Sie haben auch einen Blog? Empfehlen Sie ihn hier!

Efail: FH Münster findet Lücken bei PGP und S-MIME

Von Klaus Ahrens

Die Fachhochschule Münster hat einen genaueren Blick auf die Standards und deren konkrete Umsetzungen bei der Email-Verschlüsselung mit PGP und S/MIME geworfen und kam dann zu einem vernichtenden Urteil:

S/MIME und auch OpenPGP können die Sicherheit von verschlüsselt versandten Nachrichten nicht wirklich ausreichend sicherstellen. Angreifer, die die verschlüsselt verschickten Emails abfangen und manipulieren können, können sich darüber auch Zugang zumindest zu Teilen des Klartexts der Nachricht verschaffen, warnen die Experten von der FH Münster rund um Sebastian Schinzel.

Von dem inzwischen im Netz “Efail” genannten Problem sind praktisch alle Email-Programme betroffen, die eine Email-Verschlüsselung umsetzen – von Microsoft Outlook und Windows Mail bis hin zu Mozilla Thunderbird und Apple Mail.

PGP und S/MIME unrettbar kaputt?

Ganz besonders gefährlich ist das bei dem vor allem im Firmenumfeld eingesetzten S/MIME, wobei die Forscher aus Münster letztlich diesen Standard als „unrettbar kaputt“ erklären.

Aber auch das aus der Graswurzelbewegung kommende PGP weist gravierende Probleme auf, die sich für ganz konkrete Angriffen ausnutzen lassen. Hier besteht aber noch die Hoffnung, dass die Probleme durch Updates der Hersteller von OpenPGP-Erweiterungen wie zum Beispiel Enigmail mittelfristig wieder entschärft werden können.

Vorbeugende Maßnahmen helfen ein wenig

Als Schutz gegen Efail kann man in der aktuellen Situation im Grunde nur auf das Versenden sehr brisanter Informationen per Email verzichten. Andere Kenner der Materie sehen das aber nicht ganz so definitiv…

Allerdings können vorbeugende Maßnahmen wie beispielsweise das Deaktivieren der Anzeige von HTML und des Nachladen externer Elemente (Grafiken) entschärfen die Probleme deutlich. Das empfiehlt deshalb auch schon der GnuPG-Autor Werner Koch in einer ersten Stellungnahme.

Andere Stimmen wiederum empfehlen die Ende-zu-Ende-Verschlüsselung des aus Sicherheitsgründen besonders in Sicherheitsabteilungen beliebten Messengers Signal. Die setzt nämlich, anders als OpenPGP und S/MIME, die nötige Kryptografie nach dem aktuellen Stand der Technik um und ist damit vor den bei Email jetzt diagnostizierten Problemen sicher.

Nebenbei gesagt: Man kann mit Signal auch Dateien gesichert übertragen…