Silhouette einer Hand, die auf einen Laptop zeigt. | Bildquelle: picture alliance / dpa

Sicherheitslücke entdeckt E-Mails nach fünf Minuten entschlüsselt

Stand: 14.05.2018 16:56 Uhr

Forschern ist es laut Recherchen von NDR, WDR und "SZ" gelungen, sicher geglaubte Verschlüsselungsprogramme für E-Mails auszuhebeln. Die zuständige Behörde spricht von einer gravierenden Sicherheitslücke.

Von Svea Eckert, NDR, und Anja Bröker, WDR

Kein Geheimdienst, nicht einmal die NSA, konnte sie bislang öffnen. Die Türschlösser für vertrauliche Nachrichten im Internet schienen unüberwindbar: PGP oder S/mime, Krypto-Programme, die Schutz vor ungebetenen Mitlesern verheißen.

Menschenrechtsaktivisten oder Anwälte verschlüsseln besonders sensible Informationen, die sie per E-Mail verschicken. Auch Unternehmen setzen weltweit auf Verschlüsselung. Die Angst vor Industriespionage und Technologieabfluss ist groß. So verschlüsselt die Telekom beispielsweise schon seit zehn Jahren ihre Kommunikation - je nach Vertraulichkeitsstufe. An allen IT-Arbeitsplätzen der mehr als 100.000 Telekom-Mitarbeiter in Deutschland können E-Mails verschlüsselt werden.

Schwere Sicherheitslücken im E-Mail-Verkehr
nachtmagazin 00:30 Uhr, 15.05.2018, Svea Eckert, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Es geht um eine bislang sicher geglaubte Schutzmaßnahme, die nun verwundbarer scheint als bisher angenommen. Einem Forscherteam der Fachhochschule Münster, der Ruhr-Universität Bochum und der KU Leuven ist es nun gelungen, einen der zentralen Bausteine für sichere Kommunikation im digitalen Zeitalter anzugreifen. "E-Mail ist kein sicheres Kommunikationsmedium mehr", sagt Sebastian Schinzel, Professor für Angewandte Kryptografie der FH Münster, der die Forschung geleitet hat.

Fast alle E-Mail-Programme mit Sicherheitslücke

Wenn die Forscher am Fachhochschulzentrum in Münster ihren Angriff demonstrieren, dauert es keine fünf Minuten, bis sie eine verschlüsselte E-Mail auslesen können. Dazu schicken die Forscher den zuvor abgefangenen unleserlichen, verschlüsselten Text der E-Mail in einer unauffälligen Mail erneut an den Empfänger - so verborgen, dass dieser ihn nicht sehen kann. Das E-Mail-Programm reagiert im Hintergrund automatisch darauf, entschlüsselt den Text und schickt ihn unbemerkt an den Angreifer zurück. Möglich macht das eine Einstellung, die in den E-Mails HTML erlaubt. "Das wird bei fast allen Mailprogrammen automatisch aktiviert", sagt Schinzel.

Posteingang eines E-Mail-Accounts | Bildquelle: dpa
galerie

Das BSI empfiehlt, Einstellungen im E-Mail-Client zu ändern.

Nach den jüngsten Erkenntnissen sollten die Konfigurationen dringend geändert werden, sowohl beim Sender als auch beim Empfänger verschlüsselter Nachrichten. "Es ist natürlich eine schlimme Sicherheitslücke", sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). "Gerade wenn Sie Dinge verschlüsseln, wollen Sie, dass es einen hohen Grad an Vertraulichkeit gibt, der auch gewahrt bleibt. PGP und S/mime sind die in Deutschland am häufigsten verbreiteten Verschlüsselungsprogramme. Das setzen wir auch in der Bundesverwaltung ein."

Sicherheitstipps vom BSI

Das BSI empfiehlt Nutzern, sogenannte aktive Inhalte im E-Mail-Client zu deaktivieren. Dazu zählen die Ausführung von HTML-Code und das Nachladen externer Inhalte, die insbesondere bei mobilen Geräten standardmäßig erlaubt seien. Zudem sollten der Mailserver und E-Mail-Clients gegen unautorisierte Zugriffe abgesichert sein.

Die Organisation für digitale Bürgerrechte, Electronic Frontier Foundation (EFF), wird die Sicherheit, die PGP-Verschlüsselung für Aktivisten bietet, herunterstufen. Aber: "Jetzt gänzlich auf Verschlüsselung zu verzichten wäre der falsche Weg. Eine Verschlüsselung mit Schwächen ist immer noch besser als keine Verschlüsselung", erklärt Thomas Tschersich, Leiter der Abteilung Interne Sicherheit bei der Telekom und sieht die Softwarehersteller nun in der Pflicht. Sie sollten "schnellstmöglich Updates zur Verfügung stellen, damit die Sicherheit von E-Mail-Verschlüsselung langfristig gewährleistet werden kann."

Die Forscher aus Bochum und Münster haben betroffene Unternehmen wie Apple und Microsoft schon vor Monaten informiert. Doch eine schnelle Schließung der Sicherheitslücke ist laut der Forscher nicht in Sicht. “Es gibt derzeit keine zuverlässigen Lösungen für dieses Problem”, sagt Schinzel. Am Freitag präsentieren er und die anderen Forscher ihre Ergebnisse auf einer Fachkonferenz in Bochum.

Über dieses Thema berichtete BR aktuell am 14. Mai 2018 um 15:41 Uhr.

Darstellung: