Warnung vor E-Mail-Verschlüsselung: Gravierende Sicherheitslücken in PGP und S/MIME

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Warnung vor E-Mail-Verschlüsselung: Gravierende Sicherheitslücken in PGP und S/MIME

    Sichere Kommunikation
    Warnung vor E-Mail-Verschlüsselung: Gravierende Sicherheitslücken in PGP und S/MIME
    Warnung für Nutzer von Tools zur automatischen Entschlüsselung gesicherter E-Mails. In den Standards PGP und S/MIME stecken gravierende Sicherheitslücken.

    Wer auf sichere Kommunikations-Tools angewiesen ist, sollte GPG-basierte Programme zur Entschlüsselung von E-Mails meiden, die zuvor per PGP oder S/MIME gesichert wurden! Davor warnen seit den Morgenstunden verschiedene Medien und Verbraucherschützer. Verantwortlich zeichnen Sicherheitsforscher rund um die Fachhochschule Münster, die Ruhr-Universität Bochum und die Universität Leuven in Belgien.

    Die Sicherheitsexperten wollen eine oder mehrere gravierende Lücken in den Verschlüsselungsstandards bzw. entsprechenden Programmen gefunden haben. Angeblich erlauben die Lücken Angreifern, nicht nur aktuelle, sondern auch auch bereits ältere verschlüsselte E-Mails mitzulesen. Laut Sebastian Schinzel, Professor für Computersicherheit, sollten erst am Dienstag um 9 Uhr unserer Zeit nähere Details veröffentlicht werden. Die Frist wurde jedoch vorverlegt.

    Die Sicherheitsforscher haben nun kurz nach Montagmittag die Details zur Lücke auf der Webseite efail.de veröffentlicht. Dabei handelt es sich um ein Wortspiel aus E-Mail und dem englischen Verb "to fail", das "scheitern" bedeutet. Wie das BSI schreibt und zusammenfasst, können Angreifer sich Zugang zum entschlüsselten Inhalt einer Nachricht verschaffen. Das ist in dem Moment möglich, in dem der Empfänger die Nachricht automatisch entschlüsseln ließ.

    Dafür müssen Cyberkriminelle jedoch "Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte."

    Das BSI sagt weiter, dass PGP und S/MIME weiterhin "sicher eingesetzt werden [können], wenn sie korrekt implementiert und sicher konfiguriert werden." Die nun bekannt gewordenen Lücken ließen sich zwar per Update schließen. Langfristig würden dennoch Anpassungen an den Standards nötig sein.

    Die IT-Verbraucherschützer der Electronic Frontier Foundation (EFF) in den USA standen wie Journalisten der Süddeutschen, NDR und WDR schon vorher in Kontakt mit den Forschern. Die US-Amerikaner haben sich von der Seriosität des Fundes überzeugen lassen und warnen seit Sonntag offiziell vor dem Einsatz entsprechender Programme und genannter Verschlüsselungstechnologien.

    Was Betroffene tun müssen

    Nutzer sollen demnach schnellstmöglich jegliche Tools und Programme deaktivieren, die automatisch PGP-verschlüsselte E-Mails decodieren und für den Nutzer lesbar machen. Bis zum dem Zeitpunkt, an dem „die Lücken umfassender verstanden und gestopft“ sind, rät die EFF Nutzern zu einer Alternative für die gesicherte Kommunikation. Wie auch Edward Snowden zuvor nennt die Organisation den Messenger Signal, der für Android, iOS und Windows erhältlich ist. In der Zwischenzeit sollen betroffene Nutzer am besten keine PGP-verschlüsselte E-Mail senden.

    Verschiedene Browser-Plugins wie etwa Enigmail, GPGTools oder Gpg4win lassen sich unter Windows womöglich nicht über die Liste der installierten Apps und Programme deinstallieren. Das gleiche gilt entsprechend für Versionen auf Mac-OS- oder Linux-Basis. Alternativ werden Sie in den Einstellungen des Mail-Clients für Erweiterungen fündig und sehen dort Optionen fürs Deaktiveren des jeweiligen Add-ons. Genauer zeigt es die EFF in weiterführenden Tipps zum aktuellen Blog-Eintrag.

    PGP, S/MIME und GPG kurz erklärt

    • PGP (Pretty Good Privacy) ist eine Verschlüsselungstechnologie. Durch den Einsatz privater und öffentlicher Schlüssel lässt sich eigentlich sicherstellen, dass der Inhalt einer Nachricht nur vom angedachten Empfänger lesbar ist.
    • S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard für die Verschlüsselung bestimmter E-Mails. Verwendung findet er vor allem in Firmenumgebungen.
    • GPG oder GnuPG bzw. GNU Privacy Guard ist ein Programm, das verschiedene Verschlüsselungstechnologien wie PGP oder S/MIME bündelt und komfortabler nutzbar macht.


    14.5.2018 von The-Khoa Nguyen


    Quelle: Warnung vor E-Mail-Verschlüsselung: Gravierende Sicherheitslücken in PGP und S/MIME - PC Magazin

    Wenn auch nicht mehr ganz Sicher, ist das immer noch besser, als gar nicht verschlüsselt.