Was jetzt zu tun ist – die wichtigsten Fragen und Antworten

Email-Verschlüsselungen mit PGP („Pretty Good Privacy“) oder S/MIME sind weit verbreitet. Sie verwandeln einen Email-Text in Buchstaben- und Zahlensalat, der nur vom gewünschten Gegenüber nach einer Passworteingabe gelesen werden kann. Die Verschlüsselung selbst ist bis heute nicht geknackt. Doch ein Forscher-Team aus Münster hat sich die Standards und Umsetzung genauer angesehen und Hack-Angriffe zur Entschlüsselung der Emails entwickelt. Doch es gibt Abhilfe. Hier die wichtigsten Fragen und Antworten:

Ist die Verschlüsselung geknackt?

Von GregorerhardtEigenes Werk, CC BY-SA 4.0, Link

Die Verschlüsselung „OpenPGP“ selbst ist nicht geknackt. Problematisch sind Sicherheitslücken in der Art und Weise, wie die Emails aus Komfort-Zwecken in sogenannten „Mail-Clients“ (Thunderbird, Outlook, Apple Mail, Windows Mail usw.) verschlüsselt werden. Dies ermöglicht zum einen das Auslesen von verschlüsselten Emails, wenn diese bösartigen „HTML“-Code enthalten. Andererseits können Emails abgefangen und manipuliert werden, sodass ein Teil der Mails ausgelesen wird. Diese Möglichkeiten des Angriffs sind bereits seit 1999 bekannt – schon 2000 wurde die Gegenmaßnahme „Modification Detection Code“ entwickelt. Leider umgehen einige veraltete Email-Clients diese Absicherung. Weitere Details hier.

Der S/MIME-Standard wurde aus verschiedenen Gründe dagegen durch die Forscher, für nicht mehr reparierbar erklärt.

Verschiedene Organisationen wie z.B. die Entwickler von GnuPG (PGP-Implementierung in Linux) und GPG4Win (PGP-Implementierung in Windows) bestätigen zwar die Sicherheitslücken, kritisieren aber die Aufmachung der Veröffentlichung als Panikmache: Nicht PGP sei betroffen, sondern nicht aktuelle Email-Clients.

Können meine alten Emails gelesen werden? 

Nein. Lediglich wenn alte PGP-verschlüsselte Emails bei einem Angriff in einer neuen Email mitgesendet werden und diese Email wiederum in einem nicht gepatchten E-Mail-Client mit aktivierter PGP-Software geöffnet wird, dann können auch alte Inhalte gelesen werden.

Was kann ich jetzt tun?

  • Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die „Enigmail“-Entwickler (für Thunderbird) empfehlen mindestens auf Version 2.0 des Plug-ins zu aktualisieren (Download). Dort wurden die „Efail“-Lücken bereits geschlossen. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update bereits über die automatische Update-Funktion des Plug-ins erhalten haben und sind nicht betroffen.
  • HTML-Anzeige in Emails abschalten. Die Programme „Claws“ und „Mutt“ haben das automatisiert ausgeschaltet. Auch Thunderbird-NutzerInnen mit der TOR-Erweiterung „Torbirdy“ oder NutzerInnen des TOR-Betriebssystems ‚Tails“ sind nicht betroffen, da durch das Plugin aus Sicherheitsgründen der HTML-Code ausschaltet wird .
  • Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten  Text aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln.
  • Auch die meisten Web-Apps scheinen sicher zu sein.

In der Sicherheitscommunity ist derzeit umstritten, inwiefern PGP überhaupt nicht genutzt werden sollte. Denn selbst wenn eine Seite die oben genannten Maßnahmen trifft, kann die andere Seite, die dies noch nicht getan hat, angegriffen werden und die verschlüsselte Kommunikation dadurch ausgelesen werden. Andererseits könnte die Nichtnutzung von verschlüsselter Kommunikation ‚lebensgefährlich‘ in einigen Bereichen sein.

Gibt es eine funktionierende komfortable Alternative?

Für Email-Verschlüsselung gibt es derzeit keinen Ersatz. Mit den oben genannten Anpassungen sollte jedoch eine Weiternutzung von PGP möglich sein.

Sowohl die „Electronic Frontier Foundation“ als auch „Heise-Security“ empfehlen des Weiteren das Chat-Programm „Signal“, das als App für Android und iOS verfügbar ist und auch Dateien versenden kann. Dort gibt es auch eine Desktop-Version.