Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) würde darüber bereits informiert.
Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Bislang galten die beiden Verschlüsselungsstandards als sehr sicher. Dieses Vertrauen in diese Software dürfte jetzt erschüttert sein.
Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von Html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt.
Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration. Die nun entdeckten Schwachstellen ließen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen, teilt das BSI mit. Dennoch werde langfristig eine Anpassung der OpenPGP- und S/MIME-Standards nötig sein.
Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, sollten Anwender laut BSI aktive Inhalte im E-Mailclient deaktivieren und ferner die Ausführung von Html-Code und das Nachladen externer Inhalte verbieten.
Auf www.bsi-fuer-buerger.de und www.allianz-fuer-cybersicherheit.de finden Privatanwender und Unternehmen ausführliche Informationen, wie sie E-Mailverschlüsselung weiterhin sicher nutzen können.
Bildquelle: Bernd Kasper / Pixelio.de
