{"id":6266,"date":"2018-09-19T18:56:02","date_gmt":"2018-09-19T16:56:02","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=6266"},"modified":"2025-12-17T13:59:21","modified_gmt":"2025-12-17T12:59:21","slug":"sicherheit-nach-efail-wie-ihre-privaten-nachrichten-weiterhin-privat-bleiben","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/sicherheit-nach-efail-wie-ihre-privaten-nachrichten-weiterhin-privat-bleiben\/","title":{"rendered":"Sicherheit nach Efail: Wie Ihre privaten Nachrichten weiterhin privat bleiben"},"content":{"rendered":"

Nach Efail fragen sich noch immer viele User, wie private Nachrichten wirklich privat bleiben. Wie Sie weiterhin verschl\u00fcsselte E-Mails sicher versenden und lesen, erkl\u00e4rt Ihnen dieser Artikel.<\/p>\n

Schwachstelle Efail betrifft viele E-Mail-Programme<\/h2>\n

Die als Efail bekanntgewordene Sicherheitsl\u00fccke, \u00fcber die wir im Mai bereits berichtet<\/a> haben, jagt auch heute noch einigen Usern einen Schrecken ein. Viele Anwender sind verunsichert und fragen sich, wie sie nach wie vor verschl\u00fcsselte E-Mails sicher versenden k\u00f6nnen. Unter bestimmten Umst\u00e4nden ist es Angreifern m\u00f6glich, verschl\u00fcsselte E-Mails abzufragen und sogar zu manipulieren. Betroffen sind die g\u00e4ngigen E-Mail-Programme, die in der Lage sind, HTML-E-Mails zu empfangen und darzustellen. Es gibt jedoch mehrere M\u00f6glichkeiten, um sich vor solchen Angriffen zu sch\u00fctzen.<\/p>\n

In einem ersten Schritt sollte das Anzeigen externer Bilder in den E-Mails unterbunden werden. Dies dient ohnehin dem Schutz der Privatsph\u00e4re \u2013 ganz besonders bei unverschl\u00fcsselten E-Mails. Weiter sollte die HTML-Anzeige von E-Mails deaktiviert werden. Das oftmals voreingestellte automatische Entschl\u00fcsseln von E-Mails sowie das automatisierte Nachladen von Bildern sollte ebenfalls deaktiviert werden. Wichtig: Deaktivieren Sie keinesfalls die Verschl\u00fcsselung, denn nicht zu verschl\u00fcsseln, kann keine L\u00f6sung im Sinne der Sicherheit sein!<\/p>\n

E-Mail-Zertifikat sicher einsetzen: Programme aktualisieren<\/h3>\n

Ein weiterer Schritt f\u00fcr den sicheren Einsatz Ihres S\/MIME-Zertifikats ist es, sowohl Ihr E-Mail-Programm als auch alle verwendeten Plug-ins aktuell zu halten. Die Efail-Entdecker zeigten, dass s\u00e4mtliche Programme, die sowohl HTML als auch den Verschl\u00fcsselungsstandard S\/MIME unterst\u00fctzen, betroffen sind. Wer den Standard PGP zum Verschl\u00fcsseln von E-Mails nutzt und Thunderbird (mit Enigmail), Apple Mail, Outlook 2007 oder Airmail nutzt, sollte ebenfalls vorsichtig sein und auf aktualisierte Versionen setzen.<\/p>\n

Im Heise-Forum<\/a> \u00e4u\u00dferte sich der Thunderbird-Entwickler Ben Bucksch. Er empfiehlt, \u201eVereinfachtes HTML\u201c zu aktivieren. Denn in diesem Modus werden URLs sowie aktive HTML-Elemente aus den E-Mails herausgefiltert. Dieser Schutz sei wirksamer und brauchbarer als Plaintext.<\/p>\n

Externe Entschl\u00fcsselung am sichersten<\/h3>\n

Verschl\u00fcsselte E-Mails sollten nicht im E-Mail-Client entschl\u00fcsselt werden. Die Efail-Entdecker empfehlen<\/a>, den Ciphertext aus der E-Mail zu exportieren, um ihn in einem separaten Programm zu entschl\u00fcsseln. So k\u00f6nnten weder anf\u00e4llige Mailprogramme noch Plug-ins Inhalte aus der E-Mail dem Angreifer weitergeben. Zugegeben: Dieser Weg ist sehr umst\u00e4ndlich und f\u00fcr die meisten User nicht sonderlich praktikabel.<\/p>\n

F\u00fcr das Entschl\u00fcsseln im E-Mail-Programm folgen Sie idealerweise den oben erw\u00e4hnten Hinweisen: Deaktivieren Sie den Empfang von HTML-Mails und lassen Sie sich die Nachrichten als Plaintext darstellen. Dieses Vorgehen kann zwar nicht die Schwachstellen stopfen, jedoch verhindert es die Angriffe.<\/p>\n

EFF empfiehlt Deinstallation von E-Mail-Verschl\u00fcsselung<\/h3>\n

F\u00fcr viele \u00fcberraschend, hatte die Electronic Frontier Foundation (EFF) empfohlen, die E-Mail-Verschl\u00fcsselung zu deinstallieren. Diese Empfehlung hatte f\u00fcr den Moment ihre Berechtigung. Denn zum Zeitpunkt dieser Empfehlung existierten noch keine Patches, die das Problem beheben. Au\u00dferdem hat Efail auch das Entschl\u00fcsseln von E-Mails aus der Vergangenheit erlaubt. Wird vorl\u00e4ufig die E-Mail-Verschl\u00fcsselung deaktiviert, k\u00f6nnen die Inhalte der Nachrichten aus der Vergangenheit gesch\u00fctzt werden.<\/p>\n

Eine Dauerl\u00f6sung kann es jedoch nicht sein, auf die E-Mail-Verschl\u00fcsselung zu verzichten. Sie w\u00fcrden sicherlich auch nicht Ihre Haust\u00fcre offen stehen lassen, nur weil es theoretisch m\u00f6glich ist, Ihren Hausschl\u00fcssel nachzumachen. Es ist nachvollziehbar, wie es zu dieser Empfehlung der EFF kam. Sicherlich w\u00e4re diese anders ausgefallen, wenn rechtzeitig entsprechende Updates bereitgestanden h\u00e4tten.<\/p>\n

Auch nach der Efail-Schwachstelle gilt die E-Mail-Verschl\u00fcsselung via OpenPGP oder S\/MIME nicht als gebrochen. Die Sicherheit und Vertraulichkeit k\u00f6nnen durch eine nicht ausgereifte Implementierung bzw. Konfiguration geschw\u00e4cht werden. Halten Sie sich jedoch an die Empfehlungen, k\u00f6nnen Sie weiterhin sichere E-Mails versenden und empfangen.<\/p>\n