Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln

Verband gibt differenzierte Bewertung zu jüngsten Veröffentlichungen über „Efail“

[datensicherheit.de, 22.05.2018] Der Digitalverband Bitkom rät dazu, E-Mails weiterhin mit den bekannten Verfahren „S/MIME“ oder „OpenPGP“ zu schützen – trotz der jüngsten Veröffentlichungen zu Angriffen auf verschlüsselte E-Mails. „Eine verschlüsselte E-Mail ist in jedem Fall sicherer vor ungewollten Blicken als nicht-geschützte E-Mails“, betont Dr. Nabil Alsabah. Nicht alle Hacker-Szenarien, die unter Laborbedingungen stattfänden, seien auch in der Praxis leicht umsetzbar, so der Bitkom-Experte für IT-Sicherheit.

„S/MIME“- und „OpenPGP“-Standards mittelfristig zu aktualisieren

Europäische Sicherheitsforscher haben laut aktuellen Medienberichten gezeigt, wie Angreifer gängige Sicherheitsmechanismen bei der E-Mail-Verschlüsselung aushebeln können. In den veröffentlichten Szenarien waren demnach E-Mail-Programme betroffen, die Nachrichten mit den standardisierten Verfahren „S/MIME“ oder „OpenPGP“ verschlüsseln.
Eine der Voraussetzungen für einen erfolgreichen Angriff sei dabei, dass ein Angreifer in den Besitz einer verschlüsselten E-Mail kommt. Gelingt ein solcher Datenklau, müsste der Angreifer diese verschlüsselte Nachricht in eine E-Mail mit HTML-Schadcode einbetten und diese wiederum an den Empfänger der zuvor verschlüsselten Nachricht schicken. Unter bestimmten Voraussetzungen werde diese E-Mail dann automatisch entschlüsselt und lesbar an den Angreifer zurück verschickt.
„Es besteht keine akute Gefahr für Nutzer, die ihre E-Mails verschlüsseln“, erläutert Alsabah. Die jüngst veröffentlichten Forschungsergebnisse deuteten jedoch darauf hin, dass die „S/MIME“- und „OpenPGP“-Standards mittelfristig zu aktualisieren seien.

Richtige Verschlüsselung der E-Mails

Moderne E-Mail-Verschlüsselung basiere auf dem Prinzip der asymmetrischen Kryptographie. Dabei nutzten Anwender ein sogenanntes Schlüsselpaar: einen Schlüssel zum Kodieren und einen zum Dekodieren von Nachrichten. Die zugrundeliegenden mathematischen Verfahren garantierten, dass so geschützte Nachrichten nur mit dem privaten Schlüssel zu entziffern seien.
Der öffentliche Schlüssel solle und könne deshalb publik gemacht werden. Mit diesem könnten E-Mail-Sender ihre Nachrichten an den Empfänger verschlüsseln. Der andere Schlüssel müsse jedoch privat und geheim aufbewahrt werden. Denn damit ließen sich alle Nachrichten und Daten entschlüsseln, die an den Empfänger verschickt werden.
„S/MIME“ und „PGP“ seien die am weitesten verbreiteten Standards für die asymmetrische Verschlüsselung. Sie arbeiteten nach ähnlichen Prinzipien. Ein zentraler Unterschied betreffe die Generierung des Schlüsselpaars: Bei „S/MIME“ würden Schlüssel von einer vertrauenswürdigen Zertifikats-Autorität ausgestellt, „PGP“ komme jedoch ohne aus. Für „PGP“ und für „S/MIME“ gebe es kostenlose, quellcodeoffene, aber auch kommerzielle Lösungen – als Softwarepaket oder als Online-Dienst. Damit generierten Nutzer ein Schlüsselpaar und erweiterten E-Mail-Programme um Verschlüsselungsfunktionen, sofern diese nicht nativ unterstützt werden. Nutzer könnten nun ihren öffentlichen Schlüssel an Bekannte verschicken und im Netz veröffentlichen. Ebenso könnten sie öffentliche Schlüssel von weiteren Anwendern herunterladen, um ihnen verschlüsselte E-Mails zu versenden.

Verhinderung des automatischen Ladens aktiver Inhalte

Aktive Inhalte seien vor allem in E-Mails im HTML-Format beliebt. Sie erlaubten dem Verfasser, Texte zu formatieren, Bilder einzufügen und dadurch ein lebendiges Erscheinungsbild zu kreieren. Diese Inhalte würden durch HTML-Code eingebettet.
Der Nachteil: In diesen aktiven Inhalten lasse sich Schadcode verstecken. Wer aktive Inhalte in HTML-basierten E-Mails grundsätzlich laden lässt, laufe Gefahr, dass damit Schadcode empfangen und ausgeführt wird. Vor allem bei unbekannten Absendern sollten aktive Inhalte in E-Mails nicht ausgeführt werden – in der Regel lasse sich über das genutzte E-Mail-Programm einstellen, wann und ob HTML-Inhalte dargestellt werden.

Nutzung einer sicheren Verbindung zum Mailserver

Wer seine E-Mails über eine Weboberfläche abruft, sollte auf eine sichere Verbindung zum Mailserver achten. Diese sei daran zu erkennen, dass die Adresse im Browser mit „https“ anfängt.
Eine https-Verbindung sorge dafür, dass die Kommunikation zwischen dem Rechner des Nutzers und dem E-Mail-Server verschlüsselt wird und biete dadurch zusätzliche Sicherheit.

Konsequente Installation von Sicherheitsupdates

Nutzer sollten die Update-Hinweise ihres Betriebssystems, im Browser, bei Add-Ons und anderen Programmen ernst nehmen.
Gleiches gelte für Virenscanner: Ohne sie könne es sehr gefährlich sein, sich im Internet zu bewegen – gleich ob per Desktop-Computer oder Smartphone. Umso wichtiger sei es, die Virensoftware immer aktuell zu halten.