Ein anderer Angriffsweg wurde möglich, weil die Implementierungen grundlegende Verhaltensaspekte bei der Nutzung von Verschlüsselungen nicht beachteten. So ist es möglich, Rückschlüsse auf den Key zu ziehen, wenn ein Teil des Klartextes bekannt ist - was in diesem Fall immer gleiche HTML-Header sind. Hier sind die Hersteller der E-Mail-Clients bereits dabei, Änderungen durch Patches herbeizuführen. Nutzer sollten aber auch darauf achten, an ihre verschlüsselten Nachrichten beispielsweise keine standardisierten Signaturen mit Adressen und diversen Disclaimern anzuhängen.
Krypto angeschaltet lassen!
Grundsätzlich sollten die jetzt öffentlich gemachten Schwächen jedenfalls nicht dazu führen, dass Anwender plötzlich lieber auf ihre Sicherheits-Maßnahmen verzichten und vielleicht sogar auf komplett unsichere Kommunikationswege umstellen. Denn in den allermeisten Fällen sollten auch die unter den nicht optimalen Bedingungen verschickten Nachrichten noch halbwegs sicher sein - was natürlich auch immer ein wenig auf das Einsatzgebiet der Kommunikation und die möglichen Angreifer ankommt.Seitens des BSI hält man darüber hinaus langfristig eine Anpassung der OpenPGP- und S/MIME-Standards durchaus für angebracht - vor allem auch, damit solche Fehler nicht zu leicht auftreten können. "Das BSI als nationale Cyber-Sicherheitsbehörde hat dazu seine Unterstützung angeboten", sagte Schönbohm.
Die kürzliche Aufregung über die Probleme resultierte vermutlich aus einer etwas ungünstigen Gemengelage. Zum einen wollten die beteiligten Sicherheits-Forscher natürlich eine hinreichende Aufmerksamkeit für ihre langwierige und nicht gerade leicht verständliche Arbeit erzeugen. Und auch in der Presse - uns eingeschlossen - wurden manche Sachverhalte überspitzt dargestellt, was ebenfalls verschiedene Ursachen hat: Der Wunsch, deutlich vor Problemen zu warnen, ein recht kompliziertes Themenfeld wie die Kryptographie und natürlich auch das Interesse an Aufmerksamkeit.