Gravierende Schwachstellen in E-Mail-Verschlüsselung
Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor Efail-Schwachstellen.
(c) dpa
Durch die Schwachstelle in der E-Mail-Verschlüsselung können mit den Standards OpenPGP und S/MIME
geschützte E-Mails auf zwei verschiedenen Wegen so manipuliert
werden, dass Angreifer den Klartext erhalten, berichteten
Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität
Bochum sowie der belgischen Universität Leuven.
Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden.
Verschlüsselungs-Verfahren gilt laut BSI weiterhin als sicher
Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor Efail-Schwachstellen.
(c) dpa
Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
wies heute darauf hin, dass für die "EFail"-Attacke der Zugriff auf den
Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers
notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von
HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm
erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können
nach Einschätzung des BSI daher "weiterhin sicher eingesetzt werden,
wenn sie korrekt implementiert und sicher konfiguriert werden".
Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.
Zusätzliche Schutz-Software ist nicht erforderlich
Für die sichere Nutzung von E-Mails sei es laut BSI nicht erforderlich, zusätzliche Software zu installieren. Wichtig ist unter anderem, auf eine verschlüsselte Verbindung (HTTPS) zum Postfach zu achten. Dabei sollten darauf geachtet werden, dass die Verschlüsselung nicht nur für den Login-Vorgang gilt, sondern während der gesamten Nutzungsdauer aktiviert ist. Außerdem ist es wichtig, das Nachladen externer Inhalte zu unterbinden. Wie das bei Microsoft Outlook, Mozilla Thunderbird und Apple Mail funktioniert, erfahren Sie direkt beim BSI.
Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät aktuell zudem, bei Mobilgeräten vorübergehend auf die vertrauliche Kommunikation zu verzichten und stattdessen besser auf Kryptomessenger wie Signal umzusteigen.