Zugriff auf geheime Nachrichten möglich Gravierende Schwachstellen in E-Mail-Verschlüsselung entdeckt

Düsseldorf · In den beiden gängigen Verschlüsselungs-Verfahren für E-Mails haben IT-Forscher fundamentale Sicherheitslücken gefunden. Dadurch können Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen.

 Forscher haben eine gravierende Schwachstellen in E-Mail-Verschlüsselungen gefunden.

Forscher haben eine gravierende Schwachstellen in E-Mail-Verschlüsselungen gefunden.

Foto: dpa, Franziska Koark

Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren.

Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven.

Google GMail - Update bringt neue Sicherheitsfunktionen
7 Bilder

Google GMail - Update bringt neue Sicherheitsfunktionen

7 Bilder

Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.

Zugriff auf den Transportweg notwendig

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies am Montag darauf hin, dass für die „EFail“-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei.

Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher „weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden“.

Die besten Apps 2018 - Top-Apps für Google Android & Apple iPhone
35 Bilder

Android & iOS - das sind die besten Apps

35 Bilder
Foto: RP/Christoph Schroeter

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden.

Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

(csr/dpa)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort