Emails mit PGP-Verschlüsselung sind nicht länger sicher: Was tun?

Deutsche Wissenschaftler haben eine nicht zu unterschätzende Schwachstelle im PGP (Pretty Good Privacy) entdeckt. Mit der „EFail“ getauften Sicherheitslücke könnten vergangene und aktuelle Emails problemlos enthüllt und gelesen werden. [...]

img-1
Die beliebte PGP-Verschlüsselung für Emails weist gefährliche Mängel auf (c) pixabay.com

Sebastian Schinzel, Professor für Computer Science an der FH Münster, entdeckte die Sicherheitslücke gemeinsam mit seinem Forschungsteam und twitterte gestern eine Warnung, dass die Inhalte privater, verschlüsselter Emails möglicherweise schon bald ans Tageslicht gelangen könnten.

Bei uns finden Sie aktuelle Informationen zum EFail-Vorfall und die ersten nützlichen Hinweise zum schnellen Selbstschutz.

Seit 1991 gilt PGP als die Standard-Verfahrensweise zur Verschlüsselung von Emails und hält sich seither als beliebteste Methode, um private Emails vor ungewolltem Zugriff zu schützen und sie zu versenden. Dabei gibt es längst eine ganze Reihe von guten Alternativen im Bereich der privaten Nachrichtendienste: Apps wie Signal oder Telegram nutzen beispielsweise ebenfalls eine End-to-End-Verschlüsselung zum Schutz der mit ihnen versendeten Nachrichten.

Die Electronic Frontier Foundation (EFF), eine in San Francisco ansässige Gruppe für digitale Rechte, hat die vorhandenen Sicherheitslücken geprüft und konnte in einem Blogbeitrag bestätigen, dass „diese Sicherheitslücken ein unmittelbares Risiko für diejenigen darstellen, die PGP-Tools zur Verschlüsselung von EmailKommunikation nutzen – ebenso wie das Risiko der Offenlegung vergangener Nachrichten, die auf diese Weise versendet wurden.

Details zu den Anfälligkeiten der Verschlüsselung wurden kürzlich von der Süddeutschen Zeitung veröffentlicht. Dort heißt es, dass die Angriffe zwar nur unter bestimmten Bedingungen funktionieren, jedoch nicht zu unterschätzen seien. Da normale Emails in der Regel wesentlich schlechter geschützt sind, seien sie von der Sicherheitslücke nicht betroffen. Sie würden zumeist auf dem Transportweg – also auf dem Weg von Postfach zu Mailserver – verschlüsselt, danach lägen sie auf den Servern des Senders und des Empfängers gleichermaßen unverschlüsselt im Postfach bereit und könnten mitgelesen werden. Mails, die mit PGP oder S/Mime verschlüsselt wurden, bleiben auch auf den Mailservern vor unbefugten Zugriffen geschützt – Angreifer bekämen dann bloß einen sogenannten „Cyphertext“ zu sehen; gemeint ist eine unleserliche Datenwurst.

Die EFail-Sicherheitslücke macht für Angreifer den Zugriff auf private Nachrichten leicht (c) efail.de
Die EFail-Sicherheitslücke macht für Angreifer den Zugriff auf private Nachrichten leicht (c) efail.de

Die NSA suchte lange nach einer Möglichkeit, eine solche PGPVerschlüsselung zu knacken, um ausgegebene Cyphertexte entziffern zu können. Auch Edward Snowden soll auf derartige kryptographische Verfahren geschworen haben. Die Studie der deutschen Forscherteams der FH Münster, der Ruhr-Universität Bochum und der KU-Löwen in Belgien dürfte nun den Beweis erbracht haben, dass diese Vorgehensweise doch nicht so sicher ist, wie stets angenommen.

Weiterführende Informationen zum EFail-Vorfall erhalten Sie auf EFail.de, der eigens dafür eingerichteten Informationswebsite.

Wie kann man sich schützen?

Die Ratschläge, die die EFF und Sebastian Schinzel zum schnellen Selbstschutz geben, decken sich: Sie empfehlen, alle Plug-Ins zu deaktivieren, die die PGPVerschlüsselung nutzen, und das Senden und Lesen von PGP-verschlüsselten Emails vollkommen zu unterbinden. Bis auf Weiteres sollte auf andere Kanäle zurückgegriffen werden, die ebenfalls eine End-to-End-Verschlüsselung von Nachrichten verwenden.

Auf ihrer Website bietet die Electronic Frontier Foundation detaillierte Tutorials, wie sie die PGPVerschlüsselung in den meisten Email-Clients wie Outlook und Apple Mail deaktivieren können.

Wenn Sie Thunderbird mit Enigmail, Apple Mail mit GPGTools oder Outlook mit Gpg4win benutzen, bietet die EFF Schritt-für-Schritt-Tutorials, um die PGP Plug-Ins vorübergehend zu deaktivieren.

Zum jetzigen Zeitpunkt geht man davon aus, dass die Schwachstellen in den Email-Clients selbst, und nicht im PGP-Verschlüsselungsprotokoll gelegen sind. Der Verschlüsselungssoftware GNU Privacy Guard (GnuPG) zufolge kommt das Problem davon, dass die Emailprogramme nicht sorgfältig genug nach Verschlüsselungsfehlern suchen und Links in Emails folgen, die HTML-Code beinhalten:

Werner Koch, Hauptautor der GnuPG, beschreibt das Problem in einem Blogpost als von der EFF „aufgebauscht“. Er bemerkt außerdem, dass er über ein solchesProblem nie direkt informiert worden sei.

Eine richtige Lösung für das EFail-Problem gibt es jedenfalls bislang noch nicht. Daher sei empfohlen, ausreichende Sicherheitsmaßnahmen zu treffen und andere, sicherere Nachrichtendienste zu verwenden. Dies ist – zumindest in nächster Zeit – der sicherste und schnellste Weg, das Problem vorübergehend zu umschiffen.

*Christina Mercer ist Audience Development Editor bei ComputerWorldUK.


Mehr Artikel

img-5
News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*