Google will in Zukunft seine Nutzer warnen, wenn sie eine E-Mail-Nachricht über eine unverschlüsselte Verbindung erhalten. Der Internetkonzern reagiert damit auf die Ergebnisse einer mehrjährigen Studie, die in Zusammenarbeit mit der University of Michigan durchgeführt wurde. Daraus ging hervor, dass E-Mail heute sicherer als vor zwei Jahren ist, aber es auch neue Beeinträchtigungen der Sicherheit gibt.
Der Studie zufolge nahm der Anteil der verschlüsselten Nachrichten unter den hereinkommenden Mails von Dezember 2013 bis Oktober 2015 stark zu von 33 auf 61 Prozent. Auch mehr Empfänger-Domains unterstützen inzwischen Verschlüsselung. Auf dem Weg von Gmail zu anderen Diensten erhöhte sich daher im gleichen Zeitraum der Prozentsatz der auf dem Transportweg mit TLS verschlüsselten Mails von 60 auf 80 Prozent. Authentifizierungstechniken, um vor Phishing und Identitätsbetrug zu schützen, sind quasi zur Norm geworden und werden inzwischen bei über 94 Prozent der hereinkommenden Nachrichten eingesetzt.
Die Sicherheitsforscher stießen aber auch auf das aktive Unterbinden der Verschlüsselung in Bereichen des Internets, indem Befehle zur Initialisierung von SSL-Verbindungen manipuliert wurden. Google arbeitet deshalb mit dem Branchenverband M3AAWG zusammen, um das „opportunistische TLS“ (TLS, wenn möglich) mit neuen Methoden zu stärken, die schon bei Chrome zum Einsatz kamen.
Als weitere Herausforderung erwiesen sich bösartige DNS-Server, die falsche Routing-Informationen an E-Mail-Server ausgaben, die zu Gmail weiterleiten wollten. Das sei zwar eine seltene Angriffsart, aber zugleich sehr beunruhigend, da sie Angreifern erlauben könnte, Nachrichten vor der Weiterleitung zum Empfänger zu zensieren oder zu ändern.
Aufgrund der schon länger praktizierten Verschlüsselung der Kommunikation von Gmail-Konto zu Gmail-Konto betreffen diese möglichen Schwachstellen zwar deren Nutzer nicht, können aber die Übertragung zwischen verschiedenen Providern gefährden. Aus diesem Grund sollen die Warnungen an Gmail-Nutzer bei unverschlüsselter Übertragung hereinkommender Nachrichten ausgegeben werden. Einen konkreten Zeitpunkt gibt Google dafür noch nicht an – das Rollout der Warnungen soll „in den kommenden Monaten“ beginnen.
[mit Material von Zack Whittaker, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
