![thumb](https://ictk.ch/sites/default/files/thumbs_teaser/28771-28771mailvershlusselung20180517istock.jpg "Seppmail: \\"E-Mail-Verschlüsselung bleibt sicher!\\"")
IT-Sicherheitsexperten der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben bekanntlich angebliche Sicherheitslücken in den beiden gängigen E-Mail-Verschlüsselungs-Verfahren PGP und S/Mime entdeckt. In einem entsprechenden Bericht machen sie darauf aufmerksam, dass mittels OpenPGP und S/Mime verschlüsselte E-Mails auf zwei verschiedene Arten so manipuliert werden können, dass Angreifer den Klartext der verschlüsselten Nachricht erhalten.
Der Bericht bzw. die mit "EFail" bezeichnete Schwachstelle fand in den Medien grosses Echo und verleitete viele Autoren zur falschen Aussage, dass die Verschlüsselung von Mails mit diesen beiden Verfahren nutzlos sei.
Die Schweizere IT-Security-Spezialistin Seppmail weist nun darauf hin, dass die aufgedeckten Sicherheitslücken eben nicht die beiden Verschlüsselungs-Technologien selbst betreffen, sondern eine schon lange bekannte Schwachstelle in E-Mail-Clients ausnutzen. Diese Schwachstelle lasse sich in der Praxis mit einem geringen Aufwand ausmerzen bzw. sei in der Regel gar nicht vorhanden. Es müsse einzig das automatische Nachladen von Links im Mail-Client deaktiviert werden – eine Einstellung, die auch dann empfehlenswert sei, wenn ohne Verschlüsselung kommuniziert werde. Denn das automatische Nachladen von Links im Mail-Client ermögliche es Spammern, einfach festzustellen, wann und wo ein Empfänger eine unerwünschte Werbemail angeschaut hat.
In einer kürzlich verbreiteten Medienmitteilung bestätigt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) denn auch, dass die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden können, sofern sie korrekt implementiert und sicher konfiguriert sind. Seppmail betont, dass auch ihre Kunden, so wie alle anderen User von Mailprogrammen auch, darauf achten sollten, dass das Nachladen von aktivem Inhalt in E-Mails deaktiviert ist.
Um interessierten Personen einen umfassenden Überblick über die veröffentlichten Schwachstellen, Angriffsmethoden und empfohlene Massnahmen zur Schliessung der Lücken zu gewähren, hat Seppmail ein kurzes technisches Statement zu "EFail" verfasst. Die Informationen stehen via www.seppmail.ch/efail zur Verfügung.
