Heute berichten zahlreiche Medien (z.B. die FAZ) über schwerwiegende Sicherheitslücken in E-Mailverschlüsselung. Nach Angabe der Entdecker sollen die beiden Standards OpenPGP und S/Mime betroffen sein und die akute Gefahr bestehen, dass der Inhalt von verschlüsselten E-Mails von einem Angreifer ausgeleitet wird. Dies soll auch für E-Mails aus der Vergangenheit gelten. Entgegen der teilweise in den Medien verbreiteten Darstellung betreffen die beiden Sicherheitslücken jedoch gar nicht OpenPGP und S/Mine direkt, sondern „nur“ die Software mit der die Handhabung der Verschlüsselung vereinfacht wird. Zahlreiche Programme, darunter auch Mozilla Thunderbird, machen dabei Fehler bei der Behandlung von HTML. Diese ermöglichen es einem Angreifer die Inhalte von verschlüsselten E-Mails aus der E-Mailsoftware des Opfers auszuleiten.
Während die Electronic Frontier Foundation vor diesem Hintergrund zur Deaktivierung bzw. Deinstallation der entsprechenden Software aufruft, scheint etwas Zurückhaltung durchaus angebracht. Denn mit dem Deaktivieren der Anzeige von HTML im jeweiligen E-Mailprogramm und dem Blockieren des Nachladens von externen Elementen (z.B. Bildern) lässt sich das Problem auch ohne Patches kurzfristig in den Griff bekommen. Neben Werner Koch, dem Autor von GnuPG, bestätigen dies auch die Entdecker der Sicherheitslücke indirekt. Auch das Team des Thunderbird-Addons Enigmail hat sich schon zu Wort gemeldet und erklärt, dass alle Lücken, die Enigmail betreffen bereits geschlossen wurden. Aus dem Statement ergibt sich aber auch, dass noch Patches von Thunderbird zu fehlen scheinen. Eine offizielle Erklärung vom Enigmail-Team ist bereits angekündigt. Weitere Erklärungen, Einschätzungen und Details sind in den nächsten Stunden und Tagen zu erwarten.
Fazit: Es besteht kein Grund zur Panik. Allerdings sollte die Anzeige von HTML E-Mails im jeweiligen E-Mailclient ausgeschaltet werden. In Thunderbird geht das über die Schaltfläche „Ansicht“ – „Nachrichteninhalt“ – „Reiner Text“. Das Nachladen von externen Inhalten ist in der Regel ohnehin standardmäßig deaktiviert. Zur Kontrolle kann man schauen, ob in den Thunderbird-Einstellungen unter „Bearbeiten“ – „Einstellungen“ – „Datenschutz“ der Haken bei „E-Mail-Inhalte“ nicht gesetzt ist.
Weitere Informationen:
- Webseite der Entdecker
- Vollständiges Paper zur Sicherheitslücke mit Nennung der betroffenen Programme (pdf, Seite 11)
- Bericht bei heise.de
- Bericht bei netzpolitik.org