EFAIL Sicherheitslücke in E-Mail Verschlüsselung PGP & S/MIME

Deaktivierung der Funktionen empfohlen

EFAIL – Sicherheitslücke in E-Mails bei PGP & S/MIME Verschlüsselung

EFAIL - Sicherheitslücke in E-Mails bei PGP & S/MIME Verschlüsselung, Header

Eine Gruppe europäischer Sicherheitsforscher veröffentlichte eine Studie, in der schwerwiegende Schwachstellen innerhalb des gängigen E-Mail Verschlüsselungsstandards PGP, einschließlich GPG, beschrieben werden.

Generell zu E-Mail Sicherheit

E-Mail ist ein Klartext-Kommunikationsmedium das grundsätzlich auf zwei Arten Verschlüsselt werden kann. Es gibt die Transportverschlüsselung, wobei die E-Mail durch einen verschlüsselten Kanal gesendet wird und die Inhaltsverschlüsselung. Bei der Inhaltsverschlüsselung wird wie der Name bereits verrät, der Inhalt der Mail  verschlüsselt, obwohl Inhalte wie Absender, Empfänger und Betreff der Mail lesbar bleiben. S/MIME und OpenPGP zählen dabei zur Inhaltsverschlüsselung.

Für wen sind solche Verschlüsselungen relevant?

Aufgrund der DSGVO 2018, sind E-Mail-Verschüsselungen für jeden relevant, sobald personenbezogene Daten involviert und betroffen sind. Generell werden E-Mail-Verschlüsselungen von Personen und Branchen mit sensiblen Inhalten angewendet wie beispielsweise im Journalismus, Finanzmarkt, Politik und dergleichen. Geschützt werden die Nachrichten dabei nicht nur vor Hackern.

Weithin bekannt ist auch, dass eine große Anzahl an E-Mail-Verläufen von nationalen Behörden abgegriffen und gelesen werden. Damit man sich auch vor solch mächtigen Angreifern schützt, wurde vor allem die End-to-End-Verschlüsselung von OpenPGP genutzt. S/MIME ist ein alternativer Anbieter für End-to-End-Verschlüsselung von E-Mails.

16%

aller Unternehmen in Deutschland verschlüsseln ihre E-Mails

27%

aller deutschen Unternehmen, waren in den letzten 2 Jahren von digitaler Wirtschaftsspionage betroffen

18%

aller Unternehmen in Deutschland möchten Ihre E-Mails zukünftig verschlüsseln

Sicherheitslücken wurden von Angreifer ausgenutzt

Nun wurden in den OpenPGP- und S/MIME-Standards Sicherheitslücken erkannt. Dabei wurde der Klartext verschlüsselter E-Mails aufgedeckt. Das heißt EFAIL-Angreifer missbrauchten aktive Inhalte von HTML-E-Mails wie beispielsweise extern geladene Bilder, um Klartext über angeforderte URLs zu extrahieren.

Den Zugriff auf verschlüsselte Mails erfolgte beispielsweise durch den Netzwerkverkehr, was E-Mail-Konten, den Mail Server, Backup-Systeme oder Client-Computer gefährdet. So konnte der Angreifer eine verschlüsselte Mail ändern und dem E-Mail-Empfänger senden. Der E-Mail-Client des Empfängers entschlüsselte die Mail, wodurch externer Inhalt geladen wurde. So konnte der Klartext an den Angreifer exfiltriert werden.

E-Mails lesen über das Mobiltelefon

Dabei sind E-Mails, die über das Mobiltelefon (wie Apple Mail) gelesen werden nicht ausgenommen. Der E-Mail Client des iPhone-Systems iOS und das Programm Mozilla lassen sogar das direkte herausziehen einer Nachricht zu.

Bin ich betroffen?

Innerhalb der Studie wurde bekannt, dass EFAIL-Klartext-Exfiltrationskanäle für 25 der 35 getesteten E-Mail-Clients unter Verschlüsselung von E/MIME und 10 von 28 der Clients unter Verschlüsselung von OpenPGP betroffen sind.

Laut den Forschern sind Anwendungen wie Apple Mail, iOS Mail und Mozilla Thunderbird (Windows, macOS; LInus) besonders anfällig aufgrund von schwerwiegenden Implentierungsfehlern. Vor allem die Clients Apple Mail und Mail App laden automatisch externe Bilder, weshalb die Entschlüsselung ermöglicht wird.

Bild-Quelle: efail.de

Was können Sie nun tun?

Für OpenPGP- und S / MIME ist es notwendig Standards zu ändern, um diese Sicherheitslücken zuverlässig zu beheben.

Ob Sie nun betroffen sind oder nicht, Sie sollten jedoch die Verwendung von PGP für verschlüsselte E-Mails vorerst einstellen und auf eine andere, sichere Kommunikationsmethode umsteigen.

Alternativ zu OpenPGP- und S/MIME kann auch RMS ( Microsoft Rights Management Services) eingesetzt werden. Eine andere Möglichkeit ist es komplett auszuweichen und für eine sichere digitale Kommunikation den kostenfreien Nachrichtendienst Signal zu verwenden.

Wer absolut sicher gehen möchte, dass alle E-Mails verschlüsselt sind. Der sollte ohnedies zusätzlich zur Inhaltsverschlüsselung auch eine Transportverschlüsselung wie Transport Layer Security (TLS) einsetzen.

Unser Fazit

Vor allem aufgrund der Bestimmungen der neuen DSGVO 2018, ist das Thema Sicherheit und dabei auch das Verschlüsseln von E-Mails noch relevanter geworden. Bekannte Sicherheitslücken wie diese von PGP- und S/MIME können dabei genau die gegenteilige Wirkung haben.

Daher ist es im ersten Handlungsbedarf wichtig, diese Anwendungen vorerst zu deinstallieren oder zumindest zu deaktivieren. Aufgrund dessen diese Sicherheitslücken bekannt sind, wird bestimmt daran gearbeitet und in nächster Zeit ein Update zur Verfügung stehen. Bis dieses angeboten wird, sollten diese Dienstleistungen vorerst nicht verwendet werden. Vor allem weil Ihnen auch indirekt geschadet werden kann. Sprich, auch wenn Ihr Client nicht betroffen ist, kann der Ihres Empfängers betroffen sein und Sie so auch treffen.

Quelle: eff.org

Sie haben Fragen zum Thema E-Mail-Verschlüsselung oder benötigen dabei Unterstützung?
Scheuen Sie sich nicht, uns zu kontaktieren!

Ähnliche Beiträge