Jetzt auch mobil Kommentieren!

E-Mail-Verschlüsselung: BSI warnt deutlich vor Kurzschluss-Reaktionen

Von Christian Kahle am 16.05.2018 15:01 Uhr
11 Kommentare
Angesichts der jüngsten Meldungen über vermeintliche Sicherheitslücken in Verschlüsselungs-Systemen für E-Mails hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Panikmache gewarnt. Denn die Krypto-Verfahren selbst sind überhaupt nicht betroffen und die Attacken auch nur unter bestimmten Umständen möglich.

"Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen", stellte BSI-Präsident Arne Schönbohm klar. Denn die Schwachstellen, die einen Teil des beschriebenen Angriffs-Szenarios ausmachen, resultieren aus einer nicht besonders guten Implementierung der Krypto-Verfahren in einigen E-Mail-Clients.

Insbesondere die inzwischen fast überall vorhandene Möglichkeit, E-Mails im HTML-Format zu erstellen, hat dabei für Probleme gesorgt. Hier war es unter bestimmten Umständen möglich, dass der Angreifer den Klartext einer Nachricht, die verschlüsselt werden sollte, in ein Tag-Attribut verpackt und so an Sicherheitsschranken vorbei nach Außen schleust.

Ein anderer Angriffsweg wurde möglich, weil die Implementierungen grundlegende Verhaltensaspekte bei der Nutzung von Verschlüsselungen nicht beachteten. So ist es möglich, Rückschlüsse auf den Key zu ziehen, wenn ein Teil des Klartextes bekannt ist - was in diesem Fall immer gleiche HTML-Header sind. Hier sind die Hersteller der E-Mail-Clients bereits dabei, Änderungen durch Patches herbeizuführen. Nutzer sollten aber auch darauf achten, an ihre verschlüsselten Nachrichten beispielsweise keine standardisierten Signaturen mit Adressen und diversen Disclaimern anzuhängen.

Krypto angeschaltet lassen!

Grundsätzlich sollten die jetzt öffentlich gemachten Schwächen jedenfalls nicht dazu führen, dass Anwender plötzlich lieber auf ihre Sicherheits-Maßnahmen verzichten und vielleicht sogar auf komplett unsichere Kommunikationswege umstellen. Denn in den allermeisten Fällen sollten auch die unter den nicht optimalen Bedingungen verschickten Nachrichten noch halbwegs sicher sein - was natürlich auch immer ein wenig auf das Einsatzgebiet der Kommunikation und die möglichen Angreifer ankommt.

Seitens des BSI hält man darüber hinaus langfristig eine Anpassung der OpenPGP- und S/MIME-Standards durchaus für angebracht - vor allem auch, damit solche Fehler nicht zu leicht auftreten können. "Das BSI als nationale Cyber-Sicherheitsbehörde hat dazu seine Unterstützung angeboten", sagte Schönbohm.

Die kürzliche Aufregung über die Probleme resultierte vermutlich aus einer etwas ungünstigen Gemengelage. Zum einen wollten die beteiligten Sicherheits-Forscher natürlich eine hinreichende Aufmerksamkeit für ihre langwierige und nicht gerade leicht verständliche Arbeit erzeugen. Und auch in der Presse - uns eingeschlossen - wurden manche Sachverhalte überspitzt dargestellt, was ebenfalls verschiedene Ursachen hat: Der Wunsch, deutlich vor Problemen zu warnen, ein recht kompliziertes Themenfeld wie die Kryptographie und natürlich auch das Interesse an Aufmerksamkeit.

Download Gpg4Win - Kommunikation verschlüsseln
whatsapp
Jede Woche neu: Top-News per E-Mail
11 Kommentare lesen & antworten
Hoch © 2000 - 2018 WinFuture Impressum