- Anzeigen -

Sie sind hier: Home » Markt » Hintergrund

E-Mail-Verschlüsselung bleibt sicher


Angriff auf PGP- und S/MIME-Verschlüsselung nutzt Schwachstellen in E-Mail-Clients
TeleTrusT: "Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst"

- Anzeigen -





Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME in Frage stellt und damit weltweites Aufsehen erregt. Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle in E-Mail-Clients, um verschlüsselte E-Mails zu entschlüsseln und dem Angreifer zuzustellen. Die Angriffe sind technisch komplex und benötigen mehrere Schritte zur erfolgreichen Umsetzung.

Erste Voraussetzung für einen erfolgreichen Angriff: Die E-Mail muss bereits in verschlüsselter Form beim Angreifer vorliegen. Hierfür muss er die E-Mails auf dem Transportweg per "Man-in-the-Middle"-Attacke abfangen oder einen Mailserver kompromittiert haben.

Anschließend könnten die Angreifer laut den Autoren des Papers zwei sich ähnelnde Angriffsmethoden anwenden, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln. Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt. Die zweite Möglichkeit, um PGP- oder S/MIME-verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten. Bei beiden Arten werden die abgefangenen verschlüsselten E-Mails manipuliert.

Wichtig bei diesen beiden Angriffsmethoden ist, dass die Verschlüsselungsmethoden S/MIME und PGP selbst nicht gebrochen werden; vielmehr nutzen sie Schwachstellen in E-Mail-Clients für HTML-Mails aus, um die Verschlüsselungstechniken zu umgehen.

"Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst", sagt Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security" und Geschäftsführer des Cloud-Security-Anbieters Hornetsecurity. "Sie läuft allen Bemühungen zuwider, die Sicherheit des Kommunikationsmittels E-Mail zu erhöhen. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung ist nicht nachvollziehbar. Das Gegenteil ist richtig: E-Mail-Verschlüsselung erhöht die Sicherheit und sollte unbedingt eingesetzt werden."

Auch das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass PGP und S/MIME weiterhin sicher eingesetzt werden können, wenn sie korrekt implementiert und sicher konfiguriert sind. (TeleTrusT: ra)

eingetragen: 18.05.18
Newsletterlauf: 04.06.18

Wettbewerbszentrale: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Musterfeststellungsklage gegen VW kommt

    Nahezu auf den Tag genau drei Jahre nach dem Beginn des Dieselskandals hat der Verbraucherzentrale Bundesverband (vzbv) eine Musterfeststellungsklage gegen die Volkswagen AG angekündigt. Sie soll am 1. November 2018, dem Tag des Inkrafttretens der neuen Klagemöglichkeit, in Kooperation mit dem ADAC eingereicht werden, erklärten Vertreter beider Verbände. Ziel der Klage ist die Feststellung, dass Volkswagen mit Software-Manipulationen Käufer vorsätzlich sittenwidrig geschädigt hat und daher Schadenersatz schuldet. Beteiligen können sich Käufer von Fahrzeugen der Marken Volkswagen, Audi, Seat, Skoda mit den Dieselmotoren EA 189, für die ein Rückruf ausgesprochen wurde.

  • Verbraucherprobleme am Finanzmarkt

    Im September 2018 jährt sich die Insolvenz der amerikanischen Lehman Bank - Sinnbild der internationalen Finanzkrise - zum zehnten Mal. Aus Sicht des Verbraucherzentrale Bundesverbands (vzbv) gehen viele der seitdem beschlossenen Reformen am Problem vorbei. Der vzbv fordert die Bundesregierung auf, einen politischen Richtungswechsel einzuleiten und ein Verbot von Provisionen und eine bessere private Altersvorsorge zügig umzusetzen. "Die Finanzkrise hat gezeigt, was am Finanzmarkt für Verbraucher schief läuft. Zahlreiche Finanzprodukte sind komplex und überteuert, Risiken falsch bewertet und Berater sind Verkäufer. Verbessert hat sich seitdem wenig, aber vieles ist komplizierter geworden. Die Bundesregierung muss viel aktiver werden, um das Risiko von Vermögensschäden wirksam zu begrenzen", sagt Klaus Müller, Vorstand des vzbv.

  • Digitale Dokumentation von Patientendaten

    Arzttermine verwalten, Impfungen dokumentieren oder aktuelle Unverträglichkeiten überprüfen - verschiedene Angebote etwa in Form von Apps stellen diese Funktionen dem Verbraucher bereits zur Verfügung. Grundlage dafür ist die elektronische Speicherung und Verarbeitung von Patientendaten. "Plattformen zur digitalen Dokumentation von Patientendaten stellen eine begrüßenswerte Initiative für die Sozialbranche dar", so Karsten Glied, Geschäftsführer der Techniklotsen GmbH. Derzeit befinden sich hauptsächlich private Anbieter auf dem Markt, die Dienste rund um die elektronische Patientenakte anbieten. Um dies zu ermöglichen, arbeiten häufig Krankenkassen mit Krankenhäusern und große IT-Dienstleister zusammen. "Da wo der Staat in der Pflicht war, strömen derzeit private Anbieter auf den Markt. Die Selbstverwaltung muss nun mehr Handlungsbereitschaft zeigen und schnell reagieren, damit der digitale Fortschritt bundeseinheitlich in die Sozialbranche einziehen kann", plädiert Karsten Glied.

  • E-Mail-Verschlüsselung bleibt sicher

    Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME in Frage stellt und damit weltweites Aufsehen erregt. Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle in E-Mail-Clients, um verschlüsselte E-Mails zu entschlüsseln und dem Angreifer zuzustellen. Die Angriffe sind technisch komplex und benötigen mehrere Schritte zur erfolgreichen Umsetzung.

  • Amazon muss Jugendschutz beachten

    Bei der Wettbewerbszentrale gingen in den letzten Wochen zahlreiche Beschwerden gegen Anbieter von Spielkonsolen ein. Diese vertreiben Computerspiele mit sogenannten indizierten Spielen. Konkret geht es um das Spiel "Mortal Kombat". Dieses Spiel ist in Deutschland von der Bundesprüfstelle für jugendgefährdende Medien indiziert und es liegt auch eine Beschlagnahme vor. Gleichwohl wird dieses Spiel im Versandhandel und insbesondere bei Amazon angeboten. Nach dem Jugendschutzgesetz dürfen Trägermedien, deren Aufnahme in die Liste jugendgefährdender Medien bekannt gemacht ist, nicht im Versandhandel angeboten oder überlassen werden.