Efail: So kann man sich schützen : Große Sicherheitslücke: Verschlüsselte E-Mails nicht mehr sicher

Ein Forscherteam hat eine massive Sicherheitslücke bei verschlüsselten E-Mails entdeckt.

Ein Forscherteam hat eine massive Sicherheitslücke bei verschlüsselten E-Mails entdeckt.

Verschlüsselte E-Mails sind nicht sicher: Experten haben sogar mehrere Wege gefunden, die Verschlüsselung zu knacken. Schuld sind unzureichende Standards, veraltete Technik und fehlerhafte Programme.

shz.de von
15. Mai 2018, 08:35 Uhr

Hamburg | Verschlüsselte E-Mails sind nicht mehr sicher. Kriminelle können in den Besitz der sensiblen Inhalte kommen. Schuld sind unzureichende Standards, veraltete Technik und fehlerhafte Programme. "E-Mail ist kein sicheres Kommunikationsmedium mehr", sagt Forscher Sebastian Schinzel, Professor für Angewandte Kryptografie der FH Münster bei sz.de.

Seinem Forscherteam ist es zusammen mit der Ruhr-Universität Bochum und der KU Löwen in Belgien gelungen, verschlüsselte E-Mails zu entschlüsseln und vertrauliche Inhalte mitzulesen. "Es gibt aktuell keine verlässlichen Fixes für die Sicherheitslücke", fällt Schinzel ein vernichtendes Urteil bei Twitter. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird.

Weder der Verschlüsselungsstandard S/MIME (Secure/ Multipurpose Internet Mail Extensions) noch PGP (Pretty Good Privacy) könnten die Sicherheit von verschickten verschlüsselten Nachrichten noch ausreichend garantieren. Das Verfahren S/MIME wird oft von Firmen benutzt. PGP wiederum von Aktivisten oder Whistleblowern. 

Die Forscher tauften die Sicherheitslücke kurzerhand "Efail", eine Mischung aus E-Mail und "fail", dem englischen Wort für scheitern. Betroffen seien nahezu alle Programme, die E-Mail-Verschlüsselung einsetzen, also Outlook, Windows Mail, Thunderbird oder Apple Mail.

Um seine sensiblen Inhalte vor Hackern zu schützen, gibt es aktuell eigentlich nur eine Maßnahme: Verzichten Sie auf das Versenden brisanter Informationen per E-Mail. Vorbeugende Maßnahmen wie das Deaktivieren der Anzeige von HTML und dem Nachladen externer Elemente wie Bildern, entschärfen die Situation deutlich, schreibt das Fachportal heise.de.

Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden. "Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen. Dennoch wird langfristig eine Anpassung der OpenPGP- und S/MIME-Standards nötig sein. Das BSI als nationale Cyber-Sicherheitsbehörde hat dazu seine Unterstützung angeboten", schreibt das BSI in einer ersten Stellungnahme.

Um E-Mail-Verschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender laut BSI folgende Punkte umsetzen: 

  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind. 
  • E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein. 
  • Auf www.bsi-fuer-buerger.de und www.allianz-fuer-cybersicherheit.de finden Privatanwender und Unternehmen ausführliche Informationen, wie sie E-Mailverschlüsselung weiterhin sicher nutzen können.
zur Startseite

Diskutieren Sie mit.

Leserkommentare anzeigen