Sichere Kommunikation

Warnung vor E-Mail-Verschlüsselung: Gravierende Sicherheitslücken in PGP und S/MIME

Warnung für Nutzer von Tools zur automatischen Entschlüsselung gesicherter E-Mails. In den Standards PGP und S/MIME stecken gravierende Sicherheitslücken.

News
VG Wort Pixel
So richten Sie SSL-Verschlüsselung für Ihr Postfach ein.
PGP und S/MIME haben gravierende Sicherheitslücken in Verbindung mit GPG-Programmen.
© Archiv

Wer auf sichere Kommunikations-Tools angewiesen ist, sollte GPG-basierte Programme zur Entschlüsselung von E-Mails meiden, die zuvor per PGP oder S/MIME gesichert wurden! Davor warnen seit den Morgenstunden verschiedene Medien und Verbraucherschützer. Verantwortlich zeichnen Sicherheitsforscher rund um die Fachhochschule Münster, die Ruhr-Universität Bochum und die Universität Leuven in Belgien.

Die Sicherheitsexperten wollen eine oder mehrere gravierende Lücken in den Verschlüsselungsstandards bzw. entsprechenden Programmen gefunden haben. Angeblich erlauben die Lücken Angreifern, nicht nur aktuelle, sondern auch auch bereits ältere verschlüsselte E-Mails mitzulesen. Laut Sebastian Schinzel, Professor für Computersicherheit, sollten erst am Dienstag um 9 Uhr unserer Zeit nähere Details veröffentlicht werden. Die Frist wurde jedoch vorverlegt.

Die Sicherheitsforscher haben nun kurz nach Montagmittag die Details zur Lücke auf der Webseite efail.de veröffentlicht. Dabei handelt es sich um ein Wortspiel aus E-Mail und dem englischen Verb "to fail", das "scheitern" bedeutet. Wie das BSI schreibt und zusammenfasst, können Angreifer sich Zugang zum entschlüsselten Inhalt einer Nachricht verschaffen. Das ist in dem Moment möglich, in dem der Empfänger die Nachricht automatisch entschlüsseln ließ.

Dafür müssen Cyberkriminelle jedoch "Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte."

Das BSI sagt weiter, dass PGP und S/MIME weiterhin "sicher eingesetzt werden [können], wenn sie korrekt implementiert und sicher konfiguriert werden." Die nun bekannt gewordenen Lücken ließen sich zwar per Update schließen. Langfristig würden dennoch Anpassungen an den Standards nötig sein.

Die IT-Verbraucherschützer der Electronic Frontier Foundation (EFF) in den USA standen wie Journalisten der Süddeutschen, NDR und WDR schon vorher in Kontakt mit den Forschern. Die US-Amerikaner haben sich von der Seriosität des Fundes überzeugen lassen und warnen seit Sonntag offiziell vor dem Einsatz entsprechender Programme und genannter Verschlüsselungstechnologien.

Was Betroffene tun müssen

Nutzer sollen demnach schnellstmöglich jegliche Tools und Programme deaktivieren, die automatisch PGP-verschlüsselte E-Mails decodieren und für den Nutzer lesbar machen. Bis zum dem Zeitpunkt, an dem „die Lücken umfassender verstanden und gestopft“ sind, rät die EFF Nutzern zu einer Alternative für die gesicherte Kommunikation. Wie auch Edward Snowden zuvor nennt die Organisation den Messenger Signal, der für Android, iOS und Windows erhältlich ist. In der Zwischenzeit sollen betroffene Nutzer am besten keine PGP-verschlüsselte E-Mail senden.

Verschiedene Browser-Plugins wie etwa Enigmail, GPGTools oder Gpg4win lassen sich unter Windows womöglich nicht über die Liste der installierten Apps und Programme deinstallieren. Das gleiche gilt entsprechend für Versionen auf Mac-OS- oder Linux-Basis. Alternativ werden Sie in den Einstellungen des Mail-Clients für Erweiterungen fündig und sehen dort Optionen fürs Deaktiveren des jeweiligen Add-ons. Genauer zeigt es die EFF in weiterführenden Tipps zum aktuellen Blog-Eintrag.

PGP, S/MIME und GPG kurz erklärt

14.5.2018 von The-Khoa Nguyen

Weiter zur Startseite  

Mehr zum Thema

Kim Schmitz: Der Megaupload-Gründer will einen Lavabit-Nachfolger starten.

Kim Dotcoms Lavabit-Nachfolger

Megaupload-Gründer will in die Fußstapfen des…

Nachdem Lavatbit offline ging, meldet sich Megaupload-Gründer Kim "Dotcom" Schmitz. Er will in die Fußstapfen des E-Mail-Anbieters von Edward Snowden…

E-Mails verschlüsseln

Anleitung

GMX und Web.de: E-Mails sicher verschlüsseln

Nutzer von GMX, Web.de und 1&1 können ihre E-Mails einfach und sicher verschlüsseln. Wie das geht, zeigt unsere Schritt-für-Schritt-Anleitung.

Verschlüsselung

Tools und Tipps

E-Mail Verschlüsselung: OpenPGP und die besten Alternativen

Eine Reihe neuer Tools macht die Verschlüsselung von Dateien und E-Mails auch für Laien praktikabel. Wir geben einen Überblick.

Hacker

Phishing-E-Mail zu "ChipTAN"

Spam-Mails: Verbraucherzentrale warnt vor…

Aktuell kursieren gefälschte Postbank-E-Mails, vor denen die Verbraucherzentrale warnt. So erkennen Kunden eine Phishing-Mail und schützen sich.

So enttarnen Sie Phishing-Betrug

Cyber-Angriffe per Mail

Phishing-Emails im Home-Office werden mehr

In Zeiten vermehrter Home-Office-Arbeit erfreuen sich Phishing-Emails bei Angreifern größter Beliebtheit. So erfolgen die Cyber-Angriffe.