Efail-Schwachstelle und die Zukunft der eMail-Verschlüsselung

„Nicht das Verschlüsselungsverfahren, sondern die Implementierung ist das Problem“

| Autor: Manfred Klein

Verschlüsselte Mails sollten längst Standard sein – auch in Verwaltungen
Verschlüsselte Mails sollten längst Standard sein – auch in Verwaltungen (Bild: © Markus Mainka – stock.adobe.com)

Trotz aktuell entdeckter Sicherheitsprobleme: eMails zu verschlüsseln, gehört zu den wichtigsten Maßnahmen der IT-Sicherheit. Diese Meinung vertritt Security-Experte Kim Nguyen. Wir sprachen mit dem Geschäftsführer der D-Trust GmbH vor dem Hintergrund der Efail-Debatte über falsche Interpretationen, die richtigen Lehren und vertrauenswürdige Instanzen.

Ein deutsches Forscherteam hat jüngst unter dem Stichwort Efail Sicherheitslücken bei verschlüsselter eMail-Kommunikation publik gemacht. Ist eMail-Verschlüsselung überhaupt noch ratsam?

Kim Nguyen, Geschäftsführer von D-Trust, ruft zur Verschlüsselung von eMails auf
Kim Nguyen, Geschäftsführer von D-Trust, ruft zur Verschlüsselung von eMails auf (Bild: © Bundesdruckerei)

Nguyen: Auf jeden Fall! Nur mit verschlüsselten Mails und verschlüsselten Dateianhängen kön-nen vertrauliche Informationen und wichtige Geschäftsdokumente vor unberechtigten Zugriffen geschützt werden. Aus den Efail-Schwachstellen den Schluss zu ziehen, aus der eMail-Verschlüsselung auszusteigen oder gar nicht erst damit anzufangen, ist die falsche Interpretation.

In einigen Medien wird aber genau dies gefordert. Schlagzeilen behaupten: „Sicherheitsforscher haben die Verschlüsselung von eMails ausgehebelt.“ Und in Kommentaren heißt es: „Unsere aktuelle eMail-Verschlüsselung ist kaputt und wohl nicht zu retten.“

Nguyen: Leider enthalten einige Berichte übertriebene und aus dem Kontext gerissene Formulierungen. Zudem gehen Kommentare, die das Ende der eVerschlüsselung ausrufen, eindeutig zu weit.

Richtig ist: Verschlüsselte eMails können so manipuliert werden, dass Angreifer den Inhalt einer verschlüsselten Nachricht lesen können – und zwar nachdem der Empfänger sie entschlüsselt hat.

Falsch ist: Dass die Verschlüsselungstechnik selbst kompromittiert ist.

Ergänzendes zum Thema
 
White Paper zur eMail-Verschlüsselung

Das Problem liegt also nicht an den Algorithmen oder generell an dem Verschlüsselungsverfahren, sondern an der Art und Weise, wie die eMail-Verschlüsselung im-plementiert ist.

Können Sie uns das etwas genauer erläutern?

Nguyen: Das Sicherheitsproblem entsteht, wenn im eMail-Programm des Empfängers das automatische Nachladen von HTML-Inhalten vorkonfiguriert ist. Die Angreifer fangen die verschlüsselte Mail des Absenders ab und manipulieren sie mit aktiven HTML-Inhalten, zum Beispiel mit Bildern oder Darstellungscodierungen, sogenannten Styles. Danach wird die so präparierte Mail an den Empfänger geschickt. Dessen eMail-Client entschlüsselt die eMail und lädt gleichzeitig alle externen HTML-Inhalte. Beim Laden bekommen die Angreifer – ohne dass der Empfänger es merkt – auch den jetzt lesbaren Text der Mail zugeschickt. Ein Angreifer entschlüsselt die Mail also nicht selbst. Vielmehr lässt er den Empfänger die Nachricht entschlüsseln und dann den Klartext durch manipulierte HTML-Inhalte an einen Server unter seiner Kontrolle schicken.

Welche Gegenmaßnahmen empfehlen Sie den Anwendern?

Nguyen: Die Sicherheitslücke lässt sich durch Sicherheitsupdates und durch ein angepasstes Nutzerverhalten schließen. Unternehmen und Endverbraucher erhalten auf den Webseiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) dafür detaillierte Informationen. Wenn wir über die kurzfristigen Maßnahmen hinausblicken, kann Efail sich langfristig positiv auf die eMail-Verschlüsselung auswirken.

Sie meinen: die Krise als Chance?

Nguyen: Genau. Seien wir doch mal ehrlich. Bisher hat sich eMail-Verschlüsselung in der Breite nicht durchgesetzt. Laut einer Studie der Bundesdruckerei schützen nur 45 Prozent der Unternehmen und Organisationen ihre Mails mit einem Verschlüsselungssystem. Das muss sich ändern. Denn Organisationen und Unternehmen versenden per Mail zunehmend auch vertrauliche und geschäftskritische Informationen, zum Beispiel Verträge, Patente, Protokolle oder Steuerunterlagen. Efail könnte hier ein Weckruf an alle Akteure der eMail-Verschlüsselung sein, die Probleme und Herausforderungen gemeinsam und aktiv an-zugehen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45343685 / Standards & Technologie)