- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hintergrund

E-Mail-Verschlüsselung bleibt sicher


Angriff auf PGP- und S/MIME-Verschlüsselung nutzt Schwachstellen in E-Mail-Clients
TeleTrusT: "Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst"

- Anzeigen -





Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) einen Bericht, der die Sicherheit der Verschlüsselungsstandards PGP und S/MIME in Frage stellt und damit weltweites Aufsehen erregt. Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle in E-Mail-Clients, um verschlüsselte E-Mails zu entschlüsseln und dem Angreifer zuzustellen. Die Angriffe sind technisch komplex und benötigen mehrere Schritte zur erfolgreichen Umsetzung.

Erste Voraussetzung für einen erfolgreichen Angriff: Die E-Mail muss bereits in verschlüsselter Form beim Angreifer vorliegen. Hierfür muss er die E-Mails auf dem Transportweg per "Man-in-the-Middle"-Attacke abfangen oder einen Mailserver kompromittiert haben.

Anschließend könnten die Angreifer laut den Autoren des Papers zwei sich ähnelnde Angriffsmethoden anwenden, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln. Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt. Die zweite Möglichkeit, um PGP- oder S/MIME-verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten. Bei beiden Arten werden die abgefangenen verschlüsselten E-Mails manipuliert.

Wichtig bei diesen beiden Angriffsmethoden ist, dass die Verschlüsselungsmethoden S/MIME und PGP selbst nicht gebrochen werden; vielmehr nutzen sie Schwachstellen in E-Mail-Clients für HTML-Mails aus, um die Verschlüsselungstechniken zu umgehen.

"Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst", sagt Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security" und Geschäftsführer des Cloud-Security-Anbieters Hornetsecurity. "Sie läuft allen Bemühungen zuwider, die Sicherheit des Kommunikationsmittels E-Mail zu erhöhen. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung ist nicht nachvollziehbar. Das Gegenteil ist richtig: E-Mail-Verschlüsselung erhöht die Sicherheit und sollte unbedingt eingesetzt werden."

Auch das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass PGP und S/MIME weiterhin sicher eingesetzt werden können, wenn sie korrekt implementiert und sicher konfiguriert sind. (TeleTrusT: ra)

eingetragen: 18.05.18
Newsletterlauf: 04.06.18

Wettbewerbszentrale: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Personenbezogene Daten im Fokus

    Mit fortlaufenden Datenschutzverstößen in vielen Unternehmen sowie der EU-DSGVO war 2018 ein turbulentes Jahr für Datenschutz und -Sicherheit. Jetzt ist es an der Zeit, sich darauf vorzubereiten, was uns das nächste Jahr bringen kann. Ein Analystenteam von Netwrix hat jene IT-Sicherheitstrends identifiziert, die 2019 am wahrscheinlichsten die IT-Sicherheit in Unternehmen prägen werden. Unternehmen sollten sich gut vorbereiten, um nicht selbst das Ziel eines schwerwiegenden Datenschutzverstoßes zu werden. Matt Middleton-Leal, General EMEA bei Netwrix, erklärt die sieben Trends.

  • Beanstandungen der Wettbewerbszentrale erfolgreich

    Die Deutsche Post AG hatte neue Mitarbeiter angeschrieben und diese auf eine konkret benannte Krankenkasse hingewiesen, die mit über neun Millionen Versicherten eine der ganz großen Krankenversicherungen Deutschlands und außerdem zuverlässiger Partner sei. In dem Brief wurde an die Solidarität der Mitarbeiter appelliert ("Gemeinsam erreichen wir mehr!"), und schließlich konnte der Arbeitnehmer auf einem Formblatt gleich ankreuzen, dass er an Angeboten der betreffenden Krankenkasse interessiert sei. In weiteren Fällen hatten zwei Hotel- und Gaststättenverbände ihren Fachkräfte suchenden Mitgliedern folgendes Angebot unterbreitet: Man könne über eine Krankenkasse (auch sie wurde namentlich benannt) und deren Kontakte zu Headhuntern in Osteuropa Personal besorgen. Voraussetzung für Hotel oder Gaststätte sei: Der Mitarbeiter wird über diese Krankenkasse versichert.

  • Haupttriebfeder jeder Organisierten Kriminalität

    Bayerns Justizminister Prof. Dr. Winfried Bausback stellte gemeinsam mit dem Münchner Generalstaatsanwalt Reinhard Röttle die Zentrale Koordinierungsstelle Vermögensabschöpfung bei der Generalstaatsanwaltschaft München vor, die heute ihre Arbeit aufnimmt. Bausback in seinem Statement: "Bayern bekämpft bereits jetzt Organisierte Kriminalität intensiv und erfolgreich. Mit der neuen Zentralen Koordinierungsstelle Vermögensabschöpfung bei der Generalstaatsanwaltschaft München wollen wir noch besser werden, indem wir bei der Haupttriebfeder jeder Organisierten Kriminalität ansetzen - dem Geld: Wir schaffen professionelle Strukturen, die insbesondere Organisierter Kriminalität noch effektiver den Geldhahn zudrehen und damit das Verbrechen an der Wurzel bekämpfen. Gleichzeitig tun wir alles dafür, dass Opfer ihren Schaden bestmöglich wieder ersetzt bekommen - das ist Opferschutz in Reinkultur."

  • Klare Regelungen für die Rechtssicherheit

    Bayern stellte im Bundesrat seinen Gesetzentwurf zur Anpassung zivilrechtlicher Vorschriften an die Datenschutz-Grundverordnung zur sofortigen Sachentscheidung. Bayerns Justizminister Prof. Dr. Winfried Bausback hierzu vor der Sitzung der Länderkammer: "Für mich ist klar: Der Gesetzentwurf der Bundesregierung zur Bekämpfung des Abmahnmissbrauchs greift zu kurz! Es fehlt vor allem eine ausdrückliche Regelung für Verstöße gegen die Datenschutz-Grundverordnung. Genau in diesem Bereich machen sich unsere kleinen und mittleren Unternehmen die größten Sorgen, Opfer unseriöser Abmahnpraktiken zu werden, etwa wenn es um die Datenschutzerklärung auf der Homepage geht. Der Entwurf des Bundes lässt sie mit ihren Ängsten leider im Regen stehen. Wir brauchen daher klare Regelungen, die für Rechtssicherheit sorgen. Und genau die liefern wir mit unserem bayerischen Entwurf!"

  • Musterfeststellungsklage gegen VW kommt

    Nahezu auf den Tag genau drei Jahre nach dem Beginn des Dieselskandals hat der Verbraucherzentrale Bundesverband (vzbv) eine Musterfeststellungsklage gegen die Volkswagen AG angekündigt. Sie soll am 1. November 2018, dem Tag des Inkrafttretens der neuen Klagemöglichkeit, in Kooperation mit dem ADAC eingereicht werden, erklärten Vertreter beider Verbände. Ziel der Klage ist die Feststellung, dass Volkswagen mit Software-Manipulationen Käufer vorsätzlich sittenwidrig geschädigt hat und daher Schadenersatz schuldet. Beteiligen können sich Käufer von Fahrzeugen der Marken Volkswagen, Audi, Seat, Skoda mit den Dieselmotoren EA 189, für die ein Rückruf ausgesprochen wurde.