Security Alert: Kritische Schwachstellen in Email-Verschlüsselung

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der Universität Leuven (Belgien) haben die Sicherheit von OpenPGP und S/Mime sowie deren aktuelle Implementierungen untersucht. Dabei ist ein kreativer Angriff herausgekommen, den die Forscher EFAIL genannt haben. Ein Angreifer, der in der Lage ist eine Mail abzufangen, zu manipulieren und dann weiterzuschicken, kann sich (zumindest teilwiese) die Klartextinhalte der verschlüsselten Email verschaffen.

Die Forscher haben betroffene Unternehmen wie Apple und Microsoft schon vor Monaten informiert. Bislang gibt es aber noch keine Lösung für das Problem. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nach eigenen Angaben seit November 2017 über die Arbeit des internationalen Forscherteams informiert. Die genannten Verschlüsselungsverfahren könnten auch weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden, teilte das Bundesamt jetzt mit. Dennoch müßten der PGP- und S/MIME-Standard langfristig angepaßt werden.

Das BSI empfiehlt Nutzern folgende Maßnahmen:

• Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.
• Emailserver und Emailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.

Dennoch müßten der PGP- und S/MIME-Standard langfristig angepaßt werden.

(Kommentieren)