Gravierende Schwachstellen in E-Mail-Verschlüsselung

IT-Forscher haben fundamentale Sicherheitslücken in den beiden gängigen Verschlüsselungs-Verfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf vertrauliche Nachrichten bekommen könnten.

Von dpa / Alexander Emunds

Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor Efail-Schwachstellen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor Efail-Schwachstellen.
(c) dpa Durch die Schwachstelle in der E-Mail-Verschlüsselung können mit den Standards OpenPGP und S/MIME geschützte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven.

Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden.

Verschlüsselungs-Verfahren gilt laut BSI weiterhin als sicher

Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor Efail-Schwachstellen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor Efail-Schwachstellen.
(c) dpa Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies heute darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher "weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden".

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Zusätzliche Schutz-Software ist nicht erforderlich

Für die sichere Nutzung von E-Mails sei es laut BSI nicht erforderlich, zusätzliche Software zu installieren. Wichtig ist unter anderem, auf eine verschlüsselte Verbindung (HTTPS) zum Postfach zu achten. Dabei sollten darauf geachtet werden, dass die Verschlüsselung nicht nur für den Login-Vorgang gilt, sondern während der gesamten Nutzungsdauer aktiviert ist. Außerdem ist es wichtig, das Nachladen externer Inhalte zu unterbinden. Wie das bei Microsoft Outlook, Mozilla Thunderbird und Apple Mail funktioniert, erfahren Sie direkt beim BSI.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät aktuell zudem, bei Mobilgeräten vorübergehend auf die vertrauliche Kommunikation zu verzichten und stattdessen besser auf Kryptomessenger wie Signal umzusteigen.

Mehr zum Thema Bundesamt für Sicherheit in der Informationstechnik (BSI)

14.04.24 - Festplatten, SSD und Handy: So löschen Sie Ihre Daten richtig
05.03.24 - Unterwegs in fremden Netzen: 5 Hotspot-Sicherheitsregeln
01.02.24 - Kaum jemand ändert WLAN-Passwort
19.11.23 - Sparsam installieren: 7 Sicherheitstipps für Android-Apps
17.07.23 - BSI-Chefin: Amtliches Prüfsiegel für Künstliche Intelligenz?
24.06.23 - Smart-Home-Sicherheit: Bei Geräten auf Zertifikat achten
01.03.23 - Tiktok führt neue Sicherheitsfunktionen für Teenager ein
27.02.23 - Weiterhin große Sicherheitsbedenken beim Onlineshopping
06.10.22 - Apple: BSI bestätigt Sicherheitsfeatures von iPhone & iPad
26.09.22 - Vorsicht: Trojaner auch via Google Play Store möglich
17.09.22 - Welt ohne Passwörter: Einloggen einfach und sicher?
11.08.22 - BSI warnt vor unsichereren Abus-Funk-Türschlössern
09.07.22 - Smartphone im Urlaub - darauf sollten Sie achten
08.06.22 - E-ID: So funktioniert der Perso als Online-Ausweis
04.06.22 - Nach Zahlungs-Ausfall: Kein Vertrauen mehr in Girocard?
03.06.22 - BSI warnt vor Fake-Anrufen mit Pseudo-BSI-Nummer
31.05.22 - Finanzaufsicht untersucht Probleme bei Kartenzahlungen
06.05.22 - Neu: IT-Sicherheitskennzeichen für smarte Geräte
06.05.22 - Apple, Google, Microsoft: Log-In ohne Passwort kommt
31.03.22 - Updates für Windows 10/11: Microsoft beseitigt lästige Bugs
15.03.22 - Wegen Ukraine-Krieg: Warnung vor Kaspersky-Software
01.02.22 - Regierung: Hersteller sollen für Software-Mängel haften
14.01.22 - BSI: Keine Hinweise auf Zensurfunktion bei Xiaomi-Handys
31.12.21 - Verbraucherrechte 2022: Neue Regeln in der Digitalwelt
22.12.21 - BNetzA: Digitale Identifikation nur per Smartphone kommt
19.12.21 - "123456": Das Passwort des Jahres ist wieder keins
14.12.21 - Tausende WhatsApp-Nachrichten lagen ungeschützt im Netz
13.12.21 - Log4j-Lücke: BSI meldet erste Angriffsversuche
08.12.21 - BNetzA: Entwurf für Katastrophenwarnung per SMS-CB
04.12.21 - Angriffe bei eBay Kleinanzeigen: Sicheres Passwort wählen
23.11.21 - 5G-Sicherheit: Open-RAN-Studie zeigt Sicherheitsrisiken auf
11.11.21 - Notrufe 110 & 112: Bessere Ausfallsicherung wäre möglich
24.09.21 - BSI prüft Sicherheitslücken in Smartphones aus China
25.07.21 - Werbung und Betrug: Das hilft gegen Spam im Mail-Postfach
25.06.21 - Datenverlust droht: "WD My Book live" vom Netz trennen
24.04.21 - Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz
23.04.21 - PlayStation 5: Neuer Fakeshop-Betrug besonders dreist
17.04.21 - 5G-Sicherheit: Einigung auf Huawei-Prüfverfahren
08.03.21 - Zehntausende E-Mail-Server wegen Microsoft-Lücke gehackt
01.12.20 - Keine Gefahren durch 5G: Bund startet Infokampagne
mehr…