Efail: Nicht auf Ende-zu-Ende-Verschlüsselung verzichten

Illustration: Geralt Absmeier

Einem deutsch-niederländischen Forscherteam ist es gelungen, Sicherheitslücken in den E-Mail-Verschlüsselungsverfahren S/MIME und OpenPGP auszunutzen und den Inhalt von E-Mails trotz Verschlüsselung im Klartext zu lesen. IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP, Christian Heutger, beruhigt: »Efail, wie die Schwachstelle getauft wurde, betrifft nicht die Verschlüsselungsprotokolle selbst, sondern ist eine bereits länger bekannte Schwachstelle in E-Mail-Clients. Das heißt, die Verschlüsselungsstandards selbst wurden nicht geknackt. Auf den Einsatz von Ende-zu-Ende-Verschlüsselung sollte also keinesfalls verzichtet werden.«

 

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen klargestellt: Für eine Efail-Attacke müssen Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Bei diesem muss zudem die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. »Wer die Konfigurationsempfehlungen des BSI für E-Mail-Programme befolgt, kann sich also weiter auf eine sichere Ende-zu-Ende-Verschlüsselung seiner E-Mails verlassen«, so Heutger.

 

Voraussetzung für einen erfolgreichen Angriff ist also, dass Angreifer auf verschlüsselten E-Mails zugreifen können. Christian Heutger erklärt: »Der Angreifer manipuliert die verschlüsselte E-Mail mithilfe aktiver Inhalte, um so den Inhalt der E-Mail im Klartext einsehen zu können. Ist die E-Mail durch den Empfänger entschlüsselt, so werden eben diese aktiven Inhalte ausgeführt. Die E-Mail wird im Klartext an den Server des Angreifers übertragen.«

 

Die Anbieter verschiedener E-Mail-Programme haben für die kommenden Tage und Wochen Sicherheitsupdates angekündigt, die vor einem möglichen Angriff schützen sollen. Wer verschlüsselte E-Mails nutzt, sollte diese Sicherheitsupdates und Plug-in-Updates installieren. »Anwender sollten außerdem auf die Darstellung von E-Mails im HTLM-Format und das Nachladen externer Inhalte verzichten. So verhindern sie das Ausspähen ihrer E-Mails im Klartext über die Efail-Schwachstelle. Wie das Nachladen von externen Inhalten in den gängigen E-Mail-Clients Microsoft Outlook, Apple Mail und Mozilla Thunderbird deaktiviert werden kann, darüber informieren die jeweiligen Hersteller«, gibt Christian Heutger noch einen Tipp.

 

Einsatz von Transportverschlüsselung als zweite Schutzschicht

 

Die Transportverschlüsselung wird von vielen E-Mail-Providern angeboten, darunter GMX, Web.de oder Hotmail. Sicher übertragen wird die E-Mail dabei auf ihrem Weg zwischen den Servern der entsprechenden Provider. Auf den Servern selbst liegen die Nachrichten jedoch unverschlüsselt im Klartext. »Damit bildet die Transportverschlüsselung eine zweite Schutzschicht, die neben der Ende-zu-Ende-Verschlüsselung Einsatz finden sollte. Ich rate jedem, die Transportverschlüsselung weiterhin zu nutzen, denn dieses Verfahren ist nicht von Efail betroffen«, so der IT-Sicherheitsexperte.

Weitere Informationen unter: https://www.psw-group.de/blog/e-mail-verschluesselung-ist-sicher-efail-nutzt-schwachstellen-in-e-mail-clients/5043

 


 

Efail: Nicht E-Mail ist das Problem, sondern der Transportweg

Nach dem EFAIL: E-Mail-Konzept ist nicht mehr zeitgemäß

Spectre-NG: Weitere Sicherheitslücken in Prozessoren

IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise

E-Mail-Sicherheit: Social Engineering auf C-Level-Niveau – Menschen als das schwächste Glied in der Sicherheitskette

Neue Sicherheitsvorkehrungen zum Schutz vor gefälschten E-Mails

Drei Sekunden für mehr E-Mail-Sicherheit

E-Mail: Mit DANE mehr Sicherheit im Mailverkehr

Weitere Artikel zu