BSI zu Efail: E-Mail-Verschlüsselung weiterhin sicher einsetzen

Nach dem ein Forscherteam der FH Münster, der Ruhr-Universität Bochum und der KU Leuven Schwachstellen in den standardisierten E-Mail-Verschlüsselungsverfahren Open Pretty Good Privacy (OpenPGP) und S/MIME entdeckt hat, veröffentlicht das BSI Informationen, um sowohl die Verunsicherung der Nutzer zu beseitigen als auch Hinweise zu geben, wie die Mail-Verschlüsselung implementiert werden muss,  damit sie sicher eingesetzt werden kann.

Nach Angaben des BSI sind die beiden betroffenen Verschlüsselungstechniken die am häufigsten für eine Ende-zu-Ende-Verschlüsselung von E-Mails eingesetzten Verfahren. Während S/MIME bei den meisten E-Mail-Programmen bereits direkt genutzt werden kann, kommt bei OpenPGP meist ein weiteres Programm, wie GPG4Win (Windows), GPG Suite (macOS) oder ein Plug-in für das genutzte E-Mail-Progamm (z. B. Enigmail für Mozilla Thunderbird) zum Einsatz. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden. Mittelfristig ist allerdings die Anpassung der beiden Standards und deren Implementierung in den jeweiligen Anwendungen erforderlich, damit die Efail- oder vergleichbare Angriffe auf die E-Mail-Verschlüsselung mit OpenPGP und S/MIME nicht mehr möglich sind.

Nachdem ein Angreifer Zugriff auf verschlüsselte E-Mails eines Opfers erhalten hat, beispielsweise indem eine E-Mail während des Transports oder auf einem E-Mail-Server abgefangen wurde oder Zugriff auf ein E-Mail-Backup bestand, kann dieser die Efail-Schwachstellen ausnutzen. Um die E-Mail-Inhalte im Klartext einsehen zu können, wird eine verschlüsselte E-Mail durch den Angreifer mit aktiven Inhalten manipuliert. Nach der Entschlüsselung durch den Empfänger werden die aktiven Inhalte ausgeführt und der Klartext der E-Mail an einen Server des Angreifers übertragen. Das genaue Angriffsszenario wird von den Forschern auf der Webseite www.efail.de beschrieben.

Manche Anbieter von E-Mail-Programmen werden jetzt und in den kommenden Wochen Sicherheitsupdates veröffentlichen, die gegen Angriffe über die Efail-Schwachstellen schützen sollen. Wer verschlüsselte E-Mails nutzt, sollte daher alle Sicherheitsupdates für das entsprechende E-Mail-Programm direkt installieren. Unabhängig von der Bereitstellung von Sicherheitsupdates für E-Mail-Clients sind die folgenden Konfigurationsempfehlungen zu beachten.

Das BSI empfiehlt grundsätzlich für mehr Sicherheit bei der E-Mail-Kommunikation auf die Darstellung und Erzeugung von E-Mails im HTML-Format zu verzichten. Insbesondere sollte die Ausführung aktiver Inhalte, also das Anzeigen von E-Mails im HTML-Format sowie das Nachladen externer Inhalte ausgeschaltet werden. So können Nutzerinnen und Nutzer ein Ausspähen des E-Mail-Klartexts über die Efail-Schwachstellen verhindern. Sofern ein E-Mail-Provider über die Einstellungen seiner Webmail-Anwendung dazu die Möglichkeit bietet, sollten auch hier entsprechende Maßnahmen umgesetzt werden.

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

  •    Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte,
    die oftmals aus Design-Aspekten erlaubt sind.
  •    E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert

Bundesamt für Sicherheit in der Informationstechnik

Letztes Update:22.06.18

  • Online-Proctoring

    Aufsichtsbehörde: Mehr Schutz für Studierende bei Onlineprüfungen

    In jüngster Vergangenheit mussten sich Gerichte mit der Frage der Zulässigkeit der Einhaltung datenschutzrechtlicher Anforderungen im Rahmen der Durchführung von Kontrollen beschäftigen, die in Zusammenhang mit Online-Prüfungen standen. Studierende müssen aufgrund der Corona-Pandemie häufig auf Online-Veranstaltungen ausweichen. Prüfungen müssen sie ebenfalls online ablegen, auch im eigenen Interesse, um keine wertvolle Studienzeit zu verlieren. Um Online-Prüfungen

    Mehr erfahren
  • Korruptionsbekämpfung

    Korruptionsbekämpfung und Datenschutz

    Datenschutzbeauftragte sind zumeist „Allrounder“. Das müssen sie auch oftmals sein, da sie im Unternehmen als Schnittstelle fungieren (müssen). Sie müssen die Prozesse der Marketingabteilung genauso gut kennen, wie die Welt der IT oder der IT-Sicherheit und natürlich auch die der Personalabteilung, um ihrer originären Aufgabe (Beratung und Überwachung) nachkommen zu können. Das hat seine Ursache

    Mehr erfahren
  • 32 DSGVO

    Vermerk zu Abdingbarkeit von Art. 32 DS-GVO

    Eine als Vermerk veröffentlichte Publikation des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) fand in den letzten Tagen in Datenschutzkreisen große Beachtung. Darin beschäftigt sich der HmbBfDI mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist. Es geht also um die Frage, ob oder inwieweit es sich bei

    Mehr erfahren