Diese Website speichert Cookies auf Ihrem Computer. Diese Cookies werden verwendet, um Ihre Website zu optimieren und Ihnen einen persönlich auf Sie zugeschnittenen Service bereitstellen zu können, sowohl auf dieser Website als auch auf anderen Medienkanälen. Mehr erfahren über die von uns eingesetzten Cookies finden Sie in unserer Datenschutzrichtlinie
Anzeige
Anzeige

Forscher finden Schwachstellen in E-Mail-Verschlüsselung

Löwen/Münster. E-Mails werden bislang kaum verschlüsselt, weil die beiden gängigen Kryptoverfahren vielen Anwendern zu kompliziert erscheinen. Aber immerhin galten die Standards als sicher. Doch nun haben Forscher kritische Schwachstellen in den Verschlüsselungsverfahren entdeckt.

Forscher finden Schwachstellen in E-Mail-Verschlüsselung

Telefon- und Netzwerkkabel stecken in einem Router. Foto: Federico Gambarini

IT-Forscher haben fundamentale Sicherheitslücken in den beiden gängigen Verschlüsselungs-Verfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten.

Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren. „Sie sind nur betroffen, wenn ein Angreifer bereits Zugriff auf ihre E-Mails hat“, schränkten die Experten zudem ein.

Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten, das einfacher umzusetzen sei.

Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, hieß es. S/MIME wird vor allem im Unternehmensumfeld verwendet, während OpenPGP meist Privatanwender sowie Journalisten und Aktivisten nutzen.

Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke ohnehin nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies am Montag darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Der deutsche Software-Entwickler Werner Koch, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Experten entgegen, die empfohlen hatten, die PGP-Software zu deinstallieren. Der Web-Standard HTML werde die die Schaffung eines Rückkanals missbraucht. Es gebe aber keine Anzeichen dafür, dass die PGP-Software selbst unsicher sei.

Anzeige
Anzeige
Das könnte Sie auch interessieren

Netzwelt

Barley: WhatsApp-Kommunikation in andere Dienste ermöglichen

Berlin. Bundesjustizministerin Katarina Barley (SPD) will sich auf EU-Ebene dafür einsetzen, dass Verbraucher von WhatsApp aus auch mit Nutzern anderer Messenger-Dienste kommunizieren können. Beim Mobilfunk sei das schon möglich, sagte Barley der Deutschen Presse-Agentur.mehr...

Netzwelt

YouTube erlaubt Abo-Gebühren und Verkauf von Fanartikeln

Redwood City. YouTube und Instagram verschärfen ihren Konkurrenzkampf um Anbieter von Videoinhalten. Bei der Google-Videoplattform werden sie künftig auch Geld mit kostenpflichtigen Abos verdienen können. Facebooks Instagram bietet erstmals auch eine Plattform für einstündige Videos.mehr...

Netzwelt

BGH prüft Haftung bei WLAN-Hotspots und in Anonym-Netzwerk

Karlsruhe. Ein neues Gesetz soll WLAN-Nutzer schützen - und schafft die so genannte Störerhaftung für Rechtsverstöße bei offenen Hotspots ab. Doch wie schützt man dann Urheberrechte? Der BGH prüft das auch im Fall des Anonym-Netzwerks Tor.mehr...

Netzwelt

Intel-Chef Krzanich stürzt über Mitarbeiter-Beziehung

Santa Clara. Intel-Chef Brian Krzanich hatte versucht, den Chip-Riesen aus der Abhähgigkeit vom PC-Markt zu befreien - und war damit nur teilweise erfolgreich. Doch er stürzte nun nicht über geschäftliche Fehlschläge, sondern eine Affäre am Arbeitsplatz.mehr...

Netzwelt

Kryptobörse verliert Millionen durch Hackerangriffe

Seoul. Die südkoreanische Kryptowährungsbörse Bithumb hat nach eigenen Angaben durch Hackerangriffe 35 Milliarden Won (27,4 Millionen Euro) an virtuellen Zahlungsmitteln verloren.mehr...