Obwohl die Sicherheitslücke Efail aufgedeckt wurde, sollten Verbraucher und Unternehmen ihre E-Mails weiterhin verschlüsseln. Nur bei verschlüsselten Mails kann prinzipiell sichergestellt werden, dass die Vertraulichkeit der Nachrichten erhalten bleibt. Die Sicherheitslücke bedeute keineswegs, dass von der E-Mail Verschlüsselung mit OpenPGP und S/MIME abzuraten sei. Dazu Prof. Norbert Pohlmann, Leiter des Instituts für Internet-Sicherheit – if(is) der Westfälischen Hochschule und eco-Vorstand: „Keine Verschlüsselung ist auch keine Lösung, sondern erhöht das Risiko.“
Wichtig ist jedoch, dass Nutzende in ihrer Mailsoftware die oft voreingestellte automatische Entschlüsselung sowie das automatische Nachladen von Bildern manuell ausstellen. Wie bei jedem Basisschutz gilt auch hier: Zur Verfügung gestellte Updates immer umgehend einspielen.
Bewusst ist sich Prof. Pohlmann über die entstandene Verunsicherung aufgrund der potenziellen Sicherheitslücke, jedoch rät er zu keinen Überreaktionen: „Man soll die Probleme nicht kleinreden, aber um beispielsweise Patentgeheimnisse oder personenbezogene Daten zu schützen, bleibt Verschlüsselung alternativlos“, untermauert der Informatik-Professor die Notwendigkeit. Denn eine unverschlüsselte E-Mail sei wie Klartext leicht mitlesbar. Trotz alledem bleibt der Sicherheits-Experte ruhig: „Das Ausnutzen der Sicherheitslücke kann auch nicht jeder machen. Selbst für IT-Experten ist es schwierig, einen solchen Angriff auf einen Nutzer-PC durchzuführen. Aber es ist möglich, weshalb PC-Nutzer den Vorfall nicht auf die leichte Schulter nehmen und die automatische Entschlüsselung abstellen sollten.“
Aus Sicht des Institutsleiters bedeute die Sicherheitslücke, die Informatiker der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) entdeckt haben, nicht, dass OpenPGP und S/MIME nicht mehr sicher sind. Mit einer Anpassung der beiden Standards und deren Implementierung in den jeweiligen Anwendungen könne die Lücke geschlossen werden, ist sich der Experte sicher. Bis dahin biete das BSI auf seiner Website Hinweise für einen Workaround sowie Einstellungen für gängige E-Mail-Clients, die laut Pohlmann auch für weniger erfahrene Anwendende gut verständlich seien.
Wer die automatische Verschlüsselung abgestellt hat, muss bis zum entsprechenden Software-Update für jede verschlüsselte E-Mail einzeln entscheiden, ob sie glaubwürdig ist und entschlüsselt werden sollte. „Das ist halt eine Komforteinbuße, aber aus Sicherheitsgründen ohnehin empfehlenswert,“ erklärt der if(is)-Leiter. Anschließend sollte ein vom Softwareanbieter in den kommenden Tagen und Wochen zur Verfügung gestelltes Update sofort eingespielt und dann auch vermehrt Verschlüsselung eingesetzt werden.
Über aktuelle Updates und Sicherheitsvorfälle informiert securityNews, die kostenlose App des Instituts für Internet-Sicherheit: https://www.it-sicherheit.de/securitynews/was-ist-securitynews/
Bei Fragen zur Pressemitteilung oder Interview-Anfragen, wenden Sie sich gern persönlich an:
Pohlmann@internet-sicherheit.de
Telefon: 0209/9596-515
Mobil: 0173/3021 838