E-Mail-Verschlüsselung bleibt sicher
ID: 1611300
Angriff auf PGP- und S/MIME-Verschlüsselung läuft über E-Mail Clients
Hornetsecurity(firmenpresse) - Hannover, den 15. Mai 2018 – Am gestrigen Montag veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) ein Paper, das die Sicherheit der Verschlüsselungsstandards PGP und S/MIME infrage stellt und damit weltweites Aufsehen erregt. Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle, um verschlüsselte E-Mails durch den Mail-Client zu entschlüsseln und dem Angreifer zuzustellen. Die Angriffe sind technisch komplex und benötigen etliche Schritte.
Erste Voraussetzung für einen erfolgreichen Angriff: Die E-Mail muss bereits in verschlüsselter Form beim Angreifer vorliegen. Hierfür muss er die E-Mails auf dem Transportweg per Man-in-the-Middle-Attacke (MidM) abfangen oder einen Mailserver kompromittiert haben.
Anschließend könnten die Angreifer laut den Autoren des Papers zwei sich ähnelnde Angriffsmethoden anwenden, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln. Der erste Angriff ist relativ einfach auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt. Hierbei fügt der Angreifer einer verschlüsselten E-Mail weitere Teile hinzu und stellt diese dem Empfänger zu. Die dort entschlüsselten Inhalte werden anschließend automatisch an eine bestimmte Website übertragen.
Die zweite Weg zum Auslesen PGP- oder S/MIME-verschlüsselte E-Mails nutzt eine schon länger bekannte Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten. Hierbei werden bekannte Textanteile in verschlüsselten Nachrichten erkannt und sich anschließende Inhaltsblöcke überschrieben. Dabei kommt das bereits in der ersten Methode erwähnte Verfahren zum Einsatz, so dass beim Empfänger die verschlüsselte E-Mail entschlüsselt und an den Angreifer übertragen wird.
Bei beiden Angriffsmethoden werden jedoch die Verschlüsselungen via S/MIME und PGP selbst nicht gebrochen; vielmehr werden Schwachstellen in E-Mail-Clients für HTML-Mails ausgenutzt, um durch die Clients berechtigt entschlüsselte Nachrichten an die Angreifer weiterzuleiten und dadurch die Verschlüsselung zu umgehen.
„Die gestern verbreitete Darstellung, PGP und S/MIME seien nicht mehr sicher, ist barer Unsinn“, sagt Daniel Hofmann, Geschäftsführer bei Hornetsecurity. „Sie führt zur Verunsicherung der Anwender und läuft dadurch allen Bemühungen zuwider, die IT-Sicherheit durch konsequenten Einsatz von Verschlüsselung zu verbessern. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung kann ich nicht nachvollziehen.“
Auch das Bundesamt für Sicherheit in der Informationstechnik weist darauf hin, dass PGP und S/MIME weiterhin sicher eingesetzt werden können, wenn sie korrekt implementiert und sicher konfiguriert sind.
Die von Hornetsecurity verschlüsselten E-Mails sind per Design vor Angriffen dieser Art geschützt, da Hornetsecurity die für den Angriff vorausgesetzten unterschiedlichen Content-Types (Multipart/Mixed) gar nicht erst zulässt. Zudem benötigt der Verschlüsselungsservice keinerlei Client-Plugins: Die Ver- und Entschlüsselung erfolgt vollautomatisiert durch Hornetsecurity in der Cloud – es sind keine Installation, Wartung oder Nutzerinteraktion erforderlich – einfach sicher!
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Über Hornetsecurity:
Der führende deutsche Cloud-Security-Provider Hornetsecurity schützt die IT-Infrastruktur, Kommunikation und Daten von Unternehmen und Organisationen jeglicher Größenordnung. Seine Dienste erbringt der Sicherheits-Spezialist aus Hannover über redundante, gesicherte Rechenzentren in Deutschland und nach deutschem Datenschutzrecht. Das Lösungsportfolio beinhaltet Services in den Bereichen Mail Security, Web Security und File Security. Alle Services des Unternehmens sind in kurzer Zeit implementierbar und rund um die Uhr verfügbar. Bis Anfang 2015 firmierte Hornetsecurity unter dem Namen antispameurope. Zu den Kunden von Hornetsecurity zählen unter anderem KONICA MINOLTA, Bitburger Braugruppe, LVM Versicherung, DEKRA, Melitta und Otto Group.
Mehr Informationen finden Sie unter www.hornetsecurity.com.
Hornetsecurity
Christoph Maier
Am Listholze 78
30177 Hannover
Tel.: 0511 260 905-25
Fax: 0511 260 905-99
E-Mail: presse(at)hornetsecurity.com
PROFIL MARKETING OHG
Florian Riener
Public Relations
Tel. 0531 - 38733 - 18
E-Mail: f.riener(at)profil-marketing.com
Datum: 16.05.2018 - 11:29 Uhr
Sprache: Deutsch
News-ID 1611300
Anzahl Zeichen: 3644
Kontakt-Informationen:
Ansprechpartner: Florian Riener
Stadt:
Braunschweig
Telefon: 0531 387 33 18
Kategorie:
IT & Hardware & Software & TK
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 15.05.2018
Diese Pressemitteilung wurde bisher 938 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"E-Mail-Verschlüsselung bleibt sicher"
steht unter der journalistisch-redaktionellen Verantwortung von
Profil Marketing OHG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Gerade für Berufskraftfahrer ist eine zuverlässige Kommunikation während der Fahrt unerlässlich. Mit den neuen CB-Funkgeräten bietet Alan Electronics vielseitige Lösungen für unterschiedliche Anforderungen und Einsatzbereiche. Einfach und sicher verbunden: Midland 18 Das Midland 18 ist
InnoTrans 2024: in-tech stellt innovative Digitalisierungslösungen für den Schienenverkehr vor ...
Garching (27.08.2024) – Die Zukunft der digitalen Schiene steht im Fokus: in-tech zeigt auf der InnoTrans 2024 vom 24. bis 27. September in Berlin erneut sein umfassendes Know-how für die Digitalisierung des Schienenverkehrs. Von Systemtechnik, Digitalisierung, Safety und Security über ETCS-Nach
Sonnet bringt Thunderbolt-Power auf die IBC ...
Irvine, Kalifornien, im August 2024 – Kreative Profis finden am Stand von Sonnet Technologies zahlreiche Lösungen, mit denen sie ihre Thunderbolt-Computer optimal einsetzen können. So können sie in Amsterdam einen ersten Blick auf Neuheiten für Thunderbolt 5 werfen, z.B. auf die eGPU Breakaway
Weitere Mitteilungen von Profil Marketing OHG
World of Data 2026: MarTech-Fokus zeigt, wie AI, Daten und integrierte Plattformen Marketing wirksamer machen ...
München, 13. Mai 2026 - Mehr Kanäle, mehr Content, mehr Daten, aber weniger Zeit: Marketing steht 2026 unter Druck. Viele Teams reagieren mit immer neuen Tools. Der World of Data (WoD) am 11. Juni 2026 in München setzt hier anders an: Die These lautet, dass MarTech seinen Wert erst dann voll entf
Hermes Reply präsentiert "Brick Cognitive", ein agentenbasiertes Betriebssystem für die Fertigung ...
Hermes Reply, das auf digitale Transformation in der Fertigungsindustrie spezialisierte Unternehmen der Reply Gruppe, stellt "Brick Cognitive" vor: das agentenbasierte Betriebssystem integriert Künstliche Intelligenz direkt in industrielle Abläufe. Die Lösung erweitert die Next-Generati
HOPPE bietet eine digitale Inventarverwaltung, um Inventar nachvollziehbar zu verwalten ...
Die Vorteile der HOPPE Inventarsoftware für Unternehmen In vielen Unternehmen ist die Inventarverwaltung noch immer mit Excel-Listen, Papierdokumenten oder unübersichtlichen Tabellen organisiert. Das führt häufig zu Fehlern, unnötigem Aufwand und fehlender Transparenz. Die HOPPE Inventarsoft
NIS-2 trifft Lieferkette: Warum der Einkauf zur Compliance-Schwachstelle wird ...
Während die IT-Abteilungen deutscher Unternehmen unter Hochdruck an der Umsetzung der NIS-2-Richtlinie arbeiten, droht an anderer Stelle eine gefährliche Flanke offen zu bleiben: die Lieferkette. Aktuelle Beobachtungen aus der Prüfpraxis zeigen, dass viele Unternehmen ihre Lieferantenprüfung noc
KI gegen störende Reflexionen in Videodaten ...
Hamburg, 12.05.2026 In der Film-, Werbe- und VFX-Produktion entstehen z.B. auf lackierten Fahrzeugoberflächen, Glasfassaden oder glänzenden Baustoffen, Reflexionen, die einen hohen manuellen Nachbearbeitungsaufwand verursachen. Ziel des Innovationsprojekts "ReflectionAI" ist die Entwi
Wenn neue Kunden ausbleiben, wird die Website zum entscheidenden Faktor ...
Berlin - Viele Unternehmen spüren derzeit die wirtschaftliche Zurückhaltung im Markt deutlich. Kaufentscheidungen dauern länger, Interessenten vergleichen intensiver und neue Kunden zu gewinnen wird für viele Firmen spürbar schwieriger als noch vor wenigen Jahren. Gerade in wirtschaftlich un
Software Architecture Gathering 2026 - Call for Papers jetzt geöffnet ...
Die nächste Ausgabe des Software Architecture Gathering (SAG) findet vom 16. bis 19. November 2026 in Berlin statt. Veranstaltet vom iSAQB® in Kooperation mit heise conferences, bringt das Event die internationale Softwarearchitektur-Community zusammen und dient als Plattform für Wissensaustausch
Responsive Webdesign als Erfolgsfaktor für Unternehmen im Main-Kinzig-Kreis ...
Immer mehr Menschen nutzen vor allem Smartphones, um auf Unternehmenswebsites zuzugreifen. Eine optimale Darstellung auf allen Endgeräten ist daher längst kein Zusatz mehr, sondern ein entscheidender Erfolgsfaktor. Responsive Webdesign sorgt dafür, dass Websites auf jedem Bildschirm benutzerfreun
NIS-2 und sichere Lieferkette - Lieferantenaudit mit der GAP View Software ...
In der heutigen digitalen Wirtschaft sind Unternehmen und Behörden stark von IT-Lieferanten und -Dienstleistern abhängig. Je nach Umfang und Art der gelieferten Leistungen kann diese Abhängigkeit gravierende operative und rechtliche Risiken mit sich bringen. Die Behandlung dieser Risiken ist regu
Microsoft Project wird Teil moderner Power-Platform-Strategien durch TPG ProjectPowerPack ...
München, 12. Mai 2026 - Unternehmen, die ihr Projektmanagement modernisieren und gleichzeitig auf vertraute Microsoft-Werkzeuge setzen möchten, stehen vor einem wichtigen Wendepunkt: Microsoft Project Online wird zum 1. Oktober 2026 eingestellt. Mit dem neuen TPG ProjectPowerPack präsentiert TPG
