Anzeige

Efail E-Mail-Security

Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein deutsch-belgisches Forscherteam Schwachstellen, die es Angreifern erlauben, mit OpenPGP oder S/MIME verschlüsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschlüsselung zu einer vom Angreifer kontrollierten Adresse versandt wird.

„Seitdem wird natürlich gegen Efail vorgegangen. Allerdings können die Risiken für eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden“, fasst IT-Sicherheitsexperte Christian Heutger zusammen. So wird seit Bekanntwerden der Sicherheitslücke kontinuierlich am S/MIME-Standard gearbeitet, um die Risiken zu minimieren: Der E-Mail-Zertifikat-Standard wurde auf Version 4 aktualisiert; die IETF empfiehlt sogar, auf AES-GCM zu migrieren. Zudem soll der entschlüsselte Inhalt vor Abschluss einer Integritätsprüfung nicht bearbeitet werden.

Im Kampf gegen die E-Mail Manipulation sieht zudem der OpenPGP-Standard mit dem “Modification Detection Code” (MDC) ein Verfahren vor, Nachrichtenmanipulationen zu verhindern: Mittels SHA-1 wird ein Hash der Nachricht erstellt, um ihn anschließend verschlüsselt an die Nachricht anzuhängen. „Da die Verwendung momentan noch optional ist, ist die Sicherheit nur geringfügig höher, jedoch stellt dieses Verfahren definitiv einen Vorteil dar“, so Heutger, CTO der PSW GROUP. Der Experte macht gleichzeitig jedoch auf die unsichere Hashfunktion SHA-1 aufmerksam: „In MDC selbst sind bisher zwar keine Sicherheitslücken bekannt, die Verwendung der Hashfunktion SHA-1 fällt aber negativ auf.“ Eine sichere Implementierung des Standards sei letztlich nur möglich, wenn er unvollständig implementiert wird und Administratoren bei etwaigen Fehlern sehr streng reagieren: „Dabei dürfen Nachrichten mit MDC-Fehlern gar nicht angezeigt werden. Und auch Datenpakete ohne MDC dürfen keineswegs unterstützt werden. Gängige Plugins setzen dies bereits um, dennoch rate ich bei der Installation der PGP-Plugins zur Vorsicht.“

Zudem haben die Entwickler aus dem Hause Mozilla zügig reagiert und diverse Bugs im hauseigenen E-Mail-Client Thunderbird behoben. Schon im Mai 2018 wurde ein Update auf die damals aktuelle Version 52.8.0 empfohlen. „Mit dieser Version war die Exfiltration der E-Mails durch das Nachladen von Inhalten oder Formularen in HTML-Mails nicht mehr möglich. Somit ist davon auszugehen, dass die aktuelle Client-Version – auch in Verbindung mit dem beliebten Enigmail-Plugin – sicher ist“, schätzt der Experte die Situation ein. Immerhin: Viele öffentliche Webmail-Clients waren und sind gegen die Lücke gefeit – insbesondere zusammen mit dem Browser-Plugin Mailvelope für die PGP-Verschlüsselung.

Dennoch: User sollten sich und ihre E-Mails selbst schützen und einige Verhaltensregeln beherzigen. „Grundsätzlich sollten Anwender das automatische Nachladen externer HTML-Inhalte verhindern, auch wenn die E-Mails verschlüsselt sind“, rät Heutger und ergänzt: „Besser ist, sich Nachrichten im Rein-Text anzeigen zu lassen. Befehle und Links werden so zwar nicht mehr automatisch ausgeführt oder verfolgt, jedoch agieren Anwender auf diese Weise sicherer.“ Empfehlenswert ist es außerdem, auch digital signierte Nachrichten im Rein-Text-Format zu lesen. Zudem sollten E-Mails besser direkt im E-Mail-Client entschlüsselt werden. Sicherer ist es, den verschlüsselten Ciphertext aus der E-Mail zu exportieren und die Nachricht in einem eigenständigen Programm zu entschlüsseln. So gelingt es Angreifern nicht, die Inhalte geheimer Nachrichten auf dem Silbertablett zu servieren. Unabhängig davon versteht es sich von selbst, dass Clients, Plugins und sonstige Software stets auf dem aktuellen Stand gehalten werden sollten.

„Es bleibt abzuwarten, inwieweit Hersteller weiter an ihren E-Mail-Clients, aber auch an der PGP- und S/MIME-Verschlüsselung arbeiten. Ideal wäre es, würden die bekannten Probleme mit der HTML-Darstellung bezüglich der E-Mail- und Kommunikations-Sicherheit weiterhin minimiert werden“, so Christian Heutger.

Weitere Informationen finden Sie hier.

www.psw-group.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Datenaustausch

Datenschutz und Compliance - Datenaustausch aus dem Homeoffice

Die netfiles GmbH, ein Anbieter von virtuellen Datenräumen in Deutschland, hat die Ergebnisse ihrer aktuellen Trendstudie mit dem Titel „Datenschutz und Compliance beim Datenaustausch aus dem Homeoffice – Herausforderungen für die IT in der Corona-Krise“…
Datenbank Sicherheit

Die Sicherheit von Daten beginnt in der Datenbank

Die Datenbank ist das Herzstück eines Security-Konzepts. Der Datenbank-Pionier Couchbase nennt die vier wichtigsten Sicherheitskriterien, die sie zum Schutz sensibler Daten erfüllen muss.
Datenschutz

Unzertrennbar: CRM und Datenschutz

CRM-Lösungen und der Schutz von Daten passen auf den ersten Blick nicht zusammen, doch der Schein trügt. „Seit der Einführung der Datenschutzgrundverordnung (DSGVO) agieren die beiden Welten so eng wie noch nie miteinander“, sagt Litz, Geschäftsführer der…
Passwort

Dashlane launcht Password Health Score Reporting

Dashlane, ein Passwort- und Online-Identitätsverwaltungsdienst, verkündete heute die Einführung eines neuen Dashboards zur Berichterstellung von Passwortintegritätsbewertungen für Business-Kunden. Das erste Berichterstellungstool seiner Art bietet…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!