Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven.

Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies am Montag darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei.

Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden.

Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.