1.

Zur Information von Verbraucherinnen und Verbrauchern über die IT-Sicherheit von Produkten und Diensten des Verbrauchermarkts erteilt das Bundesamt für Sicherheit in der Informationstechnik auf Antrag ein freiwilliges IT-Sicherheitskennzeichen. Zu diesem Zweck werden Produktkategorien festgelegt, innerhalb derer Produkten und Diensten die Freigabe des IT-Sicherheitskennzeichens erteilt wird.

Eine solche Produktkategorie erfasst eine Gruppe von vergleichbaren informationstechnischen Produkten und Diensten in einem eingrenzbaren Bereich, vorliegend dem Bereich „E-Mail-Dienste“.

2.

Die Festlegung der Produktkategorie „E-Mail-Dienste“, für die das Bundesamt für Sicherheit in der Informationstechnik gemäß § 9c Absatz 1 BSIG zuständig ist, erfolgt auf Grundlage der §§ 9c Absatz 1 und 5 Nummer 1, 10 Absatz 3 BSIG in Verbindung mit § 11 der Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-ITSiKV). Demnach legt das Bundesamt für Sicherheit in der Informationstechnik die Produktkategorien fest, für deren Produkte und Dienste es die Freigabe des IT-Sicherheitskennzeichens erteilt.

3.

Die vorliegende Allgemeinverfügung eröffnet die Antragstellung und Erteilung von IT-Sicherheitskennzeichen für Verbraucherdienste der Produktkategorie „E-Mail-Dienste“. Erfasst sind damit elektronische Verbraucherdienste zum briefähnlichen Nachrichtenaustausch über offene Kommunikationsinfrastrukturen des Internets und auf Grundlage von standardisierten Protokollen, die auf dem Simple Mail Transfer Protocol (SMTP) beruhen und nicht primär für eine Echtzeitkommunikation bestimmt sind (insbesondere Instant-Messaging-Dienste).

Mangels gesetzlicher Eingrenzung entscheidet das Bundesamt für Sicherheit in der Informationstechnik nach eigenem Ermessen über die Auswahl relevanter Produktkategorien des IT-Sicherheitskennzeichens (vgl. BT-Drucksache 19/​26106, Seite 87). Ausgehend von dem gesetzgeberischen Ziel, die IT-Sicherheit von verschiedenen Verbraucherprodukten und -diensten im IT-Bereich verständlich, transparent, einheitlich und aktuell darzustellen, leiten sich die maßgeblichen Aspekte für die Einführung neuer Produktkategorien ab. Entscheidungserhebliche Faktoren sind demnach unter anderem das Risiko- und Schutzpotenzial einer Produktgruppe, deren Marktdurchdringung und Verfügbarkeit am Verbrauchermarkt sowie das Vorliegen einschlägiger und geeigneter IT-Sicherheitsstandards.

Vor dem Hintergrund erscheint die Einführung der Produktkategorie „E-Mail-Dienste“ geeignet, zielführend und geboten. Ein wesentlicher Teil alltäglicher Kommunikation findet über digitale Kommunikationsinfrastrukturen statt. E-Mail-Verkehr zählt dabei zu einem der bedeutsamsten Medien für den Austausch digitaler Nachrichten. Ohne IT-Sicherheitsmaßnahmen, wie Verschlüsselung und Signaturen, können sie jedoch Einfallstor und Ausgangspunkt für Cyberangriffe und die Verbreitung von Schadsoftware sein. Um dies zu verhindern liegt mit der Technischen Richtlinie BSI TR-03108 „Sicherer E-Mail-Transport“ bereits ein Prüfstandard vor, der ein Mindestmaß von Sicherheitsanforderungen an Betreiber von E-Mail-Diensten adressiert. Die formulierten Anforderungen tragen zur Steigerung des Sicherheitsniveaus im E-Mail-Verkehr bei, ohne dabei von den IT-Fähigkeiten der Endnutzerinnen und Endnutzer abhängig zu sein.

Die einzuführende Produktkategorie lässt in Anbetracht dessen, dass im Jahr 2020 etwa 87 Prozent der deutschen Bevölkerung das Internet zum Versenden und Empfangen von E-Mails genutzt haben (Eurostat, „Personen, die das Internet zum Senden/​Empfangen von E-Mails genutzt haben“ vom 6. September 2021) eine hohe Reichweite und mithin gesteigerten Nutzen für den Verbrauchermarkt erwarten.

4.

Die Anforderungen der Produktkategorie werden gemäß § 11 Absatz 3 BSI-ITSiKV auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik veröffentlicht und sind für die gegenständliche Produktkategorie verbindlich. Die regelmäßige Laufzeit für IT-Sicherheitskennzeichen der Produktkategorie „E-Mail-Dienste“ richtet sich nach § 8 Absatz 1 BSI-ITSiKV. Eine abweichende Laufzeit wird für diese Produktkategorie nicht bestimmt.

Diese Allgemeinverfügung wird mit Bekanntgabe wirksam und gilt an dem auf die Veröffentlichung im Bundesanzeiger folgenden Tag als bekanntgegeben, § 41 Absatz 4 Satz 4 des Verwaltungsverfahrensgesetzes.

Gegen diese Allgemeinverfügung kann innerhalb eines Monats nach Bekanntgabe Widerspruch beim Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 185 – 189, 53175 Bonn, erhoben werden.