- eco Verband empfiehlt Workaround bis zum Einspielen von Updates
- „Keine Verschlüsselung ist auch keine Lösung“
Trotz der jetzt aufgedeckten Sicherheitslücke „Efail“ sollten Unternehmen und Verbraucher weiterhin E-Mails verschlüsselt versenden. Dies empfehlen Experten vom Internetverband eco. Nur bei verschlüsselten E-Mails kann prinzipiell sichergestellt werden, dass die Vertraulichkeit der Nachrichten erhalten bleibt. Die Sicherheitslücke bedeute gerade nicht, dass von der E-Mail Verschlüsselung mit den weit verbreiteten Standards OpenPGP und S/MIME abzuraten sei.
Allerdings sollten Nutzer darauf achten, dass sie in ihrer Mailsoftware die oft voreingestellte automatische Entschlüsselung sowie das automatische Nachladen etwa von Bildern aktiv ausstellen. Auch sollten sie zur Verfügung gestellte Updates umgehend einspielen.
Keine Verschlüsselung ist auch keine Lösung
„Keine Verschlüsselung ist auch keine Lösung, sondern erhöht das Risiko“, sagt Norbert Pohlmann, Vorstand des eco – Verband der Internetwirtschaft e. V. und Professor am Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule, Gelsenkirchen. „Man soll die Probleme nicht kleinreden, aber um beispielsweise Patentgeheimnisse oder personenbezogene Daten zu schützen, bleibt Verschlüsselung alternativlos.“
Dass Informatiker der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) belegt haben, dass ein Hack möglich ist, habe nicht zu bedeuten, dass OpenPGP und S/MIME nicht mehr sicher sind. Mit einer Anpassung der beiden Standards und deren Implementierung in den jeweiligen Anwendungen könne die Lücke geschlossen werden. Bis dahin biete das BSI auf seiner Website Hinweise für einen Workaround sowie Einstellungen für gängige E-Mail-Clients: „Diese Hinweise sind gut, auch für weniger erfahrene Anwender.“
Wer die automatische Verschlüsselung abgestellt hat, muss bis zum entsprechenden Software-Update für jede verschlüsselte E-Mail einzeln entscheiden, ob sie glaubwürdig ist und entschlüsselt werden sollte. „Das ist halt eine Komforteinbuße, aber aus Sicherheitsgründen ohnehin empfehlenswert,“ bemerkt Pohlmann. Anschließend sollte ein vom Software-Anbieter in den kommenden Tagen und Wochen zur Verfügung gestelltes Update sofort eingespielt und dann auch vermehrt Verschlüsselung eingesetzt werden.
Pohlmann rät dazu, die Sicherheitslücke nüchtern zu betrachten und weist darauf hin, dass ein Ausnutzen nicht trivial ist. „Das kann auch nicht jeder machen. Selbst für IT-Experten ist es schwierig, einen solchen Angriff auf einen Nutzer-PC durchzuführen. Aber es ist möglich, weshalb PC-Nutzer den Vorfall nicht auf die leichte Schulter nehmen und die automatische Entschlüsselung abstellen sollten.
Eine unverschlüsselte E-Mail sei hingegen wie Klartext leicht mitlesbar, „Verschlüsselung ist ein signifikanter Mechanismus der hilft, elektronische Assets angemessen zu sichern,“ bemerkt Pohlmann abschließend.