E-Mail-Verschlüsselung: BSI warnt deutlich vor Kurzschluss-Reaktionen

Verschlüsselung, Kryptographie, Pgp Bildquelle: Cqdx (CC BY 3.0)
Angesichts der jüngsten Meldungen über vermeintliche Sicherheitslücken in Verschlüsselungs-Systemen für E-Mails hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Panikmache gewarnt. Denn die Krypto-Verfahren selbst sind überhaupt nicht betroffen und die Attacken auch nur unter bestimmten Umständen möglich. "Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen", stellte BSI-Präsident Arne Schönbohm klar. Denn die Schwachstellen, die einen Teil des beschriebenen Angriffs-Szenarios ausmachen, resultieren aus einer nicht besonders guten Implementierung der Krypto-Verfahren in einigen E-Mail-Clients.

Insbesondere die inzwischen fast überall vorhandene Möglichkeit, E-Mails im HTML-Format zu erstellen, hat dabei für Probleme gesorgt. Hier war es unter bestimmten Umständen möglich, dass der Angreifer den Klartext einer Nachricht, die verschlüsselt werden sollte, in ein Tag-Attribut verpackt und so an Sicherheitsschranken vorbei nach Außen schleust.

Ein anderer Angriffsweg wurde möglich, weil die Implementierungen grundlegende Verhaltensaspekte bei der Nutzung von Verschlüsselungen nicht beachteten. So ist es möglich, Rückschlüsse auf den Key zu ziehen, wenn ein Teil des Klartextes bekannt ist - was in diesem Fall immer gleiche HTML-Header sind. Hier sind die Hersteller der E-Mail-Clients bereits dabei, Änderungen durch Patches herbeizuführen. Nutzer sollten aber auch darauf achten, an ihre verschlüsselten Nachrichten beispielsweise keine standardisierten Signaturen mit Adressen und diversen Disclaimern anzuhängen.

Krypto angeschaltet lassen!

Grundsätzlich sollten die jetzt öffentlich gemachten Schwächen jedenfalls nicht dazu führen, dass Anwender plötzlich lieber auf ihre Sicherheits-Maßnahmen verzichten und vielleicht sogar auf komplett unsichere Kommunikationswege umstellen. Denn in den allermeisten Fällen sollten auch die unter den nicht optimalen Bedingungen verschickten Nachrichten noch halbwegs sicher sein - was natürlich auch immer ein wenig auf das Einsatzgebiet der Kommunikation und die möglichen Angreifer ankommt.

Seitens des BSI hält man darüber hinaus langfristig eine Anpassung der OpenPGP- und S/MIME-Standards durchaus für angebracht - vor allem auch, damit solche Fehler nicht zu leicht auftreten können. "Das BSI als nationale Cyber-Sicherheitsbehörde hat dazu seine Unterstützung angeboten", sagte Schönbohm.

Die kürzliche Aufregung über die Probleme resultierte vermutlich aus einer etwas ungünstigen Gemengelage. Zum einen wollten die beteiligten Sicherheits-Forscher natürlich eine hinreichende Aufmerksamkeit für ihre langwierige und nicht gerade leicht verständliche Arbeit erzeugen. Und auch in der Presse - uns eingeschlossen - wurden manche Sachverhalte überspitzt dargestellt, was ebenfalls verschiedene Ursachen hat: Der Wunsch, deutlich vor Problemen zu warnen, ein recht kompliziertes Themenfeld wie die Kryptographie und natürlich auch das Interesse an Aufmerksamkeit.

Download Gpg4Win - Kommunikation verschlüsseln Verschlüsselung, Kryptographie, Pgp Verschlüsselung, Kryptographie, Pgp Cqdx (CC BY 3.0)
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:30 Uhr VAVA Bluetooth Kopfhörer 4.1 in Ear Kopfhörer bis zu 9 Stunden Spielzeit AptX, IPX6 Spritzwasserfest mit eingebautem Magnet Ergonomisch gewinkelte Ohrstöpsel, Kabellos mit Mikrofon, Aluminium DesignVAVA Bluetooth Kopfhörer 4.1 in Ear Kopfhörer bis zu 9 Stunden Spielzeit AptX, IPX6 Spritzwasserfest mit eingebautem Magnet Ergonomisch gewinkelte Ohrstöpsel, Kabellos mit Mikrofon, Aluminium Design
Original Amazon-Preis
24,99
Im Preisvergleich ab
?
Blitzangebot-Preis
16,98
Ersparnis zu Amazon 32% oder 8,01

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden