Man stelle sich vor: Europäische Forscher haben etwas geschafft, was nicht einmal die NSA vollbrachte. Glaubst du nicht? Ist dieser Tage aber so passiert. Ein Forscherteam aus verschiedenen Einrichtungen hebelte erstmals die eigentlich als sicher geltende Verschlüsselung von E-Mails aus – aufgrund fehlerhafter Programme, unzureichender Standards und veralteter Technik. Ganz so einfach, dass auch du und ich die Verschlüsselung mal eben so umgehen können, ist es natürlich nicht. Denn es müssen bestimmte Bedingungen gegeben sein. Trotzdem ist die Sache natürlich einerseits ein Erfolg für die Forscher, andererseits bedenklich für die User.
Inhaltsverzeichnis
Gleich zwei Wege entdeckt
Besagtes Forscherteam der Ruhr-Universität Bochum, der Fachhochschule Münster und der KU Löwen aus den Niederlanden war besonders fleißig. Es zeigte Geheimdiensten wie der NSA nicht nur einen Weg, wie das Umgehen der Verschlüsselung klappt. Wäre doch langweilig. Die Forscher fanden gleich zwei Wege für ihren Coup, so ein Rechercheverbund aus Süddeutscher Zeitung, NDR und WDR.
PGP & S/Mime Verfahren betroffen
Konkret handelt es sich dabei um das PGP (vor allem bei Unternehmen im Einsatz) und das S/Mime Verfahren (bei Journalisten, Whisteblowern & Co beliebt). Beide werden bereits seit den 90er Jahren verwendet und gelten als Standards in der E-Mail-Verschlüsselung. Ja, sogar Whistleblower Edward Snowden war ein Fan, weil sie zu den Dingen zählen „auf die man sich verlassen kann“. Ob er heute auch noch so begeistert wäre, wir wissen es nicht. Bei Sicherheitsforschern galten die Verfahren zumindest in den letzten Jahren als umstritten.
Bestimmte Voraussetzungen notwendig
Das Aushebeln der der Verschlüsselung funktioniert laut Forscherteam nur unter bestimmten Voraussetzungen. So muss das E-Mail-Programm über HTML verfügen bzw. muss dieses aktiviert sein. Wenn dann nämlich Inhalte wie Fotos nachgeladen werden, versteckt sich in einem unverdächtig wirkenden Link der Ciphertext (die verschlüsselten Daten) darin. Das ist Bedingung Nr. 2, der Angreifer muss Ciphertext besitzen, weil das E-Mail-Programm diesen erkennt und die entschlüsselten Daten mal eben schnell an den (im schlechtesten Fall) Cyberkriminellen oder einen Geheimdienst oder was auch immer schickt.
Was tun?
Laut Experten ist die Gefahr bzw. die Schwachstelle der beiden Entschlüsselungsverfahren real. Es ist also möglich, dass eigentlich verschlüsselte E-Mail, sofern sie in die Hände eines Angreifers gelangen, zumindest teilweise gelesen werden können. Noch dazu sind eigentlich alle Programme betroffen, die mit PGP oder Mime/S arbeiten. Und mit alle meinen wir alle: Apple Mail, Outlook, Thunderbird … Die wichtigste Frage der ganzen „Efail“-Sache ist nun: Was kannst du tun? Wenn du etwas wirklich Geheimes verschicken möchtest – lass es bleiben. Greife lieber zum Telefonhörer. Oder auch nicht. Was schon ein wenig hilft, ist das Ausschalten von HTML und keinerlei externen Elementen zu laden. Siehe dazu auch die Empfehlung von GnuPG-Autor und Hauptentwickler des GNU Privacy Guard Werner Koch.
Was natürlich ebenfalls möglich ist, ist die Verwendung der Ende-zu-Ende-Verschlüsselung des Messengers Signal, weil es top-aktuelle Kryptografie nutzt, wie Heise berichtet. So oder so: Mach dich nicht verrückt, dich als Privatperson wird das Ganze wohl eher nicht betreffen. Geheimdienstrelevante E-Mails großer Firmen o. ä. schon eher …
Quelle: Heise, Zeit
Erstellt am: 23. Mai 2018
