Emails mit PGP-Verschlüsselung sind nicht länger sicher: Was tun?

Deutsche Wissenschaftler haben eine nicht zu unterschätzende Schwachstelle im PGP (Pretty Good Privacy) entdeckt. Mit der „EFail“ getauften Sicherheitslücke könnten vergangene und aktuelle Emails problemlos enthüllt und gelesen werden. [...]

Die beliebte PGP-Verschlüsselung für Emails weist gefährliche Mängel auf (c) pixabay.com

Sebastian Schinzel, Professor für Computer Science an der FH Münster, entdeckte die Sicherheitslücke gemeinsam mit seinem Forschungsteam und twitterte gestern eine Warnung, dass die Inhalte privater, verschlüsselter Emails möglicherweise schon bald ans Tageslicht gelangen könnten.

Bei uns finden Sie aktuelle Informationen zum EFail-Vorfall und die ersten nützlichen Hinweise zum schnellen Selbstschutz.

Seit 1991 gilt PGP als die Standard-Verfahrensweise zur Verschlüsselung von Emails und hält sich seither als beliebteste Methode, um private Emails vor ungewolltem Zugriff zu schützen und sie zu versenden. Dabei gibt es längst eine ganze Reihe von guten Alternativen im Bereich der privaten Nachrichtendienste: Apps wie Signal oder Telegram nutzen beispielsweise ebenfalls eine End-to-End-Verschlüsselung zum Schutz der mit ihnen versendeten Nachrichten.

Die Electronic Frontier Foundation (EFF), eine in San Francisco ansässige Gruppe für digitale Rechte, hat die vorhandenen Sicherheitslücken geprüft und konnte in einem Blogbeitrag bestätigen, dass „diese Sicherheitslücken ein unmittelbares Risiko für diejenigen darstellen, die PGP-Tools zur Verschlüsselung von EmailKommunikation nutzen – ebenso wie das Risiko der Offenlegung vergangener Nachrichten, die auf diese Weise versendet wurden.

Details zu den Anfälligkeiten der Verschlüsselung wurden kürzlich von der Süddeutschen Zeitung veröffentlicht. Dort heißt es, dass die Angriffe zwar nur unter bestimmten Bedingungen funktionieren, jedoch nicht zu unterschätzen seien. Da normale Emails in der Regel wesentlich schlechter geschützt sind, seien sie von der Sicherheitslücke nicht betroffen. Sie würden zumeist auf dem Transportweg – also auf dem Weg von Postfach zu Mailserver – verschlüsselt, danach lägen sie auf den Servern des Senders und des Empfängers gleichermaßen unverschlüsselt im Postfach bereit und könnten mitgelesen werden. Mails, die mit PGP oder S/Mime verschlüsselt wurden, bleiben auch auf den Mailservern vor unbefugten Zugriffen geschützt – Angreifer bekämen dann bloß einen sogenannten „Cyphertext“ zu sehen; gemeint ist eine unleserliche Datenwurst.

Die EFail-Sicherheitslücke macht für Angreifer den Zugriff auf private Nachrichten leicht (c) efail.de
Die EFail-Sicherheitslücke macht für Angreifer den Zugriff auf private Nachrichten leicht (c) efail.de

Die NSA suchte lange nach einer Möglichkeit, eine solche PGPVerschlüsselung zu knacken, um ausgegebene Cyphertexte entziffern zu können. Auch Edward Snowden soll auf derartige kryptographische Verfahren geschworen haben. Die Studie der deutschen Forscherteams der FH Münster, der Ruhr-Universität Bochum und der KU-Löwen in Belgien dürfte nun den Beweis erbracht haben, dass diese Vorgehensweise doch nicht so sicher ist, wie stets angenommen.

Weiterführende Informationen zum EFail-Vorfall erhalten Sie auf EFail.de, der eigens dafür eingerichteten Informationswebsite.

Wie kann man sich schützen?

Die Ratschläge, die die EFF und Sebastian Schinzel zum schnellen Selbstschutz geben, decken sich: Sie empfehlen, alle Plug-Ins zu deaktivieren, die die PGPVerschlüsselung nutzen, und das Senden und Lesen von PGP-verschlüsselten Emails vollkommen zu unterbinden. Bis auf Weiteres sollte auf andere Kanäle zurückgegriffen werden, die ebenfalls eine End-to-End-Verschlüsselung von Nachrichten verwenden.

Auf ihrer Website bietet die Electronic Frontier Foundation detaillierte Tutorials, wie sie die PGPVerschlüsselung in den meisten Email-Clients wie Outlook und Apple Mail deaktivieren können.

Wenn Sie Thunderbird mit Enigmail, Apple Mail mit GPGTools oder Outlook mit Gpg4win benutzen, bietet die EFF Schritt-für-Schritt-Tutorials, um die PGP Plug-Ins vorübergehend zu deaktivieren.

Zum jetzigen Zeitpunkt geht man davon aus, dass die Schwachstellen in den Email-Clients selbst, und nicht im PGP-Verschlüsselungsprotokoll gelegen sind. Der Verschlüsselungssoftware GNU Privacy Guard (GnuPG) zufolge kommt das Problem davon, dass die Emailprogramme nicht sorgfältig genug nach Verschlüsselungsfehlern suchen und Links in Emails folgen, die HTML-Code beinhalten:

Werner Koch, Hauptautor der GnuPG, beschreibt das Problem in einem Blogpost als von der EFF „aufgebauscht“. Er bemerkt außerdem, dass er über ein solchesProblem nie direkt informiert worden sei.

Eine richtige Lösung für das EFail-Problem gibt es jedenfalls bislang noch nicht. Daher sei empfohlen, ausreichende Sicherheitsmaßnahmen zu treffen und andere, sicherere Nachrichtendienste zu verwenden. Dies ist – zumindest in nächster Zeit – der sicherste und schnellste Weg, das Problem vorübergehend zu umschiffen.

*Christina Mercer ist Audience Development Editor bei ComputerWorldUK.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*