Steam-Aktion

Efail: Verschlüsselte E-Mails als Sicherheitsrisiko

reported by doelf, Montag der 14.05.2018, 15:59:01 Uhr

Als die E-Mail erfunden wurde, hatte sich niemand irgendwelche Gedanken über deren Sicherheit oder gar eine Ende-zu-Ende Verschlüsselung gemacht. Erst Erweiterungen wie PGP/GPG oder S/MIME ermöglichen den verschlüsselten E-Mail-Versand, doch hierbei gibt es derart massive Schwachstellen, dass Sicherheitsexperten rund um den Münsteraner Professor Sebastian Schinzel nun vor deren Verwendung warnen.

Die "Electronic Frontier Foundation" (EFF) konnte bereits vorab einen Blick auf die Ergebnisse der Forscher werfen und rät allen Nutzern, Tools und Erweiterungen zur automatischen Entschlüsselung von E-Mails zu deaktivieren oder sie gleich komplett zu entfernen. Über Schwachstellen in den Tools und Erweiterungen können Angreifer nämlich nicht nur aktuelle Mails mitlesen, sondern auch auf in der Vergangenheit empfangene Inhalte zugreifen. Schinzel und sein Team wollen am morgigen Dienstag um 9 Uhr weitere Details bekannt geben, weshalb man unverzüglich reagieren sollte.

Deinstallationsanleitungen der EFF:

Angriff erfolgt über HTML-Inhalte
Wie man einem Kommentar des Verschlüsselungsexperten Matthew Green entnehmen kann, erfolgen die Angriffe über HTML-Code: Der Angreifer fängt eine verschlüsselte E-Mail ab und modifiziert diese mit eigenem HTML-Code. Im Client des Empfängers wird dieser HTML-Code ausgeführt und leitet die entschlüsselten Inhalte an einen externen Server weiter. Betroffen sind die meisten E-Mail-Clients mit grafischer Benutzeroberfläche, da nur diese HTML-Inhalte aufbereiten und darstellen können. Eine verpflichtende Prüfung darauf, ob die verschlüsselte E-Mail auf ihrem Weg zum Empfänger manipuliert wurde, gibt es nicht, obwohl PGP diese Funktion eigentlich schon seit dem Jahr 2001 beherrscht.

S/MIME kaputt, PGP/GPG reparabel
Für Firmen stellt S/MIME (Secure/Multipurpose Internet Mail Extensions) die größte Bedrohung da, denn diese "dumme Protokoll" wurde in die E-Mail-Clients integriert. Ersonnen von "RSA Data Security", ist S/MIME nun endgültig kaputt und nach Ansicht der Forscher auch nicht mehr zu retten. Für PGP/GPG scheint es indes noch Hoffnung zu geben - fragt sich nur wann. Schließlich hat es der seit 17 Jahren integrierte "Modification Detection Code" (MDC) noch immer nicht in die alltägliche Praxis geschafft. Robert J. Hansen, Pfleger der GnuPG FAQ, plädiert für Don't Panic und der Entwickler von GnuPG, Werner Koch, hält die Reaktion der EFF für völlig überzogen.

Viele Köche verderben den Brei
Wenn man sich nur GnuPG ansieht, muss man Koch Recht geben. Im Prinzip funktioniert das Programm wie vorgesehen. Doch die wenigsten Nutzer rufen ihre E-Mails über die Eingabezeile ab. Die Realität besteht aus grafischen Programmen, an die tagtäglich unzählige bunte HTML-Mails geschickt werden. Und hier krankt das zusammengeschusterte Gesamtkonstrukt aus GnuPG, darauf aufsetzenden Erweiterungen und E-Mail-Clients an seiner labilen Bauweise, die nun mal nicht aus einem Guss ist. Am Ende summieren sich die einzelnen Fehler und Nachlässigkeiten zu gravierenden Sicherheitslücken, die sich im Alltag ganz real ausnutzen lassen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]