Nach der Efail-Ver­schlüs­sel­ungs­pan­ne: Die richtigen Schritte für eine dauerhafte Lösung

Efail: Das Verschlüsseln von E-Mails ist gescheitert – so hieß es. Doch dem ist nicht so! Die entdeckten Sicherheitslücken des deutschen Forscherteams bei der E-Mail-Verschlüsselung, unter dem Stichwort „Efail“ bekannt, beziehen sich nicht auf die Verschlüsselungstechnik und die eingesetzten Algorithmen. Beide sind intakt und können weiterhin sicher eingesetzt werden. Das Problem ist ein ganz anderes: zu wenig Verschlüsselung!

von Kim Nguyen, Geschäftsführer der D-TRUST

Das Efail-Problem lag in der Art und Weise, wie E-Mail-Verschlüsselung in den Mail-Clients implementiert und umgesetzt ist. Im Zentrum steht das automatische Laden von HTML-Inhalten, wie Bilder oder Darstellungscodierungen (Styles), das in einigen Mail-Clients voreingestellt ist. Verschlüsselte Mails können dann mit HTML-Inhalten so manipuliert werden, dass nach dem Entschlüsseln durch den Empfänger der Klartext an einen Server der Angreifer geschickt wird. Diese Sicherheitslücke lässt sich durch Sicherheitsupdates und durch ein angepasstes Nutzerverhalten schließen.

Doch wegen Efail muss keiner das Verschlüsseln von E-Mails deaktivieren oder etwa ganz aus der Technik aussteigen.

Langfristig müssen wir aber Antworten auf die Frage finden, wie sich mehr Anwender für das Thema Verschlüsselung gewinnen lassen? Laut einer Studie der Bundesdruckerei schützen nur 45 Prozent der deutschen Unternehmen ihre Mails mit einem Verschlüsselungssystem.”

Denn Banken und Versicherer versenden per Mail zunehmend auch vertrauliche Dokumente, zum Beispiel Verträge, Patente oder Protokolle. Die Gefahr ist groß, dass geschäftskritische Informationen in die falschen Hände geraten. So wird E-Mail-Verschlüsselung zu einem wichtigen Faktor für die deutsche Wettbewerbsfähigkeit.

Efail könnte sich sogar langfristig positiv auswirken

Efail hat gezeigt, dass die Tools, die Protokolle und auch die Benutzerfreundlichkeit zu verbessern sind. So muss das Nicht-Laden von HTML-Inhalten standardmäßig eingestellt sein. Das ist bei einigen E-Mail-Programmen bereits der Fall, bei anderen noch nicht.

Zudem müssen die technischen Standards zur Mailverschlüsselung – OpenPGP (Open Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions) – weiterentwickelt werden.

Moderne Verschlüsselungstechnik – wie sie Instant Messenger-Dienste einsetzen – könne hier den Weg weisen. Dabei kommen authentifizierte Verschlüsselungsverfahren zum Einsatz, die sofort erkennen, ob die Mail auch tatsächlich von dem angegebenen Absender stammt und unterwegs nicht manipuliert wurde.”

Damit mehr Unternehmen ihre Mails verschlüsseln, benötigen wir einfache und leicht zu handhabende Lösungen. Wie das in der Praxis aussehen kann, zeigen sogenannte Secure-Mail-Gateway-Lösungen. Bei diesen werden die Mails und dazugehörigen Anlagen zentral auf einem Unternehmensserver verschlüsselt und entschlüsselt. All dies geschieht in einem automatisierten Prozess, ohne dass der Mitarbeiter tätig werden muss.

Neben der fehlenden Benutzerfreundlichkeit gehört ein mangelndes Know-how zu den Hauptgründen, wieso Unternehmen auf eine E-Mail-Verschlüsselung verzichten.”

Bewusstsein für das Thema lässt sich beispielsweise mit speziellen Mitarbeiter-Seminaren schaffen, in denen die Grundlagen der Technik vermittelt werden. Bei der Bedarfsanalyse und der Konzeption können externe Berater weiterhelfen. Und die Mittel für das Verschlüsseln von Mails gibt es bei sogenannten Vertrauensdiensteanbietern (VDA), die die Rolle als vertrauenswürdige dritte Instanz wahrnehmen und für Zuverlässigkeit und Sicherheit sorgen.

Efail könnte sich somit als Weckruf für alle Akteure der E-Mail-Verschlüsselung erweisen, sich intensiver mit dem Thema zu beschäftigen und die Probleme und Herausforderungen gemeinsam und aktiv anzugehen.aj