ifun.de — Apple News seit 2001. 39 479 Artikel

E-Mail-Standards mit Sicherheitslücken

E-Mail-Verschlüsselung: PGP/GPG und S/MIME bieten offenbar Angriffspotenzial

Artikel auf Mastodon teilen.
7 Kommentare 7

Eine vermeintliche Sicherheitslücke im Zusammenhang mit den E-Mail-Verschlüsselungsstandards PGP/GPG und S/MIME sorgt derzeit für Verunsicherung. Die durchaus seriöse Electronic Frontier Foundation (EFF) hat eine Warnung diesbezüglich veröffentlicht, anerkannte Sicherheitsexperten wie Alec Muffet oder auch der GPG-Entwickler Werner Koch sind allerdings der Meinung, dass die EFF mit dem „Efail“ getauften Thema zu viel Wind macht.

Email Pgp Dp

Bilder: depositphotos.com

Konkret soll eine Schwachstelle in den Verschlüsselungstechnologien im schlimmsten Fall zur Folge haben, dass verschlüsselte E-Mails unbefugten im Klartext angezeigt werden. Was genau hinter der Sache steckt, wollen die Sicherheitsforscher morgen erläutern, bis dahin sollen Nutzer entsprechende Plugins deinstallieren und auch keine verschlüsselten Mails mehr lesen. Über die Schwachstelle sei es auch möglich, bereits empfangene E-Mails zu entschlüsseln.

Zum technischen Hintergrund gibt es bislang lediglich Spekulationen, dementsprechend ist es nicht möglich, die Situation seriös einzuschätzen. Schlagzeilen wie „Sicherheitsforscher haben die beiden wichtigsten Verschlüsselungsverfahren für E-Mails gehackt“ scheinen jedenfalls überzogen.

PGP-Plugins vorübergehend entfernen

Wer auf Nummer sicher gehen will, entfernt bis weitere Informationen veröffentlicht werden zunächst sämtliche Verschlüsselungs-Plugins. Dadurch wird verhindert, dass verschlüsselte Mails angezeigt werden können – sowohl für euch, als auch für eventuelle Angreifer. Die Absender neu eingegangener Mails müsstet ihr temporär dann auf anderen Wegen kontaktieren. Wie man die Plugins in Apple Mail deaktiviert, ist hier erklärt.

UPDATE: BSI liefert weitere Infos

Mittlerweile liegt auch eine Stellungnahme des Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Dem zufolge lässt sich eine Ausnutzung der Sicherheitslücken durch kommende Updates und angepasstes Nutzungsverhalten vermeiden.

Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.
Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
14. Mai 2018 um 14:03 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    7 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Als ich heute morgen die Eilmeldung „PGP wurde geknackt“ von der Tagesschau App bekommen habe, hatte ich wirklich für einen kurzen Moment Angst bekommen. Nach ein bisschen Rechere kann ich für mich zumindest sagen, dass sich das Ausmaß der Sicherheitslücke in Grenzen hält. Jeder der PGP wirklich ernsthaft zum Schutz sensibler Konversation nutzt, hat sich vermutlich im Vorfeld etwas informiert. Das Nachladen von externen Quellen ist in den E-Mail und Webclients, die ich nutze standardmäßig deaktiviert.
    Für vermeintlich sichere, S/MIME verschlüsselte E-Mails, welche später auf dem iPhone angezeigt werden sollen, kann es allerdings tatsächlich problematisch werden.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39479 Artikel in den vergangenen 8461 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven