IT-Sicherheit Verschlüsselungsstandards für E-Mail gehackt
Sicherheitslücken in den gängigen Verschlüsselungsverfahren machen es Angreifern möglich, vertrauliche E-Mails mitzulesen.
Ein Forscherteam der Fachhochschule (FH) Münster, des Horst-Görtz-Instituts für IT-Sicherheit der RUB und der Katholieke Universiteit Leuven hat gezeigt, dass die beiden gängigsten E-Mail-Verschlüsselungsverfahren angreifbar sind. Ihr Angriff, den sie Efail tauften, war bei 25 von 35 getesteten E-Mail-Programmen für den Verschlüsselungsstandard S/MIME und bei 10 von 28 getesteten Programmen für den Standard Open PGP erfolgreich. Die Hersteller der Mailprogramme sind informiert und haben die gemeldeten Sicherheitslücken behoben. Trotzdem empfehlen die Experten dringend, die den Standards zugrundeliegenden kryptografischen Verfahren zu erneuern, um auch zukünftige Angriffe abwehren zu können. Auf ihrer Webseite informieren sie über die Details ihres Angriffs.
Realistisches Angriffsszenario
E-Mails werden verschlüsselt, um ihren Inhalt auch gegenüber Netzbetreibern, Cyberkriminellen und Geheimdiensten geheim zu halten, die über gehackte Router, einen E-Mail-Server oder durch Aufzeichnen der Nachricht während der Übertragung Zugriff erlangen können. Dieses Szenario ist nach den Snowden-Enthüllungen und zahllosen gehackten Mailservern realistisch.
Die abgefangene verschlüsselte Nachricht wird manipuliert, indem der Angreifer eigene, maliziöse Befehle in verschlüsselter Form hinzufügt. Diese veränderte Nachricht wird dann an einen der Empfänger oder den Sender der Nachricht gesandt, wo die zur Entschlüsselung benötigten Daten vorhanden sind.
Nach der Entschlüsselung führen die eingefügten Befehle dazu, dass das Mailprogramm des Opfers beim Öffnen der Mail eine Kommunikationsverbindung zum Angreifer aufbaut. Eine solche Kommunikation ist üblich, um zum Beispiel Bilder oder Designelemente in Mails nachzuladen. Über diese Verbindung wird dem Angreifer die entschlüsselte Mail komplett zugestellt, sodass er sie lesen kann. Diese neuartige Angriffstechnik nannten die Forscher „Exfiltration with Malleability Gadgets“.
Neuer Standard nötig
Nun sei die Internet Engineering Task Force, eine herstellerübergreifende, internationale Organisation, gefordert, für einen neuen Standard zu sorgen, so die Forscher. Nach ihrem erfolgreichen Angriff haben sie die Hersteller aller getesteten Mailprogramme über die entdeckte Sicherheitslücke informiert. Inzwischen wurde nachgebessert, um das Risiko eines erfolgreichen echten Angriffs zu minimieren.