Technik
E-Mail-Verschlüsselung bleibt mit den richtigen Einstellungen sicher.
E-Mail-Verschlüsselung bleibt mit den richtigen Einstellungen sicher.(Foto: imago/Science Photo Library)
Dienstag, 15. Mai 2018

BSI klärt auf: E-Mail-Verschlüsselung nicht sicher?

Sicherheitsforscher finden in den gebräuchlichsten E-Mail-Verschlüsselungen Schwachstellen, über die Angreifer Nachrichten im Klartext abgreifen können. Abschalten ist keine Lösung, sagt das BSI und erklärt, was Nutzer jetzt tun müssen.

OpenPGP und S/MIME sind die am häufigsten eingesetzten Verschlüsselungsstandards für E-Mails. Bisher galten sie als sehr sicher, doch jetzt haben deutsche und belgische Forscher in den Standards schwerwiegende Schwachstellen gefunden, über die Angreifer verschlüsselte E-Mails so manipulieren können, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger an sie im Klartext weitergeleitet wird.

Kein offenes Tor für Hacker

Einige Websites empfehlen Nutzern daher, die Verschlüsselung vorerst zu deaktivieren, bis die Lücken durch Updates geschlossen wurden. Nach Ansicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) wäre dies allerdings eine übertriebene und falsche Reaktion. "Sichere verschlüsselte E-Mail-Kommunikation bleibt ein wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit", schreibt die Behörde. "Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen."

Thunderbird unterbindet standardmäßig das automatische Laden externer Inhalte.
Thunderbird unterbindet standardmäßig das automatische Laden externer Inhalte.(Foto: n-tv.de)

Es ist alles andere als leicht, die "Efail"-Schwachstellen auszunutzen. Denn dafür muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Unabhängig von speziellen Sicherheitsupdates schütze daher auch eine sichere Konfiguration des E-Mail-Programms, so das BSI.

Die richtigen Einstellungen

Das automatische Nachladen externer Inhalte ist bei Clients oft standardmäßig nicht gestattet und Nutzer können von Fall zu Fall entscheiden, ob sie dies zulassen möchten. Es lohnt sich aber, zu überprüfen, ob die Einstellungen vielleicht geändert wurden.

Bei Microsoft Outlook klickt man dazu auf der Registerkarte Datei auf Optionen und dann auf Trust Center. Dort sollte im Kontrollkästchen Bilder in HTML-Nachrichten oder RSS-Elementen nicht automatisch herunterladen ein Häkchen sein.

Nutzer von Mozilla Thunderbird klicken auf das Menü Extras und dann auf Einstellungen. In der Registerkarte Datenschutz darf kein Häkchen bei Externe Inhalte in Nachrichten erlauben gesetzt sein.

Wer auf einem Mac-Rechner Apple Mail verwendet, klickt in den Einstellungen auf Darstellung. Dort muss Nicht lokal gesicherte Bilder in HTML-E-Mails anzeigen deaktiviert sein.

Nutzer anderer E-Mail-Clients suchen beim Anbieter in den FAQ nach entsprechenden Einträge oder wenden sich an den Support. Oft ähneln die Einstellungen auch den oben genannten oder man findet Anleitungen in Foren.

Quelle: n-tv.de