Verschlüsselt geglaubte E-Mails mit vertraulichem Inhalt können innerhalb von nur fünf Minuten entschlüsselt werden. Diesen neuen Sicherheitsskandal machte ein Forscherteam der Fachhochschule Münster, der Ruhr-Universität Bochum und der KU Leuven laut Recherchen von NDR, WDR und „SZ“ öffentlich.

Björn Schwabe, ehemaliger Hacker und Entwickler der Kommunikationsplattform UWORK.X ist wenig überrascht: „Wir haben genau dieses Problem kommen sehen. Verlässliche Sicherheit erreichen wir nicht durch Krypto-Programme, die auf bestehende Systeme, in diesem Fall einen E-Mail Client, gesetzt werden. So sicher das Programm auch sein mag: Sobald es Lücken im Client gibt, beispielsweise weil ein Update verpasst wurde, oder die Technik einfach veraltet ist, ist der Hacker zur Stelle. E-Mails sind und bleiben nur sicher durch ein Ende-zu-Ende verschlüsseltes System.“

Praktische alle Programme von „EFAIL“ betroffen

Bisher schienen die Krypto-Programme PGP oder S/MIME unüberwindbar. Die Forscher fanden jetzt aber eine Schwachstelle, die unter dem Namen „EFAIL“ bekannt wurde. Das Prozedere ist eine einfache Manipulation. Vereinfacht ausgedrückt sendet in dessen Verlauf der Angreifer einen zuvor abgefangenen verschlüsselten Text wieder versteckt an den Absender zurück. Das ausgetrickste E-Mail-Programm des Empfängers registriert, vom Nutzer unbemerkt, den versteckten Anhang und entschlüsselt den Text. Der Angreifer bekommt die entschlüsselten Informationen einfach wieder zurückgesendet. So erfährt er zumindest teilweise über den Inhalt der eigentlich verschlüsselten E-Mail. Nahezu alle E-Mail Clients sind von der Problematik betroffen. Nutzer der Kryptographie-Angebote wird geraten, diese schnellstmöglich abzuschalten.

Ende-zu-Ende als einzige Lösung

„Es ist natürlich eine schlimme Sicherheitslücke", wird Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) zitiert. Das BSI geht dennoch davon aus, dass S/MIME & Co. auch künftig E-Mails sichern können - wenn nur einige Bedingungen beachtet werden. Es ginge schließlich nicht um das Verschlüsselungsprogramm, sondern um den genutzten E-Mail Client. „Genau diese Tatsache bietet für Nutzer auch die Alternative und die Lösung für das Problem“, sagt IT-Sicherheitsexperte Schwabe. „Das Knacken von E-Mails ist keine hohe Kunst. Wie der EFAIL funktioniert ist online längst nachzulesen. Sicher ist nur der, der E-Mails Ende-zu-Ende verschlüsselt in einem stabilen System, das beispielsweise keine gängigen Clients nutzt. Nur so kann DSGVO-konform Kryptografie nach aktuellem Stand der Technik umgesetzt werden.“

Quelle: UWORK.X