Verschlüsselte E-Mails sind nach Angaben von NDR, WDR und „Süddeutscher Zeitung“ nicht mehr sicher. Forschern der FH Münster, der Ruhr-Universität Bochum und der KU Leuven in Belgien ist es gelungen, die zwei wichtigsten Verschlüsselungsverfahren für digitale Kommunikation PGP und S/MIME zu knacken. Angreifer können verschlüsselte E-Mails demnach so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung im Klartext an sie weitergeleitet wird.
1. Verschlüsselte E-Mails nicht mehr sicher
2. Entschlüsselung extern durchführen lassen
Verschlüsselte E-Mails nicht mehr sicher
„E-Mail ist kein sicheres Kommunikationsmedium mehr“, wird Professor Sebastian Schinzel von der FH Münster in der „Süddeutschen Zeitung“ zitiert. Bisher schützten Firmen über die Verschlüsselungsverfahren ihre Betriebsgeheimnisse oder schrieben Oppositionelle in Diktaturen Nachrichten, ohne dass selbst Geheimdienste mitlesen konnten. Nun könnten alle diese Nachrichten im Nachhinein entschlüsselt werden. Die Forscher haben betroffene Unternehmen wie Microsoft und Apple bereits vor Monaten informiert. Bisher gibt es allerdings noch keine Lösung für das Problem.
There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4
— Sebastian Schinzel (@seecurity) 14. Mai 2018
"EFail"-Attacke |
---|
Die kompletten technischen Details zur "EFail"-Attacke können Sie mit einem Klick auf "mehr dazu" einsehen (PDF). |
Entschlüsselung extern durchführen lassen
Auch die Forscher selbst schlagen als schnelle Zwischenlösung vor, auf HTML in E-Mails zu verzichten. Zudem sollte man die Entschlüsselung nicht mehr direkt im E-Mail-Client vornehmen lassen, sondern stattdessen externe Programme verwenden. Auf lange Sicht müssten jedoch die bisherigen Verschlüsselungs-Standards angepasst werden. Am kommenden Freitag wollen die Forscher ihre Ergebnisse auf der IT Security-Konferenz „RuhrSec“ vorstellen.