Vidio Terakhir Diupload!! Detik-detik GEMPA/TSUNAMI PALU & DONGGALA | épisode 10 streaming Bora Bora Bora | Adobe Photoshop Lightroom 5 0 Final Mac OS X

"Efail" und die E-Mail-Verschlüsselung: Das solltet ihr wissen

OpenPGP und S/MIME mit Sicherheitslücken

Alexander Kant - Profilbild
von Alexander Kant
Teilen

Viele Nutzer vertrauen bei sensibler Kommunikation auf den E-Mail-Verkehr mit den Verschlüsselungsstandards OpenPGP und S/MIME. Nun sind in Mail-Clients Schwachstellen aufgetaucht, durch die die Verschlüsselungen ausgehebelt werden können. Das solltet ihr über die "Efail"-Schwachstellen wissen.

Die Mail-Verschlüsselungsstandard OpenPGP und S/MIME galten bisher als sicher. Das Image ist nun beschädigt.
Die Mail-Verschlüsselungsstandard OpenPGP und S/MIME galten bisher als sicher. Das Image ist nun beschädigt. (Quelle: mike_kiev /depositphotos.com)

Inhaltsverzeichnis

  1. OpenPGP und S/MIME - worum geht es?
  2. Zwei Angriffsvarianten
  3. Das solltet ihr tun

E-Mails sind ein enorm wichtiger Baustein der digitalen Kommunikation. Laut den Datenjournalisten von Statista werden schätzungsweise täglich über 280 Milliarden Mails weltweit versendet und zugestellt. Viele der Mail-Inhalte sind streng vertraulich und niemand möchte, dass diese mitgelesen werden. Doch diesen Baustein hat ein Forscherteam der Fachhochschule Münster, der Ruhr-Universität Bochum und der KU Leuven in Belgien, wie die "Süddeutsche" schreibt, "zertrümmert".

OpenPGP und S/MIME - worum geht es?

Die Schwachstellen betreffen die E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME, genauer gesagt den E-Mail-Client. Bei diesen Verschlüsselungsvarianten werden pro Mail-Adresse zwei Schlüssel zur Entschlüsselung generiert. Ein privater, der auf eurem Gerät liegt und ein öffentlicher, der auf dem Mail-Server liegt. Mit einem Schlüssel, der privat von euch geschützt wird, wurden die Verschlüsselungen bisher als sicher eingestuft, da ein Abfangen der Mails sinnlos war.

Verschlüsselung für Technik-Muffel: Einfach erklärt, ohne Fachchinesisch
Verschlüsselung für Technik-Muffel: Einfach erklärt, ohne Fachchinesisch Artikel Verschlüsselung ohne Fachchinesisch Ganz ohne Fachchinesisch: Wie funktionieren Verschlüsselung, Entschlüsselung und Schlüsseltausch? Wie wird einfach verschlüsselt? Netzwelt-Autor Mirco lang zeigt, wie es funktioniert. Jetzt lesen

Sei es also bei direktem Zugriff auf die Mail-Server, euren Mail-Client oder auf den Übertragungsweg im Internet: Die Mails sind verschlüsselt. Einzig einen verschlüsselten Daten-Haufen haben die Angreifer dann vorliegen, sollten sie die Mail abgreifen. Nun können Angreifer diese Mail aber mit einem modifizierten HTML-Text oder einem Ciphertext versehen.

Die Hypertext Markup Language-, HTML-Dokumente sind die Grundlage des World Wide Web und werden von Browsern dargestellt. Mit HTML lassen sich Links, Texte oder Bilder in einer Mail nachladen. Ein Ciphertext ist der unlesbare Text, der durch einen Algorithmus verschlüsselt worden ist. Haben die Angreifer den Ciphertext der Mail vorliegen und es werden HTML-Elemente im Mail-Programm erlaubt, steht einem Angriff nichts mehr im Wege.

Zwei Angriffsvarianten

Dabei können zwei Angriffsvektoren ausgenutzt werden:

  • Variante 1: Mails werden aus verschiedenen HTML-Blöcken aufgebaut. In einem leeren Block bauen die Angreifer diesen Ciphertext ein und spinnen einen HTTP-Link herum. Nun entschlüsselt das Mail-Programm die gesamte E-Mail und denkt, dass zum Beispiel ein Bild von der HTTP-Webseite nachgeladen werden soll. Stattdessen wird der gesamte, unverschlüsselte und lesbare Text an die Angreifer übertragen.
  • Variante 2: Hier wird die Verschlüsselung von S/MIME und PGP ausgehebelt. Da mit S/MIME-verschlüsselte E-Mails immer mit dem selben HTML-Textblock im Klartext beginnen, kennt der Angreifer einen der HTML-Blöcke. Nun müssen die anderen HTML-Blöcke der Mail so umgeschrieben werden, dass diese zum Beispiel einen Bild-Tag enthalten. Dieser Block wird dann den verschlüsselten Teil der Mail als Klartext herausfiltern. Somit ist dieser dann für den Angreifer sichtbar.

Das solltet ihr tun

Zurzeit gibt es laut verschiedenen Forschern keine Möglichkeit, die Lücken in den Clients effektiv zu schließen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher Nutzern von Mail-Programmen mit einer OpenPGP- und S/MIME-Verschlüsselung zur Deaktivierung von "Aktiven Inhalten" im E-Mailclient. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte.

In dieser Liste sind alle betroffenen Mail-Clients aufgelistet. Die grünen sind gar nicht betroffen. Die roten ohne Nutzer-Aktion und die orangen nur mit Nutzer-Aktion.
In dieser Liste sind alle betroffenen Mail-Clients aufgelistet. Die grünen sind gar nicht betroffen. Die roten ohne Nutzer-Aktion und die orangen nur mit Nutzer-Aktion. (Quelle: Twitter/@matthew_d_green)

Die Electronic Frontier Foundation (EFF) rät sogar allen Nutzern Tools wie Enigmail für Thunderbird, GPGTools für Apple Mail oder Gpg4win für Outlook vorübergehend zu deaktivieren. Dieser Rat ist vor allem an Firmen, Journalisten und Aktivisten gerichtet, da diese häufig PGP als Verschlüsselung nutzen. Genauere Informationen finden diese in der verlinkten EFF-Quelle.

Nutzt ihr als normaler Verbraucher TLS, also Transport Layer Security, als Verschlüsselung sind eure Mails nur auf dem Transportweg verschlüsselt. Das heißt, sollte der Mail-Server oder euer Konto gehackt werden, können eure Mails so oder so mitgelesen werden.

Beliebte Betrugsmaschen: So versuchen euch Betrüger im Netz auszutricksen

8 Einträge

Vorsicht! Mit diesen Maschen versuchen euch aktuell Betrüger im Netz auszutricksen.

Jetzt ansehen
Bei neuen Artikeln zu Aktuelle Betrugswarnungen benachrichtigen? Nein, Danke

Das könnte dich auch interessieren

Informationen zum Artikel

Dieser Artikel wurde mit den Schlagworten E-Mail-Software, Ratgeber: Sicherheit, Apple Mail, Mozilla Foundation, Verschlüsselung & Steganografie, Sicherheit und Aktuelle Betrugswarnungen versehen.

Links zum Artikel

zur
Startseite

zur
Startseite