Illustration: Geralt Absmeier
Einem deutsch-niederländischen Forscherteam ist es gelungen, Sicherheitslücken in den E-Mail-Verschlüsselungsverfahren S/MIME und OpenPGP auszunutzen und den Inhalt von E-Mails trotz Verschlüsselung im Klartext zu lesen. IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP, Christian Heutger, beruhigt: »Efail, wie die Schwachstelle getauft wurde, betrifft nicht die Verschlüsselungsprotokolle selbst, sondern ist eine bereits länger bekannte Schwachstelle in E-Mail-Clients. Das heißt, die Verschlüsselungsstandards selbst wurden nicht geknackt. Auf den Einsatz von Ende-zu-Ende-Verschlüsselung sollte also keinesfalls verzichtet werden.«
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen klargestellt: Für eine Efail-Attacke müssen Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Bei diesem muss zudem die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. »Wer die Konfigurationsempfehlungen des BSI für E-Mail-Programme befolgt, kann sich also weiter auf eine sichere Ende-zu-Ende-Verschlüsselung seiner E-Mails verlassen«, so Heutger.
Voraussetzung für einen erfolgreichen Angriff ist also, dass Angreifer auf verschlüsselten E-Mails zugreifen können. Christian Heutger erklärt: »Der Angreifer manipuliert die verschlüsselte E-Mail mithilfe aktiver Inhalte, um so den Inhalt der E-Mail im Klartext einsehen zu können. Ist die E-Mail durch den Empfänger entschlüsselt, so werden eben diese aktiven Inhalte ausgeführt. Die E-Mail wird im Klartext an den Server des Angreifers übertragen.«
Die Anbieter verschiedener E-Mail-Programme haben für die kommenden Tage und Wochen Sicherheitsupdates angekündigt, die vor einem möglichen Angriff schützen sollen. Wer verschlüsselte E-Mails nutzt, sollte diese Sicherheitsupdates und Plug-in-Updates installieren. »Anwender sollten außerdem auf die Darstellung von E-Mails im HTLM-Format und das Nachladen externer Inhalte verzichten. So verhindern sie das Ausspähen ihrer E-Mails im Klartext über die Efail-Schwachstelle. Wie das Nachladen von externen Inhalten in den gängigen E-Mail-Clients Microsoft Outlook, Apple Mail und Mozilla Thunderbird deaktiviert werden kann, darüber informieren die jeweiligen Hersteller«, gibt Christian Heutger noch einen Tipp.
Einsatz von Transportverschlüsselung als zweite Schutzschicht
Die Transportverschlüsselung wird von vielen E-Mail-Providern angeboten, darunter GMX, Web.de oder Hotmail. Sicher übertragen wird die E-Mail dabei auf ihrem Weg zwischen den Servern der entsprechenden Provider. Auf den Servern selbst liegen die Nachrichten jedoch unverschlüsselt im Klartext. »Damit bildet die Transportverschlüsselung eine zweite Schutzschicht, die neben der Ende-zu-Ende-Verschlüsselung Einsatz finden sollte. Ich rate jedem, die Transportverschlüsselung weiterhin zu nutzen, denn dieses Verfahren ist nicht von Efail betroffen«, so der IT-Sicherheitsexperte.
Weitere Informationen unter: https://www.psw-group.de/blog/e-mail-verschluesselung-ist-sicher-efail-nutzt-schwachstellen-in-e-mail-clients/5043
Efail: Nicht E-Mail ist das Problem, sondern der Transportweg
IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise
Neue Sicherheitsvorkehrungen zum Schutz vor gefälschten E-Mails