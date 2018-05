Eine Sicherheitslücke gefährdet die Verschlüsselung von E-Mails. Experten raten, entsprechende Tools zu deaktivieren.

Forscher haben ein gravierendes Sicherheitsproblem entdeckt. (Foto: dpa) E-Mail-Verschlüsselung

BerlinForscher sind einem gravierenden Sicherheitsproblem beim Verschlüsseln von E-Mails auf die Spur gekommen. Das Team will am Dienstag Details über eine Sicherheitslücke in den Verschlüsselungsstandards PGP und S/MIME veröffentlichen. Die Lücke könnte, so Sebastian Schinzel von der Fachhochschule Münster, zum Entschlüsseln von E-Mails genutzt werden, auch von bereits verschickten.

Auch die Experten der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) warnen in einem Blogeintrag vor dem Problem: „Unser Ratschlag ist es, umgehend Tools zu deaktivieren oder zu entfernen, die automatisch PGP-verschlüsselte Mails entschlüsseln.“ Eine Alternative könnte laut EFF die Messenger-App Signal sein.

Die genannten Verfahren sorgen dafür, dass E-Mails nicht als Klartext, sondern als für Unbefugte unlesbares Zeichengewirr übermittelt werden. Durch die Sicherheitslücke, zu der noch keine Details genannt wurden, soll es nun aber Dritten möglich sein, an den Klartext der übermittelten Botschaft zu gelangen.

Das sind die häufigsten Fallen im Netz Angriff aus dem Netz 1 von 10 Cyberkriminelle werden immer erfinderischer, ihre Angriffe mit Trojanern, Viren und Phishing immer ausgefeilter. Da ist es wichtig, vorsichtig zu sein und sich gut zu schützen. Auf diese Fallen sollten Sie achten. E-Mails und Phishing 2 von 10 Der häufigste Infektionsweg ist immer noch die E-Mail, insbesondere der E-Mail-Anhang: „Wenn man den öffnet, hat man meist schon verloren”, sagt Joachim Wagner, Sprecher beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Hintergrund werde sofort eine Datei ausgeführt, die die Schadsoftware installiert. Oder man landet via Link auf einer gefälschten Webseite. Dort soll man dann persönliche Daten preisgeben („Phishing”). Vorsicht vor allem bei Rechnungen 3 von 10 In den E-Mails geht es meist um Rechnungen. Die Fälschungen werden auch immer besser: „Die Angreifer schauen sich etwa die Kontakte eines Nutzers bei Facebook an, um dann in deren Namen Mails zu versenden”, sagt Wagner. Die Texte enthielten weniger Rechtschreibfehler als früher, teils erkenne man selbst an der Absenderadresse kaum noch, dass nicht der vorgegebene Dienst dahintersteckt. Erst denken, dann klicken 4 von 10 „Geht es um Bankgeschäfte, Kontosperrungen und ähnliches und wird man aufgefordert, etwas anzuklicken, sollte man immer skeptisch sein”, rät Maurice Ballein, Redakteur beim IT-Portal „Netzwelt.de”. Und BSI-Sprecher Wagner sagt: „Erst denken, dann klicken!” Helfen könnten drei Fragen: Kenne ich den Absender? Ist der Betreff sinnvoll oder vage („Dringende Nachricht”)? Erwarte ich einen Anhang? „Wenn da schon Zweifel bestehen, die Mail ungeöffnet löschen.” Nicht dem Link folgen 5 von 10 Im Zweifel kann man auch bei der Firma anrufen, die vermeintlich hinter der Mail steht. „Nur nicht dem Link folgen”, sagt Wagner. Die Adresse könne man stattdessen manuell in den Browser eingeben und auf diese Weise prüfen. Hinter dem sichtbaren Link-Text kann sich nämlich eine andere Adresse verstecken. Ist angeblich ein Online-Konto betroffen, loggt man sich am besten über den offiziellen Weg dort ein und schaut nach, ob wirklich etwas vorliegt. Ransomware 6 von 10 Krypto-Trojaner verschlüsseln die Dateien auf einem Rechner, dann wird der Nutzer erpresst: Er soll für den Entschlüsselungscode zahlen. Verbreitet wird Ransomware über manipulierte Webseiten, Downloads und via E-Mail. „Wir raten ganz klar, nicht zu zahlen und die Erpressung anzuzeigen”, sagt Frank Timmermann vom Institut für Internet-Sicherheit in Gelsenkirchen. Backup auf externen Datenträgern 7 von 10 Wagner rät zu einer möglichst geringen Angriffsfläche. Browser, Betriebssystem und Programme sollten immer aktuell sein. Nutzer sollten Updates schnellstmöglich einspielen. „Wichtig ist eine vernünftige Sicherheitslösung aus Firewall und Antivirensoftware”, erläutert Ballein. Alle drei Experten raten zu regelmäßigen Backups auf externen, vom Rechner getrennten Datenträgern.

Die Verschlüsselung von E-Mails – egal ob mit PGP oder mit dem konkurrierenden S/MIME-Standard – hat sich nie in größerem Maße durchgesetzt, was vor allem an der mangelnden Nutzerfreundlichkeit lag. Doch bislang galt die Verschlüsselung zumindest dann, wenn sie richtig angewendet wurde, als sicher.

Genutzt wird die Technik zum Beispiele von Unternehmen, die sensible Daten übermitteln wollen, oder von Menschen, die in autoritären Systemen Missstände anprangern möchten, ohne sich der Gefahr von Repressalien auszusetzen. Denn bislang galt die Verschlüsselung als sicher genug, um auch Späher von Geheimdiensten ins Leere laufen zu lassen.

IT-Unternehmen und Entwickler wurden von den Forschern bereits vor Monaten kontaktiert. Offenbar gelang es bislang aber noch nicht, die Sicherheitslücke zu schließen.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.