Efail – Massive Sicherheitslücken bei verschlüsselten Emails
Im Zusammenhang mit den kürzlich bekanntgewordenen Sicherheitslücken bei verschlüsselten Emails gab es viele unterschiedliche Informationen. Die Email- Sicherheitslücke, mit der verschlüsselte Emails auch von Unbefugten einsehbar sind, hat online zu Diskussionen geführt. Loomion hat dazu die wichtigsten Fakten und Informationen zusammengetragen.
Efail: Sicherheitslücken in Emails
Werden wichtige Informationen dem Aufsichtsrat oder Verwaltungsrat zugesendet, dann geschieht dies noch oft per Email. Bei Unternehmen mit erhöhtem Sicherheitsbewusstsein werden diese Emails in verschlüsselter Form versendet. S/MIME und PGP (Pretty Good Privacy) war hierfür eine gern verwendete Methode, die als sicher angenommen wurde. Nun wurde mit „Efail“ eine Sicherheitslücke bekannt, die hochsensible Daten in verschlüsselten Emails von und an Mitglieder des Aufsichtsrats einsehbar machen können.
Was schreibt Wikipedia zu Efail?
„Efail ist eine Sicherheitslücke in Email-Systemen, mit denen Inhalte verschlüsselt übertragen werden können. Durch diese Lücke können Angreifer bei aktiven Inhalten wie HTML oder JavaScript und bei aktivierten automatischen Nachladen von externen Inhalten im Email-Programm (Anm. v. Loomion: Outlook etc.) Zugriff auf die entschlüsselten Inhalte einer Email bekommen. […] In Folge der Sicherheitslücke kann der Inhalt einer angegriffenen verschlüsselten Email durch verwundbare Email-Clients im Klartext an den Angreifer übertragen werden. Die verwendeten Schlüssel werden nicht preisgegeben.“
Die Entwickler der Verschlüsselungsprotokolle wurden bereits im November 2017 darüber aufgeklärt, dass es massive Sicherheitslücken gibt, die aber unterschätzt wurden. Zum Zeitpunkt der Veröffentlichung von Efail gab es für viele der betroffenen Emailclients keine Updates. Die Efail-Lücke in PGP und S/MIME hat für viel Verunsicherung unter den Anwendern gesorgt.
Das Email-Programm Mozilla Thunderbird mit Enigmail-Plugin hat bereits reagiert und an die Nutzer entsprechende Updates ausgesendet, aber ist momentan trotzdem noch anfällig. Das liegt aber an Thunderbird, da die Thunderbird-Entwickler entsprechende Lücken intern noch nicht schließen konnten.
Am schlimmsten trifft es die Nutzer von Outlook und Windows Mail durch die S/MIME-Problematik. Die Emails werden hier in der Regel mit dem Protokoll verschlüsselt. Beide Programme sowohl Outlook als auch die Mail App in Windows 10 sind angreifbar. Microsoft hat sich bisher noch nicht zu Efail und etwaigen Sicherheitslücken geäußert. Genau wie Microsoft hat sich der andere Riese am Markt – Apple – auch noch nicht zu den Sicherheitslücken geäußert. Ein Update für Apple Mail gab es bisher nicht. Die Entwickler von GPG Tools arbeiten daran, die Lücken zu schließen, aber auch hier werden sie auf den Hersteller direkt angewiesen sein, um die Lücken im eigentlichen Mail-Client komplett zu schließen.
Es bleibt hier entweder der Umstieg auf Mozilla Thunderbird mit Enigmail, was durch die Updates einigermaßen sicher ist. Oder es bleibt der Wechsel zu einem Ende-zu-Ende verschlüsselten Kommunikationstool und Board Portal wie Loomion twelve.
Die meisten Web-basierten Email-Clients Gmail, Outlook, GMX, web.de und & sind anscheinend gegen die Lücke resistent, gerade, wenn sie das Browser-Plugin Mailvelope für die PGP-Verschlüsselung nutzen.
Was sind vorbeugende Maßnahmen? Den Nutzern wurde empfohlen die Anzeige von HTML-Mails in ihren Clients auszuschalten. Alternativ wird empfohlen, das Nachladen von Bildern zu deaktivieren. Das kann die größte Gefahr erstmal abwenden und hilft auch, wenn die Emailclients durch entsprechende Updates noch nicht gepatcht sind.
Nutzer von Mozilla Thunderbird können ihre Emails als „vereinfachtes HTML“ anzeigen lassen, das schützt dann nicht nur vor den Efail-Angriffen, sondern auch vor anderen unerwünschten Tracking Versuchen, die angeben wann und wo eine Email gelesen wurde.
Aber Sicherheitsforscher sind sich einig, dass auch ohne HTML die Efail-Lücken massive Folgen haben können.
Aber was ist nun mit PGP und S/MIME, sind diese Verschlüsselungsstandards unwiderruflich kaputt? Nun, die Empfehlung der Electronic Frontier Foundation (EFF), diese beiden Protokolle nicht mehr zu verwenden, hat sehr großen Image-Schaden angerichtet. Efail ist laut Medientheoretiker „Aufmerksamkeitsökonomie“, denn Aufmerksamkeit ist heutzutage Kapital. Einiges ging schief im Zusammenhang mit der Veröffentlichung von Forschungspapieren und öffentlichen Medien. Zudem wurden diese Standards nicht nur kaputt geredet, sondern sie sind auch antike Kryptographie, die in der Vergangenheit seit Einführung so gut wie nie verbessert wurde.
Fest steht, dass das Problem für PGP erst einmal lösbar ist. S/MIME ist stärker betroffen, da es keine praktische Möglichkeit gibt, den Nutzern zu zeigen, dass die Integrität der Nachricht intakt und unkompromitiert ist. Insgesamt wird das aber nicht sicher stellen können das es nicht bald neue und andere Angriffe wie im Fall Efail geben wird.
Um auf das oben genannte Problem der Aufsichtsräte zurückzukommen… denn hier wurden Emails bis dato idealerweise PGP oder S/MIME verschlüsselt: sichere Datenräume und Collaboration-Tools wie Loomion twelve, die unter Umständen noch im eigenen Datencenter betrieben werden, sind die sicherste und effizienteste Lösung um sensible Dokumente auszutauschen.
Loomion macht Sie digital, effizient und schützt Ihre Dokumente – und das sicher von überall.
#BoardMatters #Loomion_Kolumne#Loomion#Board_Portal#Virtual_DataRoom#CorpGov #papierlos #Boardroom #FreeYourBoard #Digitalisierung #Corporate #Governance #Compliance #CSR#DeutscherCorporateGovernanceKodex #Hauptversammlung #Aufsichtsrat #Efail #Sicherheitslücke #SecureDataRoom
