efail - umgangene E-Mail Verschlüsselung
(Bild: Jana Runde/Zuzana Somorovska)

aber auch nicht gehacked!

Aber der Reihe nach…

Die Mailverschlüsselungsstandards S/MIME und OpenPGP nutzen uralte Verschlüsselungsverfahren – aber sie sind nicht gecknackt worden, sie wurden nur umgangen. Aber auch das ist schlimm genug!

Es müssen schon ein paar Faktoren zusammen kommen, damit das Verfahren klappt und der Angreifer an den Klartext kommen kann. Nur die Bequemlichkeit und das schöne Aussehen von E-Mails heutzutage begünstigt den Erfolg der Hacker. In den meisten Fällen werden E-Mails als HTML im schönen Design verschickt. Und da liegt das Problem. Die heutigen E-Mail-Clients wie Outlook & Co. laden viele der Inhalte der HTML-Mail – wie z.B. Bilder und Logos – automatisch aus dem Internet nach. So können auch die für das Hacking notwendigen Dateien einfach nachgeladen werden. Nur weil der Client (Outlook & Co.) es euch einfach machen wollte und eben nicht nur schnell den Verschlüsselten Text entschlüsselt, sondern auch gleich die „fehlenden Teile“ nachlädt, wird damit der dann schon entschlüsselte Text „versehentlich“ an den vermeintlichen Nachlade-Server versendent. Und schwups, hat der Angreifer den Klartext.

Zuvor musste der Angreifer aber die E-Mail mit dem verschlüsselten Text abfangen, die beiden Dateien einfügen und dann an den eigentlichen Empfänger weiterleiten. Leider überprüfen hier die E-Mailclients nicht, ob die E-Mail manipuliert wurde.

Also nachbessern müssen hier auf alle Fälle die Hersteller der E-Mail-Programme! PGP an sich ist immer noch sicher!

Wer schon im er auf die buntenb Bildche in den E-Mails verzichtet hat, hatte hier schon einen Sicherheitsvorsprung und es passierte in der Regel nichts. Es wird dann ja auch nichts automatisch nachgeladen. Auch wer seinen HTML-E-Mail-CLient so eingestellt hat, dass er keine Inhalte automatisch nachgeladen hat war ein Stück sicherer als alle anderen.

Bleiben wir also gespannt, wann die Hersteller der gängigen E-Mail-PRogramme nachliefern.

Auf alle Fälle bin ich einer, der trotzdem zur Verschlüsselung rät! Man muss nur dem Empfänger den Tipp geben, Inhalte im Programm nicht automatsich nachladen zu lassen.

Weitere Infos auch bei Golem