Willkommen im User-Forum von mailbox.org
 

Zertifizierung (ISO27001; TR-03108; oder vergleichbares) vorhanden

7533398 hat dies geteilt, 5 Monaten her
unbeantwortet

Hallo liebes Mailbox Team, ich finde euren Dienst wirklich super und empfehle ihn wo ich kann! Vielen Dank!


Nun meine Frage: ist eine Zertifizierung (siehe Titel) oder etwas vergleichbares vorhanden?


Ich suche für einen Bekannten der sich selbständig machen will und würde euch gern empfehlen.


Über eine kurze Rückmeldung würde ich mich freuen.


Viele Grüße, Christian

Kommentare (2)

Foto
1

Eine ISO 27001 haben wir nicht. Diese wäre unverhältnismäßig teuer und ist für sich gesehen keinerlei Qualitätserhöhung; sie sagt nur aus, DASS Prozesse definiert sind, nicht aber, ob diese auch gut und sinnvoll sind. Wir hosten etliche Kunden die auf ISO 27001 zertifiziert sind und in allen Fällen konnten wir das Hosting dieser Kunden trotzdem übernehmen.

Die TR-03108 haben wir in der Arbeitsgruppe des BSI maßgeblich mitentwickelt. Unter anderem haben wir (zusammen mit den Kollegen von mail.de und der DATEV) dafür gekämpft, daß die TR-03108 DANE und SSL überhaupt erst verbindlich vorgesehen hat. Die Arbeitsgruppe wollte damals -- auf Druck der etablierten Provider die damals noch kein DANE/DNSSEC hatten -- ursprünglich DANE nur als wünschenswert, nicht aber verbindlich vorschreiben.

Obwohl wir sehr an der TR-03108 mitgearbeitet haben und diese sehr, sehr gut fanden, ist die TR-03108 für uns (und andere Anbieter) gestorben, nachdem in das BSI in einer Nacht- und Nebel-Aktion einen einzelnen Provider als zertifiziert auszeichnete, obwohl dieser die TR-03108 gar nicht erfüllt hatte. Lustigerweise hat sich dieser Provider damals noch nicht mal die Mühe gemacht, in der Arbeitsgruppe mitzuarbeiten und glänzte durch Abwesenheit als es darum ging, die Arbeit zu investieren.

Da die Vorgaben der TR-03108 nicht erfüllt wurden, hätte diese Zertifizierung damals so nie vergeben werden dürfen und war einfach nicht zutreffend. Das BSI stellte sich auf den Standpunkt, das wäre eine Sache der vom BSI authorisierten Zertifizierungsstelle gewesen und da könne man leider gar nichts machen -- gleichzeitig hat das BSI diese (unzulässige!) erste Zertifizierung aber selbst sehr Marketing- und PR-tauglich persönlich übergeben. Ein Gemauschel, das die TR-03108 für uns getötet hat und wo wir uns schon fragen, wie das passieren kann und wer hier welche Interessen durchdrückt.


Darüber hinaus weiß ich aber auch von einem Anbieter, der die TR-03108 haben will, aber keinen Zertifizierer findet. Auch hier zuckt das BSI wohl mit den Schultern. Und jetzt haben wir die Situation, daß es eine rechtswidrige Marketing-Zertifizierung gegeben hat mit der geworben wird und weitere Provider keine richtige Möglichkeit haben, sich ebenso zertifizieren zu lassen.

Sehr schade für die Sache. Wir haben eine TR-03108 mit einem hohen Anspruch für sehr, sehr gut und förderungswürdig befunden und es auch als unsere Aufgabe angesehen, die Messlatte hier höher statt tiefer zu legen.

Unser Bericht damals dazu: https://www.heinlein-support.de/blog/news/bsi-richtlinie-sicherer-mailtransport-was-ist-davon-zu-halten/

Foto
1

Vielen Dank für die ausführliche Antwort.


Die beschriebene Situation bzgl. TR-03108 ist ja leider tatsächlich ernüchternd - aber irgendwie überrascht es mich nicht…


In Ihrer Beschreibung heißt es, Ihr Datenschutzbeauftragter sei TÜV zertifiziert. Um was für eine Zertifizierung handelt es sich dabei? Vielleicht ist das für meine Zwecke schon ausreichend.


Viele Grüße, Christian