Kommentar

Efail und die Zukunft der E-Mail-Verschlüsselung

Ist „einer der zentralen Bausteine für sichere Kommunikation im digitalen Zeitalter zertrümmert“ und das Verschlüsseln von E-Mails „kaputt und wohl nicht zu retten“, wie es aktuelle Schlagzeilen und Kommentare in den Medien behaupten? Ein Gastkommentar von Kim Nguyen, Geschäftsführer der D-TRUST GmbH, zum Stichwort „Efail“.

Die klare Antwortet lautet: Nein! Die entdeckten Sicherheitslücken des deutschen Forscherteams bei der E-Mail-Verschlüsselung, unter dem Stichwort „Efail“ bekannt, beziehen sich nicht auf die Verschlüsselungstechnik und die eingesetzten Algorithmen. Beide sind intakt und können weiterhin sicher eingesetzt werden.

Anzeige

Das Problem liegt in der Art und Weise, wie E-Mail-Verschlüsselung in den Mail-Clients implementiert und umgesetzt ist. Im Zentrum steht das automatische Laden von HTML-Inhalten, wie Bilder oder Darstellungscodierungen (Styles), das in einigen Mail-Clients voreingestellt ist. Verschlüsselte Mails können dann mit HTML-Inhalten so manipuliert werden, dass nach dem Entschlüsseln durch den Empfänger der Klartext an einen Server der Angreifer geschickt wird. Diese Sicherheitslücke lässt sich durch Sicherheitsupdates und durch ein angepasstes Nutzerverhalten schließen.

Wegen Efail muss keiner das Verschlüsseln von E-Mails deaktivieren oder etwa ganz aus der Technik aussteigen. Langfristig müssen wir aber Antworten auf die Frage finden, wie sich mehr Anwender für das Thema gewinnen lassen? Laut einer Studie der Bundesdruckerei schützen nur 45 Prozent der deutschen Unternehmen ihre Mails mit einem Verschlüsselungssystem. Das muss sich ändern.

Denn Unternehmen versenden per Mail zunehmend auch vertrauliche Dokumente, zum Beispiel Verträge, Patente oder Protokolle. Die Gefahr ist groß, dass geschäftskritische Informationen in die falschen Hände geraten. So wird E-Mail-Verschlüsselung zu einem wichtiger Faktor für die deutsche Wettbewerbsfähigkeit.

Efail könnte sich vor diesem Hintergrund langfristig positiv auswirken, vorausgesetzt, wir leiten jetzt die richtige Schritte ein. Welche sind das?

Efail hat gezeigt, dass die Tools, die Protokolle und auch die Benutzerfreundlichkeit zu verbessern sind. So muss das Nicht-Laden von HTML-Inhalten standardmäßig eingestellt sein. Das ist bei einigen E-Mail-Programmen bereits der Fall, bei anderen noch nicht.

Zudem müssen die technischen Standards zur Mailverschlüsselung – OpenPGP (Open Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions) – weiterentwickelt werden. Moderne Verschlüsselungstechnik – wie sie Instant Messenger-Dienste einsetzen – können hier den Weg weisen. Dabei kommen authentifizierte Verschlüsselungsverfahren zum Einsatz, die sofort erkennen, ob die Mail auch tatsächlich von dem angegebenen Absender stammt und unterwegs nicht manipuliert wurde.

Damit mehr Unternehmen ihre Mails verschlüsseln, benötigen wir einfache und leicht zu handhabende Lösungen. Wie das in der Praxis aussehen kann, zeigen sogenannte Secure-Mail-Gateway-Lösungen. Bei diesen werden die Mails und dazugehörigen Anlagen zentral auf einem Unternehmensserver verschlüsselt und entschlüsselt. All dies geschieht in einem automatisierten Prozess, ohne dass der Mitarbeiter tätig werden muss.

Neben der fehlenden Benutzerfreundlichkeit gehört ein mangelndes Know-how zu den Hauptgründen, wieso Unternehmen auf eine E-Mail-Verschlüsselung verzichten. Bewusstsein für das Thema lässt sich beispielsweise mit speziellen Mitarbeiter-Seminaren schaffen, in denen die Grundlagen der Technik vermittelt werden. Bei der Bedarfsanalyse und der Konzeption können externe Berater weiterhelfen. Und die Mittel für das Verschlüsseln von Mails gibt es bei sogenannten Vertrauensdiensteanbietern (VDA), die die Rolle als vertrauenswürdige dritte Instanz wahrnehmen und für Zuverlässigkeit und Sicherheit sorgen.

Efail könnte sich somit als Weckruf für alle Akteure der E-Mail-Verschlüsselung erweisen, sich intensiver mit dem Thema zu beschäftigen und die Probleme und Herausforderungen gemeinsam und aktiv anzugehen.

Weitere Informationen:

CEBIT 2018, Halle 12 Stand B24 (Stand der Bundesdruckerei)

Kim Nguyen ist Geschäftsführer der D-TRUST GmbH. Das Tochterunternehmen der Bundesdruckerei ist ein qualifizierter Vertrauensdiensteanbieter (qVDA), früher Trustcenter. Qualifizierte Vertrauensdiensteanbieter bieten Dienste für eine vertrauenswürdige und sichere Online-Kommunikation. Dazu gehören Mittel für das Verschlüsseln von E-Mails, aber auch elektronische Signaturen, Siegel und Zeitstempel oder Zertifikate für die unterschiedlichsten Anwendungen, zum Beispiel für die Authentifizierung einer Webseite (SSL-Zertifikate). Ein qualifizierter Vertrauensdiensteanbieter unterliegt sehr strengen Sicherheitsvorschriften und Haftungsregelungen.

www.bundesdruckerei.de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.