Bei verschlüsselten E-Mails ist Vorsicht geboten

Der Grund: Zwei weit verbreitete Techniken haben sich als unsicher herausgestellt. Die US-Amerikaner haben sich bereits von der Ernsthaftigkeit des Fundes überzeugen lassen und warnen offiziell vor dem Einsatz entsprechender Programme und genannter Verschlüsselungstechnologien. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Das bedeutet also, dass zwei Bedingungen erfüllt sein müssen. Angeblich erlauben die Lücken Angreifern, aktuelle und auch auch bereits länger zuvor verschlüsselte E-Mails mitzulesen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden. In den Standards PGP und S/MIME stecken gravierende Sicherheitslücken. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies am Montag darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei". Darüber hinaus müssten E-Mail-Server und -Clients gegen unauthorisierte Zugriffsversuche abgesichert sein. Dazu zählten das Ausführen von HTML-Code und das Nachladen externer Inhalte in E-Mails. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes dazu, ganz auf die beiden E-Mail-Verschlüsselungsverfahren zu verzichten und für die vertrauliche Kommunikation vorübergehend besser Krypto-Messenger wie Signal einzusetzen, bis die Sicherheitslücken durch Updates behoben wurden.

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Langfristig müssten aber Software-Updates für die Lücken veröffentlicht und auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Man habe die Entwickler und die beteiligten Unternehmen schon vor Monaten über die gefundenen Erkenntnisse informiert, offenbar ist es bis heute nicht gelungen, die Probleme zu lösen und die Lücken zu schliessen.


Beliebt

VERBINDEN