KOMMENTARE & AKTIONEN 15. MAI 2018
eFail knackt nicht die E-Mail-Verschlüsselung, sondern manipuliert das Verhalten der E-Mail-Programme
… und offenbart fachliche Schwächen im Qualitätsjournalismus
Die „E-Mail-Verschlüsselung ist geknackt“ heißt es plötzlich überall. Das ist natürlich nicht der Fall. Wer nach der Lektüre der reißerisch aufgemachten Artikel das eigentliche „Knacken“ der Verschlüsselung vermisst, merkt schnell, dass die Schlagzeile wenig mit dem eigentlichen Problem zu tun hat. Und wer die Kommentare liest, stellt fest, dass auch die Netzgemeinde keine Kompromittierung der E-Mail-Verschlüsselung feststellen kann. Bei der Sicherheitslücke eFail werden Schwächen der E-Mail-Programme ausgenutzt, die im Grunde schon vor der Jahrtausendwende bekannt waren.
Mit eFail werden nachlässig konfigurierte E-Mail-Programme manipuliert, entschlüsselte Nachrichten weiterzuleiten. Sollte es in Unternehmen auch bei der zentralen E-Mail-Verschlüsselung zu eFail-Problemen kommen, ist der Fehler in den IT-Sicherheitsstandards bei der Einrichtung der E-Mail-Programme zu suchen. Unabhängig von der Nutzung einer E-Mail-Verschlüsselungslösung kann über HTML-Mails immer Schadcode auf den Rechner gelangen und ausgeführt werden, wenn diese so eingestellt sind, HTML-Code automatisch auszuführen.
Wegen der Möglichkeit einer eFail-Attacke von Verschlüsselung abzuraten, ist völlig überzogen. Die Deaktivierung der automatisierten Ausführung von HTML-Befehlen (wie das automatische Nachladen von Bildern) reicht aus, um die Sicherheit zu gewährleisten. Auch das Bundesministerium für Sicherheit (BSI) empfiehlt weiterhin E-Mail-Verschlüsselung, verweist dabei jedoch auf die notwendige saubere Implementierung. Das BSI rät außerdem, die Entschlüsselung nicht im E-Mail-Programm, sondern über eine weitere Anwendung auszuführen. Für Privatanwender ist dies schwierig umzusetzen. In Unternehmen jedoch wird sowieso überwiegend zentral über sogenannte Secure E-Mail Gateways entschlüsselt, im E-Mail-Programm wird dann die bereits entschlüsselte E-Mail angezeigt. Wenn die IT-Abteilung ihre Hausaufgaben gemacht hat, wird auch das Verhalten der E-Mail-Programme überwacht und Fehlverhalten verhindert.
Warum nun so viel Lärm um nichts?
Bei Zertificon hat man seit Jahren den Eindruck, E-Mail-Verschlüsselung sei bei Journalisten ein sehr unbeliebtes Thema mit dem man trotzdem hohen Auflage und Klickzahlen erreichen kann, denn schließlich ist die E-Mail neben dem Telefon das Kommunikationsmedium Nummer 1 besonders im beruflichen Alltag. Und wann immer das Ende der E-Mail verkündet wird oder jemand Zweifel an der E-Mail-Sicherheit ankündigt, springt die Meute drauf.
Doch E-Mail-Sicherheit ist ein komplexes Themengebiet. Auch der reflexhafte Ruf von Politik und Presse nach Ende-zu-Ende-Verschlüsselung macht beispielsweise deutlich, wie wenig die unterschiedlichen Anforderungen von Unternehmen und Privatnutzern an E-Mail-Verschlüsselung bekannt sind. Das hindert jedoch scheinbar niemanden daran, darüber zu schreiben und falsche Informationen zu verbreiten.