Microsoft hat ein Problem:
Verschlüsselung in Office 365 nicht sicher

In Office 365 schlummert womöglich ein richtig schwieriges Problem: Sicherheitsforscher wollen eine Möglichkeit gefunden haben, eine Verschlüsselung zu umgehen - und die Fehlerbehebung per Patch sei hier wohl nicht möglich. Das Problem steckt demnach in der Microsoft Office 365 Message Encryption (OME). Diese verwendet ein Verschlüsselungsverfahren, das unter bestimmten Umständen Angriffe zulässt, wie Sicherheitsforscher des Unternehmens WithSecure laut eines Berichtes des US-Magazins VentureBeat mitteilten. Die herkömmliche E-Mail-Kommunikation ist glücklicherweise aber nicht direkt betroffen.

OME verwendet die Blockchiffre Electronic Codebook (ECB), die strukturelle Informationen über die Nachricht preisgibt. Dies bedeutet, dass ein Angreifer mit Zugang auf viele E-Mails aufgrund der Position und Häufigkeit von Mustern zu weitergehenden Informationen über den Schlüssel kommen kann. Es geht hier also um die Möglichkeit eines statistischen Angriffs auf den Algorithmus.

Einzelne E-Mails sind sicher

Das bedeutet, dass eine einzelne abgefangene Nachricht weiterhin als sicher gelten kann. Wenn ein Unternehmen aber beispielsweise das komplette E-Mail-Archiv an einen Angreifer verliert, kann nicht mehr gewährleistet werden, dass die Inhalte vertraulich sind. Der Aufwand für eine Rekonstruktion der Klartexte ist zwar hoch und dürfte vom Alltags-Kriminellen kaum aufgebracht werden, ein Konkurrent hätte hingegen sicherlich ausreichend Antrieb, um hier tätig zu werden.

Das Problem steckt hier in der grundlegenden Architektur OMEs. Es handelt sich also nicht um einen klassischen Bug, der sich mit einem Patch lösen ließe. Und Microsoft ist auch nicht das einzige Unternehmen, das aufgrund der Nutzung von ECB-Algorithmen in der Kritik steht. Auch der Videokonferenzen-Anbieter Zoom setzt das Verfahren ein und bietet so letztlich einen Angriffspunkt.

Siehe auch: