BSI zu Efail: E-Mail-Verschlüsselung weiterhin sicher einsetzen

Nach dem ein Forscherteam der FH Münster, der Ruhr-Universität Bochum und der KU Leuven Schwachstellen in den standardisierten E-Mail-Verschlüsselungsverfahren Open Pretty Good Privacy (OpenPGP) und S/MIME entdeckt hat, veröffentlicht das BSI Informationen, um sowohl die Verunsicherung der Nutzer zu beseitigen als auch Hinweise zu geben, wie die Mail-Verschlüsselung implementiert werden muss,  damit sie sicher eingesetzt werden kann.

Nach Angaben des BSI sind die beiden betroffenen Verschlüsselungstechniken die am häufigsten für eine Ende-zu-Ende-Verschlüsselung von E-Mails eingesetzten Verfahren. Während S/MIME bei den meisten E-Mail-Programmen bereits direkt genutzt werden kann, kommt bei OpenPGP meist ein weiteres Programm, wie GPG4Win (Windows), GPG Suite (macOS) oder ein Plug-in für das genutzte E-Mail-Progamm (z. B. Enigmail für Mozilla Thunderbird) zum Einsatz. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden. Mittelfristig ist allerdings die Anpassung der beiden Standards und deren Implementierung in den jeweiligen Anwendungen erforderlich, damit die Efail- oder vergleichbare Angriffe auf die E-Mail-Verschlüsselung mit OpenPGP und S/MIME nicht mehr möglich sind.

Nachdem ein Angreifer Zugriff auf verschlüsselte E-Mails eines Opfers erhalten hat, beispielsweise indem eine E-Mail während des Transports oder auf einem E-Mail-Server abgefangen wurde oder Zugriff auf ein E-Mail-Backup bestand, kann dieser die Efail-Schwachstellen ausnutzen. Um die E-Mail-Inhalte im Klartext einsehen zu können, wird eine verschlüsselte E-Mail durch den Angreifer mit aktiven Inhalten manipuliert. Nach der Entschlüsselung durch den Empfänger werden die aktiven Inhalte ausgeführt und der Klartext der E-Mail an einen Server des Angreifers übertragen. Das genaue Angriffsszenario wird von den Forschern auf der Webseite www.efail.de beschrieben.

Manche Anbieter von E-Mail-Programmen werden jetzt und in den kommenden Wochen Sicherheitsupdates veröffentlichen, die gegen Angriffe über die Efail-Schwachstellen schützen sollen. Wer verschlüsselte E-Mails nutzt, sollte daher alle Sicherheitsupdates für das entsprechende E-Mail-Programm direkt installieren. Unabhängig von der Bereitstellung von Sicherheitsupdates für E-Mail-Clients sind die folgenden Konfigurationsempfehlungen zu beachten.

Das BSI empfiehlt grundsätzlich für mehr Sicherheit bei der E-Mail-Kommunikation auf die Darstellung und Erzeugung von E-Mails im HTML-Format zu verzichten. Insbesondere sollte die Ausführung aktiver Inhalte, also das Anzeigen von E-Mails im HTML-Format sowie das Nachladen externer Inhalte ausgeschaltet werden. So können Nutzerinnen und Nutzer ein Ausspähen des E-Mail-Klartexts über die Efail-Schwachstellen verhindern. Sofern ein E-Mail-Provider über die Einstellungen seiner Webmail-Anwendung dazu die Möglichkeit bietet, sollten auch hier entsprechende Maßnahmen umgesetzt werden.

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

  •    Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte,
    die oftmals aus Design-Aspekten erlaubt sind.
  •    E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert

Bundesamt für Sicherheit in der Informationstechnik

Letztes Update:22.06.18

  • Datenschutz-Adventskalender

    Alle Jahre wieder: Der Datenschutz-Adventskalender

    Es sind zwar schon einige Türchen auf. Es lohnt sich jedoch nach wie vor, täglich auf den Seiten des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vorbeizuschauen. Der (LfDI) Rheinland-Pfalz hat pünktlich zum 1. November 2020, einen virtuellen Adventskalender gestartet. Professor Dieter Kugelmann und seine Mitarbeiterinnen und Mitarbeiter laden wie in früheren Jahren Datenschutz-Interessierte

    Mehr erfahren
  • Digitalisierung

    Arbeitspapier zu Datenmanagement- und Datentreuhandsystemen

    Die Fokusgruppe Datenschutz veröffentlicht unter der Leitung der GDD ein Arbeitspapier zu den Datenmanagement- und Datentreuhandsystemen anlässlich des Digital-Gipfel 2020 der Bundesregierung. „Durch Digitalisierung zu mehr Nachhaltigkeit“ lautet das Motto des Digital-Gipfels 2020. Technische Innovationen zur Unterstützung ökologischer, ökonomischer und sozialer Ziele sind aus Sicht der Bundesregierung wichtige Aspekte eines nachhaltigen Wirkens. Die Digitalisierung bietet auch hier zahlreiche

    Mehr erfahren
  • Checkliste ViKo

    Datenschutz-Checkliste für Videokonferenz-Systeme

    Auf Grund der Maßnahmen zur Bekämpfung der Corona-Pandemie haben viele Unternehmen kurzfristig Telearbeitsplätze eingerichtet, um ihren Beschäftigten die Möglichkeit zu eröffnen, ihren arbeitsvertraglichen Pflichten auch von Zuhause nachkommen können. Um trotzdem die betriebsinterne Kommunikation sicherzustellen, setzen Unternehmen häufig sog. Software as a Service Dienstleister (kurz: SaaS) für Video- und Onlinekonferenzen, -Meetings oder Webinare ein. Hierbei

    Mehr erfahren