Martin Steiger 🚀May 11

#SEPPmail wirbt mit 100 % Sicherheit bei der Kommunikation, hat aber viele schwerwiegende Sicherheitslücken … 😬

In den aktuellen «Datenschutz-Plaudereien», übrigens ist das Folge 400! 🎂, sprechen wir über diesen Totalschaden:

https://podcast.datenschutzpartner.ch/400-seppmail-e-mail-sicherheitsluecken

DAT400 SEPPmail mit schwerwiegenden Sicherheitslücken

SEPPmail verspricht seit über 20 Jahren sichere E‑Mail, aktuell unter anderem: «Vollumfängliche E‑Mail-Sicherheit», «Compliant E-Mail-Kommunikation (DSGVO-Konform)» und «100 % sichere Kommunikation». In Wirklichkeit bestehen bei SEPPmail schwerwiegende Sicherheitslücken, wie Forschende der ETH Zürich herausfanden. Andreas Von Gunten und Martin Steiger diskutieren den «Totalschaden» bei SEPPmail.

Datenschutz-Plaudereien
Show threadStephan6d ago
@martinsteiger Neben SEPPmail ist in der Schweiz noch Totemo verbreitet.
Show threadMartin Steiger 🚀5d ago
@erlenmayr Was machen die so bei der Sicherheit?
Show threadStephan5d ago
@martinsteiger PGP und S/MIME als Gateway. Man bekommt allerdings kein komisches HTML, sondern eine Aufforderung, eine signierte Mail zu schicken, falls er keinen Key vom Empfänger hat.
Show threadMartin Steiger 🚀5d ago

@erlenmayr Wie verbreitet sind überhaupt signierte E‑Mails?

Das ist ein Thema, das ich auch mal vertieft anschauen möchte. Im Alltag sehe ich persönlich kaum signierte E-Mails – und ich habe auch Fragezeichen zum Nutzen.

Show threadStephan Neuhaus5d ago
@martinsteiger @erlenmayr Dazu gab es vor Jahrzehnten mal ein Paper mit dem schönen Titel "Why Johnny can't Encrypt" und m.E. gilt vieles davon heute noch. TL; DR: Um das richtig nutzen zu können (insbesondere, um Fehlermeldungen richtig einschätzen zu können), muss man public key crypto einigermassen verstanden haben. Die UX macht das nicht einfacher. Ist dasselbe Problem wie bei Zertifikaten.
Show threadStephan5d ago
@sten @martinsteiger Das ist korrekt. S/MIME in Unternehmen nimmt einem viel dieser Arbeit allerdings ab, vor allem das Management der Schlüssel der anderen. Die Schlüssel holt er automatisch aus dem LDAP und den Trust bekommt man von der PKI, man muss nur noch auf den Knopf Verschlüsseln/Signieren drücken.
Show threadMartin Steiger 🚀5d ago
@erlenmayr @sten Im Alltag begegnet mir S/MIME kaum, jedenfalls nicht sichtbar. GnuPG ist ohnehin längst raus.
Show threadStephan5d ago
@martinsteiger @sten Ausserhalb von solchen IT-Projekten sehe ich es auch nie. GnuPG sehe ich viel öfter, insbesondere bei Open-Source-Projekten.
Show threadStephan Neuhaus5d ago
@erlenmayr @martinsteiger Aber da wahrscheinlich eher zum Signieren der Software und nicht zum Signieren von Emails, oder?
Show threadStephan5d ago

@sten @martinsteiger Auf den Mailinglisten von Debian, OpenWall und IETF sehe ich oft signierte Mails. Debian und Apple signieren auch Security Advisories mit PGP.
https://lists.apple.com/archives/list/[email protected]/thread/YCD4OLBPRX6DGL4D74RG7FPKCMLIKJBP/
https://lists.debian.org/debian-security-announce/2026/msg00179.html

PGP-Schlüssel für die verschlüsselte Meldung von Sicherheitslücken gibt es auch oft, sogar bei Microsoft und Apple.
https://www.microsoft.com/en-us/msrc/pgp-key-msrc
https://support.apple.com/en-us/102148

APPLE-SA-05-13-2026-1 Safari 26.5 - Security-announce - lists.apple.com

Show threadMartin Steiger 🚀
@erlenmayr @sten Stimmt, man signiert damit – das geht gerne vergessen!
May 15 at 7:25pmWeb