Lade Login-Box.
Topthemen: Südthüringen kocht 2020Freies Wort hilftFolgen Sie uns auf InstagramSport-Tabellen

 

Forscher finden Schwachstellen in E-Mail-Verschlüsselung

E-Mails werden bislang kaum verschlüsselt, weil die beiden gängigen Kryptoverfahren vielen Anwendern zu kompliziert erscheinen. Aber immerhin galten die Standards als sicher. Doch nun haben Forscher kritische Schwachstellen in den Verschlüsselungsverfahren entdeckt.



Email
Forscher haben bei der Verschlüsselung von E-Mails gravierende Schwachstellen entdeckt.   Foto: Jan-Philipp Strobel

IT-Forscher haben fundamentale Sicherheitslücken in den beiden gängigen Verschlüsselungs-Verfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt sein.

Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren. «Sie sind nur betroffen, wenn ein Angreifer bereits Zugriff auf ihre E-Mails hat», schränkten die Experten zudem ein.

Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten, das einfacher umzusetzen sei.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, hieß es. S/MIME wird vor allem im Unternehmensumfeld verwendet, während OpenPGP meist Privatanwender sowie Journalisten und Aktivisten nutzen.

Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke ohnehin nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die «EFail»-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Beide Verfahren könnten aber weiter sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Um das zu gewährleisten, müssten Anwender aktive Inhalte in ihrem E-Mail-Programm ausschalten. Dazu zählten das Ausführen von HTML-Code und das Nachladen externer Inhalte in E-Mails. Anders als bei PC-Mail-Clients sei das bei Mobilgeräten oft voreingestellt. Entwickler von E-Mail-Anwendungen hätten schon Updates angekündigt oder bereitgestellt. Das BSI betont aber, dass eine sichere Konfiguration unabhängig von Updates bereits durch das Ausschalten aktiver Inhalte gegeben sei.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes, zumindest bei Mobilgeräten für die vertrauliche Kommunikation vorübergehend besser Kryptomessenger wie Signal einzusetzen.Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Der deutsche Software-Entwickler Werner Koch , der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Experten entgegen, die empfohlen hatten, die PGP-Software zu deinstallieren. Der Web-Standard HTML werde die die Schaffung eines Rückkanals missbraucht. Es gebe aber keine Anzeichen dafür, dass die PGP-Software selbst unsicher sei.

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
14. 05. 2018
15:22 Uhr

Für »Meine Themen« verfügbare Schlagworte

zu Meine Themen hinzufügen

Hinzufügen

Schlagwort zu
Meine Themen

zu Meine Themen hinzufügen

Hinzufügen

Sie haben bereits von 15 Themen gewählt

Bearbeiten

Sie verfolgen dieses Thema bereits

Entfernen

Für die Nutzung von "Meine Themen" ist ihr Einverständnis zur Datenspeicherung nötig.

Weiter
Apple Bundesamt für Sicherheit in der Informationstechnik E-Mail Fachhochschule Münster Mobilgeräte Ruhr-Universität Standards und Standardisierung Verschlüsselung Verschlüsselungsverfahren Werner Koch Wissenschaftlerinnen und Wissenschaftler
Diesen Artikel teilen / ausdrucken


Mehr zum Thema
Rechner und Co verkaufen

08.07.2019

Was muss man beachten, wenn Rechner und Co verkauft werden?

Ein geheimes Raketenwerfer-Handbuch auf dem gebraucht gekauften Laptop? Offenbar kein Scherz. Jüngst soll etwa ein Bundeswehr-Rechner mit ungelöschter Festplatte bei Ebay verkauft worden sein. Ist es so schwierig, Daten ... » mehr

Frau mit Tablet

13.12.2019

Wenn das Tablet mit Malware verseucht ist

Smartphones aus Fernost, auf denen Malware schon vorinstalliert ist? Hat es alles schon gegeben. Wie kann man dann sichergehen, keine Virenschleuder als Geschenk unter den Weihnachtsbaum zu legen? » mehr

Smartphone-Browser

14.01.2020

Smartphone-Schnüfflern den Riegel vorschieben

Am Rechner auf dem Schreibtisch ist es für viele selbstverständlich, das Tracking von Webseiten zu unterbinden. Aber was ist mit dem Smartphone? Ist man dort der Datensammelei schutzlos ausgeliefert? » mehr

App mit Dunkelmodus

12.12.2019

Fixe Ideen fix festhalten

Einen tollen Einfall schreibt man am besten sofort auf. Zettel und Stift sind ja auch meist zur Hand, doch das ganze Papier kann einen in den Wahnsinn treiben. Zum Glück gibt's digitale Alternativen. » mehr

Marcus Pritsch

19.12.2019

E-Mail-Adressen sinnvoll organisieren

Von einstmals witzigen E-Mail-Adressen wie «süßemaus84» sollte man sich im Laufe seines Lebens verabschieden. Aber worauf kommt es bei der Wahl und der Zahl der Adressen und Anbieter eigentlich an? » mehr

Schadsoftware: Warnung vor Spam-Mails in Namen von Behörden

19.12.2019

Warnung vor Spam-Mails in Namen von Behörden

Vermeintliche Behörden-E-Mails verbreiten aktuell die Schadsoftware Emotet. Wer sie öffnet, bringt seine EDV in große Gefahr, warnt Deutschlands IT-Sicherheitsbehörde. » mehr

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
14. 05. 2018
15:22 Uhr



^