TeleTrusT: E-Mail-Verschlüsselung bleibt sicher

Erste Voraussetzung für einen erfolgreichen Angriff: Die E-Mail muss bereits in verschlüsselter Form beim Angreifer vorliegen. Hierfür muss er die E-Mails auf dem Transportweg per „Man-in-the-Middle“-Attacke abfangen oder einen Mailserver kompromittiert haben.

Anschließend könnten die Angreifer laut den Autoren des Papers zwei sich ähnelnde Angriffsmethoden anwenden, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln. Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt. Die zweite Möglichkeit, um PGP- oder S/MIME-verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten. Bei beiden Arten werden die abgefangenen verschlüsselten E-Mails manipuliert.

Wichtig bei diesen beiden Angriffsmethoden ist, dass die Verschlüsselungsmethoden S/MIME und PGP selbst nicht gebrochen werden; vielmehr nutzen sie Schwachstellen in E-Mail-Clients für HTML-Mails aus, um die Verschlüsselungstechniken zu umgehen.

„Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst“, sagt Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“ und Geschäftsführer des Cloud-Security-Anbieters Hornetsecurity. „Sie läuft allen Bemühungen zuwider, die Sicherheit des Kommunikationsmittels E-Mail zu erhöhen. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung ist nicht nachvollziehbar. Das Gegenteil ist richtig: E-Mail-Verschlüsselung erhöht die Sicherheit und sollte unbedingt eingesetzt werden.“

Auch das BSI weist darauf hin, dass PGP und S/MIME weiterhin sicher eingesetzt werden können, wenn sie korrekt implementiert und sicher konfiguriert sind.

www.teletrust.de

Neueste Artikel

Nur etwa jede 14.000. Karte von mehr als 100 Millionen Girocards der Banken und Sparkassen war im ersten Halbjahr 2020 von Diebstahl oder Dublettenbetrug betroffen. Das ist ein Anteil…
Anfang September ist der Startschuss für die Live-Betrieb von BONNSmart gefallen. In dem im März angekündigten Projekt (SOURCE 4/2020, S. 5), bei dem es um ein neues Abrechnungssystem für…
Die Oldenburgische Landesbank AG (OLB) setzt künftig bei ihrem Kartenportfolio für ihre Marken OLB Bank und Bankhaus Neelmeyer auf Mastercard. Die beiden Unternehmen haben Ende August ihre exklusive und…

Kommentar oder kurze Frage loswerden?

Kein problem!

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.