ifun.de — Apple News seit 2001. 23 445 Artikel
E-Mail-Standards mit Sicherheitslücken

E-Mail-Verschlüsselung: PGP/GPG und S/MIME bieten offenbar Angriffspotenzial

Artikel auf Google Plus teilen.
7 Kommentare 7

Eine vermeintliche Sicherheitslücke im Zusammenhang mit den E-Mail-Verschlüsselungsstandards PGP/GPG und S/MIME sorgt derzeit für Verunsicherung. Die durchaus seriöse Electronic Frontier Foundation (EFF) hat eine Warnung diesbezüglich veröffentlicht, anerkannte Sicherheitsexperten wie Alec Muffet oder auch der GPG-Entwickler Werner Koch sind allerdings der Meinung, dass die EFF mit dem „Efail“ getauften Thema zu viel Wind macht.

Email Pgp Dp

Bilder: depositphotos.com

Konkret soll eine Schwachstelle in den Verschlüsselungstechnologien im schlimmsten Fall zur Folge haben, dass verschlüsselte E-Mails unbefugten im Klartext angezeigt werden. Was genau hinter der Sache steckt, wollen die Sicherheitsforscher morgen erläutern, bis dahin sollen Nutzer entsprechende Plugins deinstallieren und auch keine verschlüsselten Mails mehr lesen. Über die Schwachstelle sei es auch möglich, bereits empfangene E-Mails zu entschlüsseln.

Zum technischen Hintergrund gibt es bislang lediglich Spekulationen, dementsprechend ist es nicht möglich, die Situation seriös einzuschätzen. Schlagzeilen wie „Sicherheitsforscher haben die beiden wichtigsten Verschlüsselungsverfahren für E-Mails gehackt“ scheinen jedenfalls überzogen.

PGP-Plugins vorübergehend entfernen

Wer auf Nummer sicher gehen will, entfernt bis weitere Informationen veröffentlicht werden zunächst sämtliche Verschlüsselungs-Plugins. Dadurch wird verhindert, dass verschlüsselte Mails angezeigt werden können – sowohl für euch, als auch für eventuelle Angreifer. Die Absender neu eingegangener Mails müsstet ihr temporär dann auf anderen Wegen kontaktieren. Wie man die Plugins in Apple Mail deaktiviert, ist hier erklärt.

UPDATE: BSI liefert weitere Infos

Mittlerweile liegt auch eine Stellungnahme des Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Dem zufolge lässt sich eine Ausnutzung der Sicherheitslücken durch kommende Updates und angepasstes Nutzungsverhalten vermeiden.

Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.
Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Montag, 14. Mai 2018, 14:03 Uhr — Chris
7 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
    • Hast Du Dir mal die Mühe gemacht und nachgelesen wie der „Angriff“ funktioniert?
      Tatsächlich ist nämlich die Verschlüsselung selbst garnicht das Problem.

      • … sehe ich genauso.
        Aber: die Medien sind leider seit einigen Monaten/Jahre so auf Krawall gebürstet, dass ihnen die Headline „eMail-Verschlüsselung geknackt“ (siehe Tagesschau) ausreicht um nicht nur Leser/Zuschauer zu generieren sondern auch noch reichlich Paranoia zu schüren.
        Aber: Nicht alle sind Idioten !

    • Da hat mal wieder einer keine Ahnung

  • Als ich heute morgen die Eilmeldung „PGP wurde geknackt“ von der Tagesschau App bekommen habe, hatte ich wirklich für einen kurzen Moment Angst bekommen. Nach ein bisschen Rechere kann ich für mich zumindest sagen, dass sich das Ausmaß der Sicherheitslücke in Grenzen hält. Jeder der PGP wirklich ernsthaft zum Schutz sensibler Konversation nutzt, hat sich vermutlich im Vorfeld etwas informiert. Das Nachladen von externen Quellen ist in den E-Mail und Webclients, die ich nutze standardmäßig deaktiviert.
    Für vermeintlich sichere, S/MIME verschlüsselte E-Mails, welche später auf dem iPhone angezeigt werden sollen, kann es allerdings tatsächlich problematisch werden.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 23445 Artikel in den vergangenen 6054 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2018 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven