Sicherheit
14.05.2018, 14:49 Uhr
Forscher finden gravierende Schwachstellen in E-Mail-Verschlüsselung
E-Mails werden bislang kaum verschlüsselt, weil die beiden gängigen Kryptoverfahren vielen Anwendern zu kompliziert erscheinen. Aber immerhin galten die Standards als sicher. Doch nun haben Forscher kritische Schwachstellen in den Verschlüsselungsverfahren entdeckt.
IT-Forscher haben fundamentale Sicherheitslücken in den beiden gängigen Verschlüsselungs-Verfahren für E-Mails gefunden, durch die Angreifer unter Umständen Zugriff auf geheime Nachrichten bekommen könnten. Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren. «Sie sind nur betroffen, wenn ein Angreifer bereits Zugriff auf ihre E-Mails hat», schränkten die Experten zudem ein.
Durch die Schwachstelle können mit den Standards OpenPGP und S/MIME verschlüsselte E-Mails auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven am Montag. Im schwerwiegenderen der beiden Angriffsszenarien erlaubten Apple Mail, der E-Mail-Client des iPhone-Systems iOS und das Programm Mozilla Thunderbird das direkte Herausziehen der Nachrichten, das einfacher umzusetzen sei.
Insgesamt seien für die Attacken 25 von 35 getesteten E-Mail-Programmen bei S/MIME anfällig und 10 von 28 geprüften E-Mail-Clients, die OpenPGP entschlüsseln können, hieß es. S/MIME wird vor allem im Unternehmensumfeld verwendet, während OpenPGP meist Privatanwender sowie Journalisten und Aktivisten nutzen.
Herkömmliche, nicht verschlüsselte E-Mails sind von der Lücke ohnehin nicht betroffen. Sie können ohnehin ähnlich wie eine Postkarte offen eingesehen werden. Die Verschlüsselung mit OpenPGP oder S/MIME galt bislang als relativ sicher, wenn man die Verfahren richtig anwendet.