E-Mail-Verschlüsselung: PGP/GPG und S/MIME bieten offenbar Angriffspotenzial

Eine vermeintliche Sicherheitslücke im Zusammenhang mit den E-Mail-Verschlüsselungsstandards PGP/GPG und S/MIME sorgt derzeit für Verunsicherung. Die durchaus seriöse Electronic Frontier Foundation (EFF) hat eine Warnung diesbezüglich veröffentlicht, anerkannte Sicherheitsexperten wie Alec Muffet oder auch der GPG-Entwickler Werner Koch sind allerdings der Meinung, dass die EFF mit dem „Efail“ getauften Thema zu viel Wind macht.

Bilder: depositphotos.com

Konkret soll eine Schwachstelle in den Verschlüsselungstechnologien im schlimmsten Fall zur Folge haben, dass verschlüsselte E-Mails unbefugten im Klartext angezeigt werden. Was genau hinter der Sache steckt, wollen die Sicherheitsforscher morgen erläutern, bis dahin sollen Nutzer entsprechende Plugins deinstallieren und auch keine verschlüsselten Mails mehr lesen. Über die Schwachstelle sei es auch möglich, bereits empfangene E-Mails zu entschlüsseln.

Zum technischen Hintergrund gibt es bislang lediglich Spekulationen, dementsprechend ist es nicht möglich, die Situation seriös einzuschätzen. Schlagzeilen wie „Sicherheitsforscher haben die beiden wichtigsten Verschlüsselungsverfahren für E-Mails gehackt“ scheinen jedenfalls überzogen.

PGP-Plugins vorübergehend entfernen

Wer auf Nummer sicher gehen will, entfernt bis weitere Informationen veröffentlicht werden zunächst sämtliche Verschlüsselungs-Plugins. Dadurch wird verhindert, dass verschlüsselte Mails angezeigt werden können – sowohl für euch, als auch für eventuelle Angreifer. Die Absender neu eingegangener Mails müsstet ihr temporär dann auf anderen Wegen kontaktieren. Wie man die Plugins in Apple Mail deaktiviert, ist hier erklärt.

UPDATE: BSI liefert weitere Infos

Mittlerweile liegt auch eine Stellungnahme des Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Dem zufolge lässt sich eine Ausnutzung der Sicherheitslücken durch kommende Updates und angepasstes Nutzungsverhalten vermeiden.

Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.
Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.