Unsere Themen: +++ Politische T-Shirts: Uni Köln diskutiert über Kleidung von Bauarbeitern +++ Frauenquote: Deutschland ist Schlusslicht, wenn es um weibliche Führungskräfte geht +++ Cannes: Aktion für Gleichberechtigung +++ Israel: Die US-Botschaft zieht nach Jerusalem - Tote und Verletzte im Gazastreifen +++ Moskau: Alexander Gerst vor dem Start ins All +++ Tiere auf der Autobahn: Wie bändigt man Wasserbüffel? +++

Frauenhände, die auf einer Tastatur tippen.
IT-Forschung

Verschlüsselte E-Mails sind nicht sicher

IT-Forscher haben Sicherheitslücken in den beiden gängigen Verschlüsselungsverfahren für E-Mails gefunden.

Betroffen sind die beiden gängigen Verschlüsselungsstandards OpenPGP und S/MIME. Die verschlüsselten E-Mails können auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhruniversität Bochum sowie der belgischen Universität Leuven. Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren.

Fangen wir mal vorne an: Wenn wir eine E-Mail an Freunde oder an Kollegen schicken, dann ist diese Mail in den meisten Fällen nicht besonders gesichert. Wer es drauf anlegt, kann die Nachricht lesen wie eine Postkarte. Aber es gibt eben auch die Möglichkeit, Mails stark zu verschlüsseln - die gängigsten Verschlüsselungen sind PGP und S/Mime. Firmen verwenden in der Regel S/Mime, Aktivisten, Whistleblower und Journalisten hingegen PGP. Die Forscher sagen jetzt, dass sie beide Verschlüsselungstechniken relativ einfach aushebeln konnten.

Bisher hieß es, diese Verschlüsselungstechniken seien sehr sicher, aber die IT-Forscher haben ein bisschen getrickst. Sie haben verschlüsselte Mails abgefangen. Die Nachrichten bestehen dann - weil sie codiert sind - aus wirren Zahlen, Zeichen und Buchstaben. 

Die Wissenschaftler haben diesen Zeichensalat dann in einer präparierten Mail versteckt und an den Absender zurückgeschickt. Vielleicht als banale Verabredung zum Mittagessen. Je nach den Einstellungen des Mailprogramms schickt es den entschlüsselten Text zurück - ohne dass die Zielperson etwas davon mitbekommt.

Sicherheitslücken konnten noch nicht geschlossen werden

Das Ganze funktioniert also nur, wenn potenzielle Angreifer zuerst den Zeichensalat abgefangen haben und wenn das E-Mail-Programm eines potenziellen Opfers – sehr vereinfacht ausgedrückt - HTML erlaubt. Das Programm muss so eingestellt sein, dass es automatisch Elemente in E-Mails nachladen darf, zum Beispiel Links oder Signaturen.

Die Forscher aus Münster, Bochum und Belgien haben auch noch einen zweiten Weg gefunden, die Verschlüsselung zu unterwandern. Die ist noch komplizierter zu erklären. Die Süddeutsche Zeitung zitiert einen Forscher, der sagt: Es sei, als ob wir ins Sichtfenster von einem Briefumschlag gucken. Da lassen sich Teile der Informationen erkennen. Profis können auf diesem Weg die Verschlüsselung beeinflussen und bekommen so am Ende auch wieder die entschlüsselte Mail zurück.

Bisher konnten die Sicherheitslücken noch nicht repariert werden, aber wir können selber auf einige Dinge achten - zumindest diejenigen unter uns, die solche Verschlüsselungsprogramme nutzen: die HTML-Funktion im E-Mail-Programm ausschalten. In den Mails werden dann keine Bilder mehr angezeigt, die Mails sehen vom Layout her vielleicht auch nicht besonders schön aus, aber sie sind ein bisschen sicherer. Einer der beteiligten Forscher hat dazu aber bereits ganz klar gesagt: "E-Mail ist kein sicheres Kommunikationsmittel mehr."


Das könnte euch auch interessieren: