E-Mail weiterleiten: Ihre Section 889-konforme Lösung zur E-Mail-Weiterleitung
Vorwort
Wir bei Forward Email setzen auf einfache, sichere und vertrauliche E-Mail-Weiterleitung für alle. Wir wissen, dass Compliance für viele Organisationen, insbesondere solche, die mit der US-Regierung zusammenarbeiten, nicht nur ein Schlagwort ist – es ist eine Notwendigkeit. Die Einhaltung der bundesstaatlichen E-Mail-Vorschriften ist entscheidend. Deshalb sind wir stolz darauf, bestätigen zu können, dass unser sicherer E-Mail-Weiterleitungsdienst die strengen Bundesanforderungen erfüllt, einschließlich § 889 des Nationales Verteidigungsgenehmigungsgesetz (NDAA).
Unser Engagement für die Einhaltung der E-Mail-Vorschriften der Regierung wurde kürzlich in die Praxis umgesetzt, als die US Naval Academy sich an Forward Email wandte. Sie benötigten sichere E-Mail-Weiterleitungsdienste und benötigten Unterlagen, die unsere Einhaltung der Bundesvorschriften, einschließlich der Einhaltung von Abschnitt 889, bestätigen. Diese Erfahrung dient als wertvolle Fallstudie und belegt unsere Bereitschaft und Fähigkeit, staatlich finanzierte Organisationen zu unterstützen und ihre strengen Anforderungen zu erfüllen. Dieses Engagement gilt allen unseren Nutzern, die eine zuverlässige, datenschutzorientierte E-Mail-Lösung suchen.
Verständnis der Einhaltung von Abschnitt 889
Was ist Abschnitt 889? Vereinfacht ausgedrückt handelt es sich um ein US-Bundesgesetz, das es Regierungsbehörden verbietet, bestimmte Telekommunikations- und Videoüberwachungsgeräte oder -dienste bestimmter Unternehmen (wie Huawei, ZTE, Hikvision, Dahua und Hytera) zu nutzen oder mit diesen Verträge abzuschließen. Diese Regel, die oft mit dem Huawei-Verbot und dem ZTE-Verbot in Verbindung gebracht wird, dient dem Schutz der nationalen Sicherheit.
Note
Abschnitt 889 betrifft insbesondere Geräte und Dienstleistungen von Huawei, ZTE, Hytera, Hikvision und Dahua sowie deren Tochtergesellschaften und verbundene Unternehmen.
Für einen E-Mail-Weiterleitungsdienst für Regierungsaufträge wie Forward Email bedeutet dies, dass wir sicherstellen müssen, dass keiner unserer zugrunde liegenden Infrastrukturanbieter diese verbotene Ausrüstung verwendet, wodurch wir Abschnitt 889-konform sind.
So erreichen Sie mit der Weiterleitung von E-Mails die Einhaltung von Abschnitt 889
Wie erfüllt Forward Email die Anforderungen von Abschnitt 889? Dies erreichen wir durch die sorgfältige Auswahl unserer Infrastrukturpartner. Forward Email verlässt sich bei seiner Abschnitt-889-konformen Infrastruktur ausschließlich auf zwei Hauptanbieter:
- Cloudflare: Unser Hauptpartner für Netzwerkdienste und Cloudflare-E-Mail-Sicherheit.
- Datenpaket: Unser Hauptanbieter für die Serverinfrastruktur (wir verwenden Digitaler Ozean und/oder Vultr für Failover und werden bald ausschließlich DataPacket verwenden – selbstverständlich haben wir die Einhaltung von Abschnitt 889 von beiden Failover-Anbietern schriftlich bestätigt).
Important
Unsere ausschließliche Abhängigkeit von Cloudflare und DataPacket, die beide keine gemäß Abschnitt 889 verbotene Ausrüstung verwenden, ist der Grundstein unserer Compliance.
Sowohl Cloudflare als auch Datenpaket verpflichten sich zu hohen Sicherheitsstandards und verwenden keine Geräte, die gemäß Abschnitt 889 verboten sind. Die Verwendung von Cloudflare und DataPacket zur Einhaltung von Abschnitt 889 ist für unseren Service von grundlegender Bedeutung.
Cloudflares Verpflichtung
Cloudflare geht in seinem Verhaltenskodex für Drittanbieter explizit auf die Einhaltung von Abschnitt 889 ein. Dort heißt es:
„Gemäß Abschnitt 889 des National Defense Authorization Act (NDAA) verwendet Cloudflare in seiner Lieferkette weder Telekommunikationsgeräte, Videoüberwachungsprodukte noch -dienste, die von Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company oder Dahua Technology Company (oder einer Tochtergesellschaft oder einem verbundenen Unternehmen dieser Unternehmen) hergestellt oder bereitgestellt werden, und lässt dies auch nicht zu.“
(Quelle: Cloudflare Third Party Code of Conduct, abgerufen am 29. April 2025)
Diese klare Aussage bestätigt, dass die von Forward Email genutzte Cloudflares-Infrastruktur die Anforderungen von Abschnitt 889 erfüllt.
DataPacket-Infrastruktur
Datenpaket, unser Serveranbieter, verwendet ausschließlich Netzwerkgeräte von Arista Networks und Cisco. Weder Arista noch Cisco gehören zu den Unternehmen, die gemäß Abschnitt 889 verboten sind. Beide sind etablierte Anbieter, die in sicheren Unternehmens- und Behördenumgebungen weit verbreitet sind und für die Einhaltung strenger Sicherheits- und Compliance-Standards bekannt sind.
Durch die ausschließliche Verwendung von Cloudflare und Datenpaket stellt Forward Email sicher, dass die gesamte Servicebereitstellungskette frei von gemäß Abschnitt 889 verbotener Ausrüstung ist, und bietet eine sichere E-Mail-Weiterleitung für Bundesbehörden und andere sicherheitsbewusste Benutzer.
Über Abschnitt 889 hinaus: Umfassendere Einhaltung staatlicher Vorschriften
Unser Engagement für die E-Mail-Sicherheit von Behörden und die Einhaltung der Vorschriften geht über Abschnitt 889 hinaus. Obwohl Forward Email selbst vertrauliche Behördendaten wie Kontrollierte nicht klassifizierte Informationen (CUI) nicht direkt verarbeitet oder speichert, wie dies bei einer großen SaaS-Plattform der Fall wäre, entsprechen unsere Open-Source-Architektur zur E-Mail-Weiterleitung und die Abhängigkeit von sicheren, konformen Anbietern den Grundsätzen anderer wichtiger Vorschriften:
- FAR (Federal Acquisition Regulation): Durch die Nutzung einer konformen Infrastruktur und einen unkomplizierten kommerziellen Service bieten wir FAR-konforme E-Mail-Weiterleitungsprinzipien, die für Regierungsauftragnehmer geeignet sind.
- Privacy Act & FISMA: Wir legen Wert auf Datenschutz und bieten die Privacy Act E-Mail-Prinzipien an. Wir speichern Ihre E-Mails nicht. E-Mails werden direkt weitergeleitet, wodurch der Datenverkehr minimiert wird. Unsere Infrastrukturanbieter (Cloudflare, Datenpaket) verwalten ihre Systeme nach hohen Sicherheitsstandards, die den FISMA-konformen E-Mail-Prinzipien entsprechen.
- HIPAA: Für Organisationen, die eine HIPAA-konforme E-Mail-Weiterleitung benötigen, kann Forward Email Teil einer konformen Lösung sein. Da wir keine E-Mails speichern, liegt die primäre Compliance-Verantwortung bei den Endpunkt-E-Mail-Systemen. Unsere sichere Transportschicht unterstützt jedoch bei korrekter Anwendung die HIPAA-Anforderungen.
Warning
Möglicherweise benötigen Sie bei Ihrem endgültigen E-Mail-Anbieter einen Geschäftspartnervereinbarung (BAA), nicht Forward Email selbst, da wir Ihre E-Mail-Inhalte nicht speichern (es sei denn, Sie verwenden unsere verschlüsselte IMAP/POP3-Speicherschicht).
Unser Weg nach vorn: Erweiterung des Compliance-Horizonts
Unsere Einhaltung von Abschnitt 889 bildet eine wichtige Grundlage, insbesondere für Bundesauftragnehmer. Wir sind uns jedoch bewusst, dass verschiedene Organisationen und Behörden unterschiedliche und sich entwickelnde regulatorische Anforderungen haben. Bei Forward Email ist Transparenz entscheidend. Wir möchten unsere Perspektive auf die allgemeine Compliance-Landschaft und unsere zukünftige Ausrichtung mit Ihnen teilen.
Wir sind uns der Bedeutung von Rahmenbedingungen und Vorschriften bewusst, wie beispielsweise:
- System für Award Management (SAM): Unverzichtbar für direkte Bundesaufträge.
- FAR (Federal Acquisition Regulation): Einschließlich Standardklauseln wie FAR 52.212-4 für kommerzielle Dienste.
- DFARS (Ergänzung zur Beschaffungsverordnung des US-Verteidigungsministeriums): Insbesondere DFARS 252.239-7010 für Cloud-Dienste des US-Verteidigungsministeriums.
- CMMC (Cybersecurity Maturity Model-Zertifizierung): Erforderlich für Auftragnehmer des US-Verteidigungsministeriums, die Bundesvertragsinformationen (FCI) oder CUI verarbeiten.
- NIST SP 800-171: Grundlage für CMMC Level 2 mit Schwerpunkt auf dem Schutz von CUI. (NIST – National Institute of Standards and Technology)
- FedRAMP (Bundesprogramm für Risiko- und Autorisierungsmanagement): Standard für Cloud-Dienste von Bundesbehörden.
- __PROTECTED_LINK_77__0: Der übergreifende Rahmen für die Informationssicherheit des Bundes.
- __PROTECTED_LINK_77__1: Für den Umgang mit geschützten Gesundheitsinformationen (PHI).
- __PROTECTED_LINK_77__2: Für den Schutz von Schülerdaten.
- __PROTECTED_LINK_77__3: Für Dienste, die Kinder unter 13 Jahren betreffen.
Unsere aktuelle Position und zukünftigen Ziele:
Das Kerndesign von Forward Email – datenschutzorientiert, Open Source und minimaler Datenverkehr (insbesondere bei unserem Basis-**E-Mail-Weiterleitungsdienst) – entspricht den Prinzipien vieler dieser Vorschriften. Unsere bestehenden Sicherheitspraktiken (Verschlüsselung, Unterstützung moderner E-Mail-Standards) und die Einhaltung von Abschnitt 889 bieten eine solide Grundlage.
Die Erlangung einer formellen Zertifizierung oder Autorisierung für Frameworks wie FedRAMP oder CMMC ist jedoch ein erhebliches Unterfangen. Es erfordert eine strenge Dokumentation, die Implementierung spezifischer technischer und verfahrenstechnischer Kontrollen (oft Hunderte davon), unabhängige Bewertungen (wie 3PAO für FedRAMP – Third-Party Assessment Organization) und kontinuierliche Überwachung.
Important
Compliance ist nicht nur eine Frage der Technologie; es geht auch um dokumentierte Prozesse, Richtlinien und kontinuierliche Wachsamkeit. Zertifizierungen wie FedRAMP oder CMMC erfordern erhebliche Investitionen und Zeit.
Unsere Verpflichtung:
Mit dem Wachstum von Forward Email und den sich wandelnden Anforderungen unserer Kunden sind wir bestrebt, relevante Compliance-Zertifizierungen zu prüfen und anzustreben. Dazu gehören Pläne für:
- SAM-Registrierung: Um die direkte Zusammenarbeit mit US-Bundesbehörden zu erleichtern.
- Prozesse formalisieren: Wir verbessern unsere interne Dokumentation und Verfahren, um sie an Standards wie NIST SP 800-171 anzupassen, die die Grundlage für CMMC bilden.
- FedRAMP-Pfade evaluieren: Wir prüfen die Anforderungen und die Machbarkeit einer FedRAMP-Autorisierung, wahrscheinlich beginnend mit einem niedrigen oder mittleren Ausgangsniveau, gegebenenfalls unter Nutzung des TO-SaaS-Modells.
- Unterstützung spezifischer Anforderungen: Wir berücksichtigen Anforderungen wie HIPAA (möglicherweise durch BAAs und spezifische Konfigurationen für gespeicherte Daten) und FERPA (durch entsprechende Vertragsbedingungen und Kontrollen), da wir verstärkt mit Gesundheits- und Bildungseinrichtungen zusammenarbeiten.
Dieser Weg erfordert sorgfältige Planung und Investitionen. Zwar haben wir keine konkreten Zeitpläne für alle Zertifizierungen, doch die Stärkung unserer Compliance-Position, um den Anforderungen staatlicher und regulierter Branchen gerecht zu werden, ist ein zentraler Bestandteil unserer Roadmap.
Note
Wir sind überzeugt, dass unser Open-Source-Charakter für einzigartige Transparenz während des gesamten Prozesses sorgt und es unserer Community und unseren Kunden ermöglicht, unser Engagement aus erster Hand zu erleben.
Wir werden unsere Community weiterhin auf dem Laufenden halten, wenn wir auf unserem Weg zur Einhaltung der Vorschriften wichtige Meilensteine erreichen.
Warum das für Sie wichtig ist
Die Wahl eines Abschnitt 889-konformen E-Mail-Weiterleitungsdienstes wie Forward Email bedeutet:
- Gelassenheit: Besonders für Behörden, Auftragnehmer und sicherheitsbewusste Organisationen.
- Geringeres Risiko: Vermeidet potenzielle Konflikte mit bundesstaatlichen E-Mail-Vorschriften.
- Vertrauen: Demonstriert Engagement für Sicherheit und Lieferkettenintegrität.
Forward Email bietet eine einfache, zuverlässige und konforme Möglichkeit, Ihre Anforderungen an die E-Mail-Weiterleitung Ihrer benutzerdefinierten Domain zu verwalten.
Sichere, konforme E-Mail-Weiterleitung beginnt hier
Forward Email bietet einen sicheren, privaten und Open-Source-E-Mail-Weiterleitungsdienst. Unsere Konformität mit Abschnitt 889, die wir durch unsere Partnerschaft mit Cloudflare und Datenpaket erreicht haben (was unsere Forward Email-Konformität für die Arbeit der US Naval Academy widerspiegelt), ist ein Beweis für dieses Engagement. Egal, ob Sie eine Regierungsbehörde, ein Auftragnehmer oder einfach nur Wert auf E-Mail-Sicherheit für Behörden legen – Forward Email ist für Sie da.
Bereit für sichere, konforme E-Mail-Weiterleitung? Melden Sie sich noch heute kostenlos an!
Referenzen
- Abschnitt 889 (NDAA): https://www.acquisition.gov/Section-889-Policies
- Cloudflare: https://www.cloudflare.com/
- Cloudflare-Verhaltenskodex für Drittanbieter: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
- Datenpaket: https://datapacket.com/
- System für Vergabemanagement (SAM): https://sam.gov/
- Bundesbeschaffungsverordnung (FAR): https://www.acquisition.gov/browse/index/far
- FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
- Ergänzung zur Bundesbeschaffungsverordnung des Verteidigungsministeriums (DFARS): https://www.acquisition.gov/dfars
- DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
- Zertifizierung des Cybersicherheits-Reifegradmodells (CMMC): https://dodcio.defense.gov/cmmc/About/
- NIST SP 800-171: https://www.cloudflare.com/0
- Bundesweites Risiko- und Autorisierungsmanagementprogramm (FedRAMP): https://www.cloudflare.com/1
- Bundesgesetz zur Modernisierung der Informationssicherheit (FISMA): https://www.cloudflare.com/2
- Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA): https://www.cloudflare.com/3
- Gesetz über die Rechte und Privatsphäre von Familien im Bildungsbereich (FERPA): https://www.cloudflare.com/4
- Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA): https://www.cloudflare.com/5