Verschlüsselung

Sicherheit nach Efail: Wie Ihre privaten Nachrichten weiterhin privat bleiben

19. September 2018 von Bianca Wellbrock

efail PGO und S/MIME
© Rido - Fotolia.com

Nach Efail fragen sich noch immer viele User, wie private Nachrichten wirklich privat bleiben. Wie Sie weiterhin verschlüsselte E-Mails sicher versenden und lesen, erklärt Ihnen dieser Artikel.

Schwachstelle Efail betrifft viele E-Mail-Programme

Die als Efail bekanntgewordene Sicherheitslücke, über die wir im Mai bereits berichtet haben, jagt auch heute noch einigen Usern einen Schrecken ein. Viele Anwender sind verunsichert und fragen sich, wie sie nach wie vor verschlüsselte E-Mails sicher versenden können. Unter bestimmten Umständen ist es Angreifern möglich, verschlüsselte E-Mails abzufragen und sogar zu manipulieren. Betroffen sind die gängigen E-Mail-Programme, die in der Lage sind, HTML-E-Mails zu empfangen und darzustellen. Es gibt jedoch mehrere Möglichkeiten, um sich vor solchen Angriffen zu schützen.

In einem ersten Schritt sollte das Anzeigen externer Bilder in den E-Mails unterbunden werden. Dies dient ohnehin dem Schutz der Privatsphäre – ganz besonders bei unverschlüsselten E-Mails. Weiter sollte die HTML-Anzeige von E-Mails deaktiviert werden. Das oftmals voreingestellte automatische Entschlüsseln von E-Mails sowie das automatisierte Nachladen von Bildern sollte ebenfalls deaktiviert werden. Wichtig: Deaktivieren Sie keinesfalls die Verschlüsselung, denn nicht zu verschlüsseln, kann keine Lösung im Sinne der Sicherheit sein!

E-Mail-Zertifikat sicher einsetzen: Programme aktualisieren

Ein weiterer Schritt für den sicheren Einsatz Ihres S/MIME-Zertifikats ist es, sowohl Ihr E-Mail-Programm als auch alle verwendeten Plug-ins aktuell zu halten. Die Efail-Entdecker zeigten, dass sämtliche Programme, die sowohl HTML als auch den Verschlüsselungsstandard S/MIME unterstützen, betroffen sind. Wer den Standard PGP zum Verschlüsseln von E-Mails nutzt und Thunderbird (mit Enigmail), Apple Mail, Outlook 2007 oder Airmail nutzt, sollte ebenfalls vorsichtig sein und auf aktualisierte Versionen setzen.

Im Heise-Forum äußerte sich der Thunderbird-Entwickler Ben Bucksch. Er empfiehlt, „Vereinfachtes HTML“ zu aktivieren. Denn in diesem Modus werden URLs sowie aktive HTML-Elemente aus den E-Mails herausgefiltert. Dieser Schutz sei wirksamer und brauchbarer als Plaintext.

Externe Entschlüsselung am sichersten

Verschlüsselte E-Mails sollten nicht im E-Mail-Client entschlüsselt werden. Die Efail-Entdecker empfehlen, den Ciphertext aus der E-Mail zu exportieren, um ihn in einem separaten Programm zu entschlüsseln. So könnten weder anfällige Mailprogramme noch Plug-ins Inhalte aus der E-Mail dem Angreifer weitergeben. Zugegeben: dieser Weg ist sehr umständlich und für die meisten User nicht sonderlich praktikabel.

Für das Entschlüsseln im E-Mail-Programm folgen Sie idealerweise den oben erwähnten Hinweisen: Deaktivieren Sie den Empfang von HTML-Mails und lassen Sie sich die Nachrichten als Plaintext darstellen. Dieses Vorgehen kann zwar nicht die Schwachstellen stopfen, jedoch verhindert es die Angriffe.

EFF empfiehlt Deinstallation von E-Mail-Verschlüsselung

Für viele überraschend, hatte die Electronic Frontier Foundation (EFF) empfohlen, die E-Mail-Verschlüsselung zu deinstallieren. Diese Empfehlung hatte für den Moment ihre Berechtigung. Denn zum Zeitpunkt dieser Empfehlung existierten noch keine Patches, die das Problem beheben. Außerdem hat Efail auch das Entschlüsseln von E-Mails aus der Vergangenheit erlaubt. Wird vorläufig die E-Mail-Verschlüsselung deaktiviert, können die Inhalte der Nachrichten aus der Vergangenheit geschützt werden.

Eine Dauerlösung kann es jedoch nicht sein, auf die E-Mail-Verschlüsselung zu verzichten. Sie würden sicherlich auch nicht Ihre Haustüre offen stehen lassen, nur weil es theoretisch möglich ist, Ihren Hausschlüssel nachzumachen. Es ist nachvollziehbar, wie es zu dieser Empfehlung der EFF kam. Sicherlich wäre diese anders ausgefallen, wenn rechtzeitig entsprechende Updates bereitgestanden hätten.

Auch nach der Efail-Schwachstelle gilt die E-Mail-Verschlüsselung via OpenPGP oder S/MIME nicht als gebrochen. Die Sicherheit und Vertraulichkeit können durch eine nicht ausgereifte Implementierung bzw. Konfiguration geschwächt werden. Halten Sie sich jedoch an die Empfehlungen, können Sie weiterhin sichere E-Mails versenden und empfangen.



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu