Unter dem Begriff „eFail“ wird momentan über diverse Medien in leider „sensationsartiger“ Weise eine gewisse Panik verbreitet. Verschlüsselte E-Mail mit S/MIMIE und OpenPGP sind aus unserer Sicht nach wie vor sicher. Es gibt allerdings individuelle Anwendungsfehler durch User, die leicht abgestellt werden können.
Medien leben von Schlagzeilen, besonders im Sommer und zu Urlaubszeiten fällt es aber einigen Medien schwer die lebenswichtige Aufmerksamkeit zu erhalten. Oftmals wird dabei aus einer Mücke ein Elefant gemacht – ähnliches verstehen wir unter der aktuellen Schlagzeile eFail.
Allerdings rudern einige Medien bei eFail schon wieder zurück und relativieren die Gefahr.
Worum geht es bei eFail?
Nun, an der FH in Münster hat man versucht die Verschlüsselung von E-Mails mit PGP und S/MIME zu knacken. Dazu versuchten die Forscher mittels HTML und nachzuladenden Bildern die Verschlüsselung auszutricksen, um es einfach zu sagen.
Unter Laborbedingungen konnte so ein Teil des geheimen Klartextes beim Angreifer landen. Bei S/MIME war es angeblich leichter als bei PGP, gewisse Teile der Nachricht zu exfiltrieren.
Die Fakten – HTML und externe Bilder als Einfallstor?
Zentrale Verschlüsselungs-Gateways, wie sie von unserem Partner Zertificon angeboten werden sind weiterhin absolut sicher! Hier können ohne Probleme weiterhin E-Mails verschlüsselt verschickt werden, ohne Gefahr zu laufen gehackt zu werden. Die Anbieter von großen kostenfreien Webmails sind ebenfalls weitgehend sicher.
Verschlüsselte E-Mails sollten nicht im Mail-Client bzw. Mailprogramm entschlüsselt werden. Mail-Programme wie zum Beispiel Thunderbird oder Outlook sollten aktualisiert werden, zudem sollte das Nachladen von externen Bildern vermieden werden, was ja schon seit Ewigkeiten als potenzielle Gefahrenquelle bekannt ist.
Wer seine E-Mails trotzdem im lokalen Mailprogramm entschlüsseln will, sollte den Empfang von HTML-Mails abschalten. HTML-Inhalte auszustellen ist bei E-Mails grundsätzlich empfehlenswert.
Wie geht Z1 SecureMail Gateway mit dem eFail-Beispiel um?
Bei einer Verschlüsselung mit OpenPGP wird die manipulierte E-Mail so entschlüsselt, dass der Schadcode nicht mehr interpretiert werden kann. Der Angriff schlägt daher fehl, der Nutzer kann seine Mail ganz normal lesen und merkt nicht, dass ein Angriff stattgefunden hat.
Das Beispiel mit einer S/MIME Verschlüsselung bei Z1 hätte zur Folge, dass die verschlüsselte Mail ganz normal weitergeleitet wird an den Client, aber nicht entschlüsselt wird. Wenn Benutzer den Empfang verschlüsselter Mails melden, kann dies als Hinweis auf einen Angriff gewertet werden. Der Schadcode wird ohne Entschlüsselung nicht ausgeführt, der Angriff schlägt auch hier fehl.
Z1 SecureMail Gateway analysiert Mails nicht auf Schadcode, sondern stellt nur die verschlüsselte Kommunikation sicher. Sie sollten entschlüsselte E-Mails immer an einen professionellen Content Filter weiterleiten.
Keine Panik – es ist eher ein „eFailchen“!
Also, wir raten unseren Kunden in der Angelegenheit „eFail“ zu mehr Gelassenheit, es handelt sich aus unserer Sicht eher um ein „eFailchen“. Mit den richtigen Einstellungen sind E-Mails nach wie vor ausreichend verschlüsselt und vor einem Angriff absolut sicher.