Das E-Mail-Sicherheitsjahr 2025: Eine strategische Allianz mit dem BSI

Für die Kompetenzgruppe E-Mail stand das Jahr 2025 ganz im Zeichen einer weitreichenden Partnerschaft. Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und weiteren Unterstützern hat sie das im Rahmen der „Cybernation Deutschland” ausgerufene „E-Mail-Sicherheitsjahr 2025” unterstützt – eine Kampagne, die ein starkes Zeichen für sichere digitale Kommunikation setzt.

Beim ersten Treffen der Kompetenzgruppe E-Mail stellte Caroline Krohn (BSI) das gemeinsame Projekt „Sichere E-Mail“ vor. Bei diesem Treffen wurden zudem durch Sebastian Kluth von der Certified Senders Alliance (CSA) Reply Codes bei Providern diskutiert und es wurde erörtert, wie diese einheitlicher gestaltet werden können.

Es folgten mehrere Veranstaltungen in Zusammenarbeit mit dem BSI, um die Branche auf die neuen Sicherheitsstandards einzuschwören. Den Auftakt bildete das Treffen am 20. März beim BSI, bei dem ein exklusiver Workshop für ESPs in Anwesenheit von BSI-Präsidentin Claudia Plattner angeboten wurde. Ein weiterer Workshop für Hoster und Provider mit Claudia Plattner fand am 7. April statt. 

Ein drittes Treffen beim BSI, zur Vernetzung und unter Beteiligung der großen im DAX vertretenen Unternehmen fand am 26. Mai statt. Die KG E-Mail begleitete diesen Prozess fortlaufend. Am 20. Mai diskutierte die KG intensiv die strategische Ausrichtung des BSI-Projekts.

Weitere Meetings der KG folgten am 12. Juni und am 4. Juli, bei denen unter anderem Policies und die Zusammenarbeit mit dem BSI auf der Agenda standen. Beim KG-Treffen im Juli in Köln lud die KG alle Teilnehmer, die sich im Rahmen des Projekts „Sichere E-Mail“ engagieren und beim BSI-Treffen am 26. Mai Interesse an fachlicher Unterstützung geäußert hatten, zu einem offenen Austausch und gegenseitigen Kennenlernen ein.

Öffentlichkeitsarbeit: Webinare, Podcasts und mediale Präsenz

Um komplexes technisches Wissen branchenweit zu vermitteln, nutzte die KG E-Mail 2025 erfolgreich mediale Kanäle wie den eco-Podcast zum „E-Mail-Sicherheitsjahr 2025“. Im Fokus stand die Sicherheit des nach wie vor wichtigsten elektronischen Kommunikationsmittels. BSI-Präsidentin Claudia Plattner betonte dabei, dass effektiver Phishing-Schutz bedeutet, schädliche E-Mails bereits vor dem Erreichen der Nutzer abzufangen. Zudem erläuterte Julia Janßen-Holldiek (CSA) die strategische Relevanz von E-Mail-Standards, während André Görmer praxisnahe Sicherheitslösungen für kleinere Unternehmen ohne große IT-Abteilungen aufzeigte.

Zusätzlich veranstaltete eco im Rahmen des „Sichere-E-Mail“-Jahres umfassende Webinar-Reihen mit dem BSI. Die erste Serie trug den Titel „Wer liest meine E-Mails mit? Maßnahmen gegen Man-in-the-Middle-Angriffe“ und fand an drei Terminen (15. April, 29. April und 13. Mai) statt. Fachleute des BSI stellten die Maßnahmen der Technischen Richtlinie BSI TR-03108 vor. Dabei wurde vermittelt, wie ein sicherer E-Mail-Transport vor unberechtigtem Mitlesen und vor der Manipulation von E-Mails schützt. Die zweite Webinar-Reihe widmete sich dem Thema „Der E-Mail-Checker des BSI – Sicherer E-Mail-Transport auf dem Prüfstand!“ (16. April, 30. April und 14. Mai). Gemeinsam mit BSI-Fachleuten wurden der Funktionsumfang und die Funktionsweise des E-Mail-Checkers erlernt. Der E-Mail-Checker ist eine Weiterentwicklung eines Prüftools zur TR-03108. Zudem wurden Hilfestellungen zur Einordnung der Ergebnisse gegeben.

Die Kampagne wurde durch Fachbeiträge flankiert, darunter der Artikel „Sichere E-Mail beginnt beim Absender“ auf der eco-Website, aber auch in Fachmedien wie zum Beispiel bei heise.de. Auch auf internationaler Ebene meldete sich KG-Leiter Patrick Ben Koetter im dotmagazine mit dem Beitrag „DNSSEC: Bridging the Trust Gap in the DNS Infrastructure“ zu Wort und betonte die Notwendigkeit von kryptografischen Signaturen. Ein sichtbarer Erfolg der gemeinsamen Kampagne war schließlich die Einführung der BSI Hall of Fame, auf die am 28. August 2025 mit dem Aufruf zur Bewerbung aufmerksam gemacht wurde, um Vorreiter:innen im sicheren Mail-Verkehr auszuzeichnen.

Internet Security Days (ISD) 2025: Praxisnaher Workshop zur E-Mail-Sicherheit

Ein weiteres zentrales Event im Berichtsjahr bildeten die Internet Security Days (ISD), die vom 15. bis 16. September stattfanden. Direkt am ersten Veranstaltungstag richtete die Kompetenzgruppe einen fokussierten Workshop unter dem Leitmotiv „E-Mail-Sicherheit für Unternehmen – Von der Compliance zum Wettbewerbsvorteil“ aus.

Den Auftakt machte Florian Bierhoff vom BSI, der den aktuellen Status der E-Mail-Sicherheit in Europa beleuchtete. Er skizzierte detailliert die Entscheidungswege zu den Empfehlungen des BSI und stellte das Katti-Tool vor, mit dem sich die Behörde ein Lagebild über die Domainsicherheit verschafft.

Im Anschluss widmete sich Daniel Strauß, Geschäftsführer der InterNexum GmbH / nicmanager, dem Thema „Domainsicherheit in der Praxis: DANE & Co. auf dem Prüfstand“. Er machte deutlich, dass Domains in vielen Sicherheitsstrategien noch immer zu den größten blinden Flecken zählen – obwohl sie gleichzeitig Einfallstor, Identitätsmerkmal und Vertrauensanker sind. Anhand konkreter Prüfmethoden demonstrierte er die Leistungsfähigkeit von Mechanismen wie DANE, DMARC oder DNSSEC und lieferte praktische Tipps, um Schwächen zu erkennen und Vertrauen nachhaltig zu stärken.

Die juristische Perspektive brachte Christoph Callewaert, Senior Associate bei reuschlaw, mit seinem Vortrag „Sichere E-Mail: Die Auswirkungen aktueller Rechtsprechung auf die Unternehmenspraxis“ ein. Auf Basis aktueller Gerichtsentscheidungen erarbeitete er gemeinsam mit dem Publikum konkrete Lösungsansätze, wie Unternehmen mit den rechtlichen Vorgaben im Alltag umgehen und E-Mail-Sicherheit rechtssicher gestalten können.

Abgerundet wurde das Programm durch den Vortrag „Sichere E-Mail – ein Bericht aus der Praxis“ von Steffen Siguda, Corporate InfoSec Officer bei der OSRAM GmbH. Er demonstrierte anschaulich, wie die Einführung, fortlaufende Überwachung und Verbesserung der E-Mail-Sicherheit in komplexen Unternehmensstrukturen gelingen kann.

Richtlinien, Best Practices und die Herausforderung der E-Rechnung

Auch 2025 überprüfte die Kompetenzgruppe ihre Dokumente und arbeitete an der Aktualisierung derselben. So wurden die „Best Practices für E-Mail Marketing“ am 18. Februar sowie die „Hinweise zur Auswahl einer DNSBL“ am 25. Juli überarbeitet und aktualisiert publiziert.

Ein massiver operativer Schwerpunkt ergab sich auch aus neuen gesetzlichen Vorgaben: Seit dem 1. Januar 2025 sind Unternehmen in Deutschland verpflichtet, elektronische Rechnungen gemäß der Norm EN 16931 auszustellen und zu empfangen. Diese E-Rechnung stellt das digitale Format für Rechnungen dar, das den automatisierten und standardisierten Versand ermöglicht. Sie soll die Steuertransparenz erhöhen, Geschäftsprozesse optimieren und Fehler reduzieren – wichtigste Voraussetzung dafür ist allerdings ihre zuverlässige Zustellung.

Ein häufig genutzter Zustellungskanal für die E-Rechnung ist die E-Mail, was die Zustellbarkeit über dieses Medium für viele Unternehmen besonders in den Fokus rückt. Die KG half intensiv dabei, den strategischen Umgang mit dieser Herausforderung zu gestalten, um zu verhindern, dass essenzielle Rechnungen fälschlicherweise im Spam landen.