Die im Mai bekanntgewordene Sicherheitslücke hat noch nicht an Schrecken verloren

[datensicherheit.de, 13.10.2018] Die im Mai als Efail bekanntgewordene Sicherheitslücke hat noch nicht an Schrecken verloren. Viele Anwender sind verunsichert und fragen sich, wie und ob sie verschlüsselte E-Mails weiterhin sicher versenden können. Unter bestimmten Umständen ist es Angreifern nämlich möglich, verschlüsselte E-Mails abzufragen und diese dann sogar zu manipulieren. Betroffen sind alle gängigen E-Mail-Programme, die sowohl HTML als auch den Verschlüsselungsstandard S/MIME unterstützen, sind von der Schwachstelle betroffen. Auch wer den Standard PGP zum Verschlüsseln von E-Mails nutzt, sollte vorsichtig sein und auf aktualisierte Versionen setzen.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG

„Es gibt mehrere Möglichkeiten, um sich vor solchen Angriffen zu schützen“, beruhigt Christian Heutger, Geschäftsführer der PSW GROUP. Der IT-Sicherheitsexperte rät: „In einem ersten Schritt sollte das Anzeigen externer Bilder in E-Mails unterbunden werden. Dies dient dem Schutz der Privatsphäre und ist ganz besonders bei unverschlüsselten E-Mails sicherer. Weiter sollten sowohl die HTML-Anzeige von E-Mails als auch das oftmals voreingestellte automatische Entschlüsseln von E-Mails sowie das automatisierte Nachladen von Bildern deaktiviert werden. Aber bitte Finger weg von einer Deaktivierung der Verschlüsselung. Nicht zu verschlüsseln, ist keine Lösung im Sinne der Sicherheit.“

Für den weiterhin sicheren Einsatz eines S/MIME-Zertifikats sollten zudem sowohl das E-Mail-Programm selbst, als auch alle verwendeten Plug-ins aktuell gehalten werden. Thunderbird-Entwickler Ben Bucksch empfiehlt in diesem Zusammenhang ein „Vereinfachtes HTML“ zu aktivieren. In diesem Modus würden URLs sowie aktive HTML-Elemente aus den E-Mails herausgefiltert werden. Dieser Schutz sei wirksamer und brauchbarer als Plaintext. „Ich rate außerdem, verschlüsselte E-Mails nicht im E-Mail-Client zu entschlüsseln. Stattdessen könnte der Ciphertext aus der E-Mail exportiert werden, um ihn in einem separaten Programm zu entschlüsseln. Dieser Weg ist zugegebenermaßen umständlich und für die meisten User eher nicht praktikabel. Jedoch können so weder anfällige Mailprogramme noch Plug-in Inhalte aus der E-Mail an Angreifer weitergeben werden“, gibt Heutger noch einen Tipp.

Überraschenderweise hatte die Electronic Frontier Foundation (EFF) empfohlen, die E-Mail-Verschlüsselung zu deinstallieren. Diese Empfehlung hatte für den Moment ihre Berechtigung. Denn zum Zeitpunkt dieser Empfehlung existierten noch keine Patches, die das Problem beheben konnten. Außerdem hat Efail auch das Entschlüsseln von E-Mails aus der Vergangenheit erlaubt. Wird vorläufig die E-Mail-Verschlüsselung deaktiviert, können die Inhalte der Nachrichten aus der Vergangenheit geschützt werden. „Eine Dauerlösung kann es jedoch nicht sein, auf die E-Mail-Verschlüsselung zu verzichten. Schließlich würde auch niemand seine Haustüre offen stehen lassen, nur weil es theoretisch möglich ist, den Hausschlüssel nachzumachen. Ich bin überzeugt, wenn rechtzeitig Updates bereitgestanden wären, hätte die EFF ihre Empfehlung so nicht ausgesprochen“, so Heutger. Aus gutem Grund: Auch nach der Efail-Schwachstelle gilt die E-Mail-Verschlüsselung via S/MIME oder PGP nicht als gebrochen. Die Sicherheit und Vertraulichkeit können durch eine nicht ausgereifte Implementierung bzw. Konfiguration geschwächt werden. „Wer sich an die Empfehlungen hält, kann weiterhin sichere E-Mails versenden und empfangen“, so das Fazit Heuthers.

Weitere Informationen zum Thema:

PSW Group
Sicherheit nach Efail: Wie Ihre privaten Nachrichten weiterhin privat bleiben

datensicherheit.de, 02.10.2018
DSGVO: Datenminimierung im WHOIS hat Auswirkungen auf Domain-Registrare und Zertifizierungsstellen

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.06.2018
Whois: Bedrohung durch die DSGVO

[datensicherheit.de, 22.05.2018] IT-Sicherheitsexperten der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben nach eigenen Angaben Sicherheitslücken in den beiden gängigen E-Mail-Verschlüsselungs-Verfahren „PGP“ und „S/MIME“ entdeckt: Damit verschlüsselte E-Mails könnten demnach auf zwei verschiedene Arten so manipuliert werden, dass Angreifer den Klartext der verschlüsselten Nachricht erhalten. Der diesbezügliche Bericht mit dem Schlagwort „Efail“ habe schnell ein großes Echo in den Medien gefunden. Dabei sei häufig die falsche Aussage gemacht worden, dass die Verschlüsselung von E-Mails mit diesen beiden Verfahren nicht wirksam sei.

Bekannte Schwachstelle in E-Mail-Clients ausgenutzt

„Die aufgedeckten Sicherheitslücken betreffen nicht die beiden Verschlüsselungstechnologien selbst, sondern nutzen eine schon lange bekannte Schwachstelle in E-Mail-Clients aus“, erläutert hierzu Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH.

Automatisches Nachladen von Links im Mail-Client deaktivieren!

Esch: „Diese Schwachstelle lässt sich einfach ausmerzen bzw. ist in der Regel gar nicht vorhanden. Dazu muss nur das automatische Nachladen von Links im Mail-Client deaktiviert werden – eine Einstellung, die auch bei unverschlüsselter Kommunikation empfehlenswert ist. Denn das automatische Nachladen von Links im Mail-Client ermöglicht Spammern, einfach festzustellen, wann und wo ein Empfänger eine unerwünschte Werbemail angeschaut hat.“

Verschlüsselung korrekt implemetieren und sicher konfigurieren!

In einer kürzlich verbreiteten Medienmitteilung habe auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden könnten, sofern sie korrekt implementiert und sicher konfiguriert sind.

Weitere Informationen zum Thema:

SEPPMAIL, 21.05.2018
Statement zu Efail

datensicherheit.de, 22.05.2018
Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln

datensicherheit.de, 21.03.2017
Fraunhofer SIT bietet Volksverschlüsselung für kleine und mittlere Unternehmen