsgespräche und Zuschlagsmitteilungen im EU-weiten Vergabeverfahren erfordern dokumentierte, manipulationssichere Kommunikation. SecureMail mit Audit-Log läuft parallel zu eVergabe-Plattformen wie eVergabe-online des Bundes oder den Deutschen Vergabeportalen (DTVP). Für Aufklärungsgespräche unterhalb der EU-Schwellenwerte, für interne Vergabevermerke und für den vertraulichen Austausch mit dem Rechnungsprüfungsamt liefert Conbool die belegbare Spur.

Architektur und Integration

Conbool als unabhängige Schicht vor M365 oder Exchange.

Conbool sitzt im EU-Rechenzentrum als vorgeschalteter MX und SMTP-Smarthost. Fachverfahren wie OS (Open Source Standesamt), EWO (Einwohnerwesen), ProSoz für die Soziale Sicherung, KomFIT, AKDB-Lösungen, Avviso für die Vergabe oder die Polizei-Vorgangsbearbeitungssysteme bleiben unverändert. Die Behörden-IT muss keine Mail-Filter mehr selber pflegen und verlagert den Wartungsaufwand vom eigenen Rechenzentrum in den BSI-orientierten Service mit definierter Verfügbarkeit und 24/7-Erreichbarkeit.

MX-Switch und ausgehender Smarthost

Eingehender SMTP läuft über Conbool, Microsoft 365 oder On-Prem-Exchange bleibt Mailbox-Backend. Ausgehende Mail signiert und verschlüsselt automatisch.

Fachverfahren bleiben unberührt

Conbool greift nicht in Fachverfahren wie OS, EWO, ProSoz, Avviso oder POLIKS ein und beschränkt sich auf die Office-Kommunikation neben den Verfahren.

DE-Mail, beBPo, EGVP, OZG-Portal

Pflichtkanäle nach De-Mail-G, ERVV und OZG laufen unverändert weiter. Conbool deckt die Mail-Schicht ab, die heute noch über Standard-SMTP transportiert wird.

SIEM- und SOC-Anschluss

Audit-Log per Syslog, CEF oder API ans Behörden-SIEM, an einen Landes-CERT oder ans BSI-Lagezentrum. Meldewege nach NIS2UmsuCG abbildbar.

Compliance-Mapping

BSI-IT-Grundschutz, NIS-2 und VS-NfD-Vorgehen technisch belegt.

BSI-IT-Grundschutz definiert in der Edition 2023 Bausteine für den E-Mail-Verkehr (APP.5.3 Allgemeine E-Mail-Clients und -Server) und Netzkommunikation (NET.1.1 Netzarchitektur und -design). Conbool deckt die Maßnahmen dieser Bausteine für den Bereich SMTP, S/MIME, Filterung und Transport ab und liefert Nachweise für den IT-Sicherheitsbeauftragten.

APP.5.3 und NET.1.1 mappen

Maßnahmen aus APP.5.3.A1 bis A14 und NET.1.1.A1 bis A28 werden im Conbool-Maßnahmenkatalog abgebildet, inklusive Verschlüsselung, Spam- und Schadprogrammschutz, Protokollierung und Notfallvorsorge. Dokumentation als PDF-Export für die Prüfung durch das Rechnungsprüfungsamt und den behördlichen IT-Sicherheitsbeauftragten.

Schutzbedarfsfeststellung normal bis hoch

Conbool ist für Schutzbedarf normal und hoch nach BSI-Standard 200-2 dokumentierbar. Für sehr hoch und VS-NfD greift ein erweitertes Verfahren mit dedizierter Schlüsselverwaltung, Hardware-Token und separater Mandanten-Instanz, das im Pilot mit dem Geheimschutzbeauftragten abgestimmt wird.

NIS-2 für öffentliche Stellen

Mit dem NIS2UmsuCG werden Kommunen über 30.000 Einwohner, bestimmte Landeseinrichtungen und Anstalten öffentlichen Rechts zu wesentlichen oder wichtigen Einrichtungen. Conbool liefert die geforderten Maßnahmen nach § 30 BSIG-E auf der Mail-Schicht und unterstützt die 24-Stunden-Meldepflicht.

Audit-Trail nach Art. 5 und Art. 30 DSGVO

Audit-Log mit Empfänger, Zeitstempel, Schlüssel, Sandbox-Verdikt und Status für das Verfahrensverzeichnis nach Art. 30 DSGVO. Aufbewahrung konfigurierbar nach kommunaler Aufbewahrungs- und Aussonderungsverordnung sowie nach den Vorgaben der Landesarchive.

Vergabe, EVB-IT und Migration

Pilot im Fachbereich, dann ausrollen über das ganze Amt.

Conbool ist EVB-IT-Cloud-fähig und kann über bestehende Rahmenverträge bezogen werden, etwa über die Kommunale Datenverarbeitung Sachsen (KDS), Dataport, ekom21, KRZN, KDO Niedersachsen oder das BMI-Rahmenvertragsportal Kdo. Die typische Einführung startet mit einem Fachbereich, üblicherweise dem Bürgeramt oder Sozialamt, bleibt vier Wochen im Probebetrieb mit aktiver Beobachtung durch den IT-Sicherheitsbeauftragten und wird dann wochenweise über die anderen Aemter ausgerollt. Schulung der Sachbearbeiter erfolgt remote in 60-Minuten-Einheiten pro Fachbereich.

EVB-IT-Cloud-Vertrag

Vertragsstruktur entspricht den Ergänzenden Vertragsbedingungen für Cloud-Leistungen nach EVB-IT Cloud, inklusive AVV nach Art. 28 DSGVO und SLA.

Rahmenvertrag oder UVgO/VgV-Vergabe

Bezug über Landes-Rahmenverträge oder Direktauftrag unter dem UVgO-Schwellenwert, EU-weite Ausschreibung nach VgV oberhalb des EU-Schwellenwerts.

Pilot in einem Amt, dann Rollout

Bürgeramt startet mit MailGuard und SecureMail, Funktionspostfach info@ wird umgezogen. Andere Aemter folgen wochenweise, das Rechnungsprüfungsamt erhält jederzeit Lese-Zugang fürs Audit-Log.

OZG- und EfA-Begleitkommunikation

Conbool unterstützt OZG-Anforderungen auf der Mail-Ebene bei Rückfragen, Bescheidversand und Anlagenversand. Das OZG-Portal und die EfA-Dienste werden nicht ersetzt.

Häufige Fragen aus Behörden und Kommunen

Ersetzt Conbool DE-Mail, beBPo, EGVP oder das OZG-Portal?
Nein. DE-Mail nach De-Mail-Gesetz, beBPo, EGVP und die OZG-Portale (etwa der Bund- und Länder-Online-Dienst-Verbund nach EfA) sind gesetzlich vorgeschriebene Kanäle für rechtsverbindliche Zustellung beziehungsweise für den Antragsprozess selbst. Conbool deckt die allgemeine Verwaltungskommunikation ab, also Rückfragen, Begleitschreiben, Bescheidversand an Bürger ohne DE-Mail-Konto, Behörden-zu-Behörden-Korrespondenz und Anlagentransport. Diese Mail-Schicht lief in vielen Aemtern bisher über unverschlüsseltes SMTP und wird durch Conbool auf S/MIME, OpenPGP und Web-Reader für Empfänger ohne Zertifikat gehoben, ohne dass an den Pflichtkanälen etwas geändert wird.
Wie passt Conbool zu BSI-IT-Grundschutz und welche Bausteine sind betroffen?
Conbool adressiert primär den Baustein APP.5.3 (Allgemeine E-Mail-Clients und -Server) und Teile von NET.1.1 (Netzarchitektur und -design) der BSI-IT-Grundschutz-Edition 2023. Die Plattform liefert eine Maßnahmen-Beschreibung, die im Sicherheitskonzept nach BSI-Standard 200-2 dokumentiert werden kann und zur Modellierung im Informationsverbund passt. Für die Schutzbedarfsfeststellung nach BSI-Standard 200-3 lassen sich Vertraulichkeit, Integrität und Verfügbarkeit der Mail-Strecke separat ausweisen. Ein BSI-C5-Testat-Pfad für die zugrundeliegende Cloud-Infrastruktur ist nachweisbar und wird im Vergabeverfahren als Anlage zur Leistungsbeschreibung bereitgestellt. Damit wird die Migration von einer eigenbetriebenen Mail-Filter-Lösung auf einen Cloud-Service auch für die Aufsicht und das Rechnungsprüfungsamt nachvollziehbar.
Eignet sich Conbool für VS-NfD-Korrespondenz?
VS-NfD nach der Verschlusssachenanweisung (VSA) des Bundes verlangt zugelassene Verschlüsselungsverfahren, ein klar definiertes Schlüsselmanagement und eine dokumentierte organisatorische Einbettung. Conbool bietet S/MIME-Verschlüsselung mit zertifikatsbasierten Schlüsseln, Hardware-Token-Anbindung und mandantengetrennte Instanzen an. Die konkrete VS-NfD-Eignung hängt von der eingesetzten Zertifizierungsstelle, der Schlüsselverwaltung und der jeweiligen organisatorischen Maßnahme im Amt ab und wird im Pilot mit Ihrem Geheimschutzbeauftragten und Ihrem IT-Sicherheitsbeauftragten konkret geklärt, bevor produktiv geschaltet wird.
Wie sieht der EVB-IT-Bezug und die Vergabe aus?
Conbool ist EVB-IT-Cloud-fähig. Die Vertragsstruktur entspricht den Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Cloud-Leistungen und enthält AVV nach Art. 28 DSGVO, Unterauftragsverarbeiter-Liste, SLA mit Verfügbarkeits- und Reaktionszeiten und Löschkonzept nach Vertragsende. Bezug über Landes-Rahmenverträge (zum Beispiel Dataport für Hamburg, Schleswig-Holstein, Bremen, ekom21 für hessische Kommunen, KDO für Niedersachsen, KRZN für Nordrhein, KDS für Sachsen), eine Direktvergabe nach UVgO unterhalb des Schwellenwerts oder eine EU-weite Vergabe nach VgV oberhalb der EU-Schwellenwerte ist möglich. Die Leistungsbeschreibung für das Vergabeverfahren stellen wir bei Bedarf bereit.
Was bedeutet OZG und EfA für die Mail-Schicht der Behörde?
Das Onlinezugangsgesetz und das OZG-Aenderungsgesetz verpflichten Bund, Länder und Kommunen, Verwaltungsleistungen digital anzubieten, das Prinzip Einer für Alle (EfA) bündelt die Umsetzung in führenden Bundesländern. Die Mail-Schicht trägt die Begleitkommunikation: Eingangsbestätigungen, Rückfragen, Bescheidzustellung, Anlagentransport, Klärung von Identifikationsdaten. Conbool liefert dafür OZG-konforme E-Mail mit Verschlüsselung, Audit-Log und EU-Hosting, ohne das OZG-Portal, das Nutzerkonto Bund oder die Landes-Servicekonten selbst zu ersetzen.
Wie greift NIS-2 für öffentliche Stellen, und was deckt Conbool davon ab?
Mit dem NIS2UmsuCG werden bestimmte öffentliche Stellen, darunter Kommunen über einer Einwohnerschwelle und Einrichtungen der Landesverwaltung sowie Anstalten öffentlichen Rechts, zu wesentlichen oder wichtigen Einrichtungen. Sie müssen Risikomanagement, Meldepflichten (Erstmeldung innerhalb von 24 Stunden, Folgemeldung nach 72 Stunden) und technische Maßnahmen nach § 30 BSIG-E umsetzen. Conbool deckt die Mail-Schicht mit mehrstufiger Filterung, Ende-zu-Ende-Verschlüsselung, Audit-Log, SIEM-Anbindung an das Landes-CERT oder das BSI sowie dokumentierten Incident-Prozessen ab und liefert die Belege für den IT-Sicherheitsbeauftragten und das Aufsichtsorgan.
Wie läuft die Migration vom alten Mail-Gateway zur Conbool-Schicht im laufenden Amtsbetrieb?
Pilot in einem Fachbereich, typisch Bürgeramt oder Sozialamt. Zwei Wochen Beobachtung im Monitor-Modus parallel zum bestehenden Gateway, MailGuard-Verdikte werden mitgeloggt, aber noch nicht durchgesetzt. Danach MX-Switch in einem Wartungsfenster, üblich am Wochenende. Die Funktionspostfächer info@, presse@ und ordnungsamt@ werden zuerst migriert, die personenbezogenen Postfächer der Sachbearbeiter folgen wochenweise. Das Rechnungsprüfungsamt und der örtliche Datenschutzbeauftragte erhalten jederzeit lesenden Zugriff aufs Audit-Log für aufsichtliche Prüfungen und turnusmäßige Berichte.

Verwandte Lösungen

Hornetsecurity-Alternative

Deutsche MailGuard-Alternative nach der Proofpoint-Übernahme.

Phishing-Schutz

BEC, Spear-Phishing und QR-Code-Phishing erkennen und entfernen.

Ransomware-Schutz E-Mail

Mehrstufige Anhang-Filter und URL-Reputation gegen Ransomware-Kampagnen.

Spam-Filter Unternehmen

Spam und unerwünschte Massenmail mit DACH-Heuristiken filtern.

CEO-Fraud-Schutz

BEC und CEO-Fraud-Attacken über Authentifizierungs-Layer abwehren.

Verwandte Branchen

Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.

Energieversorger & Stadtwerke

Kommunale Stadtwerke mit KRITIS-Bezug und gleicher Behördenanbindung.

Krankenhaus & Klinik

Kommunale Kliniken in der Daseinsvorsorge mit KHZG und KRITIS.

Banken & Sparkassen

Sparkassen und Landesbanken mit kommunalem Träger und BAIT/DORA-Maßstab.

BSI-Grundschutz-fähige E-Mail-Sicherheit für Ihre Behörde.

Demo in 30 Minuten mit Ihrem ISB, Ihrer IT-Leitung und Ihrem Datenschutzbeauftragten. Pilot in einem Fachbereich. EVB-IT-Cloud-fähig, EU-Hosting, AVV nach Art. 28 DSGVO.

Demo anfragenMailGuard im Detail

Quellen und Stand

Aussagen zum BSI-IT-Grundschutz basieren auf den BSI-Standards 200-1, 200-2 und 200-3 sowie dem IT-Grundschutz-Kompendium Edition 2023, insbesondere den Bausteinen APP.5.3 und NET.1.1. Aussagen zum OZG basieren auf dem Onlinezugangsgesetz und dem OZG-Aenderungsgesetz. Aussagen zu NIS-2 basieren auf der Richtlinie (EU) 2022/2555 und dem NIS2UmsuCG. Aussagen zu DE-Mail basieren auf dem De-Mail-Gesetz, insbesondere § 2. Aussagen zu VS-NfD beziehen sich auf die Verschlusssachenanweisung (VSA) des Bundes. Aussagen zur EVB-IT Cloud basieren auf den Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Cloud-Leistungen in der jeweils geltenden Fassung. Stand 2026.

BSI ist die Bezeichnung des Bundesamts für Sicherheit in der Informationstechnik. DE-Mail, beBPo, EGVP und das EfA-Konzept sind Bezeichnungen staatlicher oder gesetzlich definierter Kanäle und Verfahren. Dataport, ekom21, KDO, KRZN und KDS sind Bezeichnungen kommunaler beziehungsweise Landes-Dienstleister. Microsoft, Microsoft 365, Outlook und Exchange sind Marken der Microsoft Corporation. Conbool ist eine Marke der Conbool GmbH.