Schwachstellen in E-Mail-Verschlüsselung entdeckt

Einstellen Kommentar Drucken

Wegen schwerer Sicherheitslücken in den Krypto-Standards OpenPGP und S/MIME birgt E-Mail-Verschlüsselung derzeit Risiken.

"Was die Forscher herausgefunden haben, ist so verheerend, dass das Vertrauen in verschlüsselte Mails zumindest auf absehbare Zeit verloren sein dürfte", schreibt die "SZ", und zitiert Sebastian Schinzel, Professor für Angewandte Kryptografie der FH Münster, der die Forschungen geleitet hat und als "sehr umsichtige Person" beschrieben wird, mit den Worten: "E-Mail ist kein sicheres Kommunikationsmedium mehr". Für Angreifer aus dem staatlichen Umfeld ist der Fehler höchst relevant: Sie können mit der Methode auch E-Mails entschlüsseln, die sie vor Monaten oder Jahren mitgeschnitten haben, aber bislang nicht knacken konnten.

Details dazu, wie die Verschlüsselungssysteme im Detail ausgehebelt wurden, wollen die Forscher dann Ende dieser Woche an einer Fachkonferenz in Bochum veröffentlichen. "Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können", so BSI-Präsident Arne Schönbohm. Eine Schwachstelle wurde in den häufig eingesetzten Verschlüsselungsverfahren mit den Namen "OpenPGP" und "S/MIME" entdeckt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies am Montag darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei". Bei diesen Programmen soll es möglich sein, durch eine Erweiterung die HTML-Darstellung auszunutzen, um den E-Mail-Inhalt im Klartext dazustellen. Beide Verfahren könnten aber weiter sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden. Anders als bei PC-Mail-Clients sei das bei Mobilgeräten oft voreingestellt. Entwickler von E-Mail-Anwendungen hätten schon Updates angekündigt oder bereitgestellt.

Um das zu gewährleisten, müssten Anwender aktive Inhalte in ihrem E-Mail-Programm ausschalten. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind. Ein wichtiger Punkt bei der Analyse der Fehler ist jedoch: Nicht die mathematische Verschlüsselung der Mails selbst wurde geknackt, die PGP-Methode ist weiterhin sicher.

Konkret funktioniert der Angriff so: Eine verschlüsselte Mail kommt im E-Mail-Programm des Adressaten an und wird dort automatisch durch das entsprechende Plug-in entschlüsselt. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen. Es gebe aber keine Anzeichen dafür, dass die PGP-Software selbst unsicher sei.

Comments