IT-Forscher haben Sicherheitslücken in den beiden gängigen Verschlüsselungsverfahren für E-Mails gefunden.

Betroffen sind die beiden gängigen Verschlüsselungsstandards OpenPGP und S/MIME. Die verschlüsselten E-Mails können auf zwei verschiedenen Wegen so manipuliert werden, dass Angreifer den Klartext erhalten, berichteten Sicherheitsforscher der Fachhochschule Münster, der Ruhruniversität Bochum sowie der belgischen Universität Leuven. Allerdings müssen für eine erfolgreiche Attacke mehrere Voraussetzungen erfüllt werden. Außerdem kann man die Gefahr durch richtige Einstellungen reduzieren.

Fangen wir mal vorne an: Wenn wir eine E-Mail an Freunde oder an Kollegen schicken, dann ist diese Mail in den meisten Fällen nicht besonders gesichert. Wer es drauf anlegt, kann die Nachricht lesen wie eine Postkarte. Aber es gibt eben auch die Möglichkeit, Mails stark zu verschlüsseln - die gängigsten Verschlüsselungen sind PGP und S/Mime. Firmen verwenden in der Regel S/Mime, Aktivisten, Whistleblower und Journalisten hingegen PGP. Die Forscher sagen jetzt, dass sie beide Verschlüsselungstechniken relativ einfach aushebeln konnten.

Bisher hieß es, diese Verschlüsselungstechniken seien sehr sicher, aber die IT-Forscher haben ein bisschen getrickst. Sie haben verschlüsselte Mails abgefangen. Die Nachrichten bestehen dann - weil sie codiert sind - aus wirren Zahlen, Zeichen und Buchstaben. 

Die Wissenschaftler haben diesen Zeichensalat dann in einer präparierten Mail versteckt und an den Absender zurückgeschickt. Vielleicht als banale Verabredung zum Mittagessen. Je nach den Einstellungen des Mailprogramms schickt es den entschlüsselten Text zurück - ohne dass die Zielperson etwas davon mitbekommt.

Sicherheitslücken konnten noch nicht geschlossen werden

Das Ganze funktioniert also nur, wenn potenzielle Angreifer zuerst den Zeichensalat abgefangen haben und wenn das E-Mail-Programm eines potenziellen Opfers – sehr vereinfacht ausgedrückt - HTML erlaubt. Das Programm muss so eingestellt sein, dass es automatisch Elemente in E-Mails nachladen darf, zum Beispiel Links oder Signaturen.

Die Forscher aus Münster, Bochum und Belgien haben auch noch einen zweiten Weg gefunden, die Verschlüsselung zu unterwandern. Die ist noch komplizierter zu erklären. Die Süddeutsche Zeitung zitiert einen Forscher, der sagt: Es sei, als ob wir ins Sichtfenster von einem Briefumschlag gucken. Da lassen sich Teile der Informationen erkennen. Profis können auf diesem Weg die Verschlüsselung beeinflussen und bekommen so am Ende auch wieder die entschlüsselte Mail zurück.

Bisher konnten die Sicherheitslücken noch nicht repariert werden, aber wir können selber auf einige Dinge achten - zumindest diejenigen unter uns, die solche Verschlüsselungsprogramme nutzen: die HTML-Funktion im E-Mail-Programm ausschalten. In den Mails werden dann keine Bilder mehr angezeigt, die Mails sehen vom Layout her vielleicht auch nicht besonders schön aus, aber sie sind ein bisschen sicherer. Einer der beteiligten Forscher hat dazu aber bereits ganz klar gesagt: "E-Mail ist kein sicheres Kommunikationsmittel mehr."


Das könnte euch auch interessieren:

  • Chelsea Manning: Algorithmen sind nicht neutral | Tag eins der re:publica 2018 hat große politische Themen aufgerissen mit der Whistleblowerin Chelsea Manning. Sie sagt, Algorithmen sind nicht neutral.
  • WhatsApp-Gründer Koum verlässt Facebook | Facebook will endlich Geld verdienen mit WhatsApp. Wie das funktionieren soll, darüber gibt es Streit: Es geht um Geld und Datenschutz.
  • Zukunftsweisend oder Insellösung? | Welche Infos hat mein Hausarzt meinem Allergologen weitergegeben? Und welche der Klinik, in die ich kurze Zeit später musste? Bei solchen Fragen will die Techniker Krankenkasse (TK) in Zukunft für mehr Durchblick sorgen – und stellt die bundesweite "elektronische Gesundheitsakte" (eGa) vor.