Für viele Administratoren, IT-Verantwortliche und ambitionierte Computernutzer fing die Woche mit einem Schreck an: IT-Sicherheitsforscher um Sebastian Schinzel von der Fachhochschule Münster meldeten auf Twitter, dass die beiden Verschlüsselungsprotokolle S/Mime und PGP geknackt worden seien. Die Spezialisten führten aus, dass auch E-Mails betroffen seien, die in der Vergangenheit verschlüsselt wurden, und kündigten an, ihre Arbeit im Laufe des Tages zu veröffentlichen.

Später stellte sich jedoch heraus, dass die Prognose wider Erwarten nicht ganz so düster war: die Verschlüsselungsprotokolle selbst waren nicht geknackt worden. Jedoch lassen Schwachstellen innerhalb ihrer Implementierung in den Mail-Clients es zu, dass die entschlüsselten Inhalte an fremde Server übertragen werden. Hierzu wird die Tatsache ausgenutzt, dass ein Großteil der heutigen E-Mailkommunikation nicht wie ursprünglich vorgesehen als reiner Text übertragen wird, sondern als bunte, mit Bildern versehene HTML-Nachricht.

Um HTML-Nachrichten vollständig anzeigen zu können, ist es notwendig, die darin enthaltenen Bilder aus dem Internet nachzuladen. Über diesen Mechanismus wird bei der „EFail“ getauften Attacke nun der Inhalt der Nachricht an einen fremden Server übertragen.

Wie genau dies funktioniert ist in der Fachpresse und in der Veröffentlichung der Sicherheitsforscher nachzulesen.

Glücklicherweise lässt sich dieses Verhalten in den meisten E-Mail-Programmen komplett ausschalten. Dies bedeutet aber auch, dass die Anwender viele Nachrichten nicht mehr vollständig angezeigt bekommen – und viele möchten einfach nicht auf Firmenlogo, Smileys und Co. in ihrem E-Mails verzichten. Aufgrund dessen ist anzunehmen, dass viele Anwender diese Funktion schnell wieder aktivieren werden.

Objektiv betrachtet betreffen die veröffentlichten Sicherheitslücken nur einen kleinen Teil der E-Mail-Benutzer. Der Großteil der Anwender versendet die E-Mails nach wie vor unverschlüsselt und damit quasi offen für jeden lesbar. Auch die Aussage und Intention der Bundesregierung, Deutschland führend in der Verschlüsselung werden zu lassen, hat hieran wenig geändert.

Im Gegenteil: gleichzeitig sollen die Sicherheitsdienste der Bundesrepublik technologisch in die Lage versetzt werden, Verschlüsselungen zu umgehen. Was wir hierbei nicht aus den Augen verlieren dürfen: die zu diesem Zwecke genutzten und teilweise bewusst offen gehaltenen Sicherheitslücken ermöglichen auch Hackern Zugang – wenn also Sicherheitsdienste Verschlüsselungen umgehen können, können Hacker dies ebenso. Ein Umstand, der nicht erst seit „WannaCry“ bekannt ist.

„Die Piratenpartei fordert daher schon lange den Einsatz von Verschlüsselung zu stärken und auf breiter Ebene zu unterstützen – insbesondere in der Kommunikation mit Behörden, Anwälten und Ärzten“

sagt Borys Sobieski, stellvertretender Landesvorstand der Piratenpartei Baden-Württemberg.

Dass es hier leider nicht zum Besten steht, haben in der Vergangenheit die Probleme um das beA aber auch um DE-Mail gezeigt.

„Wichtig ist es vor allem, die Anwender im Gebrauch mit den mittlerweile etablierten Kommunikationsmedien zu unterstützen und Programmeinstellungen in Bezug auf Sicherheit und Datenschutz klar und verständlich anzubieten. Die gleichzeitige Einführung von Informatik als Pflichtfach gäbe bereits Kindern und Jugendlichen die erforderlichen Kentnisse an die Hand. Sie würden sich in unserer zunehmend digitalisierten Welt besser zurecht finden, sicher kommunizieren und durch Weitergabe ihres Wissens an ältere Generationen allen Menschen ein Leben als mündige Bürger ermöglichen – on- und offline.“

betont Sobieski.

Empfehlungen der PIRATEN zur sicheren E-Mail-Kommunikation:

  • HTML-Mails deaktivieren
  • automatisches Nachladen von Inhalten deaktivieren
  • automatische Entschlüsselung deaktivieren und mit Passwortschutz (Eingabe jedes Mal erforderlich) versehen
  • Kommunikationspartner auf die notwendigen Sicherheitsmaßnahmen aufmerksam machen