https://www.faz.net/-gqe-9a4kw

PGP : Sicherheitslücke in E-Mail-Verschlüsselung entdeckt

  • Aktualisiert am

Durch die Offenlegung des Sicherheitslecks könnten sensible Daten an die Öffentlichkeit geraten, warnt die amerikanische Bürgerrechtsbewegung EFF. Bild: dpa

Mit „Pretty Good Privacy“ (PGP) lassen sich E-Mails verschlüsseln und Online-Signaturen erstellen. Deutsche Wissenschaftler haben nun eine gravierende Sicherheitslücke aufgedeckt.

          Forscher der FH Münster, der Ruhr-Universität Bochum und der KU Löwen in Belgien haben eine schwerwiegende Sicherheitslücke in den Verschlüsselungs- und Signierungsprogrammen PGP und S/MIME entdeckt. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie weitergeleitet wird. „E-Mail ist kein sicheres Kommunikationsmedium mehr“, wird FH-Professor Sebastian Schinzel in der „Süddeutschen Zeitung“ zitiert, die gemeinsam mit WDR und NDR zuerst über die Sicherheitslücke berichtet hatte.

          Durch die Kombination von öffentlichen und privaten Schlüsselcodes lassen sich durch „Pretty Good Privacy“ (PGP) nicht nur E-Mails verschlüsseln, sondern auch elektronische Unterschriften verifizieren. Während die öffentlichen Schlüsselcodes zum Verschlüsseln einer digitalen Nachricht dienen, wird die private Variante zum Entschlüsseln verwendet. Zum Austausch dieser Codes dient das sogenannte „Web of Trust“. Die Echtheit der Schlüssel soll hierbei durch gegenseitiges Vertrauen in Form von individuellem Bestätigen der einzelnen Teilnehmer ermöglicht werden.

          Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte in einer Stellungnahme mit, PGP und S/MIME könnten weiterhin verwendet werden, wenn sie „korrekt implementiert und sicher konfiguriert“ werden. Die Schwachstellen ließen sich zunächst durch Patches und angepasstes Nutzerverhalten schließen. Langfristig müssten jedoch die OpenPGP- und S/MIME-Standards angepasst werden.

          Nach Angaben des BSI müssen PGP-Nutzer jetzt insbesondere aktive Inhalte - darunter auch den oft standardmäßig voreingestellten HTML-Code sowie externe Inhalte - in ihren E-Mails deaktivieren. Darüber hinaus müssten E-Mail-Server und -Clients gegen unauthorisierte Zugriffsversuche abgesichert sein. Dann bliebe PGP-Verschlüsselung ein „wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit“.

          Die Forscher wollen ihre Ergebnisse am Freitag auf einer Fachkonferenz in Bochum vorstellen. Laut „SZ“ funktioniert das Knacken von PGP so: In einer unverfänglich aussehenden E-Mail verstecken Hacker Datenwust, den sogenannten Ciphertext, und senden ihn an das „Opfer“. Der Computer des Opfers öffnet die Mail und stellt fest, dass er den angehängten Datenwust entziffern kann. Denn er verfügt ja über den privaten Schlüssel. Ist der präparierte Text entziffert, wird er an eine Seite verschickt, die die Angreifer kontrollieren können.

          Weitere Themen

          VW verklagt sein Personal

          Dieselskandal : VW verklagt sein Personal

          Während der ehemalige Chef Martin Winterkorn sein Altersruhegeld bezieht, verklagt der Konzern wegen des Dieselskandals sein Personal. Am Donnerstag fällt eine Entscheidung.

          Die Jagd nach dem Milliarden-Schatz Video-Seite öffnen

          FAZ Plus Artikel: Bergbau im Erzgebirge : Die Jagd nach dem Milliarden-Schatz

          Im Erzgebirge wird an der ersten deutschen Erzmine seit dem Krieg gebaut. Ein Investor verspricht sichere Rohstoffe und Hunderte Arbeitsplätze. Doch Politiker interessiert es nicht, Behörden mauern und Anwohner rebellieren.

          ö statt ë?

          Citroën-Werbung : ö statt ë?

          Citroën heißt ab jetzt Zitrön. Das stimmt zwar nicht, aber das Video zu dem Werbe-Gag der Franzosen ist trotzdem sehenswert.

          Topmeldungen

          Spahns Notfallplan : Fast schon verdächtig viel Zustimmung

          Der Gesundheitsminister will Kassenärzte und Krankenhäuser zur Zusammenarbeit zwingen – und erhält dafür Lob von allen Seiten. Doch bei der Umsetzung sperren sich die Verantwortlichen noch.
          Hat sich zum Zwei-Prozent-Ziel der Nato-Staaten bekannt: Annegret Kramp-Karrenbauer

          Akks Wehretat : Der Streit schwelt weiter

          Die neue Verteidigungsministerin Annegret Kramp-Karrenbauer bekräftigt das Ziel der Nato, dass die Verteidigungsausgaben steigen sollen. Das provoziert Widerstand – in der Opposition und selbst beim Koalitionspartner.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.