EFAIL und E-Mail-Verschlüsselung: Keine Panik, einfach HTML in E-Mails abschalten

HTML-Anzeige ist sinnvoll im Web, in E-Mailkonversationen jedoch unnötig und ein Einfallstor für Angreifer. CC-BY-SA 2.0 Binary Koala

Sicherheitsforscher haben heute Details über Sicherheitslücken in den für E-Mail gängigen Verschlüsselungsstandards OpenPGP und S/MIME veröffentlicht. Unter bestimmten Bedingungen lassen sich dadurch aktuelle und jahrealte Mails, die im Postfach liegen, nachträglich entschlüsseln und an Angreifer ausleiten. Die Funktionsweise der Lücke sowie das zugehörige Paper (PDF) der Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) lassen sich unter EFAIL.de abrufen.

Bevor man jedoch zu Holzhammermethoden wie der kompletten Deinstallation von OpenPGP greift, sollten einige wenige Schritte reichen, um sich zumindest kurzfristig zu schützen. Das Bundesamt für Sicherheit in der Informationstechnik schreibt:

Um E-Mailverschlüsselung weiterhin sicher einsetzen zu können, müssen Anwender folgende Punkte umsetzen:

    Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von html-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind.
    E-Mailserver und E-Mailclients müssen gegen unauthorisierte Zugriffsversuche abgesichert sein.

Auf Seite 11 im dazugehörigen Paper (PDF) findet sich eine Übersicht für gängige Mailclients, die betroffen oder nicht betroffen sind.

Prinzipiell gilt: Nutzer sollten einerseits das Nachladen von HTML-Inhalten abstellen, was ohnehin grundsätzlich empfehlenswert ist – und die hoffentlich bald kommenden Sicherheitsupdates von Plug-ins wie Enigmail oder GPGTools so bald wie möglich installieren. Andererseits sollten sicherheitshalber alle Rückkanäle für das Nachladen weiterer Inhalte (auch das automatische Laden von OpenPGP-Schlüsseln) deaktiviert werden.

8 Ergänzungen

  1. „sollten einige wenige Schritte reichen, um sich zumindest kurzfristig zu schützen“

    Nehmt doch bitte das „zumindest“ raus. Um sich kurzfristig (also sofort und schnell… so soll das doch gemeint sein, hoffe ich) zu schützen, die Tipps des BSI befolgen (bin erstaunt, wie sachlich und korrekt sie das vermelden). Durch das „zumindest“ wird sprachlich eher suggeriert, dass das nur ne Notlösung ist, die nicht auf Dauer wirkt. Tut sie aber… und HTML, aktive Inhalte und automatisches Nachladen sollten ohnehin im Klienten nicht aktiviert werden/bleiben… unabhängig von dieser „Schwachstelle“.

    1. Eine Sicherheitslücke schließt nur ein Update und kein Workaround. Zumal es Leute geben soll, die automatisch Bilder nachladen wollen, auch wenn das keine gute Idee ist.

  2. Wie ja bereits gesagt wird, HTML hat in eMails nichts; aber auch rein garnichts; zu suchen. Punkt!

    Leider gibt es Programme die das von Haus aus aktiviert hatten und haben, so z.b. Outlook; und leider auch; Thunderbird. Das zu ändern wäre der erste Ansatzpunkt.

    Dabei ist das seit jeher ein Blödsinn und ein Unding. eMail ist vor allem eines – ein TEXT-ONLY Medium bei dem es nicht darauf an kommt wie ein Text AUS SIEHT sondern was der Text AUSSAGT.
    Es scheinen aber grade die unerfahren Privatleute; oder überkandidelte Firmen-Kommunikation; zu sein die HTML-Formatierte Mails als Standard nutzen, wollen oder so wahrnehmen. Das zu korrigieren wäre der Zweite Ansatzpunkt.

    Und es sind meiner Meinung nach eben die Privaten Nutzer die nicht wissen was sie sich mit HTML Mails alles einfangen könnten, und lieber auf das Schlangenöl vertrauen das nur ein Ewiger Flicken für eine andauernde Fehlentwicklung ist.

    Schlußendlich wird Kein Text besser dadurch das man 5 verschiedene Schriften, Buchstabengrößen oder Textformatierungen auf ihn anwendet. Oft ist eher das Gegenteil der Fall, der Text wird zu 100% unlesbar für alle die; wie ich; nur reinen Text zulassen. Oder ein Mailprogramm benutzen das nur Text anzeigen kann.

    1. Nicht nur die privaten Nutzer.

      Ich bin auf dem Blog von Sören Hentzschel geblockt, weil ich es gewagt habe zu kritisieren, dass er die HTML Fähigkeiten des neuen Thunderbird gelobt hat. Meinen Kommentar dazu hat er nicht veröffentlicht und mir eine recht unangenehme Email geschickt (ich wäre ein Troll und hätte keine Ahnung).

      Dieser HTML-Mist kommt also auch aus dem inneren Zirkel von Mozilla. Die halten das für „modern“ und alles was modern ist, ist notwendig. Kritik daran, wird verhöhnt und runtergespielt. In Anbetracht der Tatsache das nahezu alle Lücken im Thunderbird aber auch im Firefox durch „aktive“ Inhalte kommen, eine unverantwortliche Haltung. Aber in vielen Entwickler Communities wird das optische immer wichtiger.

  3. !!!TEXT-ONLY!!! Yeah! :)

    Tip: HTML ist auch nur Text.

    Und selbst 7bit ASCII wird heutzutage von irgendeiner Routine gerendert, die Bugs beinhalten kann, ausser Du sitzt an einer Text Console ohne GUI.

    Wer ist für schlechte OPSEC verantwortlich? Immer der vor dem Keyboard. Wenn Du Verschlüsselung brauchst, dann mach halt alles richtig. Niemand mit Verstand benutzt für verschlüsselte Mails einen Klickibunti Mailer. Wer das trotzdem tut, dem ist eh nicht zu helfen.

  4. Einfach ein ordentliches Betriebssystem verwenden, was nicht Tür und Fenster offen hat für Schadsoftware.
    Ich klicke im Internet alles an, öffne jede Seite, klicke auf alle Links, öffne jede E-Mail und hatte mit Linux seit über 20 Jahren keine Probleme.
    Es darf nicht in der Verantwortung des unbedarften Nutzers liegen sich um seine Sicherheit zu kümmern.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.