Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
News
06. Mai 2019

Dritte können Signaturprüfung austricksen

Gratis
Dritte können Signaturprüfung austricksen
Bild: Ahmetov_Ruslan / iStock / Getty Images
0,00 (0)
E-Mail-Sicherheit
Mit der elektronischen Signatur einer E-Mail sollen Empfänger überprüfen können, ob die Nachricht tatsächlich vom Absender stammt. Wie das Bundesamt für Sicherheit in der Informationstechnik mitteilt, haben Forscher Schwachstellen gefunden, die den Mechanismus aushebeln.

Die Signatur einer E-Mail nach dem S/MIME- oder PGP-Verfahren soll dem Empfänger Sicherheit verschaffen. Sie soll sicherstellen, dass die eingetroffene Nachricht vom Absender stammt und nicht auf dem Transportweg manipuliert wurde.

Sicherheitsforscher der Universität Bochum und der Fachhochschule Münster haben Möglichkeiten entdeckt, um die Signaturprüfung zu überwinden.

Sie manipulierten dabei die Implementierung in die E-Mail-Programme, nicht die zugrundeliegenden kryptografischen Verfahren.

Viele bekannte und beliebte Mailprogramme betroffen

Ein Fachartikel, der die Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgreift, führt die Ergebnisse auf:

  • Die Forscher testeten 22 E-Mail-Programme auf Schwachstellen des S/MIME-Verfahrens. Bei 15 war der Angriff erfolgreich.
  • Die PGP-Schnittstelle prüften sie bei 20 Programmen. Bei 14 gelang es, die Signaturprüfung zu überlisten.

Unter Windows waren von den Schwachstellen die bekannten Programme Thunderbird, Outlook mit GpgOL, Windows 10 Mail, Windows Live Mail, The Bat, eM Client und Postbox betroffen.

Lücken bereits geschlossen

Den Forschern gelang es bei ihren Tests beispielsweise erfolgreich, eine E-Mail zu manipulieren. Deren Signatur erweckte danach den Anschein, von einem Vorgesetzten aus der gleichen Firma zu stammen, während sie dagegen vom Angreifer präpariert war.

Da das BSI über die Schwachstellen im Rahmen eines Coordinated-Vulnerability-Disclosure-Prozesses informiert wurde, lieferte es entsprechende Hinweise an die Hersteller. Diese stellen bereits entsprechende Sicherheitsupdates zur Verfügung.

Die aktuell gefundenen Sicherheitslücken sind damit also bereits geschlossen. Somit hält das Amt auch die eingesetzten Verschlüsselungsstandards nach wie vor für sicher.

Empfehlungen des BSI

Das BSI weist ausdrücklich darauf hin, dass die Schwachstellen die Überprüfung der Signatur betroffen haben, nicht aber den Mechanismus der Signaturerstellung. Der Beweiswert einer signierten Nachricht ist damit nicht beeinträchtigt.

Um die E-Mail-Verschlüsselungsstandards weiter sicher einzusetzen, spricht das BSI zwei grundsätzliche Empfehlungen aus:

  • Die E-Mail-Software muss durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden.
  • Aktive Inhalte im Client müssen deaktiviert werden. Dazu gehören die Ausführung von HTML-Code und das Nachladen externer Inhalte. Solche Inhalte werden häufig unter Gestaltungsgesichtspunkten erlaubt.

Das Ergebnis der Schwachstellenanalyse demonstriert erneut, dass HTML-Code und das Einbetten externer Inhalte in E-Mails problematisch sind.

Deswegen sollten die Empfehlungen des BSI zu aktiven Inhalten in E-Mails ernst genommen werden.

Stephan Lamprecht
Verfasst von
DP
Stephan Lamprecht

Stephan Lamprecht ist Tech-Autor und Journalist. Er hat sich auf die Fahnen geschrieben, komplizierte Dinge einfach zu erklären.

Seit über 25 Jahren ist er für Verlage, Unternehmen und PR-Agenturen tätig. Er übernimmt Aufgaben als Redakteur, Blogger und Ghostwriter.

Kontakt: https://lamprecht.net

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.