Nicht die Verschlüsselung ist unsicher, sondern der Umgang damit

Efail – jedes Sicherheitsproblem braucht einen Namen. Und die Sicherheitslücke, die dazu führt, dass Fremde verschlüsselte E-Mails lesen können, wird eben Efail genannt. In der Berichterstattung entsteht der Eindruck, dass es ein Sicherheitsleck in der Verschlüsselung gibt. Doch die funktioniert tadellos – das Drumherum macht Schwierigkeiten. Für Benutzer ist das egal, das Ergebnis zählt.

Selbst verschlüsselte E-Mails sind nicht mehr sicher. Wie die Tagesschau berichtet, lassen sich mit PGP oder S/Mime verschlüsselte Nachrichten mit denkbar geringem Aufwand lesbar machen.

Einem Forscherteam der Fachhochschule Münster, der Ruhr-Universität Bochum und der KU Leuven ist es gelungen, das lange als sicher eingestufte Verfahren auszuhebeln. Es reicht, Zugriff auf die verschlüsselten Nachrichten zu bekommen – und fünf Minuten später steht alles im Klartext da. Wenn man die Methode kennt. Das ist ein GAU für die Datensicherheit, man kann es nicht anders sagen.

, Nicht die Verschlüsselung ist unsicher, sondern der Umgang damit

Einfacher Trick mit Knallerwirkung

Technisch ist die Sache – leider! – denkbar einfach. Zum Knacken braucht man weder den öffentlichen, noch den privaten Schlüssel. Die Entschlüsselung übernimmt das beim Opfer im Einsatz befindliche E-Mail-Programm – unbemerkt.

Der Mail-Client entschlüsselt die Nachricht und sendet sie im Klartext an den Angreifer. Fertig. Unfassbar, dass so etwas geht. Möglich macht das ein spezieller Trick: Hier kommt die Möglichkeit zum Einsatz, HTML in Mails einzubinden. Schon schnappt die Mausefalle zu. Das Leck ist also nicht in der Verschlüsselung selbst, sondern in der Art und Weise, wie sie angewendet wird.

Klar: Jetzt werden die Mail-Programme entsprechend angepasst, HTML wird deaktiviert etc. Das sorgt dann wieder für mehr Sicherheit. Aber das Beispiel zeigt deutlich: Sicher im Sinne des Wortes gibt es in der IT-Welt nicht. Wir dürfen eigentlich nicht von Sicherheit oder von sicher sprechen, müssten andere Vokabeln verwenden wie: „Das ist echt schwer zu knacken.“ Oder: „Im Augenblick weiß noch keiner, wie es geht.“ Klingt zwar nicht so beruhigend, wäre aber ehrlich(er).

Verschlüsselte Mails sind nicht mehr sicher

Entweder es ist einfach – oder unmöglich

Salvatore Dali sagte: „Es ist entweder einfach – oder unmöglich“. Da es offenkundig nicht unmöglich ist, eine verschlüsselte E-Mail zu knacken, ist es also einfach. Die Forscher aus Münster, Bochum und Leuven haben das eindrucksvoll unter Beweis gestellt. Was nun aber tun? Schwierig. Natürlich Mail-Programme und Plugins aktualisieren, damit – wenn die Lücke gestopft wird – möglichst schnell wieder ein höherer Schutz vorhanden ist, (ich spreche nicht von Sicherheit). Das macht die Sache besser, aber nicht gut.

Experten empfehlen den Einsatz von Messengern wie Signal, die Ende-zu-Ende-verschlüsseln. Da gibt es keine Plugins, da gibt es kein HTML. Hier drohen bestenfalls Trojaner, die im Gerät von Sender oder Empfänger die unverschlüsselten Nachrichten mitlesen könnten. Ist unwahrscheinlich – aber eben, nicht unmöglich.

SCHIEB+ Immer bestens informiert

Schieb+ Tarife
Nach oben scrollen