|
 |
|
Verschl%25C3%25BCsselt%2520geglaubte%2520E-Mails%2520sind%2520nicht%2520sicher
Berlin (15.05.2018) -
Gängige E-Mail Verschlüsselung wurde ausgetrickst: Kryptographische Sicherheitsprogramme S/MIME und PGP können sensible Informationen nicht schützen
Verschlüsselt geglaubte E-Mails mit vertraulichem Inhalt können innerhalb von nur fünf Minuten entschlüsselt werden. Diesen neuen Sicherheitsskandal machte ein Forscherteam der Fachhochschule Münster, der Ruhr-Universität Bochum und der KU Leuven laut Recherchen von NDR, WDR und "SZ" öffentlich. Björn Schwabe, ehemaliger Hacker und Entwickler der Kommunikationsplattform UWORK.X ist wenig überrascht: "Wir haben genau dieses Problem kommen sehen. Verlässliche Sicherheit erreichen wir nicht durch Krypto-Programme, die auf bestehende Systeme, in diesem Fall einen E-Mail Client, gesetzt werden. So sicher das Programm auch sein mag: Sobald es Lücken im Client gibt, beispielsweise weil ein Update verpasst wurde, oder die Technik einfach veraltet ist, ist der Hacker zur Stelle. E-Mails sind und bleiben nur sicher durch ein Ende-zu-Ende verschlüsseltes System."
Praktische alle Programme von "EFAIL" betroffen
Bisher schienen die Krypto-Programme PGP oder S/MIME unüberwindbar. Die Forscher fanden jetzt aber eine Schwachstelle, die unter dem Namen "EFAIL" bekannt wurde. Das Prozedere ist eine einfache Manipulation. Vereinfacht ausgedrückt sendet in dessen Verlauf der Angreifer einen zuvor abgefangenen verschlüsselten Text wieder versteckt an den Absender zurück. Das ausgetrickste E-Mail-Programm des Empfängers registriert, vom Nutzer unbemerkt, den versteckten Anhang und entschlüsselt den Text. Der Angreifer bekommt die entschlüsselten Informationen einfach wieder zurückgesendet. So erfährt er zumindest teilweise über den Inhalt der eigentlich verschlüsselten E-Mail. Nahezu alle E-Mail Clients sind von der Problematik betroffen. Nutzer der Kryptographie-Angebote wird geraten, diese schnellstmöglich abzuschalten.
Ende-zu-Ende als einzige Lösung
"Es ist natürlich eine schlimme Sicherheitslücke", wird Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) zitiert (https://www.tagesschau.de/inland/e-mail-verschluesselung-105.html). Das BSI geht dennoch davon aus, dass S/MIME & Co. auch künftig E-Mails sichern können - wenn nur einige Bedingungen beachtet werden. Es ginge schließlich nicht um das Verschlüsselungsprogramm, sondern um den genutzten E-Mail Client. "Genau diese Tatsache bietet für Nutzer auch die Alternative und die Lösung für das Problem", sagt IT-Sicherheitsexperte Schwabe. "Das Knacken von E-Mails ist keine hohe Kunst. Wie der EFAIL funktioniert ist online längst nachzulesen. Sicher ist nur der, der E-Mails Ende-zu-Ende verschlüsselt in einem stabilen System, das beispielsweise keine gängigen Clients nutzt. Nur so kann DSGVO-konform Kryptografie nach aktuellem Stand der Technik umgesetzt werden."
UWORK.X (www.uworkx.com) vereint in einer Anwendung hochsicheren Chat, Mail und Aufgabenplanung. Die Softwarelösung ist Ende-zu-Ende verschlüsselt und bietet so das höchstmögliche Sicherheitsniveau zur Anwendung in Unternehmen oder Institutionen sowie im privaten Nutzungsbereich. UWORK.X bietet höchste Sicherheit bei dem Austausch von Daten zwischen Nutzern unabhängig von deren Standort. Aktuell ist die hochsichere Lösung als Anwendung für Windows-Betriebssysteme (ab Windows 7.0, 32- und 64-Bit) erhältlich. Bis Sommer des Jahres 2018 wird die Lösung durch mobile Clients für die gängigen Betriebssysteme iOS, MacOS und Android komplettiert.
Weitere Informationen: www.uworkx.com, www.oculd.com,
OCULD Solutions GmbH,
presse@uworkx.de
|
|
|
|
