Freitag, 29. März 2024
Home > Slider > Schwachstellen bei E-Mail-Verschlüsselung sichern

Schwachstellen bei E-Mail-Verschlüsselung sichern

Mail-Verschlüsselung

Kurz vor dem Inkrafttreten der EU-Datenschutzgrundverordnung machen Nachrichten von schwerwiegenden Schwachstellen in der E-Mail-Verschlüsselung die Runde. Der Grund: Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden.

Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird.

Vorausgesetzt, es gibt einen Angreifer besteht Gefahr:

Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt.

Schutz und Sicherheitsmaßnahmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde frühzeitig darüber informiert und hat am 14.5.2018 dazu Sicherheitsratschläge veröffentlicht: „Efail-Schwachstellen: E-Mail-Verschlüsselung richtig implementieren.
Nach Einschätzung des BSI können die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Das rät das BSI als Sicherheitsmaßnahmen auf Seiten der Nutzer:

Um die E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt Ausführung von html-Code und das Nachladen externer Inhalte. E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.

Hersteller sind gefordert, Updates und Patches bereit zu stellen

Die neu entdeckten Schwachstellen lassen sich zunächst durch Patches und durch angepasstes Nutzerverhalten schließen. Dennoch wird langfristig eine Anpassung der OpenPGP- und S/MIME-Standards nötig sein. Das BSI hat als nationale Cyber-Sicherheitsbehörde seine Unterstützung angeboten. Am Ziel, Deutschland zum Verschlüsselungsstandort Nummer 1 zu machen, wird ausdrücklich festgehalten.

Weitere Informationen:

www.bsi.de
www.bsi-fuer-buerger.de
www.allianz-fuer-cybersicherheit.de