Aktuelle Themen zu IT-Security
Anfrage

Efail-Angriffe auf PGP und S/MIME verschlüsselte Mails – was steckt dahinter?

E-Mail-Verschlüsselung gehört heutzutage zum Standard in der deutschen Geschäftswelt. Doch nun irritieren die Schlagzeilen über Efail-Angriff viele Anwender: Sind die verschlüsselten E-Mails wirklich sicher? Zunächst einmal muss man verstehen, was denn überhaupt geschehen ist.

Was ist Efail?

Ein Forscherteam der FH Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) hat schwerwiegende Schwachstellen in den E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden. Ein Angreifer muss im ersten Schritt Zugriff auf eine verschlüsselte E-Mail haben. Zum Beispiel kann eine E-Mail während des Transportweges oder auf einem E-Mail-Server abgefangen werden. Außerdem müssen aktive Inhalte beim Empfänger der E-Mail aktiviert sein, also die Ausführung von HTML-Code und das Nachladen externer Inhalte, z.B. Bilder. Nun fügt der Angreifer der immer noch verschlüsselten E-Mail aktive Inhalte hinzu. Wie genau ein solcher Angriff abläuft, beschreiben die Forscher auf www.efail.de. Wird die so manipulierte E-Mail dann vom Empfänger entschlüsselt, sendet der Empfänger automatisch und ohne sein Wissen den Inhalt der Nachricht im Klartext an den Angreifer.

Sind verschlüsselte E-Mails noch sicher?

Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) können die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden. Langfristig müssen die OpenPGP- und S/MIMEStandards angepasst werden.

Folgende Sofortmaßnahmen sind für einen weiterhin sicheren Einsatz umzusetzen: Aktive Inhalte im E-Mail-Client deaktivieren: Ausführen von HTML-Code, Nachladen externer Inhalte. E-Mailserver und E-Mailclients müssen gegen unautorisierte Zugriffsversuche abgesichert sein. Installierten Sie Sicherheitsupdates vom Anbieter Ihres E-Mail-Programms sofort.

Ein Kommentar unseres IT-Experten Ottmar Gallwitz zur aktuellen Thematik:

„Da es sich hier um eine „Man in The Middle“-Attacke handelt, sollte hier nicht der Fokus auf die E-Mail-Verschlüsselung gelegt werden. Vielmehr sollte der gesamte Weg der E-Mail betrachtet werden: Welche Verbindungen wird für den Transfer Ihrer E-Mails über das Internet verwendet? Wie sieht es aus mit Ihrer Infrastruktur?
Wenn eine E-Mail-Kommunikation auf dem Transportweg abgegriffen und sogar manipuliert werden kann, stellt sich sofort auch die Frage, wie es mit den anderen Daten aussieht – sind diese noch sicher?“

Unsere IT-Experten von m2guard unterstützen Sie gern beim Aufbau einer sicheren IT in Ihrem Unternehmen – selbstverständlich inklusive korrekter Implementierung und Konfiguration von E-Mail-Server, Firewall und Co.!


Quelle: BSI

Lassen Sie Ihre IT-Sicherheit testen!

Verschaffen Sie sich einen Überblick über die tatsächliche IT-Sicherheit in Ihrem Unternehmen. Ein umfassender IT-Sicherheits-Check mit m2GUARD bringt Klarheit!

Kontakt

+49 4561 5280 130

Kontaktanfrage