Sicherheit als Prozess - SEPPmail AG zur aktuellen Berichterstattung über Sicherheitsforschung an unseren Produkten

Neuenhof, 15. Mai 2026

In den vergangenen Tagen ist in einzelnen Schweizer Medien und Online-Formaten über sicherheitsrelevante Befunde an SEPPmail-Produkten berichtet worden. Teile dieser Berichterstattung sind in überspitzter Form und ohne vorherige Rücksprache mit uns als Hersteller entstanden. Mit dieser Stellungnahme stellen wir den Sachverhalt geordnet dar und schaffen Klarheit über den tatsächlichen Stand. 

Auf einen Blick

  • Grundlage der aktuellen Berichterstattung ist eine einjährige Masterarbeit der ETH Zürich, die wir im November 2025 im Rahmen unseres Responsible-Disclosure-Prozesses erhalten haben.
  • Alle als kritisch eingestuften Befunde haben wir innerhalb kürzester Zeit geschlossen und mit dem SEPPmail-Appliance-Release 15.0.1 am 6. Januar 2026 ausgeliefert.
  • Uns sind keine Fälle bekannt, in denen die im Bericht beschriebenen Schwachstellen ausgenutzt oder Kundendaten kompromittiert worden wären.
  • Veröffentlichung und Koordination der CVEs erfolgten in enger Abstimmung mit dem Bundesamt für Cybersicherheit (BACS/NCSC) und der ETH Zürich im Rahmen unseres Responsible Disclosure Prozesses
  • Nicht jedes Finding hätte jeden Kunden gleichermaßen betroffen. Die pauschale Darstellung einer flächendeckenden Bedrohung wird dem Sachverhalt nicht gerecht.

Der Sachverhalt und sein Stand heute

Hintergrund der Berichterstattung ist eine einjährige Masterarbeit an der ETH Zürich, in deren Rahmen die SEPPmail-Appliance grundlegend und systematisch auf Sicherheitslücken untersucht wurde.

Wir haben den Bericht im November 2025 erhalten und umgehend gehandelt. Alle als kritisch eingestuften Befunde haben wir innerhalb kürzester Zeit geschlossen und mit dem SEPPmail Appliance Release 15.0.1 am 6. Januar 2026 ausgeliefert. Sie sind also seit mehreren Monaten behoben. Die übrigen Punkte adressieren wir seitdem nach Priorität im laufenden Release-Zyklus.

Dabei ist eine Differenzierung wichtig: Nicht jeder Befund hätte jeden Kunden gleichermaßen betroffen. Ein Teil der Punkte war nur in bestimmten Konfigurationen oder Konstellationen relevant, und die Befunde unterscheiden sich erheblich in ihrer Kritikalität. Die pauschale Darstellung einer flächendeckenden Bedrohung wird dem Sachverhalt nicht gerecht.

Da SEPPmail vom Bundesamt für Cybersicherheit (BACS/NCSC) als kritische Infrastruktur eingestuft wird, erfolgten Veröffentlichung und Koordination der CVEs in enger Abstimmung mit dem NCSC und der ETH Zürich. Unsere Partner haben wir seit Anfang 2026 laufend über CVE-Veröffentlichungen, Release-Ankündigungen und dedizierte Partner-Webinare informiert, verbunden mit dem klaren Hinweis, Updates zeitnah einzuspielen.

Keine bekannten Schadensfälle

Uns sind keine Fälle bekannt, in denen die im Bericht beschriebenen Schwachstellen in der Praxis ausgenutzt wurden oder Kundendaten kompromittiert worden wären. Wir verifizieren diesen Stand laufend über alle uns zur Verfügung stehenden Kanäle: technische Indikatoren bei den von uns betriebenen Cloud-Instanzen, Meldungen aus unserem Partnernetz und die etablierten Meldewege mit dem NCSC. Eine vollständige Sichtbarkeit auf jede einzelne on-premise-Installation hat in unserer Branche kein Hersteller.

In Teilen der öffentlichen Darstellung wird der Eindruck erweckt, es habe einen unmittelbar drohenden Großschaden gegeben. Das ist sachlich falsch. Die Forschungsarbeit der ETH ist ein wertvoller Beitrag zur Produktsicherheit, und genau so funktioniert ein verantwortungsvolles Zusammenspiel zwischen Forschung, Behörden und Herstellern.

Was technisch hinter den Befunden steht

Befunde im Betrieb und Handling unserer Lösungen. Ein Teil der Befunde betrifft die Konfiguration und das Handling der SEPPmail-Appliance sowie unserer GINA-Webmail-Komponente, also die Schnittstelle, über die wir verschlüsselte Kommunikation mit Empfängern ohne eigenes Verschlüsselungssystem ermöglichen. Hier hat der ETH-Bericht wertvolle Hinweise geliefert, die wir direkt in Anpassungen überführt und ausgeliefert haben.

 Preview-Produktvariante mit Fehlern in spezifischen Codepfaden. Ein anderer Teil der Befunde betrifft punktuelle Fehler im Code, überwiegend in einer Komponente, die sich in der Preview-Phase befindet und nicht im produktiven Kundeneinsatz ist. Diese Fehler haben wir als Erstes priorisiert und mit den Releases ab Anfang 2026 geschlossen.

Sicherheit als Prozess

Absolute, dauerhafte Sicherheit kann kein Anbieter komplexer IT-Systeme realistisch versprechen. Wer das täte, würde dem Anspruch von Kunden in regulierten Branchen nicht gerecht. Was ein verantwortungsvoller Anbieter leisten kann und muss, sind belastbare Prozesse, die Schwachstellen früh erkennen, priorisieren und schließen.

Diesen Anspruch erfüllen wir: durch interne Code-Reviews und automatisierte Prüfungen, durch regelmäßige externe Audits, beauftragt von uns oder unseren Kunden, durch unseren offenen Responsible-Disclosure-Kanal und durch enge Zusammenarbeit mit Behörden wie dem NCSC. Der ETH-Bericht ist ein Beleg dafür, dass dieser Prozess funktioniert: Befunde werden eingebracht, priorisiert und in den Produkten adressiert. So muss IT-Sicherheit in einer reifen Branche organisiert sein.

Unsere Haltung

Wir tragen Verantwortung für die Vertraulichkeit und Integrität der Kommunikation tausender Organisationen im DACH-Raum, viele davon aus stark regulierten Branchen. Dieser Verantwortung werden wir gerecht: durch belastbare Prozesse, transparente Kommunikation und kontinuierliche Weiterentwicklung gemeinsam mit Forschung, Partnern und Behörden.

Medienkontakt: SEPPmail AG, Günter Esch, esch@seppmail.com www.seppmail.com