Sicherheitslücke bei verschlüsselten E-Mails

Seit 14.05.2018 berichtet die Presse über eine Sicherheitslücke in den verbreiteten E-Mail-Verschlüsselungsverfahren S/MIME und PGP.

Das E-Mail-Verschlüsselungsverfahren S/MIME wird auch von DATEV verwendet. Nach unserer Einschätzung ist die Darstellung der Sicherheitslücke nur teilweise korrekt: Nicht die Verschlüsselungsverfahren S/MIME und PGP wurden kompromittiert, sondern es wurde ein Weg gefunden, E-Mails ohne bewusste Interaktion des Schlüsselbesitzers zu entschlüsseln.

Die Schwachstelle liegt nicht in der Verschlüsselungsmethode selbst, sondern im Umgang der Mail-Clients mit verschlüsselten E-Mails.

Nicht betroffen sind Empfänger, die E-Mails über das Entschlüsselungsportal der DATEV E-Mail-Verschlüsselung erhalten.

HTML-Format und Nachladen von Web-Inhalten ausschalten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, bei der E-Mail-Kommunikation auf die Darstellung und Erzeugung von E-Mails im HTML-Format zu verzichten. Insbesondere sollte die Ausführung aktiver Inhalte ausgeschaltet werden, also das Anzeigen von E-Mails im HTML-Format sowie das Nachladen externer Inhalte. Anleitungen dazu finden Sie unten in der Linkliste.

Die Hersteller von E-Mail-Client-Software müssen hier nachbessern, um die Schwachstellen zu schließen.

Bei Fragen zur Umsetzung in Ihrem E-Mail-Client wenden Sie sich bitte an Ihren DATEV System-Partner oder Ihren EDV-Dienstleister.

Sobald weitere Informationen vorliegen, werden wir Sie wieder informieren.