Skip to content

Sicherheitslücke in Mail-Verschlüsselung entdeckt - Updates bereits auf dem Weg

Geschrieben von Florian Schimanke am

Ein Team von Sicherheitsforschern der FH Münster hat am heutigen Tage eine Sicherheitslücke in der PGP/GPG- bzw. S/MIME-Verschlüsselung von E-Mails publik gemacht, durch die eigentlich als verschlüsselt versendete E-Mails in Klartext ausgegeben werden können. Betroffen sind hiervon sowohl aktuelle E-Mails, als auch solche, die bereits in der Vergangenheit verschickt wurden. Zwar gibt es aktuell keine verlässlichen Maßnahmen gegen die inzwischen unter der Bezeichnung "Efail" bekannten Lücke, allerdings ist ihre Relevanz in der Praxis auch nicht abschließend geklärt.

Während die Electronic Frontier Foundation (EFF) eine offizielle Warnung zu der Schwachstelle veröffentlicht hat, sehen unter anderem der Sicherheitsexperte Alec Muffet oder auch der GPG-Entwickler Werner Koch die Auswirkungen nicht so dramatisch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen ebenfalls eine Stellungnahme veröffentlicht, in der man die Meinung äußert, dass die genannten E-Mail-Verschlüsselungsstandards auch weiterhin sicher eingesetzt werden können, "wenn sie korrekt implementiert und sicher konfiguriert werden".

Damit durch die Lücke Schaden angerichtet werden kann, muss ein Angreifer zum einen Zugriff auf den Übertragungsweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zum anderen muss beim Empfänger beispielsweise die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte, wie beispielsweise von Grafiken aktiviert sein. Laut BSI haben die Hersteller der gängigen Mailclients bereits Updates ihrer Produkte angekündigt oder sogar schon bereitgestellt.

Wer sich bis zur Bereitstellung der entsprechenden Updates kurzfristig gegen die Lücke schützen möchte, kann seinen Mailclient auch so konfigurieren, dass er gegen einen möglichen Angriff immun ist. Unter anderem sollten hierzu sämtliche GPGTools/GPGMail Encryption-Plugins vorerst deinstalliert werden. Hierfür steht inzwischen eine Schritt-für-Schritt-Anleitung bereit. Für Mail auf dem Mac geht man dabei folgendermaßen vor:

  • Apple Mail beenden (CMD-Q)
  • In der Menüleiste des Finders auf "Gehe zu" klicken
  • Unterpunkt "Gehe zum Ordner..." auswählen
  • In die Adresszeile eingeben: ~/Library/Mail/Bundles
  • Datei GPGMail.mailbundle in den Papierkorb verschieben
  • mit dem Administrator-Passwort bestätigen

Es darf davon ausgegangen werden, dass Apple in Kürze ein entsprechendes Update für Mail am Mac bereitstellen wird. Weitere Anleitungen existieren zudem auch für Mozilla Thunderbird mit Enigmail und Microsoft Outlook mit GPG4win.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

dergrei am :

Bei mir gibt es weder Ordner noch Datei auf dem Mac!?

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen