Anzeige

Efail E-Mail-Security

Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein deutsch-belgisches Forscherteam Schwachstellen, die es Angreifern erlauben, mit OpenPGP oder S/MIME verschlüsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschlüsselung zu einer vom Angreifer kontrollierten Adresse versandt wird.

„Seitdem wird natürlich gegen Efail vorgegangen. Allerdings können die Risiken für eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden“, fasst IT-Sicherheitsexperte Christian Heutger zusammen. So wird seit Bekanntwerden der Sicherheitslücke kontinuierlich am S/MIME-Standard gearbeitet, um die Risiken zu minimieren: Der E-Mail-Zertifikat-Standard wurde auf Version 4 aktualisiert; die IETF empfiehlt sogar, auf AES-GCM zu migrieren. Zudem soll der entschlüsselte Inhalt vor Abschluss einer Integritätsprüfung nicht bearbeitet werden.

Im Kampf gegen die E-Mail Manipulation sieht zudem der OpenPGP-Standard mit dem “Modification Detection Code” (MDC) ein Verfahren vor, Nachrichtenmanipulationen zu verhindern: Mittels SHA-1 wird ein Hash der Nachricht erstellt, um ihn anschließend verschlüsselt an die Nachricht anzuhängen. „Da die Verwendung momentan noch optional ist, ist die Sicherheit nur geringfügig höher, jedoch stellt dieses Verfahren definitiv einen Vorteil dar“, so Heutger, CTO der PSW GROUP. Der Experte macht gleichzeitig jedoch auf die unsichere Hashfunktion SHA-1 aufmerksam: „In MDC selbst sind bisher zwar keine Sicherheitslücken bekannt, die Verwendung der Hashfunktion SHA-1 fällt aber negativ auf.“ Eine sichere Implementierung des Standards sei letztlich nur möglich, wenn er unvollständig implementiert wird und Administratoren bei etwaigen Fehlern sehr streng reagieren: „Dabei dürfen Nachrichten mit MDC-Fehlern gar nicht angezeigt werden. Und auch Datenpakete ohne MDC dürfen keineswegs unterstützt werden. Gängige Plugins setzen dies bereits um, dennoch rate ich bei der Installation der PGP-Plugins zur Vorsicht.“

Zudem haben die Entwickler aus dem Hause Mozilla zügig reagiert und diverse Bugs im hauseigenen E-Mail-Client Thunderbird behoben. Schon im Mai 2018 wurde ein Update auf die damals aktuelle Version 52.8.0 empfohlen. „Mit dieser Version war die Exfiltration der E-Mails durch das Nachladen von Inhalten oder Formularen in HTML-Mails nicht mehr möglich. Somit ist davon auszugehen, dass die aktuelle Client-Version – auch in Verbindung mit dem beliebten Enigmail-Plugin – sicher ist“, schätzt der Experte die Situation ein. Immerhin: Viele öffentliche Webmail-Clients waren und sind gegen die Lücke gefeit – insbesondere zusammen mit dem Browser-Plugin Mailvelope für die PGP-Verschlüsselung.

Dennoch: User sollten sich und ihre E-Mails selbst schützen und einige Verhaltensregeln beherzigen. „Grundsätzlich sollten Anwender das automatische Nachladen externer HTML-Inhalte verhindern, auch wenn die E-Mails verschlüsselt sind“, rät Heutger und ergänzt: „Besser ist, sich Nachrichten im Rein-Text anzeigen zu lassen. Befehle und Links werden so zwar nicht mehr automatisch ausgeführt oder verfolgt, jedoch agieren Anwender auf diese Weise sicherer.“ Empfehlenswert ist es außerdem, auch digital signierte Nachrichten im Rein-Text-Format zu lesen. Zudem sollten E-Mails besser direkt im E-Mail-Client entschlüsselt werden. Sicherer ist es, den verschlüsselten Ciphertext aus der E-Mail zu exportieren und die Nachricht in einem eigenständigen Programm zu entschlüsseln. So gelingt es Angreifern nicht, die Inhalte geheimer Nachrichten auf dem Silbertablett zu servieren. Unabhängig davon versteht es sich von selbst, dass Clients, Plugins und sonstige Software stets auf dem aktuellen Stand gehalten werden sollten.

„Es bleibt abzuwarten, inwieweit Hersteller weiter an ihren E-Mail-Clients, aber auch an der PGP- und S/MIME-Verschlüsselung arbeiten. Ideal wäre es, würden die bekannten Probleme mit der HTML-Darstellung bezüglich der E-Mail- und Kommunikations-Sicherheit weiterhin minimiert werden“, so Christian Heutger.

Weitere Informationen finden Sie hier.

www.psw-group.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DSGVO- Innovation

Unternehmen verzichtet aus Datenschutzgründen auf Innovationen

Im Pandemiejahr 2020 erschweren Datenschutzanforderungen vielen Unternehmen die Aufrechterhaltung ihres Betriebs. So greifen viele Unternehmen aus Datenschutzgründen nur eingeschränkt oder gar nicht auf digitale Anwendungen zur Zusammenarbeit im Homeoffice…
Datenaustausch

Datenschutz und Compliance - Datenaustausch aus dem Homeoffice

Die netfiles GmbH, ein Anbieter von virtuellen Datenräumen in Deutschland, hat die Ergebnisse ihrer aktuellen Trendstudie mit dem Titel „Datenschutz und Compliance beim Datenaustausch aus dem Homeoffice – Herausforderungen für die IT in der Corona-Krise“…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!