Forscher finden Schwachstelle in E-Mail-Verschlüsselung
MÜNSTER (dpa) IT-Forscher haben fundamentale Sicherheitslücken in den beiden gängigen Verschlüsselungs-Verfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt sein. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren.
Durch die Schwachstelle können mit den Standards OpenPGP und S/ MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven.
Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen ein- gesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das EMail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.
Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem EMail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden.