Gravierende Sicherheitslücke

Bei verschlüsselten E-Mails ist Vorsicht geboten

Verschlüsselte E-Mails können zur Zielscheibe von Hackern werden. FOTO: dpa / Silas Stein

Löwen/Münster. IT-Experten haben gravierende Sicherheitslücken in zwei gängigen Verschlüsselungsverfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Betroffen sind sowohl das S/MIME- als auch das PGP-Verfahren. Durch die Schwachstelle könnten verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer statt eines unlesbaren Zeichengewirrs Klartext erhielten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven. Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und zehn von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln könnten, hieß es.

IT-Experten haben gravierende Sicherheitslücken in zwei gängigen Verschlüsselungsverfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Betroffen sind sowohl das S/MIME- als auch das PGP-Verfahren. Durch die Schwachstelle könnten verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer statt eines unlesbaren Zeichengewirrs Klartext erhielten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven. Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und zehn von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln könnten, hieß es.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies  darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müssten  die Ausführung des HTML-Codes und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden“, wenn Nutzer die richtigen Schutzmaßnahmen umsetzen. Welche das sind, erfahren sie auf den Seiten des BSI. Langfristig müssten aber Software-Updates für die Lücken veröffentlicht und auch die Verschlüsselung-Standards selbst weiterentwickelt werden.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes dazu, ganz auf die beiden E-Mail-Verschlüsselungsverfahren zu verzichten und für die vertrauliche Kommunikation vorübergehend besser Krypto-Messenger wie Signal einzusetzen, bis die Sicherheitslücken durch Updates behoben wurden. „E-Mail ist kein sicheres Kommunikationsmedium mehr“, zitierte die „Süddeutsche“ den Forschungsleiter Sebastian Schinzel aus Münster.


www.bsi-fuer-buerger.de

top