Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige E-Mail-Programme genauer inspiziert. Die meisten davon ermöglichen einen sicheren Umgang mit E-Mails, Zugangsdaten und etwa bösartigen Phishing- oder Spam-Mails.

Wie das BSI in dem Bericht schreibt, haben die IT-Forscher zunächst 26 E-Mail-Programme ausgemacht, die sie in einer Marktanalyse als verfügbar ermittelt haben. Aus diesen destillierten sie das Testfeld anhand der Relevanz bezüglich des durchschnittlichen Suchinteresses in Deutschland: Apple Mail, Betterbird, Blue Mail, eM Client, Gmail, KMail, Mailbird, Outlook (new), Proton Mail, Spark Mail, Thunderbird und Tuta Mail. Es handelt sich zudem um Clients, die kostenlos verfügbar sind.

Die Programme überprüfte das BSI daraufhin, ob sie Transport- und Ende-zu-Ende-Verschlüsselung anbieten, also mit dem Server verschlüsselte Verbindungen aufbauen oder die E-Mails in Gänze etwa mit OpenPGP oder S/MIME ver- und entschlüsseln können. Oder ob sie über einen Tracking-Schutz verfügen, der etwa Tracking-Parameter in URLs tilgt oder Tracking-Pixel blockiert. Zudem ist Spam- und Phishing-Schutz wichtig, ebenso, ob E-Mails und Zugangsdaten verschlüsselt abgelegt werden. Auch die zeitnahe Reaktion auf Sicherheitslücken mit Software-Updates hat das BSI betrachtet. Die Behörde findet „Usable Security“, also einfach nutzbare Sicherheitsmaßnahmen, wichtig. Die Programme sollten dafür etwa Voreinstellungen mit hohem Sicherheitsniveau bieten.

Tests unter mehreren Betriebssystemen

Das BSI hat die Software unter macOS, Ubuntu 25.04 und Windows 11 24H2 installiert und die Standardeinstellungen geprüft. Nach der Installation haben die Analysten mit einem Offline-Medium die Rechner gestartet und einen Malwarescan durchgeführt, um sicherzustellen, dass keine Schadsoftware Einfluss auf die Ergebnisse nimmt. Anders die Mac-Systeme, die haben die IT-Forscher abweichend davon im Live-Betrieb untersucht.

Das BSI kommt nach der Prüfung zum Ergebnis: „Die gestellten Sicherheitsanforderungen an E-Mail-Programme werden größtenteils erfüllt.“ Bei den Ergebnissen in tabellarischer Form fällt insbesondere „Spark Mail“ auf, das keine sonderlichen zusätzlichen Sicherheitsmerkmale wie E-Mail-Verschlüsselung oder Spam- und Phishing-Schutz unterstützt. Eine kritische Würdigung von Outlook (new), das Zugangsdaten zu IMAP-Konten an Microsoft überträgt, damit deren Cloud-Server sämtliche Mails mittels Künstlicher Intelligenz durchpflügen kann, liefert das BSI jedoch unerwartet nicht.

Bei der Suche nach einem passenden E-Mail-Programm empfiehlt das BSI, auch auf die zusätzlichen Sicherheitsfunktionen zu schauen, die die meisten Programme bieten.

Vor drei Wochen hat das BSI in einem Whitepaper die Anbieter von Web-Mail-Diensten ins Gebet genommen. Der Schutz vor Phishing und Identitätsdiebstahl sei derzeit noch lückenhaft umgesetzt und eine einfache Ende-zu-Ende-Verschlüsselung nicht leicht genug für Anwender zu nutzen. Zudem hat Deutschlands oberste IT-Sicherheitsbehörde vergangene Woche einen Bericht zur Sicherheit von Passwort-Managern veröffentlicht und Verbesserungspotenzial gefunden.

(dmk)

Das für Pentesting – also der Schwachstellensuche – entwickelte Kali Linux haben die Entwickler in Version 2025.4 veröffentlicht. Besonderes Augenmerk haben sie auf die Desktop-Umgebungen gelegt. Zudem gibt es als Spielerei einen Halloween-Modus sowie drei neue Tools.

In der Versionsankündigung schreiben die Kali-Entwickler, dass alle drei primären Desktop-Umgebungen auf neuem Stand sind. So ist Gnome nun in Version 49 an Bord und kommt gleich mit neuen, frischeren Themes daher. Den Totem-Videoplayer haben sie durch die neue Showtime-App ersetzt und das App-Grid sortiert die Kali-Tools in Ordner, damit sie intuitiver zugreifbar werden. Das Tastenkürzel Strg+Alt+T oder Win+T öffnet direkt ein Terminal. Außerdem bringt Kali Linux 2025.4 den KDE-Plasma-Desktop in aktueller Version 6.5 mit. Der XFCE-Desktop unterstützt jetzt auch Farbschemata. Über alle Desktop-Umgebungen hinweg gilt, dass Kali Linux damit auch standardmäßig auf Wayland setzt – schon länger für KDE, neu jetzt in Gnome. Die Pentest-Distribution haben sie in allen Desktops so konfiguriert, dass VM-Gasterweiterungen von VirtualBox, VMware und QEMU mit Wayland zusammenarbeiten, um etwa die Zwischenablage zu teilen und Skalieren von Fenstern zu erlauben.

Zum vergangenen Halloween haben die Kali-Entwickler einen „Kürbis-Schnitz-Wettbewerb“ ausgefochten und einen „Halloween-Modus“ zu „kali-undercover“ hinzugefügt. Der baut den Desktop auf ein hübsches Halloween-Theme um, mit Kürbissen, Spinnen und Geistern auf dem Bildschirmhintergrund. Der Aufruf von kali-undercover --halloween im Terminal wendet das Theme an.

Neue Tools

Als neue Werkzeuge listen die Entwickler „bpf-linker“ auf, einen statischen Linker, um mehrere BPF-Objekte (Berkeley Packet Filter) zusammenzupacken. „evil-winrm-py“ kann auf entfernten Windows-Maschinen mittels WinRM Befehle ausführen. Bei „hexstrike-ai“ handelt es sich um einen MCP-Server, mit dem KI-Agenten autonom Tools starten können. Auch die mobile Kali-Linux-Version „Kali NetHunter“ haben die Programmierer weiterentwickelt. „Snowfall“ ist wieder enthalten, außerdem läuft es nun unter Android 16. Samsungs Galaxy S10, S10e, S10 Plus und S10 5G mit LineageOS 23 werden unterstützt. Zudem auch das OnePlus Nord mit Android 16 und das Xiaomi Mi 9 mit Android 15. Das Terminal läuft wieder in Kali NetHunter.

Die aktualisierten Versionen stehen wie üblich auf der Download-Seite des Kali-Linux-Projekts zum Herunterladen bereit. Es gibt Installer-Images oder fertige Abbilder für virtuelle Maschinen. Bei den Live-Images weisen die Maintainer jedoch auf eine Änderung hin. Das vollumfängliche Abbild ist mit etwa 14 GByte schlicht zu groß, sodass die Fassung nur als Torrent verfügbar ist – das Cloudflare-Größenlimit liege bei 5 Gbyte, den Dienst nutzt das Projekt als CDN. Vom Point-Release gibt es aber auch ein 4,9 GByte (x86_64) respektive 3,7 GByte großes (ARM64 Apple Silicon) Image, das direkt von den Kali-Servern zu beziehen ist.

Ende September erschien das letzte Kali-Linux-Point-Release 2025.3. Darin haben die Entwickler den Umgang mit virtuellen Maschinen etwa mittels Vagrant vereinfacht und gleich zehn neue, fürs Pentesting interessante Tools ergänzt.

(dmk)

Über TeamViewer DEX (Digital Employee Experience) managen Admins Firmencomputer. Nun können Angreifer an mehreren Schwachstellen ansetzen, um Geräte zu attackieren.

Die Sicherheitsprobleme sollen neben SaaS auch On-premise-Installationen betreffen.

Mehrere Sicherheitslücken

In einer Warnmeldung listen die Entwickler unter anderem vier mit dem Bedrohungsgrad „hoch“ eingestufte Sicherheitslücken (CVE-2025-64986, CVE-2025-64987, CVE-2025-64988, CVE-2025-64989) auf. Sind Attacken erfolgreich, können Angreifer aus der Ferne eigene Befehle auf mit der Plattform verwalteten Geräten ausführen. Das klappt aber nur, wenn Angreifer bereits authentifiziert sind.

Nutzen Angreifer die verbleibenden Schwachstellen erfolgreich aus, können sie unter anderem auf eigentlich geschützte Informationen zugreifen (CVE-2025-46266 „mittel“) oder sogar Schadcode mit Systemrechten ausführen (CVE-2025-64994 „mittel“). Dafür ist aber ein lokaler Zugriff inklusive spezieller Schreibrechte nötig.

Die Entwickler versichern, die Sicherheitsprobleme in TeamViewer DEX 25.12 gelöst zu haben. Bislang gibt es keine Berichte zu laufenden Attacken.

(des)