{"id":7046,"date":"2019-07-02T15:31:59","date_gmt":"2019-07-02T13:31:59","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7046"},"modified":"2025-12-09T13:54:17","modified_gmt":"2025-12-09T12:54:17","slug":"sichere-e-mail-kommunikation-umgang-mit-efail","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/sichere-e-mail-kommunikation-umgang-mit-efail\/","title":{"rendered":"Sichere E-Mail-Kommunikation: Umgang mit Efail"},"content":{"rendered":"

Im Jahr 2018 kam die Nachricht auf, dass mit der Sicherheitsl\u00fccke Efail die sichere E-Mail-Kommunikation gef\u00e4hrdet sei. Nicht nur die Protokolle S\/MIME und PGP waren betroffen, sondern auch bereits l\u00e4nger bestehende Schwachstellen in E-Mail-Clients und Plugins; wir berichteten<\/a>. Heute schauen wir uns an, was sich getan hat, um die Sicherheitsrisiken zu minimieren.<\/p>\n

Efail: Im Kampf gegen die E-Mail-Manipulation<\/h2>\n

Efail ist bereits eine Zeitlang bekannt \u2013 nach wie vor wird versucht, dass diese entdeckte Sicherheitsl\u00fccke die Verschl\u00fcsselung von E-Mails nicht mehr beeintr\u00e4chtigt. Zugegeben: Viele h\u00e4tten sicherlich mehr erwartet als das, was bislang passiert ist. Trotzdem gibt es neue Aktivit\u00e4ten im Zusammenhang mit Efail:<\/p>\n

S\/MIME Mail-Update auf Version 4<\/h3>\n

Seit Bekanntwerden der Sicherheitsl\u00fccke Efail wurde kontinuierlich am S\/MIME-Standard gearbeitet, um die Risiken zu minimieren. Der E-Mail-Zertifikat<\/a>-Standard wurde auf Version 4 aktualisiert. Die IETF macht im RFC 8551<\/a> sogar auf Efail aufmerksam und empfiehlt, auf AES-GCM zu migrieren. Weiter soll der entschl\u00fcsselte Inhalt vor dem Abschluss einer Integrit\u00e4tspr\u00fcfung nicht bearbeitet werden.<\/p>\n

Sichere E-Mail-Kommunikation \u2013 Vorsicht bei der Einstellung von PGP-Mail<\/h3>\n

Der OpenPGP-Standard sieht mit \u201eModification Detection Code\u201c (MDC) ein Verfahren vor, um Nachrichtenmanipulationen zu verhindern. Mit SHA-1 wird ein Hash der Nachricht erstellt, um ihn anschlie\u00dfend verschl\u00fcsselt an die Nachricht anzuh\u00e4ngen. Da die Verwendung momentan noch optional ist, ist die Sicherheit nur geringf\u00fcgig h\u00f6her, jedoch stellt dieses Verfahren definitiv einen Vorteil dar. In MDC selbst sind bisher keine Sicherheitsl\u00fccken bekannt, jedoch f\u00e4llt die Verwendung der seit langem als unsicher eingestuften Hashfunktion SHA-1 negativ ins Auge.<\/p>\n

Eine sichere Implementierung des Standards ist letztlich nur m\u00f6glich, wenn man ihn unvollst\u00e4ndig implementiert und bei etwaigen Fehlern sehr streng reagiert. Dabei d\u00fcrfen Nachrichten mit MDC-Fehlern gar nicht angezeigt werden. Weiter d\u00fcrfen Datenpakete ohne MDC keineswegs unterst\u00fctzt werden. G\u00e4ngige Plugins setzen dies bereits um, dennoch ist beim Installieren der PGP-Plugins Vorsicht geboten.<\/p>\n

E-Mail-Client Thunderbird ist sicher dank Aktualisierungen<\/h3>\n

Als die Sicherheitsl\u00fccke Efail bekannt wurde, wurde gemunkelt, ob sie vorrangig die E-Mail-Clients oder auch die Protokolle selbst betrifft. W\u00e4ren es nur die Clients gewesen, h\u00e4tte sich das Problem durch Updates schon erledigen k\u00f6nnen. Dennoch war es wichtig, dass die Client-Entwickler z\u00fcgig reagieren.<\/p>\n

Und so haben die Entwickler aus dem Hause Mozilla zeitnah diverse Bugs im hauseigenen E-Mail-Client Thunderbird behoben. Schon im Mai wurde ein Update auf die damals aktuelle Version 52.8.0 empfohlen. Mit dieser Version war die Exfiltration der E-Mails durch das Nachladen von Inhalten oder Formularen in HTML-Mails nicht mehr m\u00f6glich. Somit ist davon auszugehen, dass die aktuelle Client-Version \u2013 auch in Verbindung mit dem beliebten Enigmail-Plugin \u2013 sicher ist.<\/p>\n

Web-Mail-Dienste weniger betroffen durch Efail<\/h3>\n

Viele \u00f6ffentliche Webmail-Clients waren und sind gegen die L\u00fccke gefeit \u2013 insbesondere zusammen mit dem Browser-Plugin Mailvelope f\u00fcr die PGP-Verschl\u00fcsselung. Auf Anfrage der Heise-Redaktion<\/a> erkl\u00e4rten Web.de und GMX, dass die hauseigene PGP-Infrastruktur sicher sei – sowohl im Browser als auch in den Android- und iOS-Apps.<\/p>\n

Eigene E-Mail-Sicherheit im Griff haben<\/h2>\n

Gegen Efail wird also weiterhin vorgegangen \u2013 auch wenn die Risiken f\u00fcr eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden konnten. Um sich und Ihre E-Mails zu sch\u00fctzen, k\u00f6nnen Sie die folgenden Tipps anwenden. Beachten Sie auch, dass es grunds\u00e4tzlich mit einem h\u00f6heren Risiko verbunden ist, E-Mails im HTML-Format anzeigen zu lassen \u2013 auch wenn sie verschl\u00fcsselt sind. Achten Sie beim Verwenden Ihrer E-Mails-Clients und -Apps bitte auf folgendes:<\/p>\n