Donnerstag, 18.10.2018
 
Seit 12:00 Uhr Nachrichten
StartseiteForschung aktuell"Problem wird massiv überhöht"14.05.2018

Sicherheitslücke bei E-Mail-Verschlüsselung"Problem wird massiv überhöht"

Der Verschlüsselungsvorgang von E-Mails mithilfe der Software "Open PGP" und "S/MIME" ist offenbar angreifbar. Allerdings werde die Problematik teilweise übertrieben dargestellt, weil etliche Medien derzeit unzureichende Informationen verbreiteten, so Technikjournalist Jan Rähm im Dlf.

Jan Rähm im Gespräch mit Arndt Reuning

Hören Sie unsere Beiträge in der Dlf Audiothek
(dpa/Jan-Philipp Strobel)
Von der Sicherheitslücke seien nur sehr wenige E-Mail-User betroffen, so Jan Rähm. Wichtige Tipps, wie man seine E-Mail-Kommunikation schützen kann, hat er trotzdem parat. (dpa/Jan-Philipp Strobel)
  • E-Mail
  • Teilen
  • Tweet
  • Drucken
  • Podcast
Mehr zum Thema

IT-Sicherheit Im Dschungel der Mail-Verschlüsselung

Datensicherheit Keybase.io baut einfache Verschlüsselungsschnittstelle

Journalisten und ihre Kommunikation Bequemlichkeit oder Sicherheit?

Cyber-Eyperte zu Angriff "Ich würde empfhelen zu zahlen"

Sicherheitslücke beim iPhone "Smartphones sind ein sehr spannendes Ziel"

Arndt Reuning: #efail – Unter diesem Schlagwort sorgt gerade eine Software-Schwachstelle für sehr viel Wirbel in den sozialen Netzwerken. Es geht um die Verschlüsselung von E-Mails mithilfe der Software "Open PGP" und "S/MIME". Die galt bisher als sicher, aber offenbar haben nun Experten aus Münster, Bochum und dem belgischen Leuven eine Möglichkeit gefunden, wie ein Angreifer den Text entschlüsseln kann. Die Veröffentlichung, welche diese Schwachstelle beschreibt, ist noch gar nicht erschienen – trotzdem wirft allein schon die Ankündigung hohe Wellen. Frage an meinen Kollegen Jan Rähm: Worin genau besteht diese Schwachstelle bei der Verschlüsselung von E-Mails.

Jan Rähm: Das ist noch nicht ganz klar, weil das Paper, in dem das Ganze beschrieben steht, das ist für morgen angekündigt. Allerdings gibt es ein Vorab-Papier: Stand heute sieht es so aus, die Verschlüsslungstechniken Open PGP und S/MIME, die sind nicht geknackt. Vielmehr sind Entschlüsselungs-Plugins in allen E-Mail-Programmen betroffen. Demnach, so schreiben die Forscher, können sie eigentlich verschlüsselte Kommunikation im Klartext ausleiten – das heißt, jeder kann sie lesen. Das klappt, weil die Programme und Plugins die Integrität, also die Unversehrtheit, von verschlüsselten Mails unzureichend prüfen. Dazu greifen die Angreifer eine verschlüsselte E-Mail des Opfers ab, manipulieren die Mail, schicken sie wieder ans Opfer und täuschen dessen E-Mail-Programm in der Art, dass es eine unverschlüsselte Kopie der Inhalte an die Angreifer sendet – und die können dann mitlesen.

"Sowohl Open PGP als auch S/MIME scheinen nicht beeinträchtigt"

Reuning: Das klingt nach einem komplexen Angriff. Wie schwerwiegend ist die Lücke und wer ist betroffen?

Rähm: Es ist ein sehr komplexer Angriff, der von zwei unabhängigen Sicherheitsforschern als sehr, sehr elegant und gut gemacht eingeschätzt wird. Allerdings ist es ein Angriff auf die E-Mail-Programme und nicht, zumindest nach dem aktuellen Stand der Dinge, nicht auf die Verschlüsselung selbst. Sowohl Open PGP als auch die zertifikatsbasierte Lösung S/MIME scheinen nicht beeinträchtigt. Und es ist, wie erwähnt, die Umsetzung der Verschlüsselung, die unzureichend ist und den Angriff erlaubt.

Betroffen davon sind nach jetzigem Stand aufgrund der Komplexität jedoch nur wirklich ausgewählte Nutzer, nicht die Masse der Internetanwender, die verschlüsseln, was ja eher wenige tun. Daher: Wenn Sie ein gejagter Whistleblower, Geheimagent oder Geheimnisträger sind, dann sollten sie in der nächsten Zeit etwas vorsichtiger sein.

Wie kann man seine Kommunikation schützen?

Reuning: Was sollten diejenigen tun, die diese Software zur Verschlüsselung von E-Mails benutzen?

Rähm: Sie sollten zum Beispiel das nicht tun, was die Electronic Frontier Foundation in den USA oder diverse Medien empfehlen: Sie sollten nicht die Verschlüsselung deaktivieren oder gar deinstallieren. Sie verzichten künftig ja auch nicht auf Briefumschläge, weil einmal ein Brief bei Versand beschädigt wurde.

Was sie aber dringend tun sollten: Das Nachladen von Inhalten aus dem Internet in ihrem Mailprogramm deaktiveren - das ist außerdem kein ganz neuer Rat.

Und auch die Anzeige von HTML-Inhalten, die sollten sie dringen unterbinden – denn das ist der Angriffsvektor über den hier angegriffen wird. Und wenn sie dann noch die automatische Entschlüsselung ausschalten, sollte die Gefahr zumindest für den Moment erst einmal gebannt sein. Und dann sollte man natürlich so schnell wie möglich die Sicherheits-Updates installieren, wenn sie denn kommen.

Schlechte Kommunikation zwischen Forschern und Entwicklern

Reuning: Wird das Risiko, das von der Schwachstelle ausgeht, von der Öffentlichkeit angemessen eingeschätzt?

Rähm: Das muss man in diesem Fall leider ein wenig in Frage stellen. Ich habe den Eindruck, hier wird gerade sehr, sehr stark gehypt. Es scheint einiges in der Kommunikation zwischen Forschern und den Hersteller der Mailprogramme sowie mit den Herstellern der Verschlüsselungen schief gegangen zu sein.

Außerdem verbreiten etliche Medien im Moment, ich sage mal, unzureichende Informationen und überhöhen das Problem massiv. Denn mit dieser Sicherheitslücke, die ja unzweifelhaft da ist, hätte man erst an die Öffentlichkeit gehen sollen, wenn Updates für die wichtigsten Mailprogramme und Verschlüsselungs-Plugins bereitstehen. Das ist, wie es scheint, so nicht passiert.

Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk