{"id":7272,"date":"2019-11-26T16:34:16","date_gmt":"2019-11-26T15:34:16","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7272"},"modified":"2026-01-23T10:41:12","modified_gmt":"2026-01-23T09:41:12","slug":"bsi-beteiligt-sich-am-projekt-weiterentwicklung-von-mailvelope","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/bsi-beteiligt-sich-am-projekt-weiterentwicklung-von-mailvelope\/","title":{"rendered":"BSI beteiligt sich am Projekt „Weiterentwicklung von Mailvelope“"},"content":{"rendered":"

Bereits seit Januar 2018 existiert das Projekt \u201eWeiterentwicklung von Mailvelope“. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) gab in einer Pressemitteilung bekannt, mit dem Projekt die sichere E-Mail-Verschl\u00fcsselung vorantreiben zu wollen. Ein Konsortium aus Intevation GmbH und Mailvelope GmbH sorgte f\u00fcr die Weiterentwicklung und die SEC Consult f\u00fcr ein Sicherheitsaudit. Neu entwickelte Features sollen dazu beitragen, dass sich die E-Mail-Verschl\u00fcsselung st\u00e4rker verbreitet. Schon vor den Neuerungen galt die Browser-Erweiterung Mailvelope als verh\u00e4ltnism\u00e4\u00dfig sicher: Sie war beispielsweise nicht von der Sicherheitsl\u00fccke Efail betroffen, von der wir ausf\u00fchrlich berichteten<\/a>.<\/p>\n

Mailvelope: Neue Funktionen und verbesserte Nutzeroberfl\u00e4che<\/h2>\n

Die Ende-zu-Ende-Verschl\u00fcsselung von E-Mails galt lange Zeit als zu kompliziert. Deshalb geh\u00f6rte zu den Zielen des Projekts Mailvelope, sowohl die Installation und Konfiguration als auch die Anwendung der Ende-zu-Ende-Verschl\u00fcsselung deutlich nutzerfreundlicher zu gestalten. Ein weiteres Ziel, das das BSI mit seiner Weiterentwicklung verfolgt, ist eine gr\u00f6\u00dfere Verbreitung von Verschl\u00fcsselung \u2013 nicht nur bei E-Mails, sondern auch beim Formular-Austausch. Eine weitgehende Automatisierung wurde diesbez\u00fcglich angestrebt. Diese Ziele sorgten f\u00fcr diverse Neuerungen bei Mailvelope.<\/p>\n

Arne Sch\u00f6nbohm, seines Zeichens BSI-Pr\u00e4sident, fasst die Intentionen und die Neuausrichtung von Mailvelope wie folgt zusammen: \u201eMehr Verschl\u00fcsselung bedeutet mehr Privatsph\u00e4re in der Kommunikation. Dies sollte kein Nice-to-have, sondern ein absolutes Must-have sein. Unser Ziel als Cyber-Sicherheitsbeh\u00f6rde ist es deshalb, Verbraucherinnen und Verbrauchern einfach anwendbare L\u00f6sungen an die Hand zu geben, mit denen sie ihre Privatsph\u00e4re besser sch\u00fctzen k\u00f6nnen. Deshalb haben unsere Expertinnen und Experten Mailvelope erweitert. Jeder kann sich dieses Tool als Add-on f\u00fcr den Browser herunterladen und damit E-Mails und Online-Formulare weitgehend automatisiert verschl\u00fcsseln.\u201c<\/p>\n

Verschl\u00fcsselte Kommunikation bei Web-Formularen<\/h3>\n

Die quelloffene Erweiterung Mailvelope unterst\u00fctzt in ihrer Neuauflage Ende-zu-Ende-verschl\u00fcsselte \u00dcbertragungen von Web-Formularinhalten. In Planung ist zudem, die Software auch f\u00fcr vertrauliche Anfragen per Web-Formular beispielsweise an \u00c4rzte oder Kreditinstitute nutzen zu k\u00f6nnen.<\/p>\n

In der jetzigen Version von Mailvelope ist es Anbietern von Kontaktformularen m\u00f6glich, das Formular entsprechend der Mailvelope-Dokumentation (PDF-Download auf GitHub<\/a> oder Website von Mailvelope<\/a>) anzupassen. Damit Anwenderinnen und Anwender nun verschl\u00fcsselt kommunizieren k\u00f6nnen, gen\u00fcgt es, die Mailvelope-Anwendung zu installieren und zu konfigurieren.<\/p>\n

Ist die Mailvelope-Erweiterung bei einem Nutzer, der das Formular f\u00fcr eine Anfrage verwenden m\u00f6chte, noch nicht installiert, l\u00e4sst sich das Formular so konfigurieren, dass Nutzer zum Installieren und Verwenden von Mailvelope aufgefordert werden k\u00f6nnen.<\/p>\n

Lokale GnuPG-Installation m\u00f6glich<\/h3>\n

In der aktualisierten Mailvelope-Version lassen sich nun auch lokale GnuPG-Installationen einbinden. Nutzer k\u00f6nnen dadurch optional native Anwendungen verwenden, beispielsweise Anwendungen zur Schl\u00fcsselverwaltung.<\/p>\n

Erweiterung der Kryptographie-Bibliothek<\/h3>\n

Die verwendete Kryptographie-Bibliothek OpenPGP.js wurde erweitert, um Kompatibilit\u00e4t mit dem OpenPGPG-Standard zu schaffen. Die erreichte Ende-zu-Ende-Verschl\u00fcsselung sorgt nun f\u00fcr eine verschl\u00fcsselte Daten\u00fcbertragung von Anwender zu Anwender, selbst der Provider kann nicht mehr mitlesen.<\/p>\n

Security-Audit zur Kontrolle<\/h3>\n

Um das Vertrauen in die Weiterentwicklung von Mailvelope zu st\u00e4rken und Sicherheitsl\u00fccken effizient zu vermeiden, wurde ein Audit zu den Sicherheitseigenschaften bei SEC Consult beauftragt<\/a>. Durch die Sicherheitstests zeigten sich diverse Schwachstellen sowohl in der Vorversion von Mailvelope als auch in der Krypto-Bibliothek OpenPGP.js.<\/p>\n

So wurde eine Schwachstelle gefunden, die die Durchf\u00fchrung einer \u201eInvalid Curve Attack\u201c erlaubt. Dabei erfolgt der Angriff auf die Implementierung Elliptischer-Kurven-Kryptografie. Angreifer h\u00e4tten unter bestimmten Umst\u00e4nden den privaten PGP-Schl\u00fcssel des Opfers auslesen und so verschl\u00fcsselte E-Mails mitlesen k\u00f6nnen. Man deckte weitere Schwachstellen auf, die Signaturf\u00e4lschungen erlaubt h\u00e4tten oder das Unterjubeln von manipuliertem Schl\u00fcsselmaterial.<\/p>\n

Dank des Audits konnten nicht nur diese Schwachstellen behoben werden, sondern man blickte auch speziell auf die Routinen zur Nutzer\u00fcberwachung sowie die Kompromittierung privater Daten. Das Audit f\u00f6rderte Probleme zutage, die in der Weiterentwicklung von Mailvelope behoben werden konnten. Das vollst\u00e4ndige Audit-Ergebnis k\u00f6nnen Sie in einem englischsprachigen PDF<\/a> nachlesen.<\/p>\n

Mailvelope: Sichere Kommunikation f\u00fcr jeden<\/h2>\n

Einer der vielen Vorteile von Mailvelope liegt darin, dass Sie Ihre gewohnte Umgebung nicht verlassen m\u00fcssen, um verschl\u00fcsselt zu kommunizieren. Haben Sie f\u00fcr Ihre E-Mails bislang Webmail-Anbieter genutzt, k\u00f6nnen Sie problemlos bei diesem Anbieter bleiben und unter Beibehaltung Ihrer E-Mail-Adresse verschl\u00fcsselte E-Mails versenden und empfangen.<\/p>\n

Mailvelope gibt es als deutsche und kostenfreie Browser-Erweiterung f\u00fcr Google Chrome sowie Mozilla Firefox. Bereits vorkonfiguriert ist die Erweiterung f\u00fcr die Anbieter Gmail, Web.de, GMX, Outlook.com, mail.ru, Posteo, Yahoo und Zoho Mail. De-Mails werden ebenfalls unterst\u00fctzt. Autorisierte Anbieter mit API-Unterst\u00fctzung sind mailbox.org, riseup.net sowie Roundcube. \u00dcber die Einstellungen k\u00f6nnen Sie wahlweise weitere Provider hinzuf\u00fcgen. Den FAQ von Mailvelope<\/a> k\u00f6nnen Sie die gesamte Liste entnehmen.<\/p>\n