Seit 14.05.2018 berichtet die Presse über eine Sicherheitslücke in den verbreiteten E-Mail-Verschlüsselungsverfahren S/MIME und PGP.
Das E-Mail-Verschlüsselungsverfahren S/MIME wird auch von DATEV verwendet. Nach unserer Einschätzung ist die Darstellung der Sicherheitslücke nur teilweise korrekt: Nicht die Verschlüsselungsverfahren S/MIME und PGP wurden kompromittiert, sondern es wurde ein Weg gefunden, E-Mails ohne bewusste Interaktion des Schlüsselbesitzers zu entschlüsseln.
Die Schwachstelle liegt nicht in der Verschlüsselungsmethode selbst, sondern im Umgang der Mail-Clients mit verschlüsselten E-Mails.
Nicht betroffen sind Empfänger, die E-Mails über das Entschlüsselungsportal der DATEV E-Mail-Verschlüsselung erhalten.
HTML-Format und Nachladen von Web-Inhalten ausschalten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, bei der E-Mail-Kommunikation auf die Darstellung und Erzeugung von E-Mails im HTML-Format zu verzichten. Insbesondere sollte die Ausführung aktiver Inhalte ausgeschaltet werden, also das Anzeigen von E-Mails im HTML-Format sowie das Nachladen externer Inhalte. Anleitungen dazu finden Sie unten in der Linkliste.
Die Hersteller von E-Mail-Client-Software müssen hier nachbessern, um die Schwachstellen zu schließen.
Bei Fragen zur Umsetzung in Ihrem E-Mail-Client wenden Sie sich bitte an Ihren DATEV System-Partner oder Ihren EDV-Dienstleister.
Sobald weitere Informationen vorliegen, werden wir Sie wieder informieren.
- Gegenmaßnahmen zur Risikoreduzierung auf Heise.de
- Pressemitteilung des BSI
- Anleitungen des BSI zur Konfiguration der Mailclients von Microsoft Outlook, Mozilla Thunderbird und Apple Mail