Ein Forscherteam der Fachhochschule Münster, der Ruhr-Universität Bochum und der niederländischen KU Löwen hat heute berichtet, es sei gelungen, Sicherheitslücken in den gängigen E-Mail-Verschlüsselungsstandards auszunutzen. Tatsächlich konnten die Forscher sich den Inhalt von E-Mails trotz Verschlüsselung mit PGP oder S/MIME im Klartext zuleiten. Sind OpenPGP und S/MIME nun obsolet? Und was heißt das für die Nutzer?
Der Inhalt im Überblick
Massive Sicherheitslücke? Oder doch nicht?
E-Mail sei kein sicheres Kommunikationsmedium mehr, wird einer der Forscher in der Süddeutschen Zeitung zitiert. Nun ja. War es noch nie. Aber Verschlüsselungstechniken wie PGP wurden allseits, auch von Aktivisten, gelobt und deren Nutzung empfohlen. Sollte man auf den Einsatz der Verschlüsselungsstandards vorerst lieber verzichten?
Nein, absolut nicht. Die Verschlüsselungsstandards selbst sind nicht geknackt. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Recht klarstellte, ist für die „EFail“-Attacke, wie das Forscherteam sie durchgeführt hat, Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig. Zudem muss beim Empfänger die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein (was vor allem E-Mail-Clients von Mobilgeräten betrifft). Es werden also unsichere Schnittstellen ausgenutzt. Besonders anfällig für diese Art des Angriffs sollen laut den Forschern Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, macOS, Linux), Postbox (Windows) und MailMate (macOS) sein.
Works as designed
Sind sogenannte aktive Inhalte, also das automatische Nachladen von HTML und Grafiken etc., im E-Mail-Client deaktiviert, ist ein EFail-Angriff dagegen nicht möglich. GnuPGP-Entwickler Werner Koch erklärte treffend, es sei seit langem bekannt, dass HTML-Mails und insbesondere externe Links „böse“ seien. Anzeichen dafür, dass die PGP-Software selbst unsicher sei gäbe es nicht und damit auch keinen Grund, diese zu deinstallieren.
Das BSI weist noch darauf hin, dass E-Mailserver und E-Mailclients – wie bisher – gegen unautorisierten Zugriff geschützt sein müssen. Sicherheitsupdates und Patches sind regelmäßig einzuspielen. Auch sollte stets eine verschlüsselte Verbindung zum Versenden und Abrufen der E-Mails genutzt werden. Weiter Informationen findet man zur Einschätzung des BSI finden Sie bei BSI für Bürger: „Efail“-Schwachstellen: Was Sie jetzt wissen sollten„. Verschiedene Anbieter haben zudem bereits Updates angekündigt.
Weiterhin verschlüsseln bitte!
Verschlüsselte E-Mail-Kommunikation ist und bleibt ein wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit. Wer sich bis dato noch nicht mit dem Thema Verschlüsseln beschäftigt hat, dem seien die Anleitungen von „Verbraucher sicher online“ ans Herz gelegt. Und auch, wenn es 12 Tage vor Ablauf der DSGVO-Umsetzungsfrist mittlerweile abgedroschen klingt: Keine Panik! Im Endeffekt geht es um die korrekte Konfiguration des E-Mail-Clients. Also Nachladen von HTML-Inhalten abstellen und weiter verschlüsseln!
