E-Mail-Verschlüsselung mit PGP ist nicht sicher

Die Verwendung von Keyservern zeigt deutliche Schwächen – E-Mail-Verschlüsselung mittels S/MIME als bessere Alternative.

In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf: Bereits Angriffe mit einfachsten Methoden auf SKS Keyserver führten zu Überlastungen und dazu, dass Schlüssel unbrauchbar wurden. Darauf machen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) aufmerksam.

Die E-Mail-Verschlüsselung per PGP ist attraktiv: Kostenfrei und mit wenig Aufwand können Anwender ihren Mail-Verkehr verschlüsseln. Dieses Verfahren hat jedoch deutliche Schwächen, die dazu führen, dass das vermeintliche Gefühl von Sicherheit tatsächlich beeinträchtigt wird. »Mittels eines PGP Key Servers kann jeder Nutzer auf einfache Art ein Schlüsselpaar erstellen. Das allerdings ist das erste Problem: Jeder kann für jeden x-beliebigen anderen Menschen eine Nutzerkennung anlegen, die aus Vor- und Zunamen sowie der E-Mail-Adresse besteht. Eine Identitätsprüfung findet dabei nicht statt«, so Christian Heutger, CTO der PSW GROUP.

Stattdessen verifizieren und bestätigen andere Nutzer die Identität nach dem Ansatz des Web of Trust: Durch eine PGP-Signatur bekunden PGP-Nutzer ihr Vertrauen am öffentlichen Schlüssel. So soll versichert werden, dass dieser Schlüssel zum darin benannten Besitzer gehört. Dabei ist es möglich, in der Signatur den Umfang der Prüfung einfließen zu lassen. Die drei möglichen Grade (»gar nicht«, »nur einfach« oder »sehr genau«) zeigen sich jedoch sehr unpräzise. Der IT-Sicherheitsexperte kritisiert: »Richtige Definitionen existieren nicht für diese Prüfungen. Versteht ein User unter »nur einfach« womöglich das telefonische Vorlesen des Fingerabdrucks, verlangt ein anderer Nutzer für dieselbe Stufe eine Ausweiskopie.«

Eine weitere Schwäche dieses Systems: Keine unabhängige Instanz, sondern andere User prüfen den Schlüssel und damit die Identität. Die komplette Sicherheit des Verschlüsselungsverfahrens beruht auf Vertrauens- oder Misstrauensbekundungen der Nutzer untereinander. »Es existieren weder inhaltliche noch kryptografische Prüfungen der Daten, die auf den Schlüsselservern landen. Würde etwa ein Schlüssel für beispiel@psw-group.de ausgestellt werden, muss das nicht bedeuten, dass der Inhaber der E-Mail-Adresse den Schlüssel auch erstellt hat. Jeder könnte diesen Schlüssel erstellen und auf dem Schlüsselserver hochladen«, verdeutlicht Christian Heutger anhand eines Beispiels und macht auf weitere Probleme dieses Konzepts aufmerksam: »Daten wieder zu löschen, ist in der Praxis nicht vorgesehen. So stellen sich bereits datenschutzrechtliche Fragen der Zulässigkeit von Schlüsselservern. Zudem führt das fast ungeprüfte Hochladen neuer Daten zu möglichen Angriffsszenarien. Und die fehlende Validierung der Daten wiederum eröffnet den Weg für Angriffe – etwa durch absichtlich hervorgerufene Daten-Überlastung.«

Schlüssel signieren, erweitern und »vergiften« Es ist möglich, an einen bestehenden Schlüssel zusätzlich eine Nutzerkennung anzuhängen. Diese kann so groß sein, dass das Kryptografiesystem GnuPG überfordert wird. Der Schlüssel lässt sich dann nicht mehr vom Keyserver herunterladen und mit GnuPG importieren. »Macht man dies im größeren Stil, hängt also mehrere große Nutzerkennungen an einen Schlüssel an, überlastet der Keyserver und ist in der Folge für User nicht mehr erreichbar. Das vergiftet einen Schlüssel und sorgt dafür, dass dieser von niemandem abgerufen werden kann. Als logische Konsequenz lassen sich E-Mails nicht mehr verschlüsseln«, so Heutger. Da bislang keine Lösung für diese Probleme in Sicht ist, rät er auf eine Alternative zu PGP umzusteigen, etwa die E-Mail-Verschlüsselung mittels S/MIME.

»Zwar sind E-Mail-Zertifikate nicht kostenfrei, dafür bieten sie durch ein Validierungsverfahren höhere Sicherheit. Die Zertifikate lassen sich nicht von jedem bearbeiten. Die Identität des E-Mail-Adressen-Inhabers wird von einem unabhängigen Dritten überprüft, sodass man sichergehen kann, dass signierte E-Mails tatsächlich von dem genannten Empfänger stammen«, so der IT-Sicherheitsexperte. Weitere Informationen unter: https://www.psw-group.de/blog/herausforderungen-bei-der-verwendung-von-keyservern/7036

 

325 Artikel zu „E-Mail Verschlüsselung“

Hürden der E-Mail-Verschlüsselung

E-Mail-Verschlüsselung gehört verpflichtend zur DSGVO, dennoch tun sich viele Unternehmen schwer damit. Aktuelle Umfrage zeigt die Hürden auf. »Initiative Mittelstand verschlüsselt!« bietet einfache und schnell umzusetzende Lösung.   Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, veröffentlicht die Ergebnisse einer Umfrage zu den Hürden der E-Mail-Verschlüsselung aus Sicht der Anwenderunternehmen. Die…

E-Mail-Verschlüsselung: Ende-zu-Ende-Verschlüsselung kaum verbreitet

Drei Viertel der deutschen Internetnutzer finden es wichtig, E-Mails so verschlüsseln zu können, dass nur noch der Empfänger sie lesen kann. Das geht aus einer aktuellen Umfrage im Auftrag von web.de und gmx hervor. Tatsächlich verwenden aber nur rund 16 Prozent der Befragten Ende-zu-Ende Verschlüsselung. Aber warum verzichten Onliner darauf, ihre Kommunikation zu sichern? 37,6…

E-Mail: Volksverschlüsselung muss kommen

Initiative zur Volksverschlüsselung erfordert mehr Anstrengungen seitens der Bundesregierung. Die Gesellschaft für Informatik e.V. (GI) sieht die vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickelte Volksverschlüsselung auf dem richtigen Weg zur flächendeckend sicheren E-Mail. Mit einer Erweiterung auf Klasse-1-Zertifikate und mit der Anbindung an eine allgemein akzeptierte Zertifizierungsstelle könnte dieses Ziel bei entsprechender Unterstützung durch die…

Volksverschlüsselung: Endlich sichere E-Mail-Kommunikation?

Benutzerfreundliche Software für jedermann. Ende-zu-Ende-Verschlüsselung ohne Hintertüren. Ende-zu-Ende-Verschlüsselung für alle: Das Fraunhofer-Institut für Sichere Informationstechnologie SIT und die Deutsche Telekom starteten am 29. Juni die Volksverschlüsselung. Sie besteht aus der vom Fraunhofer SIT entwickelten benutzerfreundlichen Software und der dazugehörigen Infrastruktur, die von der Deutschen Telekom in einem Hochsicherheitsrechenzentrum betrieben wird. Mit der Volksverschlüsselung sollen Windows-Nutzer…

Wird 2016 das Jahr der E-Mail-Verschlüsselung?

Mehrheit deutscher Unternehmen ist nicht auf Volksverschlüsselung vorbereitet. E-Mail-Verschlüsselung rückt verstärkt in den Fokus der Öffentlichkeit: Mit der von der Deutschen Telekom und dem Fraunhofer-Institut für Sichere Informationstechnologie SIT geschaffenen »Volksverschlüsselung« und der von Bundesinnenminister Thomas de Maizière unterzeichneten »Charta zur Stärkung der vertrauenswürdigen Kommunikation« haben sich jüngst zwei viel beachtete Initiativen des Themas angenommen.…

E-Mail-Archivierung und -Verschlüsselung: So gelingt beides parallel

Gesetzliche Vorgaben verpflichten Unternehmen dazu, ihre digitale Korrespondenz über mehrere Jahre ordnungsgemäß zu archivieren. In Zeiten, in denen geschäftliche E-Mails immer häufiger verschlüsselt übertragen werden, ist dies jedoch oft leichter gesagt als getan: Denn auf den ersten Blick scheinen sich ein revisionssicheres Archiv und verschlüsselte E-Mails auszuschließen. Doch IT-Verantwortliche, die ihre IT-Lösungen für E-Mail-Encryption und -Archivierung…

Sichere E-Mail-Kommunikation: Datenverschlüsselung ist bei KMU weiterhin kein Standard

Eine aktuelle Studie zeigt, dass ein Großteil deutscher Unternehmen um die Verschlüsselung sensibler Daten bemüht ist. Dennoch wird der Schutz digital ausgetauschter Informationen nicht von allen konsequent umgesetzt. Eines der größten Hindernisse: Die Mitarbeiter sind mit den eingesetzten Verschlüsselungstechnologien überfordert. Nach Bekanntwerden von Datenspionage durch Geheimdienste und der zunehmende Bedrohung durch Cyberkriminelle haben kleine und…

Kostenpflichtige E-Mail-Dienste im Test: Hochgradige Verschlüsselung, einfaches Handling, Passwortprüfung und faires Preis-Leistungs-Verhältnis

In den vergangenen Wochen hat PSW GROUP einige der hierzulande bekanntesten kostenpflichtigen E-Mail-Anbieter genauer unter die Lupe genommen: Posteo, mailbox.org, MyKolab.com, Secure-Mail.biz, eclipso und aikQ Mail hat das Unternehmen getestet [1]. Im Fokus des Internetproviders mit Schwerpunkt auf der IT-Sicherheit standen die Sicherheitsparameter, AGB und Datenschutz, Usability sowie Preis-Leistungsverhältnis. »Das Gesamtpaket von mailbox.org konnte uns…

Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen

Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…

Datenschutz und Verschlüsselung im Gesundheitswesen siechen vor sich hin

Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) offenbart: Sensible Daten von Patientinnen und Patienten nicht ausreichend geschützt. Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn…

Spam-E-Mail: Sicher durch die Fluten

Kombination aus Wachsamkeit und technischem Schutz schützt umfassender vor gefährlichen Spam-E-Mails. Wer kennt sie nicht, die E-Mail-Flut, die jeden Tag aufs Neue am Arbeitsrechner über einen hereinbricht. Dabei ist es mittlerweile eher der Fall, dass Angestellte die wichtigen E-Mails aus dem Meer an Spam herausfischen (müssen), als andersherum. »Bei Spamnachrichten muss zwischen Werbe-E-Mails und gefährlicher…

Für die Führungsebene: Was eine effektive Verschlüsselungsstrategie ausmacht

  Lange Jahre hat man Verschlüsselung primär aus einem Blickwinkel heraus betrachtet: dem einer Belastung für Geschäftsprozesse. Teuer, komplex und von zweifelhaftem Wert. Wie sich die Dinge doch geändert haben. Nach wenigen Jahren (und nach Hunderten von hochkarätigen Datenschutzverletzungen mit wirtschaftlichen Schäden in Billionenhöhe) lassen sich Cyberbedrohungen nicht mehr ignorieren. Das ist auch auf den…

Weitere Artikel zu