Emails mit PGP-Verschlüsselung sind nicht länger sicher: Was tun?

Deutsche Wissenschaftler haben eine nicht zu unterschätzende Schwachstelle im PGP (Pretty Good Privacy) entdeckt. Mit der „EFail“ getauften Sicherheitslücke könnten vergangene und aktuelle Emails problemlos enthüllt und gelesen werden. [...]

Die beliebte PGP-Verschlüsselung für Emails weist gefährliche Mängel auf (c) pixabay.com

Sebastian Schinzel, Professor für Computer Science an der FH Münster, entdeckte die Sicherheitslücke gemeinsam mit seinem Forschungsteam und twitterte gestern eine Warnung, dass die Inhalte privater, verschlüsselter Emails möglicherweise schon bald ans Tageslicht gelangen könnten.

Bei uns finden Sie aktuelle Informationen zum EFail-Vorfall und die ersten nützlichen Hinweise zum schnellen Selbstschutz.

Seit 1991 gilt PGP als die Standard-Verfahrensweise zur Verschlüsselung von Emails und hält sich seither als beliebteste Methode, um private Emails vor ungewolltem Zugriff zu schützen und sie zu versenden. Dabei gibt es längst eine ganze Reihe von guten Alternativen im Bereich der privaten Nachrichtendienste: Apps wie Signal oder Telegram nutzen beispielsweise ebenfalls eine End-to-End-Verschlüsselung zum Schutz der mit ihnen versendeten Nachrichten.

Die Electronic Frontier Foundation (EFF), eine in San Francisco ansässige Gruppe für digitale Rechte, hat die vorhandenen Sicherheitslücken geprüft und konnte in einem Blogbeitrag bestätigen, dass „diese Sicherheitslücken ein unmittelbares Risiko für diejenigen darstellen, die PGP-Tools zur Verschlüsselung von EmailKommunikation nutzen – ebenso wie das Risiko der Offenlegung vergangener Nachrichten, die auf diese Weise versendet wurden.

Details zu den Anfälligkeiten der Verschlüsselung wurden kürzlich von der Süddeutschen Zeitung veröffentlicht. Dort heißt es, dass die Angriffe zwar nur unter bestimmten Bedingungen funktionieren, jedoch nicht zu unterschätzen seien. Da normale Emails in der Regel wesentlich schlechter geschützt sind, seien sie von der Sicherheitslücke nicht betroffen. Sie würden zumeist auf dem Transportweg – also auf dem Weg von Postfach zu Mailserver – verschlüsselt, danach lägen sie auf den Servern des Senders und des Empfängers gleichermaßen unverschlüsselt im Postfach bereit und könnten mitgelesen werden. Mails, die mit PGP oder S/Mime verschlüsselt wurden, bleiben auch auf den Mailservern vor unbefugten Zugriffen geschützt – Angreifer bekämen dann bloß einen sogenannten „Cyphertext“ zu sehen; gemeint ist eine unleserliche Datenwurst.

Die EFail-Sicherheitslücke macht für Angreifer den Zugriff auf private Nachrichten leicht (c) efail.de
Die EFail-Sicherheitslücke macht für Angreifer den Zugriff auf private Nachrichten leicht (c) efail.de

Die NSA suchte lange nach einer Möglichkeit, eine solche PGPVerschlüsselung zu knacken, um ausgegebene Cyphertexte entziffern zu können. Auch Edward Snowden soll auf derartige kryptographische Verfahren geschworen haben. Die Studie der deutschen Forscherteams der FH Münster, der Ruhr-Universität Bochum und der KU-Löwen in Belgien dürfte nun den Beweis erbracht haben, dass diese Vorgehensweise doch nicht so sicher ist, wie stets angenommen.

Weiterführende Informationen zum EFail-Vorfall erhalten Sie auf EFail.de, der eigens dafür eingerichteten Informationswebsite.

Wie kann man sich schützen?

Die Ratschläge, die die EFF und Sebastian Schinzel zum schnellen Selbstschutz geben, decken sich: Sie empfehlen, alle Plug-Ins zu deaktivieren, die die PGPVerschlüsselung nutzen, und das Senden und Lesen von PGP-verschlüsselten Emails vollkommen zu unterbinden. Bis auf Weiteres sollte auf andere Kanäle zurückgegriffen werden, die ebenfalls eine End-to-End-Verschlüsselung von Nachrichten verwenden.

Auf ihrer Website bietet die Electronic Frontier Foundation detaillierte Tutorials, wie sie die PGPVerschlüsselung in den meisten Email-Clients wie Outlook und Apple Mail deaktivieren können.

Wenn Sie Thunderbird mit Enigmail, Apple Mail mit GPGTools oder Outlook mit Gpg4win benutzen, bietet die EFF Schritt-für-Schritt-Tutorials, um die PGP Plug-Ins vorübergehend zu deaktivieren.

Zum jetzigen Zeitpunkt geht man davon aus, dass die Schwachstellen in den Email-Clients selbst, und nicht im PGP-Verschlüsselungsprotokoll gelegen sind. Der Verschlüsselungssoftware GNU Privacy Guard (GnuPG) zufolge kommt das Problem davon, dass die Emailprogramme nicht sorgfältig genug nach Verschlüsselungsfehlern suchen und Links in Emails folgen, die HTML-Code beinhalten:

Werner Koch, Hauptautor der GnuPG, beschreibt das Problem in einem Blogpost als von der EFF „aufgebauscht“. Er bemerkt außerdem, dass er über ein solchesProblem nie direkt informiert worden sei.

Eine richtige Lösung für das EFail-Problem gibt es jedenfalls bislang noch nicht. Daher sei empfohlen, ausreichende Sicherheitsmaßnahmen zu treffen und andere, sicherere Nachrichtendienste zu verwenden. Dies ist – zumindest in nächster Zeit – der sicherste und schnellste Weg, das Problem vorübergehend zu umschiffen.

*Christina Mercer ist Audience Development Editor bei ComputerWorldUK.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*