Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. November 2025 ein Whitepaper mit dem Titel Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste veröffentlicht. Darin fordert es Webmail-Anbieter auf, mehr Verantwortung für die IT-Sicherheit ihrer Dienste zu übernehmen, da viele Anbieter derzeit nur schwache Sicherheitsmaßnahmen wie den reinen Passwortzugang ohne Zwei-Faktor-Authentifizierung anbieten.
BSI definiert Maßstäbe für Webmail-Sicherheit
- Webmail-Dienste sollen Sicherheitsmaßnahmen nicht als Zusatzfunktion, sondern als Standard integrieren (Security by Design und Security by Default).
- Verbindliche Einführung sicherer und nutzerfreundlicher Authentifizierungsverfahren wie Zwei-Faktor-Authentifizierung (2FA) und moderne Passkeys.
- Ende-zu-Ende-Verschlüsselung (E2EE) soll direkt im Webmailer durch offene Standards wie OpenPGP oder S/MIME realisiert werden, inklusive automatisierter Schlüsselverwaltung.
- Transportverschlüsselung mittels Technologien wie DANE und MTA-STS zur Abwehr von Man-in-the-Middle-Angriffen.
- Mehrschichtiger Schutz vor Spam und Phishing, wobei Verantwortung nicht auf die Nutzer abgewälzt wird. Backend-Mechanismen (SPF, DKIM, DMARC) sollen obligatorisch sein, ergänzt um benutzerfreundliche Meldefunktionen.
- Transparenz in Sicherheitsfunktionen und benutzerfreundliche Account-Wiederherstellung sind weitere zentrale Anforderungen.
Verbindlicher Standard für alle Anbieter
Das BSI sieht Webmail-Dienste als kritische Infrastruktur für unsere digitalen Identitäten und fordert deshalb eine umfassende Sicherheits- und Verbraucherschutzstrategie als Standard für alle Anbieter. Die Verantwortung für Sicherheit liegt dabei klar bei den Anbietern, nicht bei den Nutzern.
Bild: Foto von Mariia Shalabaieva auf Unsplash
“nutzerfreundlicher Authentifizierungsverfahren” und “Zwei-Faktor-Authentifizierung” in einem Satz zu nennen ist schon mutig. 2FA ist das Gegenteil von nutzerfreundlich. Es ist einfach nur lästig. Außerdem hängt der Webmail-Zugang an IMAP, dann muss man konsequenterweise auch IMAP mit 2FA absichern und das wars dann mit Komfortfunktionen wie der automatischen Anzeige neuer Mails.
“Ende-zu-Ende-Verschlüsselung (E2EE) soll direkt im Webmailer (…) inklusive automatisierter Schlüsselverwaltung” ist auch super. Bei E2EE sollte man schon darauf achten wo die Verschlüsselung stattfindet und wer Zugriff auf die Schlüssel hat. Liegt das alles beim Anbieter kann man sich E2EE größtenteils sparen.
Mailbox wird es zum Teil freuen, da das Produkt schon lange OpenPGP, DANE, usw. anbietet, jedoch steht dort MFA insbesondere im Business-Angebot und erst recht bezogen auf Fido2/Webauthn/Passkeys noch am Anfang eines längeren Weges. Der Grundstein scheint aber mit dem Wechsel auf Keycloak gelegt worden zu sein.
Das muß man strategisch sehen. Je höher die Anforderungen, desdo weniger Anbieter.
Die gleichen Leute – Institutionen die gerne jeden Chat mitlesen möchten, machen sich um Mailsicherheit Sorgen ??? Das beginnt schon mit der 2 Factory Authentifizierung, die eigenlich nur dazu da ist, den Benutzer einem Smartphone und den damit bestehenden Benutzerdaten angleichen zu können.
Moin Wolfgang!
Was ist denn 2 *Factory* Authentifiziereung? 😅
2FA hat mit „Smartphone-Abgleich“ oder Identitätsprofilen schlicht nichts zu tun.
Der zweite Faktor ist technisch nur ein zusätzlicher Besitznachweis (z. B. ein Einmalcode oder Hardware-Token), der verhindern soll, dass jemand mit gestohlenem Passwort in ein Konto kommt.
Der Dienst sieht dabei nicht, wer du bist, welche Apps du nutzt oder welche Daten auf deinem Smartphone liegen – er sieht nur: „Der richtige Code wurde eingegeben.“
Kurz: 2FA schützt vor Kontoübernahmen, nicht vor Überwachung. Alles andere ist Unsinn.
Aber anonyme Email Adressen sind damit nicht mehr möglich. Und nein, ich will nicht immer wenn ich mich wo mit meiner Email anmelde, dass meine Identität durch die Handynummer leicht zurück zu verfolgen ist.
2FA bedeutet nicht, dass du deine Telefonnummer hinterlegen musst.
2FA bedeutet auch nicht, dass anonyme E-Mail-Adressen verschwinden.
Es gibt viele zweite Faktoren ohne Telefonnummer:
Authenticator-Apps (TOTP, z. B. Aegis, Authy, FreeOTP) → keine Nummer nötig
Hardware-Keys (FIDO2 / YubiKey) → keine Nummer nötig
Backup-Codes → keine Nummer nötig
Viele Dienste bieten SMS-2FA nur als eine Option an, nicht als Pflicht.
Anonymität hängt vom Anbieter und der Registrierung ab – nicht von 2FA.
Wenn du eine anonyme Adresse willst, nimm einen Anbieter, der keine Telefonnummer verlangt (Proton Mail, Tutanota, Mailbox.org in bestimmten Tarifen, selbst Riseup).
2FA ist reiner Kontoschutz, nichts weiter.
Stell es Dir so vor (nocht wörtlich, sondern reon anschaulich):
Das 2FA Programm (Du mußt es nicht auf einem Smartphone nutzen) ist ein Algoritmus, welche 2 Variablen enthält. Einmal ein Zeitfenster und dann einen Wert, den der Dienst vorgibt. Das ist der Code, den Du beim einrichtwn eingibst oder einscannst. Aus diesen Werten wird dann eine zeitfensterabhängihe Zahl berechnet. Das Ergebnis ist dabei nicht zurückrechenbar.
Und das Smartphone (oder anderes Gerät kann dauerhaft offline sein.).
Die sollen sich lieber mal für besseren Spamschutz und höhere Strafen für Versender einsetzen.
Ungefragte Werbeanrufen sind hierzulande verboten, gleiches sollte auch für Werbemails gelten.
Ungefragt Werbemails sind doch längst verboten..
Da macht das BSI bei aller Kritik mal was richtig und gleich gibt’s wieder Kritik ala “aber was ist damit und damit”.
Verbote schön und gut,
aber wenn niemand deren Einhaltung (wirksam und konsequent) überwacht?