Wir nutzen Cookies, um Ihren Besuch auf unserer Website und unseren Service zu optimieren.
Wir betrachten die weitere Nutzung unserer Website als Zustimmung zu der Verwendung von Cookies.
PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News

Efail: Nicht E-Mail ist das Problem, sondern der Transportweg

Von Befine Solutions AG - The Cryptshare Company

Eine Einschätzung von Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten Befine Solutions AG

Sicherheitsforscher haben die Verschlüsselung von E-Mail-Systemen ausgehebelt und Details über Sicherheitslücken in den beiden Verschlüsselungsverfahren PGP und S/MIME veröffentlicht. Unter bestimmten Bedingungen lassen sich E-Mails entschlüsseln, auch...

Freiburg, 22.05.2018 (PresseBox) - Sicherheitsforscher haben die Verschlüsselung von E-Mail-Systemen ausgehebelt und Details über Sicherheitslücken in den beiden Verschlüsselungsverfahren PGP und S/MIME veröffentlicht. Unter bestimmten Bedingungen lassen sich E-Mails entschlüsseln, auch nachträglich. Damit dürfte das Vertrauen in verschlüsselte E-Mails zumindest auf absehbare Zeit verloren sein, so die Forscher, schlimmer noch: E-Mail sei kein sicheres Kommunikationsmedium mehr. Müssen sich Unternehmen nun, wenige Tage vor Inkrafttreten der Europäischen Datenschutzgrundverordnung, Gedanken machen? Ja! Ist Panik angebracht? Nein! Beides hat gute Gründe.

Die Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der belgischen Universität Leuven haben kritische Schwachstellen bei der Entschlüsselung von S/MIME- und PGP-verschlüsselten Nachrichten in E-Mail-Clients entdeckt. Sie können nachweisen, wie man mit aktiven Inhalten von HTML-E-Mails wie beispielsweise einem geschickt gefälschten Befehl zum Laden von externen Bildern die entschlüsselten Inhalte einer E-Mail abgreifen kann.

E-Mail: Kein sicheres Kommunikationsmedium mehr?

Das Angriffsszenario besteht darin, in eine verschlüsselte E-Mail einen neuen Befehl einzubetten, wodurch der Text vom Empfänger nicht nur automatisch entschlüsselt, sondern dabei auch automatisch an den Angreifer gesendet wird. Das Szenario, das auf Unzulänglichkeiten in der E-Mail-Client-Software basiert, erfordert deutlich weniger Hacker-Know-how als man erwarten könnte.

Die Folgerung der Forscher – E-Mail sei kein sicheres Kommunikationsmedium – ist erst mal nichts Neues. Was zugleich die gute und die schlechte Nachricht ist. Im Prinzip entspricht eine E-Mail einer Postkarte: Sie ist günstig und schnell zuzustellen, ihr Inhalt ist aber für jeden lesbar und auch modifizierbar, der sie transportiert. Was auf dem Transportweg der einzelnen E-Mails passiert, welche Stationen beteiligt sind, bleibt dem Anwender verborgen.

Verschlüsselung: Ja oder nein?

Soll man also vorerst auf die Verschlüsselung in E-Mail-Clients verzichten, wie es die Forscher geraten haben? Wäre das nicht in etwa so, als ob man grundsätzlich seine Haustüre offenstehen lässt, weil es ohnehin zu viele Einbruchsdelikte zu beklagen gibt?

Nein, keine Verschlüsselung ist auch keine Lösung. Daher weist auch das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) darauf hin, dass OpenPGP und S/MIME weiterhin sicher eingesetzt werden könnten, wenn sie korrekt implementiert und sicher konfiguriert werden. Dies erfordert allerdings Aktivitäten sowohl von Software-Herstellern, Standardisierungsgremien und Endbenutzern und wird sich in der Summe der notwendigen Maßnahmen voraussichtlich noch Monate hinziehen.

Überhaupt gilt es, gerade den Punkt der Verschlüsselung nochmals grundlegend zu überdenken: Denn in wenigen Tagen, am 25. Mai, tritt die Europäische Datenschutz-Grundverordnung nach einer zweijährigen Übergangszeit endgültig in Kraft. Während die DS-GVO in vielen Fällen bewusst vage vom „Stand der Technik“ spricht, so auch in Artikel 32 („Sicherheit der Verarbeitung“), fordert sie dort explizit die „Verschlüsselung personenbezogener Daten“.

DS-GVO: Welche Rolle spielt die Verschlüsselung personenbezogener Daten?

Damit ist natürlich nicht gemeint, dass Unternehmen nur noch über verschlüsselte E-Mails kommunizieren dürfen. Wohl aber, dass Faktoren wie der Schutzbedarf der Daten zu berücksichtigen sind. Die Verordnung bezieht sich ausschließlich auf personenbezogene Daten, aber auch andere vertrauliche Daten sollten diesen Schutz erfahren. Um beispielsweise Patentgeheimnisse, Forschungsergebnisse oder Kundeninformationen abzusichern, bleibt Verschlüsselung alternativlos.

Laut einer vor wenigen Tagen vorgestellten Bitkom-Umfrage werden drei Viertel der deutschen Unternehmen mit der Umsetzung der Vorgaben nicht rechtzeitig fertig – ihnen bleibt nun gar nichts anderes mehr übrig als Prioritäten zu setzen. Durch E-Mail-Verschlüsselung lässt sich ein vergleichsweise kleiner Posten der Liste schnell abarbeiten.

„E-Mail 2.0“: Warum hat der Ansatz Schwächen?

Überhaupt spielt E-Mail bei den bisher erörterten Fragen eine zentrale Rolle: Sie hat sich speziell im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar – und ist andererseits seit langem ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen.

Auch im Zuge der aktuellen Diskussion werden Forderungen nach „E-Mail 2.0“ laut. Besser wäre es, von „SMTP 2.0“ zu sprechen. SMTP (Simple Mail Transfer Protocol) zählt zu einer kleinen und ausgewählten Gruppe von universellen Standards, welche die Geschäftskommunikation unterstützen, den heutigen Anforderungen an Sicherheit jedoch weit hinterherhinken. SMTP ist ein Protokoll, das festgelegte Regeln beschreibt, wie ein bestimmter Vorgang abläuft – das Versenden und Weiterleiten einer E-Mail im Internet. Die E-Mail geht dabei, für den Anwender unsichtbar, durch verschiedene Hände und passiert mehrere Stationen, die als potentielle Angriffspunkte für Cyber-Kriminelle dienen können. Das erst ist die Basis für bestimmte Arten von Angriffen.

Der andere (Transport-)Weg

Cryptshare wählt daher einen anderen (Transport-)Weg als S/MIME und PGP: Die Idee dahinter ist es, die Nachteile des E-Mail-Systems zu überwinden und die Vorteile zu nutzen. Der Ablauf ist bewusst einfach gehalten: Die verschlüsselt zu übertragenden Daten – auch die E-Mail-Nachricht – werden verschlüsselt auf einen unternehmenseigenen Server hochgeladen und abgelegt. Der Empfänger wird per E-Mail lediglich über die Bereitstellung seiner Nachricht informiert und erhält vom Absender separat ein einmaliges Passwort. Das kann auf unterschiedliche Arten stattfinden – beispielsweise telefonisch, per Brief, Fax oder auch persönlich. Welches Maß an Sicherheit angewendet wird, hat der Anwender selbst in der Hand.

Mit dem Passwort kann er die Daten direkt und verschlüsselt von diesem Server herunterladen. Die Nachricht samt Anhängen findet sich dann automatisch im E-Mail-Client des Empfängers wieder. Hundertprozentige Sicherheit gibt es nicht, auch hier nicht: Aber während bei S/MIME und PGP mehrere Server im Spiel sind, ist es hier nur einer – der des Unternehmens, in dessen Rechenzentrum der Inhalt der empfangenen Nachricht abliegt. Die vertrauliche Nachricht wird also von E-Mail-Client zu E-Mail-Client übertragen, ohne dass ein E-Mail-Server oder -Provider mit den sensiblen Informationen in Berührung kommt.

Zudem entfallen auf diesem Wege die Größenlimitierungen für Dateianhänge, und alle Versand- und Empfangsvorgänge werden vollständig protokolliert. Klare Benachrichtigungen an den Absender, wann E-Mails und Dateien versandt und an den beabsichtigten Empfänger zugestellt worden sind, unterstützen Unternehmen, Richtlinien und Compliance-Vorgaben wie die DS-GVO einzuhalten. So können auch auffällige Aktivitäten im Zusammenhang mit der E-Mail-Kommunikation besser festgestellt werden.

Weitere Informationen

Informationen zur Funktionsweise der Lücke und das dazugehörige Forschungspapier von Forschern der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven lassen sich hier abrufen.

Über Matthias Kess

Matthias Kess ist CTO der Befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.

Anwender können sich auch im Blog informieren.

22. Mai 2018

Bewerten Sie diesen Artikel

Noch nicht bewertet

Teilen Sie diesen Artikel

Keywords

Hinweis

Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 964 Wörter, 8071 Zeichen. Pressemitteilung reklamieren

Kommentar hinzufügen

Name*
E-Mail*
Institution
Website
Ihr Kommentar*

Weitere Pressemeldungen von Befine Solutions AG - The Cryptshare Company


"Making email wunderbar": befine Solutions erneut Aussteller bei der RSA Conference

Gemeinschaftsauftritt im Rahmen des Deutschlandjahres in den USA

21.02.2019
21.02.2019: Freiburg im Breisgau, 21.02.2019 (PresseBox) - „Wunderbar together“ lautet das Motto des durch das Auswärtige Amt koordinierten Deutschlandjahrs in den USA: Von Oktober 2018 bis Ende 2019 zeigen mehr als 1.000 Veranstaltungen, dass die beiden Länder viele Werte teilen. Vor dem Hintergrund, dass Deutschland in den USA sogar in wachsendem Umfang als Wirtschafts- und Technologiestandort positiv wahrgenommen wird, präsentiert der Bundesverband IT-Sicherheit e.V. (TeleTrusT) mit zahlreichen Mitgliedern „IT Security made in Germany“ auf der RSA Conference. befine Solutions nimmt zum zweit... | Weiterlesen

Ein Ausblick auf 2019: Warum der europäische Datenschutz zum Exportschlager werden könnte

Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten befine Solutions AG, mit Vorhersagen für das kommende Jahr

11.12.2018
11.12.2018: Freiburg, 11.12.2018 (PresseBox) - Aus astrologischer Sicht steht das Jahr 2019 ganz im Zeichen des Planeten Merkur, aus politischer Sicht werden Themen wie der Brexit die Agenda bestimmen. Und in der IT? Schon alleine wegen der Europäischen Datenschutz-Grundverordnung war 2018 ein bedeutendes Jahr. Im Zusammenhang damit wird 2019 von einigen Geldbußen die Rede sein. Vor dem Hintergrund der in diesem Jahr bekannt gewordenen Sicherheitsvorfälle hat Apple-CEO Tim Cook vor Kurzem die DS-GVO ausdrücklich gelobt, während die ersten US-Bundesstaaten bereits neue strenge Gesetze erlassen haben. ... | Weiterlesen

Angriffe auf Krankenhäuser über E-Mails: Das Problem ist Teil der Lösung

Eine Einschätzung von Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten befine Solutions AG

21.11.2018
21.11.2018: Freiburg, 21.11.2018 (PresseBox) - Knapp eineinhalb Wochen musste das Klinikum Fürstenfeldbruck ohne seine 450 Computer auskommen und war auch nicht per E-Mail, sondern nur noch telefonisch erreichbar. Ursache ist wohl ein E-Mail-Trojaner, der über einen Anhang ins System eingedrungen ist. Inzwischen ermittelt die Zentralstelle Cybercrime Bayern, und das Klinikum hat alle Bankkonten sperren lassen. Wie in anderen bekannt gewordenen Fällen auch spielen E-Mails eine zentrale Rolle, sie sind nach wie vor das Haupteinfallstor für Schad-Software aller Art. Das ist Teil des Problems und kann Tei... | Weiterlesen