https://www.faz.net/-gqe-9a4kw

PGP : Sicherheitslücke in E-Mail-Verschlüsselung entdeckt

  • Aktualisiert am

Durch die Offenlegung des Sicherheitslecks könnten sensible Daten an die Öffentlichkeit geraten, warnt die amerikanische Bürgerrechtsbewegung EFF. Bild: dpa

Mit „Pretty Good Privacy“ (PGP) lassen sich E-Mails verschlüsseln und Online-Signaturen erstellen. Deutsche Wissenschaftler haben nun eine gravierende Sicherheitslücke aufgedeckt.

          Forscher der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien haben eine schwerwiegende Sicherheitslücke in den Verschlüsselungs- und Signierungsprogrammen PGP und S/MIME entdeckt. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie weitergeleitet wird. „E-Mail ist kein sicheres Kommunikationsmedium mehr“, wird FH-Professor Sebastian Schinzel in der „Süddeutschen Zeitung“ zitiert, die gemeinsam mit WDR und NDR zuerst über die Sicherheitslücke berichtet hatte.

          Durch die Kombination von öffentlichen und privaten Schlüsselcodes lassen sich durch „Pretty Good Privacy“ (PGP) nicht nur E-Mails verschlüsseln, sondern auch elektronische Unterschriften verifizieren. Während die öffentlichen Schlüsselcodes zum Verschlüsseln einer digitalen Nachricht dienen, wird die private Variante zum Entschlüsseln verwendet. Zum Austausch dieser Codes dient das sogenannte „Web of Trust“. Die Echtheit der Schlüssel soll hierbei durch gegenseitiges Vertrauen in Form von individuellem Bestätigen der einzelnen Teilnehmer ermöglicht werden.

          Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte in einer Stellungnahme mit, PGP und S/MIME könnten weiterhin verwendet werden, wenn sie „korrekt implementiert und sicher konfiguriert“ werden. Die Schwachstellen ließen sich zunächst durch Patches und angepasstes Nutzerverhalten schließen. Langfristig müssten jedoch die OpenPGP- und S/MIME-Standards angepasst werden.

          Nach Angaben des BSI müssen PGP-Nutzer jetzt insbesondere aktive Inhalte - darunter auch den oft standardmäßig voreingestellten HTML-Code sowie externe Inhalte - in ihren E-Mails deaktivieren. Darüber hinaus müssten E-Mail-Server und -Clients gegen unauthorisierte Zugriffsversuche abgesichert sein. Dann bliebe PGP-Verschlüsselung ein „wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit“.

          Die Forscher wollen ihre Ergebnisse am Freitag auf einer Fachkonferenz in Bochum vorstellen. Laut „SZ“ funktioniert das Knacken von PGP so: In einer unverfänglich aussehenden E-Mail verstecken Hacker Datenwust, den sogenannten Ciphertext, und senden ihn an das „Opfer“. Der Computer des Opfers öffnet die Mail und stellt fest, dass er den angehängten Datenwust entziffern kann. Denn er verfügt ja über den privaten Schlüssel. Ist der präparierte Text entziffert, wird er an eine Seite verschickt, die die Angreifer kontrollieren können.

          Weitere Themen

          Streit um Whatsapp in der Schule

          Datenschutz : Streit um Whatsapp in der Schule

          Dürfen Schüler ihrem Lehrer per Whatsapp mitteilen, dass sie krank sind und zu Hause bleiben? Dürfen Lehrer per Chat Hausaufgaben geben? Darüber ist jetzt ein heftiger Streit entbrannt.

          Zigarrenhersteller macht Asche Video-Seite öffnen

          Rekordjahr : Zigarrenhersteller macht Asche

          Die kubanische Zigarrenhersteller Habanos blickt auf ein gutes Geschäftsjahr zurück. 2018 habe man Rauchwerk für etwa 537 Millionen Dollar verkauft.

          Topmeldungen

          Bernie Sanders will es noch einmal wissen. (Archivfoto)

          Bernie Sanders kandidiert : Wer jagt Donald Trump?

          Bernie Sanders war Hillary Clinton 2016 nur knapp unterlegen. Jetzt will er es nochmal wissen. Doch es gibt gravierende Unterschiede zum Kampf um die Nachfolge Barack Obamas. Ein Kommentar.

          Liverpool-Spieler Shaqiri : „Bayern ist der beste Klub der Welt“

          Für Xherdan Shaqiri ist das Achtelfinale in der Champions League ein besonderes Spiel. Der Liverpool-Profi war einst auch in München. Zuvor spricht er das Duell mit den Bayern, eine Rückkehr und Jürgen Klopps Besonderheit.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.