Wir möchten auf unserer Webseite Cookies und pseudonyme Analysetechniken auch unserer Dienstleister verwenden, um diesen Internetauftritt möglichst benutzerfreundlich zu gestalten.

Außerdem möchten wir und unsere Dienstleister damit die Besuche auf unserer Webseite auswerten (Webtracking), um unsere Webseite optimal auf Ihre Bedürfnisse anzupassen und um Ihnen auf unserer Webseite sowie auch auf Webseiten in verbundenen Werbenetzwerken möglichst interessante Angebote anzeigen zu können (Retargeting).

Wenn Sie dieses Banner anklicken bzw. bestätigen, erklären Sie sich damit jederzeit widerruflich einverstanden (Art. 6 Abs.1 a DSGVO).

Weitere Informationen, auch zu Ihrem jederzeitigen Widerrufsrecht, finden Sie in unseren Datenschutzhinweisen.

Gravierende Sicherheitslücke

Bei verschlüsselten E-Mails ist Vorsicht geboten

Verschlüsselte E-Mails können zur Zielscheibe von Hackern werden. FOTO: dpa / Silas Stein

Löwen/Münster. IT-Experten haben gravierende Sicherheitslücken in zwei gängigen Verschlüsselungsverfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Betroffen sind sowohl das S/MIME- als auch das PGP-Verfahren. Durch die Schwachstelle könnten verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer statt eines unlesbaren Zeichengewirrs Klartext erhielten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven. Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und zehn von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln könnten, hieß es.

IT-Experten haben gravierende Sicherheitslücken in zwei gängigen Verschlüsselungsverfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Betroffen sind sowohl das S/MIME- als auch das PGP-Verfahren. Durch die Schwachstelle könnten verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer statt eines unlesbaren Zeichengewirrs Klartext erhielten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven. Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und zehn von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln könnten, hieß es.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies  darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müssten  die Ausführung des HTML-Codes und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden“, wenn Nutzer die richtigen Schutzmaßnahmen umsetzen. Welche das sind, erfahren sie auf den Seiten des BSI. Langfristig müssten aber Software-Updates für die Lücken veröffentlicht und auch die Verschlüsselung-Standards selbst weiterentwickelt werden.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes dazu, ganz auf die beiden E-Mail-Verschlüsselungsverfahren zu verzichten und für die vertrauliche Kommunikation vorübergehend besser Krypto-Messenger wie Signal einzusetzen, bis die Sicherheitslücken durch Updates behoben wurden. „E-Mail ist kein sicheres Kommunikationsmedium mehr“, zitierte die „Süddeutsche“ den Forschungsleiter Sebastian Schinzel aus Münster.

www.bsi-fuer-buerger.de

top