E-Mail oder E-Fail? Sind meine Mails noch sicher?

Montag, 14.05.2018. Eine Sicherheitswarnung verbreitet Panik: Angeblich sind verschlüsselte E-Mails nicht mehr sicher. Die Autoren der Meldung empfehlen gar, die Verschlüsselung in den Mailprogrammen komplett abzuschalten.

Verschlüsselte Mails sollen gefährlicher sein als Klartext-Mails, die jeder Admin eines Mailservers mitlesen kann? Das kommt uns komisch vor. Die Empfehlung, Verschlüsselung ganz abzuschalten, lässt zusätzliche Skepsis aufkommen. Und tatsächlich: Wenn man den Forschungsbericht der Kollegen liest, wird schnell klar, dass die Warnungen extrem aufgebauscht sind. So sind zum Beispiel längst nicht alle E-Mail-Programme betroffen. Der Angriff ist aufwändig. Die Verschlüsselung selbst wurde gar nicht gebrochen. Von grundsätzlich unsicherer Verschlüsselung kann also keine Rede sein.

Allerdings ist der Angriff je nach verwendeter Verschlüsselungstechnik unterschiedlich schwerwiegend. Und ausgerechnet das bei Firmen und Behörden beliebte S/MIME ist die anfälligere Technik. Techniken, die bei Privatleuten beliebter sind wie Enigmail, Mailvelope oder GPG sind deutlich weniger betroffen. Bei dem Angriff wird das Anzeigemodul des E-Mail-Programms trickreich dazu gebracht, den Text einer entschlüsselten Mail an den Angreifer zu senden. Dabei werden die Mechanismen von HTML ausgenutzt. Schaltet man HTML in Outlook ab, ist man vor dem Angriff geschätzt. Wie das geht, können Sie bei Microsoft nachlesen. Dabei geht allerdings Komfort verloren: Bilder, Formatierungen und Layout können so nicht angezeigt werden. Ist der grafische Aufbau der Mail essenziell wichtig, empfiehlt es sich, die Inhalte in Word zu gestalten.

Anschließend kann die Datei in Outlook als Anhang einer verschlüsselten Mail verschickt werden. Den Empfänger hat man vorher instruiert, dass er HTML abschalten muss (und hofft, dass er sich daran hält). Ansonsten können wir nur darauf warten, dass Microsoft die Lücke in Outlook schließt. Die Entwickler des quelloffenen Enigmail haben das schon erledigt.