Verantwortung

Alexia Sailer

3 Kommentare

E-Mail-Verschlüsselung: Schwachstellen entdeckt

  • Teilen
    2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung senden. Schon beim Aktivieren werden Daten an Dritte übertragen.
  • Drucken
  • Text vorlesen

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) haben Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden. Wichtig: Die Verschlüsselung wurde nicht grundsätzlich gebrochen.

Ein Code auf einem Bildschirm

Durch die Schwachstellen werden Mailprogramme dazu gebracht, verschlüsselte E-Mails an Dritte in entschlüsselter Form weiterzuleiten. Dies erfolgt durch Manipulation der ursprünglichen verschlüsselten E-Mail. 

Notwendig für diesen Angriff ist der Zugriff auf verschlüsselte E-Mails durch eine Man-in-the-middle Attacke oder per Zugriff auf kompromittierte Postfächer. Die Attacken betreffen auch alte verschlüsselte E-Mails. Betroffen sind nach aktuellem Wissen zahlreiche Standard E-Mailprogramme. 

Das t-online Mailportal bietet standardmäßig kein PGP oder S/MIME. Kunden können allerdings zusätzlich diese Form der Verschlüsselung über so genannte Plug-ins einsetzen. Dann sind die geschilderten Schwachstellen auch für sie gegeben. 

Wichtig: Die Nutzung von E-Mail-Verschlüsselung mit PGP und S/MIME ist weiterhin zu empfehlen!

Bitte beachten Sie auch die Einordnung und Hinweise des Bundesamts für Sicherheit in der Informationstechnik:

Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration. 

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

  • Aktive Inhalte im E-Mail-Client müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.
  • E-Mail-Server und E-Mail-Clients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.

Auf www.bsi-fuer-buerger.de und www.allianz-fuer-cybersicherheit.de finden Privatanwender und Unternehmen ausführliche Informationen, wie sie E-Mailverschlüsselung weiterhin sicher nutzen können.

Junge Frau an der Tastatur - aus der Vogelperspektive.

Datenschutz und Datensicherheit

Sicherheitshinweise und aktuelle Informationen aus dem Bereich Datenschutz und Datensicherheit.

FAQ