weltkunstbulletin.com

Technologie

Gravierende Schwachstellen in E-Mail-Verschlüsselung entdeckt

Share
Warnung vor E-Mail-Verschlüsselung: Gravierende Sicherheitslücken in PGP und S/MIME

IT-Forscher haben fundamentale Sicherheitslücken in den beiden beliebten Verschlüsselungsverfahren für E-Mails gefunden. Der Grund: Zwei weit verbreitete Techniken haben sich als unsicher herausgestellt.

Wegen schwerer Sicherheitslücken in den Krypto-Standards OpenPGP und S/MIME birgt E-Mail-Verschlüsselung derzeit Risiken. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie weitergeleitet wird. Das bedeutet also, dass zwei Bedingungen erfüllt sein müssen. "Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können", so BSI-Präsident Arne Schönbohm.

Durch die Kombination von öffentlichen und privaten Schlüsselcodes lassen sich durch "Pretty Good Privacy" (PGP) nicht nur E-Mails verschlüsseln, sondern auch elektronische Unterschriften verifizieren. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden.

Forscher der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien haben eine schwerwiegende Sicherheitslücke in den Verschlüsselungs- und Signierungsprogrammen PGP und S/MIME entdeckt.

Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher "weiterhin sicher eingesetzt werden", wenn Nutzer die richtigen Schutzmaßnahmen umsetzen. Seit geraumer Zeit erlauben E-Mail-Programme auch HTML zur Formatierung von Nachrichten. Dazu zählten das Ausführen von HTML-Code und das Nachladen externer Inhalte in E-Mails. Zuverlässige Methoden, um die Lücken zu flicken, gibt es laut Schinzel aktuell nicht, weshalb er all denen, die PGP und S/MIME für sensitive Konversationen nutzen, die Abschaltung der Systeme im Mail-Client empfiehlt. Das BSI betont aber, dass eine sichere Konfiguration unabhängig von Updates bereits durch das Ausschalten aktiver Inhalte gegeben sei. Man habe die Entwickler und die beteiligten Unternehmen schon vor Monaten über die gefundenen Erkenntnisse informiert, offenbar ist es bis heute nicht gelungen, die Probleme zu lösen und die Lücken zu schliessen.

Share