Brisante Sicherheitslücken bei der E-Mail-Verschlüsselung

„E-Mail ist kein sicheres Kommunikationsmedium mehr". Zu dieser Einschätzung gelangte kürzlich der Professor für Angewandte Kryptographie an der Fachhochschule Münster Sebastian Schinzel. Er hatte mit seinem Forschungsteam sowie Kollegen aus Bochum und Löwen (Belgien) die aktuellen Standards und Umsetzungen der E-Mail-Verschlüsselung analysiert und festgestellt, daß weder die Verschlüsselungs- und Signierungsprogramme S/MIME (Secure / Multipurpose Internet Mail Extensions) noch OpenPGP (Pretty Good Privacy) die Sicherheit von verschlüsselt verschickten Nachrichten in hinreichendem Maße sicherstellen können. Bis zu diesem Zeitpunkt galten die beiden Chiffrierungsverfahren als sicher, ja selbst vor Geheimdiensten. Das entdeckte Problem mit dem Namen „Efail“ taucht bei allen Programmen auf, die E-Mail-Verschlüsselung umsetzen. Ob Outlook, Windows Mail oder auch Thunderbird und Apple Mail; alle sind von gravierenden Sicherheitslücken bedroht. Angreifer können demnach codierte E-Mails derart manipulieren, daß der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie weitergeleitet wird. 

Besonders kritisch ist dieses Problem im Firmenumfeld eingesetzten S/MIME zu bewerten. Hier kam die Forschergruppe zum Fazit, daß dieser Standart im Geschäftverkehr nicht weiter verwendbar sei. Aber auch PGP stehe vor dem ernsthaften Sicherheitsproblem gegenüber potentiellen Angriffen. Bereitgestellte Update der OpenPGP-Erweiterungen könnten die brenzliche Situation etwas entschärfen. Wer sicherer kommunizieren möchte, sollte allerdings die Ende-zu-Ende-Verschlüsselung benutzen.
Es gibt jedoch derzeit keine verläßliche Abhilfe, die entdeckte Sicherheitslücke von PGP und S/MIME tatsächlich zu schließen. Die Technik dieser Verschlüsselungsprogramme ist auf dem Stand der 1990er Jahre stehengeblieben.
Auch wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlautbaren läßt, PGP und S/MIME könnten bei korrekter Implementierung und Konfigurierung weiterhin verwendet werden, ist es insbesondere im Geschäftsverkehr empfehlenswert, brisante Nachrichten nicht über E-Mail zu verschicken. Besser ist es, sich den Rat vom Experten einzuholen. Hier stehen Ihnen unsere Kollegen vom UTMshop als erfahrene und auf Sicherheit spezialisierte Fachleute mit handlichen und dem Standard vorauseilenden Sicherheitslösungen zur Verfügung.
Bis dahin sollten die Nutzer der ausgehebelten Codierungsprogramme auf jeden Fall die aktiven Inhalte, wie den oft standardmäßig voreingestellten HTML-Code oder externe Inhalte in ihren E-Mails deaktivieren. Zusätzlich müssen die E-Mail-Server und -Clients gegen unerlaubte Zugriffsversuche abgesichert sein.

Derzeit ist noch unklar, ob und wie auch die in E-Mail Protection der Sophos SG und XG-Serie integrierten S/Mime Module hiervon auch betroffen sind. Sobald wir weitere diesbezügliche Informationen erhalten, werden wie diese hier veröffentlichen.