Bildrechte: pa/dpa/Sven Simon
Bildbeitrag

Offenes Schloss auf Tastatur

Bildbeitrag
> Netzwelt >

E-Mail-Verschlüsselung weist gravierende Schwachstellen auf

E-Mail-Verschlüsselung weist gravierende Schwachstellen auf

Die IT-Sicherheitsbranche ist in Aufruhr. Die US-Datenschutzorganisation EFF fordert dazu auf, vorerst auf Plugins zu verzichten, die die bekannte Mail-Verschlüsselung PGP nutzen. Forscher wollen eine schwere Sicherheitslücke entdeckt haben.

Über dieses Thema berichtet: BR24 im Radio am .

Die US-Verbraucherschutzorganisation EFF warnt vor einer schweren Lücke in den Mailverschlüsselungsstandards PGP und S/MIME. PGP wird eher von Privatnutzern verwendet, während S/MIME hauptsächlich in Unternehmen eingesetzt wird. Ein Team von Sicherheitsforschern von Hochschulen aus Bochum, Münster und der belgischen Stadt Löwen will eine gravierende Lücke in den Systemen entdeckt haben, die die Forscher "Efail" getauft haben. Diese führt dazu, dass Angreifer, die Zugriff auf die Emails eines Opfers haben, auch eigentlich verschlüsselte Nachrichten lesen können.

Verschlüsselte Mails auf einmal lesbar?

Die EFF schreibt in einer Mitteilung, dass sie die Lücke geprüft hat und bestätigt, dass eine unmittelbare Gefahr für Nutzer besteht. Diese sollten deshalb laut EFF bis auf weiteres auf Plugins verzichten, die das Versenden und Empfangen von verschlüsselten Mails komfortabler machen. Dazu gehören Programmerweiterungen wie Enigmail für den Open Source Client Thunderbird, GPGTools für Apple Mail und Gpg4win für Microsofts Outlook. Wer seine Mails händisch per Open PGP verschlüsselt, scheint von der Lücke demnach nicht betroffen zu sein.

Forscherteam von Uni Bochum und FH Münster

Der deutsche Entwickler Werner Koch, der mit GnuPG eines der bekanntesten PGP-Programme entwickelt hat, sieht die Lücke dagegen als weniger schlimm an. Laut Koch ist das Problem bereits seit längerem bekannt und betrifft nur Emails die aktiven HTML-Code nutzen. Außerdem könne man sich schützen, indem man ein Plugin nutzt, das eine Methode namens "Authenticated Encryption" einsetzt.

Zuerst hatten SZ, WDR und NDR von der Sicherheitslücke berichtet. Ursprünglich hatten die Forscher offenbar geplant, ihren kompletten Bericht erst morgen früh zu veröffentlichen. Angesichts der hitzigen Diskussion über die Sicherheitslücke haben sie die Veröffentlichung nun vorgezogen und unter efail.de veröffentlicht.

Wer auf verschlüsselte Kommunikation angewiesen ist, dem empfehlen die Experten von der EFF vorerst auf verschlüsselte Messenger-Dienste wie "Signal" auszuweichen.