Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Efail E-Mail-Security

Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein deutsch-belgisches Forscherteam Schwachstellen, die es Angreifern erlauben, mit OpenPGP oder S/MIME verschlüsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschlüsselung zu einer vom Angreifer kontrollierten Adresse versandt wird.

„Seitdem wird natürlich gegen Efail vorgegangen. Allerdings können die Risiken für eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden“, fasst IT-Sicherheitsexperte Christian Heutger zusammen. So wird seit Bekanntwerden der Sicherheitslücke kontinuierlich am S/MIME-Standard gearbeitet, um die Risiken zu minimieren: Der E-Mail-Zertifikat-Standard wurde auf Version 4 aktualisiert; die IETF empfiehlt sogar, auf AES-GCM zu migrieren. Zudem soll der entschlüsselte Inhalt vor Abschluss einer Integritätsprüfung nicht bearbeitet werden.

Im Kampf gegen die E-Mail Manipulation sieht zudem der OpenPGP-Standard mit dem “Modification Detection Code” (MDC) ein Verfahren vor, Nachrichtenmanipulationen zu verhindern: Mittels SHA-1 wird ein Hash der Nachricht erstellt, um ihn anschließend verschlüsselt an die Nachricht anzuhängen. „Da die Verwendung momentan noch optional ist, ist die Sicherheit nur geringfügig höher, jedoch stellt dieses Verfahren definitiv einen Vorteil dar“, so Heutger, CTO der PSW GROUP. Der Experte macht gleichzeitig jedoch auf die unsichere Hashfunktion SHA-1 aufmerksam: „In MDC selbst sind bisher zwar keine Sicherheitslücken bekannt, die Verwendung der Hashfunktion SHA-1 fällt aber negativ auf.“ Eine sichere Implementierung des Standards sei letztlich nur möglich, wenn er unvollständig implementiert wird und Administratoren bei etwaigen Fehlern sehr streng reagieren: „Dabei dürfen Nachrichten mit MDC-Fehlern gar nicht angezeigt werden. Und auch Datenpakete ohne MDC dürfen keineswegs unterstützt werden. Gängige Plugins setzen dies bereits um, dennoch rate ich bei der Installation der PGP-Plugins zur Vorsicht.“

Zudem haben die Entwickler aus dem Hause Mozilla zügig reagiert und diverse Bugs im hauseigenen E-Mail-Client Thunderbird behoben. Schon im Mai 2018 wurde ein Update auf die damals aktuelle Version 52.8.0 empfohlen. „Mit dieser Version war die Exfiltration der E-Mails durch das Nachladen von Inhalten oder Formularen in HTML-Mails nicht mehr möglich. Somit ist davon auszugehen, dass die aktuelle Client-Version – auch in Verbindung mit dem beliebten Enigmail-Plugin – sicher ist“, schätzt der Experte die Situation ein. Immerhin: Viele öffentliche Webmail-Clients waren und sind gegen die Lücke gefeit – insbesondere zusammen mit dem Browser-Plugin Mailvelope für die PGP-Verschlüsselung.

Dennoch: User sollten sich und ihre E-Mails selbst schützen und einige Verhaltensregeln beherzigen. „Grundsätzlich sollten Anwender das automatische Nachladen externer HTML-Inhalte verhindern, auch wenn die E-Mails verschlüsselt sind“, rät Heutger und ergänzt: „Besser ist, sich Nachrichten im Rein-Text anzeigen zu lassen. Befehle und Links werden so zwar nicht mehr automatisch ausgeführt oder verfolgt, jedoch agieren Anwender auf diese Weise sicherer.“ Empfehlenswert ist es außerdem, auch digital signierte Nachrichten im Rein-Text-Format zu lesen. Zudem sollten E-Mails besser direkt im E-Mail-Client entschlüsselt werden. Sicherer ist es, den verschlüsselten Ciphertext aus der E-Mail zu exportieren und die Nachricht in einem eigenständigen Programm zu entschlüsseln. So gelingt es Angreifern nicht, die Inhalte geheimer Nachrichten auf dem Silbertablett zu servieren. Unabhängig davon versteht es sich von selbst, dass Clients, Plugins und sonstige Software stets auf dem aktuellen Stand gehalten werden sollten.

„Es bleibt abzuwarten, inwieweit Hersteller weiter an ihren E-Mail-Clients, aber auch an der PGP- und S/MIME-Verschlüsselung arbeiten. Ideal wäre es, würden die bekannten Probleme mit der HTML-Darstellung bezüglich der E-Mail- und Kommunikations-Sicherheit weiterhin minimiert werden“, so Christian Heutger.

Weitere Informationen finden Sie hier.

www.psw-group.de
 

GRID LIST
Tb W190 H80 Crop Int 9b68a7d76878677a7661a5664805112c

WhatsApp ist Gift für die Kommunikation in Unternehmen

Wenn Mitarbeiter mit Kunden oder Kollegen WhatsApp benutzen, dann ist das spätestens seit…
DSGVO

Ein Werkzeugkoffer für DSGVO-Anforderungen

Sperren, archivieren, löschen – der von der Datenschutzgrundverordnung (DSGVO) geforderte…
Fragezeichen

Was bedeutet TOM beim Datenschutz?

Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung, kurz DSGVO, gehört neben…
Datenwelt

Bremst Datenblindheit Unternehmen spürbar aus?

Wenig oder gar keine Einsicht in Daten zu haben, was auch als „Datenblindheit“ bezeichnet…
Top Secret

Das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Nicht alle Unternehmensinformationen sind für fremde Ohren bestimmt. Wissen ist Macht,…
Breach

Warum bleiben so viele Datenschutzverstöße so lange unentdeckt?

Obwohl ständig neue Cybersicherheitstechnologien auf den Markt kommen und…