Gratis
6. Mai 2019 - E-Mail-Sicherheit

Dritte können Signaturprüfung austricksen

Drucken

Mit der elektronischen Signatur einer E-Mail sollen Empfänger überprüfen können, ob die Nachricht tatsächlich vom Absender stammt. Wie das Bundesamt für Sicherheit in der Informationstechnik mitteilt, haben Forscher Schwachstellen gefunden, die den Mechanismus aushebeln.

Die E-Mail-Signatur soll dem Empfänger Sicherheit verschaffen. Forscher haben nun Schwachstellen gefunden (Bild: Ahmetov_Ruslan / iStock / Getty Images) Die E-Mail-Signatur soll dem Empfänger Sicherheit verschaffen. Forscher haben nun Schwachstellen gefunden (Bild: Ahmetov_Ruslan / iStock / Getty Images)

Die Signatur einer E-Mail nach dem S/MIME- oder PGP-Verfahren soll dem Empfänger Sicherheit verschaffen. Sie soll sicherstellen, dass die eingetroffene Nachricht vom Absender stammt und nicht auf dem Transportweg manipuliert wurde.

Sicherheitsforscher der Universität Bochum und der Fachhochschule Münster haben Möglichkeiten entdeckt, um die Signaturprüfung zu überwinden.

Sie manipulierten dabei die Implementierung in die E-Mail-Programme, nicht die zugrundeliegenden kryptografischen Verfahren.

Viele bekannte und beliebte Mailprogramme betroffen

Ein Fachartikel, der die Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgreift, führt die Ergebnisse auf:

  • Die Forscher testeten 22 E-Mail-Programme auf Schwachstellen des S/MIME-Verfahrens. Bei 15 war der Angriff erfolgreich.
  • Die PGP-Schnittstelle prüften sie bei 20 Programmen. Bei 14 gelang es, die Signaturprüfung zu überlisten.

Unter Windows waren von den Schwachstellen die bekannten Programme Thunderbird, Outlook mit GpgOL, Windows 10 Mail, Windows Live Mail, The Bat, eM Client und Postbox betroffen.

Lücken bereits geschlossen

Den Forschern gelang es bei ihren Tests beispielsweise erfolgreich, eine E-Mail zu manipulieren. Deren Signatur erweckte danach den Anschein, von einem Vorgesetzten aus der gleichen Firma zu stammen, während sie dagegen vom Angreifer präpariert war.

Da das BSI über die Schwachstellen im Rahmen eines Coordinated-Vulnerability-Disclosure-Prozesses informiert wurde, lieferte es entsprechende Hinweise an die Hersteller. Diese stellen bereits entsprechende Sicherheitsupdates zur Verfügung.

Die aktuell gefundenen Sicherheitslücken sind damit also bereits geschlossen. Somit hält das Amt auch die eingesetzten Verschlüsselungsstandards nach wie vor für sicher.

Empfehlungen des BSI

Das BSI weist ausdrücklich darauf hin, dass die Schwachstellen die Überprüfung der Signatur betroffen haben, nicht aber den Mechanismus der Signaturerstellung. Der Beweiswert einer signierten Nachricht ist damit nicht beeinträchtigt.

Um die E-Mail-Verschlüsselungsstandards weiter sicher einzusetzen, spricht das BSI zwei grundsätzliche Empfehlungen aus:

  • Die E-Mail-Software muss durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden.
  • Aktive Inhalte im Client müssen deaktiviert werden. Dazu gehören die Ausführung von HTML-Code und das Nachladen externer Inhalte. Solche Inhalte werden häufig unter Gestaltungsgesichtspunkten erlaubt.

Das Ergebnis der Schwachstellenanalyse demonstriert erneut, dass HTML-Code und das Einbetten externer Inhalte in E-Mails problematisch sind.

Deswegen sollten die Empfehlungen des BSI zu aktiven Inhalten in E-Mails ernst genommen werden.

Stephan Lamprecht