Efail: Schwachstellen in E-Mail-Verschlüsselung

0
1026

Schwerwiegende Sicherheitslücken in den verbreiteten Verschlüsselungsstandards OpenPGP und S/MIME ermöglichen Angreifern Zugriff auf verschlüsselte E-Mails.
Die Lücken sind bereits im Herbst 2017 durch Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der belgischen Universität Leuven gefunden worden. Die Veröffentlichung wurde bis jetzt zurückgehalten, um Herstellern Gelegenheit zu geben, Sicherheits-Patches zu entwickeln. Anbieter von E-Mail-Clients haben zum Teil bereits Patches bereitgestellt oder zumindest angekündigt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das bereits frühzeitig durch die Forscher informiert wurde, hat die Bundesverwaltung, die Länder und als Kritische Infrastruktur eingestufte Unternehmen über Maßnahmen zur sicheren Konfiguration von OpenPGP und S/MIME informiert.

Zur Ausnutzung der Schwachstellen müssen Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Außerdem müssen aktive Inhalte beim Empfänger aktiviert sein, damit Angreifer verschlüsselte Mails so manipulieren können, dass die Inhalte nach der Entschlüsselung im Klartext an sie weitergeleitet werden. Daher sollten aktive Inhalte – wie die Ausführung von html-Code oder das Nachladen externer Inhalte – deaktiviert werden. Besonders bei mobilen Geräten ist diese Funktion standardmäßig meist aktiviert. Weitere Hinweise hat das BSI auf seiner Webseite zusammengetragen.