1. Home
  2. BSI zu Efail:...
DataAgenda

BSI zu Efail: E-Mail-Verschlüsselung weiterhin sicher einsetzen

Nach dem ein Forscherteam der FH Münster, der Ruhr-Universität Bochum und der KU Leuven Schwachstellen in den standardisierten E-Mail-Verschlüsselungsverfahren Open Pretty Good Privacy (OpenPGP) und S/MIME entdeckt hat, veröffentlicht das BSI Informationen, um sowohl die Verunsicherung der Nutzer zu beseitigen als auch Hinweise zu geben, wie die Mail-Verschlüsselung implementiert werden muss,  damit sie sicher eingesetzt werden kann.

Nach Angaben des BSI sind die beiden betroffenen Verschlüsselungstechniken die am häufigsten für eine Ende-zu-Ende-Verschlüsselung von E-Mails eingesetzten Verfahren. Während S/MIME bei den meisten E-Mail-Programmen bereits direkt genutzt werden kann, kommt bei OpenPGP meist ein weiteres Programm, wie GPG4Win (Windows), GPG Suite (macOS) oder ein Plug-in für das genutzte E-Mail-Progamm (z. B. Enigmail für Mozilla Thunderbird) zum Einsatz. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden. Mittelfristig ist allerdings die Anpassung der beiden Standards und deren Implementierung in den jeweiligen Anwendungen erforderlich, damit die Efail- oder vergleichbare Angriffe auf die E-Mail-Verschlüsselung mit OpenPGP und S/MIME nicht mehr möglich sind.

Nachdem ein Angreifer Zugriff auf verschlüsselte E-Mails eines Opfers erhalten hat, beispielsweise indem eine E-Mail während des Transports oder auf einem E-Mail-Server abgefangen wurde oder Zugriff auf ein E-Mail-Backup bestand, kann dieser die Efail-Schwachstellen ausnutzen. Um die E-Mail-Inhalte im Klartext einsehen zu können, wird eine verschlüsselte E-Mail durch den Angreifer mit aktiven Inhalten manipuliert. Nach der Entschlüsselung durch den Empfänger werden die aktiven Inhalte ausgeführt und der Klartext der E-Mail an einen Server des Angreifers übertragen. Das genaue Angriffsszenario wird von den Forschern auf der Webseite www.efail.de beschrieben.

Manche Anbieter von E-Mail-Programmen werden jetzt und in den kommenden Wochen Sicherheitsupdates veröffentlichen, die gegen Angriffe über die Efail-Schwachstellen schützen sollen. Wer verschlüsselte E-Mails nutzt, sollte daher alle Sicherheitsupdates für das entsprechende E-Mail-Programm direkt installieren. Unabhängig von der Bereitstellung von Sicherheitsupdates für E-Mail-Clients sind die folgenden Konfigurationsempfehlungen zu beachten.

Das BSI empfiehlt grundsätzlich für mehr Sicherheit bei der E-Mail-Kommunikation auf die Darstellung und Erzeugung von E-Mails im HTML-Format zu verzichten. Insbesondere sollte die Ausführung aktiver Inhalte, also das Anzeigen von E-Mails im HTML-Format sowie das Nachladen externer Inhalte ausgeschaltet werden. So können Nutzerinnen und Nutzer ein Ausspähen des E-Mail-Klartexts über die Efail-Schwachstellen verhindern. Sofern ein E-Mail-Provider über die Einstellungen seiner Webmail-Anwendung dazu die Möglichkeit bietet, sollten auch hier entsprechende Maßnahmen umgesetzt werden.

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

  •    Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte,
    die oftmals aus Design-Aspekten erlaubt sind.
  •    E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert

Bundesamt für Sicherheit in der Informationstechnik

Letztes Update:22.06.18

Das könnte Sie auch interessieren

  • Folge 90: KI Omnibus Update März 2026 reloaded: Reallabore Spezial

    Im DataAgenda-Podcast Folge 89 hat Kai Zenner über die anstehenden Änderungen der KI-Verordnung berichtet, die im August 2026 Geltung erlangen sollen. Einer der Gegenstände der Änderung betrifft das sog. New Legal Framework in Anhang 1. Die dort unter Abschnitt A aufgelisteten Harmonisierungsvorschriften führen zu einer Doppelregulierung. Deshalb sollen die dort aufgeführten Produkte in Abschnitt B

    Mehr erfahren
  • DataAgenda Podcast Cover Folge 89 mit Kai Zenner

    Folge 89: KI Omnibus Update März 2026

    Änderungen der KI-VO stehen in den Startblöcken. So wie es aussieht, wird das am 1. August 2024 in Kraft getretene EU-Gesetz geändert, noch bevor der Großteil der maßgeblichen Pflichten am 2. August 2026 Geltung erlangt. Kai Zenner, Büroleiter von MdEP Axel Voss berichtet am Tag der Ausschussabstimmung im Europäischen Parlament tagesaktuell von Zeitplan und Inhalten

    Mehr erfahren
  • DataAgenda Podcast Cove Folge 88 mit Dr. Judith Nink

    Folge 88: „NIS-2: Regulierung als Chance oder Bürokratiemonster?“

    Mit der fortschreitenden Digitalisierung wachsen nicht nur die Risiken für die Datensicherheit, sondern auch die regulatorischen Anforderungen. Dr. Judith Nink, Fachbereichsleiterin Cybersicherheit bei Unternehmen, Digitale Sicherheit beim Bundesamt für Sicherheit in der Informationstechnologie (BSI), erläutert NIS-2 im europäischen Regulierungskontext. Warum ist NIS-2 notwendig? Was ist zu tun? Wie können Unternehmen das Recht umsetzen und welche

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner