Die Meldung gehört eigentlich in die Kategorie „In China ist ein Sack Reis umgefallen„. Mail-Verschlüsselung ist zwar wichtig, aber derart wenig verbreitet, dass praktisch nur eine kleine Minderheit von diesem Problem betroffen ist. Forscher fanden heraus, dass die E-Mail Verschlüsselung mittels S/MIME und PGP nicht sicher ist. Sicherheitsprobleme haben heutzutage immer hashtagtaugliche Namen, dieses Mal: EFAIL.
Die Presseberichterstattung reicht von Katastrophe bis halb-so-wild. Daher einige Links für den Überblick:
- Heise – PGP und S/MIME: E-Mail-Verschlüsselung akut angreifbar
- Heise – PGP und S/MIME: So funktioniert Efail
- Golem – Angreifer können sich entschlüsselte E-Mails schicken lassen
- EFF – Attention PGP Users: New Vulnerabilities Require You To Take Action Now
Hinzu kommen noch viele mehr oder minder gut informierte Artikel in der Presse. ZEIT ONLINE, SPON, Süddeutsche – alle berichten darüber.
Einige Stimmen warnen auch vor übertriebener Panik. Gerne auch mit dem Hinweis, dass man doch seit Jahren vor HTML in E-Mails warnt.
Grundsätzlich ist das nicht falsch, es zeigt aber leider mal wieder, dass viele Sicherheitsexperten in einem Paralleluniversum leben. HTML ist in E-Mails heute außerhalb von Open Source-Mailinglisten weit verbreitet. Das Nachladen von externen Inhalten in der Regel voreingestellt. Die Sicherheitslücke ist deshalb real und eine Warnung nicht übertrieben.
Nun wird man abwarten müssen ob die E-Mail Programme und Protokolle entsprechend abgesichert werden. Diese Lücke hat leider das Potenzial die sowieso schon kaum verbreitete Mailverschlüsselung weiter zu diskreditieren.
Eine Übersicht der verwundbaren E-Mail Programme findet sich auf Seite 11 des Papers. Bezeichnend ist mal wieder, dass Thunderbird von allen Open Source-Programmen am verwundbarsten ist.
