Die Standards OpenPGP und S/MIME sicherten eine verschlüsselte E-Mail-Kommunikation, die selbst die NSA nicht umgehen konnte – bis heute.
Dass eine normale E-Mail hinsichtlich ihrer Sicherheit mit einer Postkarte gleichzusetzten ist, stellt schon lange kein Geheimnis mehr dar. Dass jedoch auch E-Mails, die mit den o.g. Standards verschlüsselt wurden unsicher sind ist neu. Es gelang Sicherheitsforschern der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) eine Schwachstelle in den weit verbreiteten Verschlüsselungsstandards OpenPGP und S/MIME zu identifizieren. Dabei ist es möglich, entschlüsselte Inhalte einer E-Mail an Dritte weiterzuleiten.
Mit einem öffentlichen und einem privaten Schlüssel werden E-Mails bei den genannten Standards auf den Clientsystemen des Senders und Empfängers ver- und entschlüsselt. Wird die verschlüsselte E-Mail auf ihrem Weg zum Empfänger erbeutet, ist es dem Angreifer nicht möglich Inhalte einzusehen. Ein Wust aus Zeichen, das Chiffrat, wird dem Angreifer beim Versuch der Entschlüsselung präsentiert. Nach der Methode der Forscher wird einer normalen, klassischen E-Mail ein solches erbeutetes, für den Empfänger bestimmtes Chiffrat „beigefügt“. Dem Empfänger werden ausschließlich die Inhalte der normalen E-Mail angezeigt, während im Hintergrund der E-Mailclient, zur Entschlüsselung fähig, das Chiffrat entschlüsselt und den Inhalt unbemerkt an Dritte weiterleitet.
In einem Interview teilte der BSI-Präsident Arne Schönbohm mit, dass die genannten Standards weiterhin ein geeignetes Mittel zur Erhöhung der Sicherheit bei der E-Mail-Kommunikation darstellen. Diese sollten jedoch korrekt implementiert und konfiguriert sein. Um die Schwachstelle ausnutzen zu können, sei der Zugriff auf den Transportweg, den Mailserver oder das Postfach des Empfängers sowie die Möglichkeit aktive Inhalte auszuführen notwendig.
Bis die Sicherheitslücken gepatcht werden, sind folgende Erstmaßnahmen für Anwender / Administratoren zu beachten:
- Aktive Inhalte von E-Mailclients deaktivieren (z.B.: Ausführen von HTML-Code, Nachladen von externen Inhalten)
- E-Mailclients und -server gegen unautorisierte Zugriffe absichern
15. Mai 2018 @ 10:49
Der derzeit amtierende Präsident des BSI heißt „Schönbohm“, nicht „Schönbaum“.