{"id":5043,"date":"2018-05-16T12:51:07","date_gmt":"2018-05-16T10:51:07","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=5043"},"modified":"2026-03-18T11:24:05","modified_gmt":"2026-03-18T10:24:05","slug":"e-mail-verschluesselung-ist-sicher-efail-nutzt-schwachstellen-in-e-mail-clients","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/e-mail-verschluesselung-ist-sicher-efail-nutzt-schwachstellen-in-e-mail-clients\/","title":{"rendered":"E-Mail-Verschl\u00fcsselung ist sicher – Efail nutzt Schwachstellen in E-Mail-Clients"},"content":{"rendered":"

Sebastian Schinzel von der FH M\u00fcnster sowie sein Forscherteam von der Ruhr-Universit\u00e4t in Bochum sowie der KU Leuven haben die Sicherheit der E-Mail-Verschl\u00fcsselungsverfahren S\/MIME<\/a> und OpenPGP in Frage gestellt. Die aufgedeckte Sicherheitsl\u00fccke haben sie Efail getauft. Die Sicherheitsl\u00fccken betreffen jedoch nicht die Protokolle selbst, sondern eine bereits l\u00e4nger bekannte Schwachstelle in E-Mail-Clients. Das BSI sch\u00e4tzt die Lage so ein, dass beide Verschl\u00fcsselungsstandards weiterhin sicher eingesetzt werden k\u00f6nnen \u2013 vorausgesetzt, sie sind sicher konfiguriert und korrekt implementiert.<\/p>\n

Wie kann Efail ausgenutzt werden?<\/h3>\n

Voraussetzung f\u00fcr einen erfolgreichen Angriff ist, dass der Angreifer auf die verschl\u00fcsselten E-Mails zugreifen kann. Dies kann durch Abfangen der E-Mail w\u00e4hrend des Transports oder auch auf einem E-Mail-Server passieren. Auch ist es m\u00f6glich, dass Angreifer auf ein E-Mail-Backup zugreifen und hier die Efail-Schwachstelle ausnutzt. Der Angreifer manipuliert die verschl\u00fcsselte E-Mail mithilfe aktiver Inhalte, um so den Inhalt der E-Mail im Klartext einsehen zu k\u00f6nnen. Ist die E-Mail durch den Empf\u00e4nger entschl\u00fcsselt, so werden eben diese aktiven Inhalte ausgef\u00fchrt. Die E-Mail wird im Klartext an den Server des Angreifers \u00fcbertragen.<\/p>\n

Das Forscherteam beschreibt das Angriffsszenario konkret auf der Website efail.de<\/a>. Auch heise Security<\/a> beschreibt ein Angriffsszenario gut nachvollziehbar.<\/p>\n

Ist Ende-zu-Ende-Verschl\u00fcsselung nun unsicher?<\/h3>\n

Die Efail-Schwachstellen erlauben es Angreifern, mit OpenPGP oder S\/MIME verschl\u00fcsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschl\u00fcsselung zu einer vom Angreifer kontrollierten Adresse versandt wird. Nach wie vor ist jedoch die Ende-zu-Ende-Verschl\u00fcsselung sicher, wenn Sie die Konfigurationsempfehlungen von unten beachten. Letztlich zeigen die Schwachstellen, dass E-Mail-Sicherheit auch von den genutzten Clients und deren Konfiguration abh\u00e4ngt.<\/p>\n

Und was ist mit der Transportverschl\u00fcsselung?<\/h3>\n

Die Transportverschl\u00fcsselung wird von vielen E-Mail-Providern angeboten, darunter etwa GMX, Web.de oder Hotmail. Sicher \u00fcbertragen wird die E-Mail zwischen den Servern der entsprechenden Provider \u2013 dieser \u00dcbertragungsweg ist verschl\u00fcsselt. Jedoch liegen die Nachrichten ohne Ende-zu-Ende-Verschl\u00fcsselung in der Zwischenzeit im Klartext vor. Damit bildet die Transportverschl\u00fcsselung quasi eine zweite Schutzschicht, die neben der Ende-zu-Ende-Verschl\u00fcsselung Einsatz finden sollte. Nutzen Sie die Transportverschl\u00fcsselung bitte weiterhin, denn dieses Verfahren ist nicht von Efail betroffen. Sie finden auf der Site efail.de auch eine \u00dcbersicht der g\u00e4ngigen Webmail- und E-Mail-Anwendungen, die OpenPGP oder S\/MIME unterst\u00fctzen und deshalb betroffen sein k\u00f6nnen.<\/p>\n

Wie kann man sich vor Efail sch\u00fctzen?<\/h3>\n

In den kommenden Tagen und Wochen werden Sicherheitsupdates von verschiedenen Anbietern von E-Mail-Programmen erwartet, die vor einem m\u00f6glichen Angriff sch\u00fctzen sollen. Nutzen Sie verschl\u00fcsselte E-Mails, installieren Sie ein solches Sicherheitsupdate bitte umgehend. Dasselbe gilt f\u00fcr Plug-in-Updates \u2013 bitte spielen Sie diese umgehend ein.<\/p>\n

Verzichten Sie f\u00fcr mehr Sicherheit auf die HTML-Darstellung Ihrer E-Mails. Schalten Sie insbesondere das Ausf\u00fchren aktiver Inhalte aus \u2013 hei\u00dft: das Darstellen der E-Mails im HTLM-Format und das Nachladen von externen Inhalten sollten deaktiviert werden! So verhindern Sie das Aussp\u00e4hen Ihrer E-Mails im Klartext \u00fcber die Efail-Schwachstelle. Bietet Ihr E-Mail-Provider diese Optionen auch in der Webmail-Anwendung, ergreifen Sie auch hier entsprechende Ma\u00dfnahmen. Wie Sie das Nachladen von externen Inhalten in den g\u00e4ngigen E-Mail-Clients deaktivieren k\u00f6nnen, erfahren Sie beim jeweiligen Hersteller:<\/p>\n