Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

OpenPGP und S/MIME: Forscher warnen vor unsicherer E-Mail-Verschlüsselung

...

Forscher raten von Nutzung ab  

E-Mail-Verschlüsselung hat gravierende Sicherheitslücken

14.05.2018, 14:11 Uhr | dpa, dpa-tmn

OpenPGP und S/MIME: Forscher warnen vor unsicherer E-Mail-Verschlüsselung. E-Mail-Verschlüsselung: Die Krypto-Standards OpenPGP und S/MIME sind nicht so sicher wie gedacht.  (Quelle: dpa/tmn/Monique Wüstenhagen)

E-Mail-Verschlüsselung: Die Krypto-Standards OpenPGP und S/MIME sind nicht so sicher wie gedacht. (Quelle: Monique Wüstenhagen/dpa/tmn)

Ausgerechnet die Datenschutzorganisation EFF warnt davor, E-Mail-Programme zur Verschlüsselung von Nachrichten zu verwenden. Der Grund: Zwei weit verbreitete Techniken haben sich als unsicher herausgestellt. Es gibt aber Alternativen.  

Wegen schwerer Sicherheitslücken in den Krypto-Standards OpenPGP und S/MIME birgt E-Mail-Verschlüsselung derzeit Risiken. IT-Forscher haben fundamentale Sicherheitslücken in den beiden beliebten Verschlüsselungsverfahren für E-Mails gefunden. Durch die Schwachstelle können verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven.

Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr laut Bundesamt für Sicherheit in der Informationstechnik (BSI) durch richtige Einstellungen reduzieren.

Der Hashtag zur Sicherheitslücke: #EFail

Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies am Montag darauf hin, dass für die "EFail"-Attacke der Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers notwendig sei. Zudem müsse beim Empfänger dafür die Ausführung von HTML-Code und das Nachladen externer Inhalte im E-Mail-Programm erlaubt sein. Die beiden Standards zur E-Mail-Verschlüsselung können nach Einschätzung des BSI daher "weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden".

Um das zu gewährleisten, müssten Anwender aktive Inhalte in ihrem E-Mail-Programm ausschalten. Dazu zählten das Ausführen von HTML-Code und das Nachladen externer Inhalte in E-Mails. Anders als bei PC-Mail-Clients sei das bei Mobilgeräten oft voreingestellt. Entwickler von E-Mail-Anwendungen hätten schon Updates angekündigt oder bereitgestellt. Das BSI betont aber, dass eine sichere Konfiguration unabhängig von Updates bereits durch das Ausschalten aktiver Inhalte gegeben sei.

Die Bürgerrechtsstiftung Electronic Frontier Foundation (EFF) rät indes, zumindest bei Mobilgeräten, für die vertrauliche Kommunikation vorübergehend besser Kryptomessenger wie Signal einzusetzen.

Die Forscher selbst empfahlen, die E-Mails nicht mehr in dem E-Mail-Programm selbst zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Mittelfristig müssten aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselungsstandards selbst weiterentwickelt werden. Die Experten hatten bereits seit dem Herbst mit Unternehmen und Behörden daran gearbeitet, die Lücken zu schließen.

Verwendete Quellen:

Liebe Leserinnen und Leser,

Leider können wir Ihnen nicht zu  allen Artikeln einen Kommentarbereich zur Verfügung stellen. Mehr dazu erfahren Sie in der Stellungnahme der Chefredaktion.

Eine Übersicht der aktuellen Leserdebatten finden Sie hier.

Gerne können Sie auch auf Facebook und Twitter zu unseren Artikeln diskutieren.

Ihr Community-Team

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Anzeige
Jetzt bis zu 225,- € Gutschrift: Digitales Fernsehen
hier EntertainTV buchen
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
  • giga.de
  • desired.de
  • kino.de
  • Statista
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2018