Sicherheitslücke Forscher hebeln E-Mail-Verschlüsselung aus

Eine Sicherheitslücke gefährdet die Verschlüsselung von E-Mails. Experten raten, entsprechende Tools zu deaktivieren – und Alternativen zu nutzen.
Update: 15.05.2018 - 10:05 Uhr 1 Kommentar
Forscher haben ein gravierendes Sicherheitsproblem entdeckt. (Foto: dpa)
E-Mail-Verschlüsselung

Forscher haben ein gravierendes Sicherheitsproblem entdeckt. (Foto: dpa)

BerlinEinem gravierenden Sicherheitsproblem beim Verschlüsseln von E-Mails sind Forscher der FH Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven auf die Spur gekommen. Dem Team um Sebastian Schinzel, Professor für Angewandte Kryptografie, gelang es, die beiden verbreitetsten Verfahren OpenPPG und S/Mime zu knacken.

Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren. „Sie sind nur betroffen, wenn ein Angreifer bereits Zugriff auf ihre E-Mails hat“, schränkten die Experten zudem ein.

Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten.

Das sind die häufigsten Fallen im Netz
Angriff aus dem Netz
1 von 10

Cyberkriminelle werden immer erfinderischer, ihre Angriffe mit Trojanern, Viren und Phishing immer ausgefeilter. Da ist es wichtig, vorsichtig zu sein und sich gut zu schützen. Auf diese Fallen sollten Sie achten.

E-Mails und Phishing
2 von 10

Der häufigste Infektionsweg ist immer noch die E-Mail, insbesondere der E-Mail-Anhang: „Wenn man den öffnet, hat man meist schon verloren”, sagt Joachim Wagner, Sprecher beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Hintergrund werde sofort eine Datei ausgeführt, die die Schadsoftware installiert. Oder man landet via Link auf einer gefälschten Webseite. Dort soll man dann persönliche Daten preisgeben („Phishing”).

Vorsicht vor allem bei Rechnungen
3 von 10

In den E-Mails geht es meist um Rechnungen. Die Fälschungen werden auch immer besser: „Die Angreifer schauen sich etwa die Kontakte eines Nutzers bei Facebook an, um dann in deren Namen Mails zu versenden”, sagt Wagner. Die Texte enthielten weniger Rechtschreibfehler als früher, teils erkenne man selbst an der Absenderadresse kaum noch, dass nicht der vorgegebene Dienst dahintersteckt.

Erst denken, dann klicken
4 von 10

„Geht es um Bankgeschäfte, Kontosperrungen und ähnliches und wird man aufgefordert, etwas anzuklicken, sollte man immer skeptisch sein”, rät Maurice Ballein, Redakteur beim IT-Portal „Netzwelt.de”. Und BSI-Sprecher Wagner sagt: „Erst denken, dann klicken!” Helfen könnten drei Fragen: Kenne ich den Absender? Ist der Betreff sinnvoll oder vage („Dringende Nachricht”)? Erwarte ich einen Anhang? „Wenn da schon Zweifel bestehen, die Mail ungeöffnet löschen.”

Nicht dem Link folgen
5 von 10

Im Zweifel kann man auch bei der Firma anrufen, die vermeintlich hinter der Mail steht. „Nur nicht dem Link folgen”, sagt Wagner. Die Adresse könne man stattdessen manuell in den Browser eingeben und auf diese Weise prüfen. Hinter dem sichtbaren Link-Text kann sich nämlich eine andere Adresse verstecken. Ist angeblich ein Online-Konto betroffen, loggt man sich am besten über den offiziellen Weg dort ein und schaut nach, ob wirklich etwas vorliegt.

Ransomware
6 von 10

Krypto-Trojaner verschlüsseln die Dateien auf einem Rechner, dann wird der Nutzer erpresst: Er soll für den Entschlüsselungscode zahlen. Verbreitet wird Ransomware über manipulierte Webseiten, Downloads und via E-Mail. „Wir raten ganz klar, nicht zu zahlen und die Erpressung anzuzeigen”, sagt Frank Timmermann vom Institut für Internet-Sicherheit in Gelsenkirchen.

Backup auf externen Datenträgern
7 von 10

Wagner rät zu einer möglichst geringen Angriffsfläche. Browser, Betriebssystem und Programme sollten immer aktuell sein. Nutzer sollten Updates schnellstmöglich einspielen. „Wichtig ist eine vernünftige Sicherheitslösung aus Firewall und Antivirensoftware”, erläutert Ballein. Alle drei Experten raten zu regelmäßigen Backups auf externen, vom Rechner getrennten Datenträgern.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, so die Forscher. Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Auch die Experten der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) warnen in einem Blogeintrag vor dem Problem: „Unser Ratschlag ist es, umgehend Tools zu deaktivieren oder zu entfernen, die automatisch PGP-verschlüsselte Mails entschlüsseln.“ Eine Alternative könnte laut EFF die Messenger-App Signal sein.

Der deutsche Software-Entwickler Werner Koch dagegen, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Empfehlungen zur Deinstallation von PGP-Software entgegen. Der Web-Standard HTML werde die die Schaffung eines Rückkanals missbraucht. Es gebe aber keine Anzeichen dafür, dass die PGP-Software selbst unsicher sei.

Die Verschlüsselung von E-Mails – egal ob mit PGP oder mit dem konkurrierenden S/MIME-Standard – hat sich nie flächendeckend durchgesetzt, was vor allem an der mangelnden Nutzerfreundlichkeit lag. Dennoch wurde die Technik zum Beispiele von Unternehmen genutzt, die sensible Daten übermitteln wollen, oder von Menschen, die in autoritären Systemen Missstände anprangern möchten, ohne sich der Gefahr von Repressalien auszusetzen. Denn bislang galt die Verschlüsselung als sicher genug, um auch Späher von Geheimdiensten ins Leere laufen zu lassen.

IT-Unternehmen und Entwickler wurden von den Forschern bereits vor Monaten kontaktiert. Offenbar gelang es bislang aber noch nicht, die Sicherheitslücke zu schließen.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
  • tt
  • dpa
Startseite

Mehr zu: Sicherheitslücke - Forscher hebeln E-Mail-Verschlüsselung aus

1 Kommentar zu "Sicherheitslücke: Forscher hebeln E-Mail-Verschlüsselung aus"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • "Die Ersten, die das entschlüsselt haben." ... es ist doch wohl eher so, dass jetzt publik wird, dass die Geheimdienste da schon lange mitlesen ...

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%