Categories: Sicherheit

EFAIL: PGP-Verschlüsselung wurde nicht gehackt

Im Zuge der Veröffentlichung über die fehlerhafte Implementierung von PGP- und S/MIME-Verschlüsselung in bestimmten E-Mails-Clients empfehlen einige Experten, auf die Verschlüsselung ganz zu verzichten. Das halten wiederum andere Fachleute für stark übertrieben und geben Ratschläge, wie man eine E-Mail-Verschlüsselung weiter nutzen kann, ohne Gefahr zu laufen, dass die Inhalte der Kommunikation durch die EFAIL-Schwachstellen kompromittiert werden können.

Durch die mit EFAIL bezeichneten Schwachstellen können Angreifer verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeliefert wird. „Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.“, schreibt das Bundesamt für Sicherheit in der Informationstechnik in einer Mitteilung und stellt damit klar, dass der E-Mail-Client das Problem ist und nicht die Verschlüsselungstandards als solche. Schlagzeilen wie „PGP wurde geknackt“ sind demnach falsch.

Möglicherweise wurden derartige Schlagzeilen auch durch den missverständlichen Titel „Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels (draft 0.9.0)“ der Veröffentlichung durch die Forscher befördert. Das BSI und auch andere Experten halten die Verschlüsselung von E-Mails mit PGP weiter für sicher, wenn ein paar Bedingungen erfüllt sind.

Als erstes empfiehlt die Behörde grundsätzlich für mehr Sicherheit bei der E-Mail-Kommunikation auf die Darstellung und Erzeugung von E-Mails im HTML-Format zu verzichten. Dass HTML-E-Mails potentiell gefährlich sind, ist schon lange bekannt und sollte jemanden, der Nachrichten verschlüsselt, nicht erstaunen. Vermutlich enthalten daher die mit PGP verschlüsselten E-Mails auch kaum HTML-Code. Was aber passiert, wenn man von einem Angreifer eine gefährliche E-Mail erhält, die die EFAIL-Schwachstellen ausnutzen will. In einem solchen Fall sollte man wie bei jeder E-Mail eines unbekannten Adressaten diese nur mit Vorsicht öffnen. Grundsätzlich sollte die Ausführung aktiver Inhalte, also das Anzeigen von E-Mails im HTML-Format sowie das Nachladen externer Inhalte ausgeschaltet werden. Außerdem sollte man sich informieren, ob für das genutzte E-Mail-Programm ein Update zur Verfügung steht. Enigmail bietet bereits eine Aktualisierung, die gegenüber den EFAIL-Schwachstellen immun ist.

Natürlich nutzt es wenig, wenn der Empfänger der verschlüsselten E-Mail noch einen Client einsetzt, der anfällig gegenüber den EFAIL-Schwachstellen ist. Es muss sichergestellt sein, dass sämtliche Adressaten einen sicheren Client verwenden. Am besten nutzt man hierzu sichere Webmailer wie ProtonMail oder Mailbox.org. Beide Anbieter haben sich zum Thema EFAIL in ihren jeweiligen Blogs geäußert und werden auch durch die Ergebnisse der Forscher bestätigt, die den Webmail-Diensten Schutz gegenüber den EFAIL-Schwachstellen attestieren.

Wer E-Mails verschlüsseln muss, sollte sich im Klaren darüber sein, dass diese vor unbefugtem Zugriff nur geschützt sind, wenn sämtliche Teilnehmer der Korrespondenz abgesichert sind. Aufgrund der EFAIL-Schwachstellen generell auf Verschlüsselung zu verzichten, erscheint angesichts der vorhandenen sicheren Möglichkeiten als übertrieben. Das sieht auch das BSI so.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

17 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

17 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

18 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

18 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

20 Stunden ago