Main Content

Worauf Sie bis zur Schließung der Sicherheitslücke bei vertraulichen Mails achten sollten

Die am weitesten verbreiteten Mail-Verschlüsselungsverfahren PGP und S/MIME weisen eine gravierende Sicherheitslücke auf. Angreifer, die Zugriff auf eine verschlüsselte Mail erhalten, können durch die Erstellung und den Versand spezieller Mails eine Entschlüsselung des ursprünglichen Mailinhalts herbeiführen.

Auf diese Weise übermittelt das empfangende Mailprogramm die entschlüsselten Inhalte unter bestimmten Voraussetzungen an die Angreifer. Die Anbieter der betroffenen Verschlüsselungssoftware arbeiten mit Hochdruck an Lösungen. Bis zur dauerhaften Schließung der Sicherheitslücke können mit diesen Verfahren verschlüsselte Mails nicht mehr uneingeschränkt als vertrauliche Kommunikation angesehen werden.

Gegenmaßnahmen

Eine einfache erste Gegenmaßnahme, um die Weitergabe verschlüsselter Inhalte durch das eigene Mailprogramm zu verhindern, ist das Umstellen der Mail-Anzeige auf „nur-Text“. Damit verarbeitet das Mailprogramm den in einer Mail enthaltenen html-Code nicht automatisch und führt auch keinen Schadcode der bekannt gewordenen Angriffsvarianten aus.

Die Anzeige von html-Inhalten wie Bildern ist in diesem Szenario weiterhin möglich, sollte aber von Benutzerinnen und Benutzern nur für ausgewählte Fälle erlaubt werden – durch das nachträgliche Anzeigen von html-Code würde auch der Angriffscode ausgeführt werden. Gerne unterstützen wir Sie bei der unternehmensweiten Umsetzung einer solchen Konfiguration.

Andere Verschlüsselungsverfahren sind von dieser Sicherheitslücke nicht betroffen. Wenn Sie eine Lösung zur Übermittlung vertraulicher Informationen benötigen, empfehlen wir u.a. die open source-Lösung Nextcloud. Nextcloud bietet neben dem sicheren Austausch von Dateien auch Kommunikationsfunktionen.  Im Gegensatz zu kommerziellen Diensten wie Dropbox oder Google Drive haben Sie bei einer eigenen Nextcloud-Lösung aber die volle Kontrolle über die Nutzung der Daten und der verwendeten Verschlüsselungsverfahren.

Eine Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI)
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/efail-schwachstellen_15052018.html

Weitere Informationen zur genauen Funktionsweise der Sicherheitslücke:
https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html

Eine Einschätzung, was jetzt zu tun ist:
https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html

Bei weitergehenden Fragen können Sie unser Kontaktformular nutzen oder einfach anrufen: 030 21248950

Zur Übersicht

Unternehmensmeldungen der Computer Manufaktur - IT-Systemhaus und Internetagentur aus Berlin