Sicherheit nach Efail: Empfehlungen für private Nachrichten

Die im Mai bekanntgewordene Sicherheitslücke hat noch nicht an Schrecken verloren

[datensicherheit.de, 13.10.2018] Die im Mai als Efail bekanntgewordene Sicherheitslücke hat noch nicht an Schrecken verloren. Viele Anwender sind verunsichert und fragen sich, wie und ob sie verschlüsselte E-Mails weiterhin sicher versenden können. Unter bestimmten Umständen ist es Angreifern nämlich möglich, verschlüsselte E-Mails abzufragen und diese dann sogar zu manipulieren. Betroffen sind alle gängigen E-Mail-Programme, die sowohl HTML als auch den Verschlüsselungsstandard S/MIME unterstützen, sind von der Schwachstelle betroffen. Auch wer den Standard PGP zum Verschlüsseln von E-Mails nutzt, sollte vorsichtig sein und auf aktualisierte Versionen setzen.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG

„Es gibt mehrere Möglichkeiten, um sich vor solchen Angriffen zu schützen“, beruhigt Christian Heutger, Geschäftsführer der PSW GROUP. Der IT-Sicherheitsexperte rät: „In einem ersten Schritt sollte das Anzeigen externer Bilder in E-Mails unterbunden werden. Dies dient dem Schutz der Privatsphäre und ist ganz besonders bei unverschlüsselten E-Mails sicherer. Weiter sollten sowohl die HTML-Anzeige von E-Mails als auch das oftmals voreingestellte automatische Entschlüsseln von E-Mails sowie das automatisierte Nachladen von Bildern deaktiviert werden. Aber bitte Finger weg von einer Deaktivierung der Verschlüsselung. Nicht zu verschlüsseln, ist keine Lösung im Sinne der Sicherheit.“

Für den weiterhin sicheren Einsatz eines S/MIME-Zertifikats sollten zudem sowohl das E-Mail-Programm selbst, als auch alle verwendeten Plug-ins aktuell gehalten werden. Thunderbird-Entwickler Ben Bucksch empfiehlt in diesem Zusammenhang ein „Vereinfachtes HTML“ zu aktivieren. In diesem Modus würden URLs sowie aktive HTML-Elemente aus den E-Mails herausgefiltert werden. Dieser Schutz sei wirksamer und brauchbarer als Plaintext. „Ich rate außerdem, verschlüsselte E-Mails nicht im E-Mail-Client zu entschlüsseln. Stattdessen könnte der Ciphertext aus der E-Mail exportiert werden, um ihn in einem separaten Programm zu entschlüsseln. Dieser Weg ist zugegebenermaßen umständlich und für die meisten User eher nicht praktikabel. Jedoch können so weder anfällige Mailprogramme noch Plug-in Inhalte aus der E-Mail an Angreifer weitergeben werden“, gibt Heutger noch einen Tipp.

Überraschenderweise hatte die Electronic Frontier Foundation (EFF) empfohlen, die E-Mail-Verschlüsselung zu deinstallieren. Diese Empfehlung hatte für den Moment ihre Berechtigung. Denn zum Zeitpunkt dieser Empfehlung existierten noch keine Patches, die das Problem beheben konnten. Außerdem hat Efail auch das Entschlüsseln von E-Mails aus der Vergangenheit erlaubt. Wird vorläufig die E-Mail-Verschlüsselung deaktiviert, können die Inhalte der Nachrichten aus der Vergangenheit geschützt werden. „Eine Dauerlösung kann es jedoch nicht sein, auf die E-Mail-Verschlüsselung zu verzichten. Schließlich würde auch niemand seine Haustüre offen stehen lassen, nur weil es theoretisch möglich ist, den Hausschlüssel nachzumachen. Ich bin überzeugt, wenn rechtzeitig Updates bereitgestanden wären, hätte die EFF ihre Empfehlung so nicht ausgesprochen“, so Heutger. Aus gutem Grund: Auch nach der Efail-Schwachstelle gilt die E-Mail-Verschlüsselung via S/MIME oder PGP nicht als gebrochen. Die Sicherheit und Vertraulichkeit können durch eine nicht ausgereifte Implementierung bzw. Konfiguration geschwächt werden. „Wer sich an die Empfehlungen hält, kann weiterhin sichere E-Mails versenden und empfangen“, so das Fazit Heuthers.

Weitere Informationen zum Thema:

PSW Group
Sicherheit nach Efail: Wie Ihre privaten Nachrichten weiterhin privat bleiben

datensicherheit.de, 02.10.2018
DSGVO: Datenminimierung im WHOIS hat Auswirkungen auf Domain-Registrare und Zertifizierungsstellen

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.06.2018
Whois: Bedrohung durch die DSGVO