GPG und S/Mime

Verschlüsselte E-Mails gleich sichere E-Mails? Das war gestern. Denn Forscher haben schwere Sicherheitslücken in GPG, PGP und S/MIME entdeckt.

Das bedeutet, dass ihr bestimmte Programme zum Ver- und Entschlüsseln von E-Mails sicherheitshalber deaktivieren oder noch besser deinstallieren solltet. Was das bedeutet, erfahrt ihr bei uns.

Sicherheitslücke GPG, PGP und S/Mime

Sichere E-Mails, also E-Mails, die ihr verschlüsselt versendet oder erhaltet, kommen oftmals von Banken und anderen Firmen, die sensible Inhalte versenden. Bislang galt die Verschlüsselungstechnik mit GPG, PGP und S/Mime als absolut sicher und nicht knackbar. Das hat sich jetzt geändert. Deshalb könnt ihr auf die Verschlüsselungstechnik verzichten – jedenfalls solange es für das Problem keine Lösung gibt. Europäische Sicherheitsforscher, unter anderem Sebastian Schinzel aus Münster, haben die Sicherheitslücke entdeckt, wie ihr in seinem Tweet lesen könnt:

We’ll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

GPG, PGP und S/Mime – was bedeutet das?

Doch was bedeutet GPG, PGP und S/Mime überhaupt? Wir klären euch auf:

• PGP (Pretty Good Privacy) ist eine Verschlüsselungstechnologie. Wenn ihr private oder öffentliche Schlüssel einsetzt, stellt ihr sicher, dass der Inhalt der Nachricht nur vom angedachten Empfänger lesbar ist – eigentlich.
• S/Mime (Secure/Multipurpose Internet Mail Extensions) ist ebenfalls ein Standard für die Verschlüsselung bestimmter E-Mails, die dann ebenfalls nur vom Empfänger gelesen werden können. Dieser Standard wird vor allem in Firmenumgebungen verwendet.
• GPG oder GnuPG bzw. GNU Privacy Guard ist ein Programm, mit dem ihr verschiedene Verschlüsselungstechnologien wie PGP oder S/Mime bündeln und komfortabler nutzen könnt.

Diese Verschlüsselungs-, bzw. Entschlüsselungstechnologien wurden nun von den Sicherheitsforschern ausgehebelt, sodass Angreifer verschlüsselte E-Mails trotz aller Sicherheitsvorkehrungen mitlesen können. Das BSI weist aber darauf hin, dass die Standards weiterhin eingesetzt werden können. „Sichere verschlüsselte E-Mail-Kommunikation bleibt ein wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit. Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen“, sagt BSI-Präsident Arne Schönbohm.

Vorsicht: Forscher haben eine Sicherheitslücke in der E-Mailverschlüsselung entdeckt. Foto: Pixabay

BSI gibt Tipps für sichere E-Mail

Während Schinzel warnt, dass auch früher versendete Nachrichten ausgelesen werden können, informiert das BSI, wie ihr eure E-Mail-Verschlüsselung weiterhin einsetzen und sichere E-Mails verschicken könnt . Folgende Punkt müsst ihr dafür umsetzen:

• Aktive Inhalte im E-Mail-Client müsst ihr deaktivieren. Dazu gehört zum Beispiel die Ausführung von HTML-Codes und das Nachladen externer Inhalte. Beides ist oft aus Design-Aspekten erlaubt.
• E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.
• Sobald euer Anbieter ein Sicherheitsupdate für das Verschlüsselungsprogramm anbietet, solltet ihr es euch installieren. Weitere Infos findet ihr in dem Beitrag Efail-Schwachstelle.

Sicherheitslücke unter #efail

Schinzel dagegen beschreibt unter #efail, wie Angreifer die Sicherheitslücke ausnutzen. Anhand von zwei einfachen Grafiken auf der Homepage könnt ihr sehen, wie die Angreifer agieren, wenn bestimmte Voraussetzungen bestehen. Nur zwei müssen erfüllt sein, um eine sichere E-Mail unsicher werden zu lassen. Demnach können sich Angreifer eine Eigenschaft bestimmter Verschlüsselungsprogramme zunutze machen, um fremde E-Mails zu entschlüsseln. Damit der Angriff klappt, müssen laut Schinzel zwei Voraussetzungen erfüllt sein:

1. Das Opfer muss eines der angreifbaren Programme nutzen. Welche das sind, erfahrt ihr ganz am Ende seines wissenschaftlichen Papiers zur aktuellen Schwachstelle.
2. Der Angreifer muss im Besitz der verschlüsselten E-Mails sein. Das ist er, wenn er den Netzwerkverkehr des Opfers überwacht oder dessen Postfach, E-Mail-Server oder Computer gehackt hat.

Die Forscher empfehlen deshalb, E-Mails nicht mehr im E-Mail-Programm zu entschlüsseln, sondern eine andere Software dazu zu verwenden. Welche ihr verwenden könnt, erfahrt ihr bei eurem PC-SPEZIALIST vor Ort. Er unterstützt euch auch bei der Software-Installation. Wer dagegen seine E-Mails ohne Verschlüsselung versendet, ist ohnehin nicht betroffen. Denn nicht verschlüsselte E-Mails können ähnlich wie eine Postkarte offen eingesehen werden.