Ende April hat das Bundesamt für Sicherheit in der Informationstechnik den Fund von Schwachstellen in der Signaturprüfung von E-Mails mit der Verschlüsselungsmethode S/MIME veröffentlicht. Die gefundenen Schwachstellen ermöglichen eine inhaltliche Veränderung der verschlüsselten E-Mails. Bei aktiviertem HTML/CSS kann die Auswertung von Signaturen innerhalb der Benutzeroberfläche manipuliert werden.
Die Z1 Lösungen von Zertificon betrifft diese Schwachstelle nicht, da es sich um eine Schwachstelle im E-Mail-Client handelt, also auf dem Endgerät im Mail-Programm des Users. Das Z1 SecureMail Gateway erkennt solche manipulierten E-Mails und gibt diese Zertifikate als ungültig aus.
Wir von VegaSystems können Z1-Lösungen für E-Mails empfehlen.
Darüber hinaus empfehlen wir allen Kunden, die keine Z1-Lösungen verwenden, die Durchführung von Updates für ihre E-Mail-Clients. Sämtliche Anbieter von E-Mail-Clients wurden vom BSI über diese Sicherheitslücke informiert und bieten bereits Updates ihrer Produkte an.
Zum jetzigen Zeitpunkt sind dem BSI jedoch keine Angriffe dieser Art bekannt, daher handelt es sich um eine reine Vorsichtmaßnahme, vor eventuellen zukünftigen Angriffen.
Sollten Sie Interesse an sicheren E-Mail-Lösungen von Zertificon haben, beraten wir Sie gerne individuell.