„Efail“: E-Mail-Verschlüsselung in Kombination mit HTML-Mails kann unsicher sein

„Efail“: E-Mail-Verschlüsselung in Kombination mit HTML-Mails kann unsicher sein

Forscher der Fachhochschule Münster haben eine kritische Sicherheitslücke in gängigen Lösungen für die E-Mail-Verschlüsselung (OpenPGP, S/MIME) entdeckt. Den bislang ausführlichsten Bericht dazu hat die zusammen mit ihrem Rechercheverbund mit NDR und WDR vorab informierte „Süddeutsche Zeitung“ ins Netz gestellt. Details der Schwachstellen wollen die Münsteraner Forscher um Sebastian Schinzel, Professor für Angewandte Kryptografie, allerdings erst morgen veröffentlichen. Bevor die Einzelheiten nicht vollständig bekannt sind, besteht aus unserer Sicht auch noch kein Grund zu Panik.

Im „SZ“-Artikel heißt es:

Der Angriff der Forscher basiert auf zwei Bedingungen: Erstens, sie besitzen den Ciphertext. Zweitens, im E-Mail-Programm wird HTML erlaubt.

Wichtig: Nicht OpenPGP und S/MIME sind prinzipiell unsicher; das Problem liegt im Umgang bestimmter E-Mail-Clients und Plugins für diese im Umgang mit verschlüsselten E-Mails im HTML-Format. Firmen, die zwischenzeitlich jegliches Risiko ausschließen wollen, können also zumindest für eingehende verschlüsselte E-Mails HTML untersagen. Eine weitere Vorsichtsmaßnahme wäre, auf Client-Rechnern einstweilen Plug-ins abzuschalten, die verschlüsselte E-Mails im Mail-Client automatisch entschlüsseln. Dazu hatte die US-amerikanische Electronic Frontier Foundation (EFF) geraten.

Mehr Details finden Interessierte außerdem auf der (englischsprachigen) Webseite efail.de. Als eine kurzfristige Maßnahme zum Schutz vor „Efail“-Angriffen empfehlen die Forscher dort, die Entschlüsselung von E-Mails nicht mehr im Mail-Programm, sondern getrennt an anderer Stelle vorzunehmen. Genau das passiert bei Kunden von Retarus E-Mail Encryption grundsätzlich: hier kommt für die Entschlüsselung ein separates Gateway zum Einsatz (dem Thema Gateways widmen sich die Münsteraner Forscher in ihrem Paper dediziert in Abschnitt 6.5). So wie unser Gateway-Hersteller auch empfehlen wir – aus IT-Security-Sicht ein alter Hut – aber natürlich auch weiterhin, das Nachladen von HTML-Inhalten aus dem Netz vom E-Mail-Client aus zu unterbinden.

Wir behalten die weitere Entwicklung selbstverständlich im Auge und melden uns umgehend, sobald es wichtige Neuigkeiten gibt.

(Zuletzt aktualisiert am 15. Mai 2018 um 14:10 Uhr.)

Tags: //