Forward Email: Ihre Section 889 konforme E-Mail-Weiterleitungslösung

Bundesregierung E-Mail-Dienst Section 889 konform

Vorwort

Bei Forward Email glauben wir an einfache, sichere und private E-Mail-Weiterleitung für alle. Wir wissen, dass Compliance für viele Organisationen, insbesondere solche, die mit der US-Regierung zusammenarbeiten, nicht nur ein Schlagwort ist – sondern eine Notwendigkeit. Die Einhaltung der bundesstaatlichen Vorschriften für E-Mails ist entscheidend. Deshalb sind wir stolz darauf, bestätigen zu können, dass unser sicherer E-Mail-Weiterleitungsdienst so konzipiert ist, dass er strenge bundesstaatliche Anforderungen erfüllt, einschließlich Section 889 des National Defense Authorization Act (NDAA).

Unser Engagement für Regierungs-E-Mail-Compliance wurde kürzlich in der Praxis erprobt, als die US Naval Academy an Forward Email herantrat. Sie benötigten sichere E-Mail-Weiterleitungsdienste und verlangten eine Dokumentation, die unsere Einhaltung der bundesstaatlichen Vorschriften, einschließlich der Section 889 Konformität, bestätigt. Diese Erfahrung dient als wertvolle Fallstudie, die unsere Bereitschaft und Fähigkeit zeigt, regierungsfinanzierte Organisationen zu unterstützen und deren strenge Anforderungen zu erfüllen. Dieses Engagement gilt für alle unsere Nutzer, die eine zuverlässige, datenschutzorientierte E-Mail-Lösung suchen.

Verständnis der Section 889 Konformität

Was ist Section 889? Einfach gesagt, handelt es sich um ein US-Bundesgesetz, das Regierungsbehörden verbietet, Geräte oder Dienstleistungen bestimmter Telekommunikations- und Videoüberwachungsanbieter (wie Huawei, ZTE, Hikvision, Dahua und Hytera) zu verwenden oder Verträge mit solchen Unternehmen abzuschließen. Diese Regel, oft verbunden mit dem Huawei-Verbot und ZTE-Verbot, dient dem Schutz der nationalen Sicherheit.

Note

Section 889 richtet sich speziell gegen Geräte und Dienstleistungen von Huawei, ZTE, Hytera, Hikvision und Dahua, einschließlich deren Tochtergesellschaften und verbundenen Unternehmen.

Für einen E-Mail-Weiterleitungsdienst für Regierungsverträge wie Forward Email bedeutet dies, sicherzustellen, dass keiner unserer zugrundeliegenden Infrastruktur-Anbieter diese verbotenen Geräte verwendet, wodurch wir Section 889 konform sind.

Wie Forward Email die Section 889 Konformität erreicht

Also, wie ist Forward Email Section 889 konform? Wir erreichen dies durch sorgfältige Auswahl unserer Infrastrukturpartner. Forward Email verlässt sich ausschließlich auf zwei Hauptanbieter für seine Section 889 konforme Infrastruktur:

Cloudflare: Unser Hauptpartner für Netzwerkdienste und Cloudflare E-Mail-Sicherheit.
DataPacket: Unser Hauptanbieter für Serverinfrastruktur (wir nutzen Digital Ocean und/oder Vultr für Failover und werden bald vollständig auf DataPacket umstellen – natürlich haben wir die Section 889 Konformität von beiden Failover-Anbietern schriftlich bestätigt).

Important

Unsere ausschließliche Abhängigkeit von Cloudflare und DataPacket, die beide keine Section 889 verbotenen Geräte verwenden, ist das Fundament unserer Compliance. Sowohl Cloudflare als auch DataPacket verpflichten sich zu hohen Sicherheitsstandards und verwenden keine Geräte, die gemäß Abschnitt 889 verboten sind. Die Nutzung von Cloudflare und DataPacket zur Einhaltung von Abschnitt 889 ist grundlegend für unseren Service.

Cloudflares Verpflichtung

Cloudflare behandelt ausdrücklich die Einhaltung von Abschnitt 889 in ihrem Verhaltenskodex für Dritte. Sie erklären:

„Gemäß Abschnitt 889 des National Defense Authorization Act (NDAA) verwendet Cloudflare keine Telekommunikationsausrüstung, Videoüberwachungsprodukte oder Dienstleistungen, die von Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company oder Dahua Technology Company (oder einer Tochtergesellschaft oder einem verbundenen Unternehmen dieser Unternehmen) hergestellt oder bereitgestellt werden, noch erlaubt Cloudflare diese in seiner Lieferkette.“

(Quelle: Cloudflare Verhaltenskodex für Dritte, abgerufen am 29. April 2025)

Diese klare Aussage bestätigt, dass die Infrastruktur von Cloudflare, die Forward Email nutzt, die Anforderungen von Abschnitt 889 erfüllt.

DataPackets Infrastruktur

DataPacket, unser Serveranbieter, verwendet ausschließlich Netzwerkausrüstung von Arista Networks und Cisco. Weder Arista noch Cisco gehören zu den Unternehmen, die gemäß Abschnitt 889 verboten sind. Beide sind etablierte Anbieter, die in sicheren Unternehmens- und Regierungsumgebungen weit verbreitet sind und für die Einhaltung strenger Sicherheits- und Compliance-Standards bekannt sind.

Durch die ausschließliche Nutzung von Cloudflare und DataPacket stellt Forward Email sicher, dass die gesamte Servicebereitstellungskette frei von gemäß Abschnitt 889 verbotener Ausrüstung ist und bietet somit sichere E-Mail-Weiterleitung für Bundesbehörden und andere sicherheitsbewusste Nutzer.

Über Abschnitt 889 hinaus: Umfassendere Regierungs-Compliance

Unser Engagement für Regierungs-E-Mail-Sicherheit und Compliance geht über Abschnitt 889 hinaus. Während Forward Email selbst keine sensiblen Regierungsdaten wie Controlled Unclassified Information (CUI) auf dieselbe Weise verarbeitet oder speichert wie eine große SaaS-Plattform, entspricht unsere Open-Source-E-Mail-Weiterleitungsarchitektur und die Nutzung sicherer, konformer Anbieter den Prinzipien weiterer wichtiger Vorschriften:

FAR (Federal Acquisition Regulation): Durch die Nutzung konformer Infrastruktur und das Angebot eines unkomplizierten kommerziellen Dienstes bieten wir FAR-konforme E-Mail-Weiterleitungsprinzipien, die für Regierungsauftragnehmer geeignet sind.
Privacy Act & FISMA: Wir sind von Grund auf datenschutzorientiert und bieten Privacy Act E-Mail-Prinzipien. Wir speichern Ihre E-Mails nicht. E-Mails werden direkt weitergeleitet, wodurch die Datenverarbeitung minimiert wird. Unsere Infrastruktur-Anbieter (Cloudflare, DataPacket) verwalten ihre Systeme nach hohen Sicherheitsstandards, die mit FISMA-konformen E-Mail-Prinzipien übereinstimmen.
HIPAA: Für Organisationen, die HIPAA-konforme E-Mail-Weiterleitung benötigen, kann Forward Email Teil einer konformen Lösung sein. Da wir keine E-Mails speichern, liegt die Hauptverantwortung für die Compliance bei den Endpunkt-E-Mail-Systemen. Unsere sichere Transportschicht unterstützt jedoch HIPAA-Anforderungen, wenn sie korrekt verwendet wird.

Warning

Eine Business Associate Agreement (BAA) könnte mit Ihrem endgültigen E-Mail-Anbieter erforderlich sein, nicht mit Forward Email selbst, da wir Ihre E-Mail-Inhalte nicht speichern (es sei denn, Sie verwenden unsere verschlüsselte IMAP/POP3-Speicherschicht).

Unser Weg nach vorn: Erweiterung der Compliance-Horizonte

Während unsere Einhaltung von Abschnitt 889 eine entscheidende Grundlage bietet, insbesondere für Bundesauftragnehmer, verstehen wir, dass verschiedene Organisationen und Regierungsbehörden unterschiedliche und sich entwickelnde regulatorische Anforderungen haben. Bei Forward Email ist Transparenz der Schlüssel, und wir möchten unsere Perspektive auf die breitere Compliance-Landschaft und unsere zukünftige Ausrichtung teilen.

Wir erkennen die Bedeutung von Rahmenwerken und Vorschriften wie:

System for Award Management (SAM): Wesentlich für direkte Bundesaufträge.
FAR (Federal Acquisition Regulation): Einschließlich Standardklauseln wie FAR 52.212-4 für kommerzielle Dienstleistungen.
DFARS (Defense Federal Acquisition Regulation Supplement): Insbesondere DFARS 252.239-7010 für DoD-Cloud-Dienste.
CMMC (Cybersecurity Maturity Model Certification): Erforderlich für DoD-Auftragnehmer, die mit Federal Contract Information (FCI) oder CUI umgehen.
NIST SP 800-171: Die Grundlage für CMMC Level 2, mit Fokus auf den Schutz von CUI. (NIST – National Institute of Standards and Technology)
FedRAMP (Federal Risk and Authorization Management Program): Der Standard für Cloud-Dienste, die von Bundesbehörden genutzt werden.
FISMA (Federal Information Security Modernization Act): Der übergeordnete Rahmen für die Informationssicherheit auf Bundesebene.
HIPAA (Health Insurance Portability and Accountability Act): Für den Umgang mit geschützten Gesundheitsinformationen (PHI).
FERPA (Family Educational Rights and Privacy Act): Zum Schutz von Schüler- und Studierendendaten.
COPPA (Children's Online Privacy Protection Act): Für Dienste, die mit Kindern unter 13 Jahren arbeiten.

Unsere aktuelle Position und zukünftigen Ziele:

Das Kern-Design von Forward Email – datenschutzorientiert, Open Source und mit minimaler Datenverarbeitung (insbesondere in unserem grundlegenden E-Mail-Weiterleitungsdienst) – steht im Einklang mit den Prinzipien vieler dieser Vorschriften. Unsere bestehenden Sicherheitspraktiken (Verschlüsselung, Unterstützung moderner E-Mail-Standards) und die Einhaltung von Abschnitt 889 bieten einen starken Ausgangspunkt.

Die formale Zertifizierung oder Autorisierung für Rahmenwerke wie FedRAMP oder CMMC ist jedoch ein bedeutendes Unterfangen. Es erfordert umfangreiche Dokumentation, die Umsetzung spezifischer technischer und prozeduraler Kontrollen (oft hunderte davon), unabhängige Bewertungen (wie 3PAO für FedRAMP – Third-Party Assessment Organization) und kontinuierliche Überwachung.

Important

Compliance bedeutet nicht nur Technologie; es geht um dokumentierte Prozesse, Richtlinien und ständige Wachsamkeit. Die Erlangung von Zertifizierungen wie FedRAMP oder CMMC erfordert erhebliche Investitionen und Zeit.

Unser Engagement:

Während Forward Email wächst und sich die Bedürfnisse unserer Kunden weiterentwickeln, verpflichten wir uns, relevante Compliance-Zertifizierungen zu prüfen und anzustreben. Dies umfasst Pläne für:

SAM-Registrierung: Zur Erleichterung der direkten Zusammenarbeit mit US-Bundesbehörden.
Formalierung von Prozessen: Verbesserung unserer internen Dokumentation und Verfahren zur Ausrichtung an Standards wie NIST SP 800-171, die die Grundlage für CMMC bilden.
Bewertung von FedRAMP-Pfaden: Prüfung der Anforderungen und Machbarkeit einer FedRAMP-Autorisierung, wahrscheinlich beginnend mit einem Low- oder Moderate-Baseline, möglicherweise unter Nutzung des LI-SaaS Modells, wo anwendbar.
Unterstützung spezifischer Anforderungen: Berücksichtigung von Anforderungen wie HIPAA (möglicherweise durch BAAs und spezifische Konfigurationen für gespeicherte Daten) und FERPA (durch geeignete vertragliche Bedingungen und Kontrollen), wenn wir verstärkt mit Gesundheits- und Bildungseinrichtungen zusammenarbeiten. Diese Reise erfordert sorgfältige Planung und Investitionen. Obwohl wir nicht für alle Zertifizierungen sofortige Zeitpläne haben, ist die Stärkung unserer Compliance-Position zur Erfüllung der Anforderungen von Regierungs- und regulierten Branchen ein wichtiger Teil unserer Roadmap.

Note

Wir sind der Meinung, dass unsere Open-Source-Natur während dieses Prozesses einzigartige Transparenz bietet, sodass unsere Community und Kunden unser Engagement aus erster Hand sehen können.

Wir werden unsere Community weiterhin informieren, sobald wir bedeutende Meilensteine auf unserer Compliance-Reise erreichen.

Warum das für Sie wichtig ist

Die Wahl eines Section 889 konformen E-Mail-Weiterleitungsdienstes wie Forward Email bedeutet:

Seelenfrieden: Besonders für Regierungsbehörden, Auftragnehmer und sicherheitsbewusste Organisationen.
Reduziertes Risiko: Vermeidet potenzielle Konflikte mit Bundesvorschriften für E-Mails.
Vertrauen: Zeigt ein Engagement für Sicherheit und Integrität der Lieferkette.

Forward Email bietet eine einfache, zuverlässige und konforme Möglichkeit, Ihre Anforderungen an die E-Mail-Weiterleitung für benutzerdefinierte Domains zu verwalten.

Sichere, konforme E-Mail-Weiterleitung beginnt hier

Forward Email hat sich der Bereitstellung eines sicheren, privaten und Open-Source E-Mail-Weiterleitungsdienstes verschrieben. Unsere Compliance mit Section 889, erreicht durch unsere Partnerschaft mit Cloudflare und DataPacket (was unsere Forward Email Compliance für die US Naval Academy widerspiegelt), ist ein Beleg für dieses Engagement. Ob Sie eine Regierungsstelle, ein Auftragnehmer sind oder einfach Wert auf Regierungssicherheit bei E-Mails legen – Forward Email ist für Sie gemacht.

Bereit für sichere, konforme E-Mail-Weiterleitung? Melden Sie sich noch heute kostenlos an!

Referenzen

Section 889 (NDAA): https://www.acquisition.gov/Section-889-Policies
Cloudflare: https://www.cloudflare.com/
Cloudflare Third Party Code of Conduct: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
DataPacket: https://datapacket.com/
System for Award Management (SAM): https://sam.gov/
Federal Acquisition Regulation (FAR): https://www.acquisition.gov/browse/index/far
FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
Defense Federal Acquisition Regulation Supplement (DFARS): https://www.acquisition.gov/dfars
DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
Cybersecurity Maturity Model Certification (CMMC): https://dodcio.defense.gov/cmmc/About/
NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
Federal Risk and Authorization Management Program (FedRAMP): https://www.fedramp.gov/
Federal Information Security Modernization Act (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
Health Insurance Portability and Accountability Act (HIPAA): https://www.hhs.gov/hipaa/index.html
Family Educational Rights and Privacy Act (FERPA): https://studentprivacy.ed.gov/ferpa
Children's Online Privacy Protection Act (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa