IT-Forscher entdecken schwere Lücken in Mailverschlüsselung

Verfasst von ictk am 14.05.2018 - 21:19

Informatik-Wissenschaftler haben in den beiden gängigen Mail-Verschlüsselungsverfahren OpenPGP und S/Mime gravierende Sicherheitslücken entdeckt, durch welche Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Damit Attacken gelingen können, müssen jedoch mehrere Voraussetzungen erfüllt sein. Auch lässt sich die Gefahr durch richtige Einstellungen reduzieren.

Aufgrund der Schwachstellen können mit den Standards OpenPGP und S/MIME verschlüsselte Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten IT-Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beschwichtigte indes und wies darauf hin, dass für die "EFail" benannte Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein.

Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher "weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“. Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Softwareupdates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselungsstandards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schliessen.