DMARC ist in praktisch jedem ernstzunehmenden Cyber-Security-Framework gefordert oder explizit empfohlen. Hier steht ehrlich, was unser Tool dir an Audit-Hausaufgaben abnimmt — und welche Schritte beim Kunden bleiben.
Wichtig: Wir behaupten nicht, formal zertifiziert zu sein. Unten siehst du pro Standard transparent, was unser Tool an technischen Maßnahmen liefert (Tool-Beitrag) und welche organisatorischen/prozessualen Auditpunkte beim Kunden bleiben (Kunden-Pflicht). Genau diese Trennung verlangen Auditoren ohnehin.
CH · FINMA
FINMA-Rundschreiben 2023/1 — Operationelle Risiken und Resilienz
Das FINMA-Rundschreiben 2023/1 (in Kraft seit 01.01.2024) verschärft die Anforderungen an Banken, Versicherungen und Vermögensverwalter zu Cyber-Risiken und ICT-Resilienz. Mail-Domain-Spoofing zählt explizit zu den behandelten Bedrohungsszenarien.
📌 Was die FINMA verlangt
Identifikation kritischer Funktionen mit Cyber-Bezug — inkl. E-Mail-Kommunikation als Dienstleister-Schnittstelle
Schutz gegen Phishing/Spoofing, das Kunden oder Mitarbeitende gefährdet
Kontinuierliche Überwachung und Auswertung von Sicherheitsvorfällen
Audit-Trail über Sicherheitsmaßnahmen und Reaktionen
✅ Tool-Beitrag
DMARC-Auswertung für alle Domains der regulierten Einheit
Spike-Alerts bei plötzlichem Anstieg von Spoofing-Versuchen — als Cyber-Vorfall dokumentierbar
Audit-Log über jede Konfigurationsänderung mit User & Zeit
📋 Bei dir bleibt: ICT-Risiko-Inventar, Eskalationsprozess bei Vorfällen, Auslagerungs-Vereinbarung mit uns (DPA), regelmäßige Berichterstattung an Geschäftsleitung. Wir liefern die rohen Daten und Audit-Logs — die Verzeichnisse und Prozesse baust du.
CH · revDSG
revidiertes Datenschutzgesetz (revDSG)
In Kraft seit 01.09.2023. Das revidierte Schweizer Datenschutzgesetz orientiert sich stark an der DSGVO, hat aber spezifische Schweizer Eigenheiten — besonders die Pflicht zum Verzeichnis von Bearbeitungstätigkeiten und die Auskunftspflicht.
📌 Was das revDSG verlangt
Auftragsbearbeitungs-Vertrag (AVV/DPA) mit allen Drittparteien
Auskunftspflicht — du musst auf Anfrage zeigen können, was über eine Person gespeichert ist
Datenminimierung — nur was nötig ist
Meldepflicht bei Datenschutzverletzungen an EDÖB innert 72h
Verzeichnis der Bearbeitungstätigkeiten (Art. 12)
✅ Tool-Beitrag
Self-Hosted-Modus: Daten verlassen deine Infrastruktur nie — kein Auftragsbearbeitungs-Verhältnis nötig
Cloud-Variante: AVV/DPA-Vertrag auf Anfrage, Hosting in CH/EU
Audit-Log für Auskunftserteilung — wer hat wann was geändert
CSV-Export auf Tenant-Ebene für Datenportabilität
Verschlüsselte IMAP-Credentials (Fernet) und Bcrypt-Passwörter
📋 Bei dir bleibt: Verzeichnis der Bearbeitungstätigkeiten pflegen, Datenschutzerklärung schreiben, Betroffenenrechte abwickeln, Meldekette zum EDÖB definieren. Bei Cloud-Variante zusätzlich: AVV mit uns abschließen.
EU · DSGVO
Datenschutz-Grundverordnung (DSGVO)
Seit 25.05.2018 in Kraft. Gilt auch für Schweizer Unternehmen, sobald sie Personen in der EU bedienen — also für die meisten. Setzt klare Regeln für Datenverarbeitung, Auftragsverarbeiter und Betroffenenrechte.
📌 Was die DSGVO verlangt
Auftragsverarbeitungsvertrag nach Art. 28 mit allen Verarbeitern
Privacy-by-Design und Privacy-by-Default (Art. 25)
Meldepflicht innert 72h bei Datenschutzverletzungen
Verschlüsselung als angemessene Maßnahme (Art. 32)
Recht auf Auskunft, Löschung, Datenportabilität
✅ Tool-Beitrag
AVV nach Art. 28 DSGVO auf Anfrage (Cloud-Variante)
Daten-Minimierung: nur was DMARC-Reports liefern, kein Tracking
Verschlüsselung at-rest und in-transit (TLS, Bcrypt, Fernet)
Datenportabilität via CSV-Export
Datenlöschung: Tenant-Löschung kaskadiert auf alle abhängigen Daten
📋 Bei dir bleibt: Datenschutzerklärung, Cookie-Banner (falls nötig), Verzeichnis von Verarbeitungstätigkeiten, Meldekette zur Aufsichtsbehörde, Verträge mit deinen eigenen Verarbeitern (Mail-Provider, etc.).
EU · NIS2
NIS2-Richtlinie (EU 2022/2555)
Seit 17.01.2023 in Kraft, umzusetzen bis 17.10.2024. Gilt für „wesentliche" und „wichtige" Einrichtungen in 18 Sektoren — inkl. ICT-Dienstleister wie MSPs. Schweizer Firmen mit EU-Tochter oder EU-Geschäft fallen mit drunter.
📌 Was NIS2 Art. 21 verlangt
Risk-Management-Maßnahmen für Netz- und Informationssysteme
Sichere Authentifizierung und Verschlüsselung in der Kommunikation
Lieferanten-Sicherheits-Management
Vorfall-Behandlung und Meldepflicht innert 24h (Frühwarnung) / 72h (Bewertung)
Geschäftsleitung trägt persönliche Verantwortung
✅ Tool-Beitrag
Mail-Authentifizierung als zentrales Element von Art. 21 abgedeckt
Webhooks + Audit-Log für SIEM-Integration und Incident-Response
Spike-Alerts als „Frühwarnsystem"
API für automatisierte Integration in dein bestehendes Risk-Tool
📋 Bei dir bleibt: Klassifizierung als wesentlich/wichtig, Meldewege zur nationalen Behörde (BSI in DE, NCSC in CH falls angepasst), Schulung der Geschäftsleitung, Lieferanten-Verzeichnis. Die meisten Schweizer Banken sind bereits über FINMA-Anforderungen abgedeckt.
USA · NIST
NIST SP 800-177 Rev. 1 — Trustworthy Email
Die NIST-Special-Publication 800-177 trägt den Titel „Trustworthy Email" und empfiehlt DMARC explizit als technische Schutzmaßnahme gegen Spoofing. Plus NIST CSF 2.0 (Cybersecurity Framework) deckt mit den Funktionen Identify/Protect/Detect/Respond ähnliche Themen ab.
📌 Was NIST empfiehlt
SPF, DKIM und DMARC als drei aufeinander abgestimmte Säulen
Reporting-Auswertung (DMARC rua) zur kontinuierlichen Verbesserung
Schrittweise Schärfung der Policy: none → quarantine → reject
Monitoring von Drittsendern (Mailchimp etc.)
✅ Tool-Beitrag
DNS-Health-Check für SPF, DKIM, DMARC, MTA-STS, BIMI, TLS-RPT
DMARC-Generator mit Validierung der Policy-Syntax
Smart Advisor empfiehlt datenbasiert wann auf quarantine/reject gewechselt werden kann
Backup-Strategie via Postgres-Dump + Tenant-Cascade-Delete
📋 Bei dir bleibt: ISMS-Aufbau, Risiko-Bewertung, Statement of Applicability, interne Audits, Management-Review. Wir liefern die technischen Maßnahmen, das ISMS-Framework baust du selbst (oder mit deinem Auditor).
CIS
CIS Controls v8
Die 18 Critical Security Controls vom Center for Internet Security — pragmatische Liste der wichtigsten technischen Maßnahmen. Control 9 ist E-Mail- und Browser-Schutz, mit DMARC explizit in Sub-Control 9.5.
Webhook-Integration in dein SIEM/SOC für Control 17
📋 Bei dir bleibt: CIS Implementation Group (IG1/2/3) festlegen, Maßnahmen-Tracking, ggf. CIS-Self-Assessment. Wir decken Control 9.5 vollständig ab.
DE · BSI
BSI IT-Grundschutz — Baustein NET.3.3
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) führt im IT-Grundschutz-Kompendium den Baustein NET.3.3 „Mail-Server" mit Anforderungen an Mail-Auth.
📌 Was NET.3.3 verlangt
NET.3.3.A12 — DKIM-Verwendung
NET.3.3.A13 — DMARC-Verwendung mit Reporting
NET.3.3.A14 — TLS-Verwendung mit MTA-STS
✅ Tool-Beitrag
DMARC-Reporting-Auswertung (A13)
DNS-Health-Check für DKIM, MTA-STS, TLS-RPT
Audit-Log für Nachweis der Maßnahme
Industrie
M3AAWG Best Practices
Die Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) ist die wichtigste Industrie-Organisation für E-Mail-Sicherheit. Mehrere ihrer Best-Current-Practices behandeln DMARC.
BCP-DMARC-Setup: schrittweises Vorgehen von p=none zu p=reject
BCP-Forensic-Reports: Empfehlung gegen ruf wegen DSGVO-Risiken — wir setzen das um
DMARCGeeks