wechselnd bewölkt
DE | FR
Digital
Online-Sicherheit

Verwirrung um PGP: Darum raten Experten davon ab, E-Mails zu verschlüsseln

PGP
Beispiel einer mit «Pretty Good Privacy» (PGP) verschlüsselten E-Mail: Eine normale, unverschlüsselte E-Mail kann wie eine Postkarte von jedermann mitgelesen werden. screenshot: watson

«Die Angriffe sind real» – Experten warnen vor «unrettbar kaputter» E-Mail-Verschlüsselung

Mehrere Sicherheitsexperten raten fürs Erste eindringlich davon ab, E-Mails zu versenden, die mit der Verschüsselungs-Software PGP, GPG oder S/MIME verschlüsselt sind. Das steckt hinter der seltsam drastischen Warnung.
14.05.2018, 12:3415.05.2018, 09:15
Mehr «Digital»

Es ist eine eindringliche Warnung: Gleich mehrere europäische Sicherheitsexperten raten davon ab, die E-Mail-Verschlüsselungen PGP, GPG oder S/MIME weiter zu nutzen. Sebastian Schinzel, Professor für Computersicherheit an der Fachhochschule in Münster, kündigte am Montagmorgen auf Twitter die Veröffentlichung «kritischer Schwachstellen in PGP/GPG und S/MIME» an. Die Lücken würden es Angreifern erlauben, verschlüsselte E-Mails mitzulesen. 

Betroffen von den als «Efail» getauften Angriffsmethoden auf verschlüsselte E-Mails sind nahezu alle Programme, die E-Mail-Verschlüsselung (als Plugin) anbieten – von Gmail, Outlook und Windows Mail bis hin zu Thunderbird und Apple Mail.

Details zur Sicherheitslücke wollten die Experten ursprünglich am Dienstag erläutern. Die Forschungsarbeit ist nun allerdings bereits im Netz verfügbar (PDF). Da es bislang keine Abwehrmöglichkeit gebe, rät Schinzel, die entsprechenden Verschlüsselungs-Plugins für E-Mail-Programme wie Outlook, Apple Mail oder Thunderbird im Moment nicht mehr zu nutzen, sondern eine andere Software zur Verschlüsselung zu verwenden. Besonders dramatisch sei die Situation bei der von vielen Firmen genutzten S/MIME-Verschlüsselung. Laut den Forschern sei dieser Verschlüsselungs-Standard «unrettbar kaputt», schreibt das deutsche Techportal Heise.

«Die Probleme und Angriffe sind real; heise Security liegen detaillierte, technische Informationen zur Natur der Schwachstellen vor und konnte zumindest einen Angriff auf eine verschlüsselte PGP-Mail unter Laborbedingungen nachvollziehen.»
Heiseheise

So wird die Sicherheitslücke ausgenutzt

Spiegel Online erläutert zwei mögliche Attacken:

  • «Die erste Methode besteht darin, dem Opfer eine verschlüsselte Mail, die es irgendwann einmal empfangen hat oder empfangen sollte, noch einmal zu schicken – trickreich umrahmt von einem HTML-Link. Verwendet das Opfer ein Verschlüsselungs-Plugin, entschlüsseln diese Programme die versteckte verschlüsselte Botschaft und koppeln sie gleichzeitig mit dem HTML-Link. An den schicken sie die dann entschlüsselte Botschaft schliesslich – ohne dass das Opfer irgendetwas davon bemerkt.
  • Bei der zweiten Methode haben Sicherheitsforscher Schinzel und seine Kollegen einen Weg gefunden, in einer verschlüsselten E-Mail einen neuen Befehl einzubetten. Die E-Mail wird dadurch vom Empfänger nicht nur automatisch entschlüsselt, sondern danach auch automatisch zurück an den Angreifer geschickt.»

Die Schwachstelle könnte Menschen, die bislang verschlüsselt per E-Mail kommuniziert haben, in Schwierigkeiten bringen: Denn Geheimdienste haben allenfalls jahrelang alle diese E-Mails automatisch als verdächtig markiert und gespeichert. Nun können sie einige dieser Nachrichten allenfalls nachträglich lesen.

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) rät Nutzern des Enigmail-Plugins für Thunderbird, von GPGTools für Apple Mail sowie Gpg4win für Microsofts Outlook ebenfalls, diese Software vorerst zu deaktivieren, bis die Sicherheitslücken durch Updates behoben wurden.

Warnung vor PGP oder GnuPG ist «ziemlich übertrieben»

Die gefundenen Schwachstellen steckten in den E-Mail-Programmen selbst und nicht in der Verschlüsselungsprotokollen, schreiben die Entwickler von GNU Privacy Guard (GnuPG) auf Twitter.

Anders gesagt: Efail ist offenbar kein Fehler in PGP oder GnuPG, sondern in der Art und Weise, wie sehr viele E-Mail-Programme mit verschlüsselten E-Mails umgehen. 

«Die Schwachstelle betrifft also nicht die Verschlüsselungsstandards selbst, sondern Plugins, die den Umgang mit PGP und S/MIME erleichtern», schreibt Spiegel Online. Werner Koch, der massgebliche Entwickler der GPG-Verschlüsselung, bestätigt dies in einem Beitrag von Montagmorgen auf der GnuPG-Mailingliste. Er bezeichnet die Warnung vor den Verschlüsselungs-Plugins als «ziemlich übertrieben». Statt das Verschlüsselungs-Plugin zu deaktivieren oder gar zu löschen, solle man einfach auf HTML-Mails verzichten. Denn problematisch ist das automatisierte Ausführen von HTML und das Nachladen externer Inhalte. OpenPGP sei zudem sicherer als S/MIME.

Verschlüsselte E-Mails bleiben wichtig

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Panik: «Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.»

Klar ist inzwischen: Die Hürden für Angreifer bleiben bei verschlüsselten E-Mails relativ hoch: «Der Angreifer muss im Besitz der noch verschlüsselten E-Mails sein. Dazu müsste er zum Beispiel den Netzwerkverkehr des Opfers überwacht oder dessen Postfach, E-Mail-Server oder Computer gehackt haben», schreibt Spiegel Online. 

Sichere verschlüsselte E-Mail-Kommunikation bleibt daher ein wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit. «Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schliessen», schreibt das BSI. Dennoch werde langfristig eine Anpassung der OpenPGP- und S/MIME-Standards nötig sein.

Aufruf zur Abschaltung der Verschlüsselung irritiert 

Der drastische Aufruf einiger Sicherheitsexperten sowie der Electronic Frontier Foundation, die Verschlüsselungs-Plugins nicht mehr zu nutzen, sorgt in Sicherheitskreisen aktuell für viele Fragezeichen. Denn die warnenden Sicherheitsforscher schwiegen sich zunächst darüber aus, unter welchen Voraussetzungen und mit welchem Aufwand es möglich ist, die Sicherheitslücken auszunutzen. Der Schweizer Sicherheits-Experte Daniel Röthlisberger, der beim Computer Emergency Response Team der Swisscom arbeitet, schreibt auf Twitter: 

Auf Twitter geben sich Verschlüsselungs-Entwickler wie Werner Koch und Kryptographie-Professoren wie Matthew Green derweil gegenseitig aufs Dach. GnuPG sei alles andere als unschuldig an der aktuellen Situation, meint Green. Die Verschlüsselungs-Entwickler hätten die Absicherung viel zu lange den einzelnen Plugin-Entwicklern überlassen.

HTML in E-Mails deaktivieren

Stand heute scheint es eine gute Idee zu sein, sicherzustellen, dass HTML in E-Mails deaktiviert ist. Mittelfristig müssen aber Software-Updates für die Lücken veröffentlicht und auf lange Sicht auch die Verschlüsselung-Standards selbst weiterentwickelt werden. Die Experten hatten laut Eigenaussage bereits letzten Herbst gewisse Unternehmen und Behörden über die Lücken informiert.

Das Gute an der Geschichte: Sie führt uns einmal mehr vor Augen, dass unverschlüsselte E-Mails kein sicherer Kommunikationskanal sind. Wer auf Nummer sicher gehen will, sollte zwischenzeitlich auf Ende-zu-Ende-verschlüsselte-Alternativen umsatteln. Zum Beispiel Threema oder Signal.

Weiterführende Artikel

«Pretty Good Privacy» (PGP) und Co.
Das Programm «Pretty Good Privacy» (PGP) gibt es schon seit 1991, doch erst in den letzten Jahren wurde es zum Standard für verschlüsselte E-Mail-Kommunikation. Das System mag anfangs kompliziert und deshalb abschreckend wirken, aber nachdem man sich eingelesen hat, ist es kinderleicht. Im Netz, etwa auf Spiegel Online, finden sich gute Anleitungen. Ein beliebtes Programm ist GPG4win, und mit Browser-Erweiterungen wie Mailvelope lässt sich PGP ganz leicht im Alltag integrieren. 

«Pretty Good Privacy» kostet. Gratis Alternativen sind GnuPG und OpenPGP. Alle Programme ermöglichen es auch, mit dem Smartphone verschlüsselte Mails zu verschicken.​ (rey/dwi)

Millionen von Russen kämpfen gegen Verbot von Telegram App

Video: srf
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
23 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
drüber Nachgedacht
14.05.2018 13:57registriert Dezember 2017
Ein wichtiger Satz, der bei Heise geschrieben steht, wurde im Artikel von Watson vergessen:

Um sich zu schützen, kann man in der aktuellen Situation eigentlich nur auf den Versand hochbrisanter Informationen via E-Mail verzichten

https://www.heise.de/security/meldung/PGP-E-Mail-Verschluesselung-akut-angreifbar-4048489.html

Wie man dazu kommt, den Usern anzugeben, die Verschlüsselung ganz zu deaktivieren, ist mir ein Rätsel.
Ein knackbares Zahlenschloss am Velo schützt immer noch besser als gar kein Schloss.
1575
Melden
Zum Kommentar
avatar
Foxie
14.05.2018 15:01registriert Mai 2016
Das Paper wurde veröffentlicht (https://efail.de/efail-attack-paper.pdf) weil Details dazu zuvor schon auf der Mailingliste von GPG waren.

Im Grossen und Ganzen wird und wurde ziemlich masslos übertrieben. In der Standardkonfiguration eines Grossteils verwendeter E-Mail clients funktionieren die Ansätze gar nicht oder nur auf explizite Anweisung des Nutzers.

Selbst dann ist eine unter Umständen in speziellen Konstellationen nicht sichere Verschlüsselung besser als keine, davon abzuraten ist also Blödsinn.

Für sensitive Daten ist und war E-Mail aber tatsächlich nicht gedacht.
480
Melden
Zum Kommentar
avatar
Madison Pierce
14.05.2018 13:41registriert September 2015
Es wird nicht so heiss gegessen, wie gekocht wird. Um an den Klartext einer Nachricht zu kommen, muss der Angreifer diese verändern können. Da die Kommunikation zwischen Mailservern per TLS gesichert ist, bräuchte er Zugriff aufs Postfach des Benutzers.

Der User muss eine so präparierte Mail öffnen. Geheimdienste können also nicht einfach im stillen Kämmerlein alle gesammelten Mails nachträglich entschlüsseln.

Der Mailclient muss zudem automatisch HTML-Inhalte aus dem Internet nachladen. Hier wurde aber anscheinend ein Trick mit CSS gefunden, der ohne das Laden von Bildern auskommt.
210
Melden
Zum Kommentar
23
VW verrät Startdatum und Preis für sein erstes wirklich günstiges Elektroauto
VW will seine Auswahl bei den E-Autos um einen Kleinwagen erweitern. Der ID.1 soll 20'000 Euro kosten. Nun nennt Volkswagen erstmals den Starttermin für den Einstiegs-Stromer.

Volkswagen will 2027 erstmals ein Elektroauto für 20'000 Euro auf den Markt bringen. «Der Arbeitstitel ist ID.1 und das Fahrzeug ist für 2027 geplant», sagte Markenchef Thomas Schäfer am Donnerstag bei der Jahrespressekonferenz. Mit dem Kleinwagen wolle man das Elektro-Portfolio nach unten abrunden und «bezahlbare Elektromobilität für alle» anbieten, so Schäfer.

Den Termin habe man daher bewusst ein Jahr nach dem für 2026 geplanten ID.2all für unter 25'000 Euro gelegt.

Zur Story