E-Mailverschluesselung mit PGP, lasst euch nicht irritieren

Standard

Informationssicherheit

Heute in der Tagesschau die Meldung, die Verschluesselung vom PGP und S/Mime wurden geknackt. Schlicht betrachtet, es stimmt nicht. Die eigentlichen Schwachstellen, auf denen die Meldung beruht befinden sich in der Einbindung in die jeweiligen E-Mail-Programme, z.B. Outlook oder Thunderbird/Firefox.

Das BSI schreibt in seiner Meldung

Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.

  • E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.

  • Auf www.bsi-fuer-buerger.de und www.allianz-fuer-cybersicherheit.de finden Privatanwender und Unternehmen ausführliche Informationen, wie sie E-Mailverschlüsselung weiterhin sicher nutzen können.

Ich selbst benutze die Verschluesselungsautomatik sehr selten. Sie ist zwar komfortabler als separat zu verschluesseln, aber sicher ist, sie ist anfaellig gegen Angriffe auf dem Wege vom E-Mail-Server zum Mailclient. Echte End zu End Verschluesselung erreicht man, indem die Mail separat mit PGP auf ihrem Rechner verschluesselt wird, so halte ich es und so ist es auch praktisch nicht moeglich auf den Klartext zurueckzugreifen. keiner von uns weiss, was eigentlich wirklich mit der Einbindung in die E-Mailprogramme passiert ist.

Lassen sie sich nicht irritieren, moeglicherweise ist das sogar gewollt und noch ein Hinweis, lassen sie keine unverschluesselten E-Mails nach dem Entschluesselung auf ihrem Rechner. Der Verschluesselungsstandard ist sicher, solange sie das Passwort nicht preisgeben, in ihrem Kopf ist es am Besten aufgehoben. Wenn sie die E-Mail-Einbindung installiert haben, in naechster Zeit wird es Updates geben, installieren sie sie, aber Vorsicht ist die Mutter der Porzellankiste.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s