PGP & S/MIME-Fail: So kommst du sicher über die Runden

Die Aufregung war groß beim Bekanntwerden der als #Efails getauften Sicherheitslücke beim Versenden von verschlüsselten E-Mails und selbst die großen Mainstreammedien flatterten heftig mit den Flügeln – aber entspricht die Weltuntergangsstimmung auch der tatsächlichen Tragweite und kann man wirklich nichts machen, außer keine verschlüsselten Mails mehr verschicken? Mitnichten, denn wer Mails als das begreift, was sie sind, eben Text-Informationsträger und keine bunten Marketingwaschzettel, kann sich auch in Zukunft auf sichere Kommunikation durch verlässliche Verschlüsselung verlassen.

Sicher ist, dass die gefundenen Sicherheitslücken tatsächlich ernster Natur sind und es Angreifern ermöglichen, verschlüsselte Mails abgreifen und manipulieren zu können, um den Text oder zumindest Textteile anschließend entschlüsseln zu können. Voraussetzung ist allerdings, dass ein Mail-Programm HTML-Mails empfangen und darstellen kann – und hier liegen auch die Ansätze, sich und seine Nachrichten zu schützen:

  • Eine erste Maßnahme liegt darin, die Anzeige externer Bilder abzustellen – was einem nicht allzu schwer fallen dürfte, da die meisten Privatsphären-bewussten Anwender dies selbst bei unverschlüsselten Mails bislang so oder so machen.
  • Der zweite Schritt könnte verwöhnten Mail-Anwendern bereits ein wenig schwerer fallen, reduziert er doch die Ausgabe von Mails auf den reinen Text: das Abschalten der Anzeige in HTML. Damit verzichtet man zwar auf Blumen als Hintergrundtapeten, eingebettete GIFs und andere Gimmicks, macht man sich aber bewusst, dass Mails (und verschlüsselte Mails erst recht) in erster Linie dem Transport geschriebener Informationen dienen, kommt man gut damit zurecht.
  • Hat man die Wahl zwischen S/MIME und PGP, sollte man sich für PGP entscheiden. Zwar sind beide Techniken angeschlagen, S/MIME aber spürbar stärker.
  • Das verwendete Mailprogramm und alle Verschlüsselungs-Plug-Ins (sofern vorhanden) sollten aktualisiert werden. So haben die Enigmail-Entwickler bereits reagiert und ein Update verteilt. Auch Thunderbird hat in der neusten Version die meisten Sicherheitslücken geschlossen, ebenso Outlook und The Bat. Sicher sind auch die Nutzer von Claws und Mutt für Linux, die von Haus aus reine Plaintext-Clients sind, und die meisten Web-Apps sowie die Anwender von Webmailern.

Wer noch mehr tun möchte (und dafür mehr Aufwand in Kauf nimmt), lässt Ver- und Entschlüsselungsarbeiten im verwendeten Mailclient auf absehbare Zeit sein und importiert, bzw. exportiert seine Botschaften in ein externes Programm, beispielsweise GPG. Zumindest bis die ursächlich verantwortlichen Protokolle für S/MIME und PGP geändert worden sind und verlässliche Verschlüsselung wieder erlauben.

Weitere Infos: So funktioniert Efails (heise)

 

Photo Credits:
© Jay Wennington (https://stocksnap.io/author/189)
CC0 License (https://creativecommons.org/publicdomain/zero/1.0/)

About the author

CyberGhost VPN - Uli
CyberGhost VPN - Uli

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

© 2017 CyberGhost