Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige E-Mail-Programme genauer inspiziert. Die meisten davon ermöglichen einen sicheren Umgang mit E-Mails, Zugangsdaten und etwa bösartigen Phishing- oder Spam-Mails.
Weiterlesen nach der Anzeige
Wie das BSI in dem Bericht schreibt, haben die IT-Forscher zunächst 26 E-Mail-Programme ausgemacht, die sie in einer Marktanalyse als verfügbar ermittelt haben. Aus diesen destillierten sie das Testfeld anhand der Relevanz bezüglich des durchschnittlichen Suchinteresses in Deutschland: Apple Mail, Betterbird, Blue Mail, eM Client, Gmail, KMail, Mailbird, Outlook (new), Proton Mail, Spark Mail, Thunderbird und Tuta Mail. Es handelt sich zudem um Clients, die kostenlos verfügbar sind.
Die Programme überprüfte das BSI daraufhin, ob sie Transport- und Ende-zu-Ende-Verschlüsselung anbieten, also mit dem Server verschlüsselte Verbindungen aufbauen oder die E-Mails in Gänze etwa mit OpenPGP oder S/MIME ver- und entschlüsseln können. Oder ob sie über einen Tracking-Schutz verfügen, der etwa Tracking-Parameter in URLs tilgt oder Tracking-Pixel blockiert. Zudem ist Spam- und Phishing-Schutz wichtig, ebenso, ob E-Mails und Zugangsdaten verschlüsselt abgelegt werden. Auch die zeitnahe Reaktion auf Sicherheitslücken mit Software-Updates hat das BSI betrachtet. Die Behörde findet „Usable Security“, also einfach nutzbare Sicherheitsmaßnahmen, wichtig. Die Programme sollten dafür etwa Voreinstellungen mit hohem Sicherheitsniveau bieten.
Das BSI hat die Software unter macOS, Ubuntu 25.04 und Windows 11 24H2 installiert und die Standardeinstellungen geprüft. Nach der Installation haben die Analysten mit einem Offline-Medium die Rechner gestartet und einen Malwarescan durchgeführt, um sicherzustellen, dass keine Schadsoftware Einfluss auf die Ergebnisse nimmt. Anders die Mac-Systeme, die haben die IT-Forscher abweichend davon im Live-Betrieb untersucht.
Das BSI kommt nach der Prüfung zum Ergebnis: „Die gestellten Sicherheitsanforderungen an E-Mail-Programme werden größtenteils erfüllt.“ Bei den Ergebnissen in tabellarischer Form fällt insbesondere „Spark Mail“ auf, das keine sonderlichen zusätzlichen Sicherheitsmerkmale wie E-Mail-Verschlüsselung oder Spam- und Phishing-Schutz unterstützt. Eine kritische Würdigung von Outlook (new), das Zugangsdaten zu IMAP-Konten an Microsoft überträgt, damit deren Cloud-Server sämtliche Mails mittels Künstlicher Intelligenz durchpflügen kann, liefert das BSI jedoch unerwartet nicht.
Bei der Suche nach einem passenden E-Mail-Programm empfiehlt das BSI, auch auf die zusätzlichen Sicherheitsfunktionen zu schauen, die die meisten Programme bieten.
Weiterlesen nach der Anzeige
Vor drei Wochen hat das BSI in einem Whitepaper die Anbieter von Web-Mail-Diensten ins Gebet genommen. Der Schutz vor Phishing und Identitätsdiebstahl sei derzeit noch lückenhaft umgesetzt und eine einfache Ende-zu-Ende-Verschlüsselung nicht leicht genug für Anwender zu nutzen. Zudem hat Deutschlands oberste IT-Sicherheitsbehörde vergangene Woche einen Bericht zur Sicherheit von Passwort-Managern veröffentlicht und Verbesserungspotenzial gefunden.
(dmk)
Eine große Zahl von Vereinen und Politiker:innen hat das geplante Digitalpaket der EU-Kommission bereits scharf kritisiert. Nun meldet sich auch die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort – und reiht sich in die Liste der Kritiker:innen des sogenannten „Digitalen Omnibus“ ein. Vergangene Woche hatte die Konferenz in Berlin die geplanten Änderungen an mehreren EU-Digitalgesetzen diskutiert und zwei eigene Reformvorschläge gemacht.
Die Berliner Datenschutzbeauftragte und amtierende DSK-Vorsitzende Meike Kamp bezeichnet die Änderungsvorschläge als „an vielen Stellen nicht bis zu Ende gedacht“. Mit dem Sammelgesetz drohten neue Unklarheiten im Datenschutzrecht. Einfache Änderungen, die kleine und mittlere Unternehmen tatsächlich entlasten würden, lasse die Kommission liegen, so der Vorwurf. „Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht“, so Kamp weiter.
Anders als von der Kommission dargestellt, handelt es sich nach Ansicht der DSK bei den Vorschlägen nicht nur um kleinere oder technische Anpassungen. Die Änderung der Definition von personenbezogenen Daten gehe beispielsweise an das Fundament der DSGVO.
Entsprechend kritisch sehen die Behörden das gewählte Omnibusverfahren, das auf schnelle Gesetzesänderungen abzielt. Der Zeitdruck sei „unangemessen“, warnen sie. Reformen dieser Tragweite müssten sorgfältig durchdacht und auch mit den Aufsichtsbehörden abgestimmt werden.
Die DSK bringt daher eigene Reformideen als Alternative zu den Kommissionsplänen ein, so etwa zu Datenschutz und sogenannter KI (PDF). Mit Blick auf die Verarbeitung personenbezogener Daten brauche es spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen. Diese sollen einerseits zeigen, unter welchen Voraussetzungen die Daten verarbeitet werden dürfen, und andererseits, was klar verboten ist.
Außerdem fordert die DSK die Europäische Union dazu auf, die Betroffenenrechte beim KI-Einsatz in der DSGVO verankern. Das heißt konkret: Die betroffenen Personen müssen darüber informiert werden, wenn ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Außerdem sollen sie Auskunft darüber erhalten können, ob und wie ein KI-System ihre Daten verarbeitet. Hier gebe es bislang eine Regelungslücke.
Gleichzeitig betont die DSK, dass es in der Praxis Schwierigkeiten bei der Verwirklichung von Betroffenenrechten gebe. Für Fälle, in denen die Rechte nur mit „unverhältnismäßigem Aufwand“ umgesetzt werden können, brauche es daher alternative, gleichwertige Schutzmechanismen.
Zudem will die DSK die Hersteller und Anbieter von IT-Produkten und -Diensten stärker in die datenschutzrechtliche Verantwortung nehmen (PDF). Diese sollen künftig darauf achten, dass der Datenschutz bereits bei der Gestaltung ihrer Produkte berücksichtigt wird. Aktuell liegt die rechtliche Verantwortung allein bei denjenigen, die die Produkte nutzen. Kamp zufolge seien insbesondere kleine und mittlere Unternehmen (KMU) oft nicht dazu in der Lage, gegenüber großen Herstellern datenschutzkonforme Prozesse durchzusetzen. Eine Haftung der Hersteller würde sie entlasten.
Damit unterstützt die DSK nach eigenen Aussagen ein Ziel des Bundeskanzlers und der Regierungschefs der Länder aus der föderalen Modernisierungsagenda. Doch die Idee der Herstellerhaftung ist nicht neu. Bereits in ihrer ersten Evaluation der DSGVO vor sechs Jahren hatte die DSK einen solchen Vorschlag gemacht (PDF).
In den kommenden Wochen will die Datenschutzkonferenz den Vorschlag der Kommission weiter im Detail analysieren und eine ausführlichere Stellungnahme abgeben, kündigt Kamp an. Dazu werde sie mit anderen europäischen Datenschutzbehörden zusammenarbeiten.
KI und Solidarität – geht das zusammen? Der digitalpolitische Verein D64 hat im Rahmen des Projektes „Code of Conduct Demokratische KI“ ein neues Whitepaper veröffentlicht, das sich laut der Pressemitteilung mit dem „Spannungsfeld zwischen der Dominanz globaler Tech-Unternehmen und dem solidarischen Auftrag gemeinwohlorientierter Organisationen“ beschäftigt. Das Papier mit dem Titel „Solidarische Praxis entlang der Nutzung von KI verankern“ biete gemeinwohlorientierten Organisationen einen praxisnahen Leitfaden für den solidarischen Umgang mit KI, so D64 weiter.
Entstanden ist das 35 Seiten starke Whitepaper (PDF) in Zusammenarbeit mit 19 Organisationen aus der Zivilgesellschaft, unter ihnen die Arbeiterwohlfahrt (AWO), die Bundesarbeitsgemeinschaft der Seniorenorganisationen (BAGSO), das FrauenComputerZentrumBerlin (FCZB) und das Deutsche Rote Kreuz.
Dabei stand im Mittelpunkt die Frage: „Wie können wir den Einsatz von Künstlicher Intelligenz (KI) so gestalten, dass er unserem solidarischen Auftrag dient und nicht durch technologische Abhängigkeiten untergraben wird?“ Solidarität bedeute: Verantwortung teilen, Ressourcen gemeinsam steuern und dadurch Bedingungen schaffen, in denen vielfältige Bedarfe selbstbestimmt eingebracht werden können. Im Kontext von KI gerate dieser Anspruch schnell unter Druck, weil wenige globale Unternehmen die Entwicklung großer KI-Modelle und die digitale Infrastruktur dominieren würden.
Trotz dieser Spannungen könne die Zivilgesellschaft ihre Rolle als kritische Anwenderin und Gestalterin nutzen, heißt es auf der Seite des Projektes. Durch bewusste Entscheidungen ließen sich konkrete Handlungsräume öffnen: in der Auswahl von KI-Anwendungen, im Aufbau von Kompetenzen und in der Arbeit an gemeinsamen Standards. Das Whitepaper möchte hierbei Anstöße und Lösungsansätze für Organisationen geben.
Das für Pentesting – also der Schwachstellensuche – entwickelte Kali Linux haben die Entwickler in Version 2025.4 veröffentlicht. Besonderes Augenmerk haben sie auf die Desktop-Umgebungen gelegt. Zudem gibt es als Spielerei einen Halloween-Modus sowie drei neue Tools.
Weiterlesen nach der Anzeige
In der Versionsankündigung schreiben die Kali-Entwickler, dass alle drei primären Desktop-Umgebungen auf neuem Stand sind. So ist Gnome nun in Version 49 an Bord und kommt gleich mit neuen, frischeren Themes daher. Den Totem-Videoplayer haben sie durch die neue Showtime-App ersetzt und das App-Grid sortiert die Kali-Tools in Ordner, damit sie intuitiver zugreifbar werden. Das Tastenkürzel Strg+Alt+T oder Win+T öffnet direkt ein Terminal. Außerdem bringt Kali Linux 2025.4 den KDE-Plasma-Desktop in aktueller Version 6.5 mit. Der XFCE-Desktop unterstützt jetzt auch Farbschemata. Über alle Desktop-Umgebungen hinweg gilt, dass Kali Linux damit auch standardmäßig auf Wayland setzt – schon länger für KDE, neu jetzt in Gnome. Die Pentest-Distribution haben sie in allen Desktops so konfiguriert, dass VM-Gasterweiterungen von VirtualBox, VMware und QEMU mit Wayland zusammenarbeiten, um etwa die Zwischenablage zu teilen und Skalieren von Fenstern zu erlauben.
Zum vergangenen Halloween haben die Kali-Entwickler einen „Kürbis-Schnitz-Wettbewerb“ ausgefochten und einen „Halloween-Modus“ zu „kali-undercover“ hinzugefügt. Der baut den Desktop auf ein hübsches Halloween-Theme um, mit Kürbissen, Spinnen und Geistern auf dem Bildschirmhintergrund. Der Aufruf von kali-undercover --halloween im Terminal wendet das Theme an.
Als neue Werkzeuge listen die Entwickler „bpf-linker“ auf, einen statischen Linker, um mehrere BPF-Objekte (Berkeley Packet Filter) zusammenzupacken. „evil-winrm-py“ kann auf entfernten Windows-Maschinen mittels WinRM Befehle ausführen. Bei „hexstrike-ai“ handelt es sich um einen MCP-Server, mit dem KI-Agenten autonom Tools starten können. Auch die mobile Kali-Linux-Version „Kali NetHunter“ haben die Programmierer weiterentwickelt. „Snowfall“ ist wieder enthalten, außerdem läuft es nun unter Android 16. Samsungs Galaxy S10, S10e, S10 Plus und S10 5G mit LineageOS 23 werden unterstützt. Zudem auch das OnePlus Nord mit Android 16 und das Xiaomi Mi 9 mit Android 15. Das Terminal läuft wieder in Kali NetHunter.
Die aktualisierten Versionen stehen wie üblich auf der Download-Seite des Kali-Linux-Projekts zum Herunterladen bereit. Es gibt Installer-Images oder fertige Abbilder für virtuelle Maschinen. Bei den Live-Images weisen die Maintainer jedoch auf eine Änderung hin. Das vollumfängliche Abbild ist mit etwa 14 GByte schlicht zu groß, sodass die Fassung nur als Torrent verfügbar ist – das Cloudflare-Größenlimit liege bei 5 Gbyte, den Dienst nutzt das Projekt als CDN. Vom Point-Release gibt es aber auch ein 4,9 GByte (x86_64) respektive 3,7 GByte großes (ARM64 Apple Silicon) Image, das direkt von den Kali-Servern zu beziehen ist.
Ende September erschien das letzte Kali-Linux-Point-Release 2025.3. Darin haben die Entwickler den Umgang mit virtuellen Maschinen etwa mittels Vagrant vereinfacht und gleich zehn neue, fürs Pentesting interessante Tools ergänzt.
Weiterlesen nach der Anzeige
(dmk)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
