WiWo App Jetzt gratis testen
Anzeigen

S/MIME und OpenPGP Forscher knacken E-Mail-Verschlüsselung

Mail-Verschlüsselungen Quelle: dpa

E-Mails werden bislang kaum verschlüsselt, weil die beiden gängigen Kryptoverfahren vielen zu kompliziert erscheinen. Aber immerhin galten sie als sicher. Das ist nun vorbei.

IT-Forscher haben fundamentale Sicherheitslücken in den beiden gängigen Verschlüsselungs-Verfahren für E-Mails gefunden, durch die Angreifer unter gewissen Umständen Zugriff auf geheime Nachrichten bekommen können. Die Gefahr lässt sich jedoch durch die richtigen Einstellungen reduzieren. „Sie sind nur betroffen, wenn ein Angreifer bereits Zugriff auf ihre E-Mails hat“, schränkten die Experten ein.

Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven am Montag. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten.

Insgesamt seien 25 von 35 getesteten E-Mail-Programmen mit S/MIME-Unterstützung anfällig für die Attacken, bei den OpenPGP-fähigen Clients waren es zehn von 28. S/MIME wird vor allem im Unternehmensumfeld verwendet, während viele Privatanwender sowie Journalisten und Aktivisten OpenPGP nutzen.

Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich einer Postkarte offen eingesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies am Montag darauf hin, dass für die Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Der deutsche Software-Entwickler Werner Koch, der maßgeblich das freie PGP-Programm GNU Privacy Guard (GnuPG) entwickelt hat, trat Experten entgegen, die empfohlen hatten, die PGP-Software zu deinstallieren. Der Web-Standard HTML werde für die Schaffung eines Rückkanals missbraucht. Es gebe aber keine Anzeichen dafür, dass die PGP-Software selbst unsicher sei.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%