MenüZurück
Wird geladen.

15.05.2018

10:05 Uhr

Sicherheitslücke

Forscher hebeln E-Mail-Verschlüsselung aus

Eine Sicherheitslücke gefährdet die Verschlüsselung von E-Mails. Experten raten, entsprechende Tools zu deaktivieren – und Alternativen zu nutzen.

Forscher haben ein gravierendes Sicherheitsproblem entdeckt. (Foto: dpa)

E-Mail-Verschlüsselung

Forscher haben ein gravierendes Sicherheitsproblem entdeckt. (Foto: dpa)

BerlinEinem gravierenden Sicherheitsproblem beim Verschlüsseln von E-Mails sind Forscher der FH Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven auf die Spur gekommen. Dem Team um Sebastian Schinzel, Professor für Angewandte Kryptografie, gelang es, die beiden verbreitetsten Verfahren OpenPPG und S/Mime zu knacken.

Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren. „Sie sind nur betroffen, wenn ein Angreifer bereits Zugriff auf ihre E-Mails hat“, schränkten die Experten zudem ein.

Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, so die Forscher. Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Komplizierte Regeln für Passwörter: Was für ein Un$1nn!

Komplizierte Regeln für Passwörter

Was für ein Un$1nn!

Es liegt nicht an Ihnen: Die Regeln für Passwörter sind viel zu kompliziert. Nutzer dürfen aber darauf hoffen, dass es bald ohne Sonderzeichen und Ziffern geht. Die Standards stehen vor einer wichtigen Änderung.

Auch die Experten der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) warnen in einem Blogeintrag vor dem Problem: „Unser Ratschlag ist es, umgehend Tools zu deaktivieren oder zu entfernen, die automatisch PGP-verschlüsselte Mails entschlüsseln.“ Eine Alternative könnte laut EFF die Messenger-App Signal sein.

Der deutsche Software-Entwickler Werner Koch dagegen, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Empfehlungen zur Deinstallation von PGP-Software entgegen. Der Web-Standard HTML werde die die Schaffung eines Rückkanals missbraucht. Es gebe aber keine Anzeichen dafür, dass die PGP-Software selbst unsicher sei.

Die Verschlüsselung von E-Mails – egal ob mit PGP oder mit dem konkurrierenden S/MIME-Standard – hat sich nie flächendeckend durchgesetzt, was vor allem an der mangelnden Nutzerfreundlichkeit lag. Dennoch wurde die Technik zum Beispiele von Unternehmen genutzt, die sensible Daten übermitteln wollen, oder von Menschen, die in autoritären Systemen Missstände anprangern möchten, ohne sich der Gefahr von Repressalien auszusetzen. Denn bislang galt die Verschlüsselung als sicher genug, um auch Späher von Geheimdiensten ins Leere laufen zu lassen.

IT-Unternehmen und Entwickler wurden von den Forschern bereits vor Monaten kontaktiert. Offenbar gelang es bislang aber noch nicht, die Sicherheitslücke zu schließen.

Kommentare (1)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Frau Lana Ebsel

14.05.2018, 16:39 Uhr

"Die Ersten, die das entschlüsselt haben." ... es ist doch wohl eher so, dass jetzt publik wird, dass die Geheimdienste da schon lange mitlesen ...

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×