DE: 0848 830 740   |   FR: 0848 830 741

Information zur E-Mail Schwachstelle («EFAIL»)

Wie aktuellen Medienberichten zu entnehmen ist, hat ein Forscherteam aufgezeigt, wie verschlüsselte E-Mails (S/MIME und OpenPGP ) aufgrund einer Schwachstelle in E-Mail Programmen gelesen werden können. Die Schwachstelle betrifft weder die Verschlüsselung selber noch die Mailserver von HIN, sondern die E-Mail Programme die allenfalls von Ihnen als Nutzer verwendet werden.

Wie wird die Schwachstelle (EFAIL) ausgenutzt? Um „EFAIL“ auszunutzen, muss:
  • ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben, um eine verschlüsselte Nachricht abfangen zu können.
  • die Ausführung von HTML-Code und insbesondere das Nachladen externer Inhalte im E-Mail Client aktiviert sein.
Es gibt zwei Angriffsvarianten:
  • Direct Exfiltration Angriff

    Hierbei handelt es sich um die einfachere Variante des Angriffs, bei welcher das Format der Mail komplett verändert wird. Dabei wird die verschlüsselte Nachricht in einen unverschlüsselten Link gepackt.
    HIN Kunden sind von diesem Problem via S/MIME nicht betroffen, da nur korrekt formatierte Mails entschlüsselt werden. In jedem Fall empfiehlt es sich jedoch, die Mail-Clients so zu konfigurieren, dass Links nicht automatisch nachgeladen werden.

  • CBC/CFB Gadget Angriff

    Dieser Angriff nutzt eine Designschwachstelle in der Verschlüsselungstechnologie aus. Der Link wird dabei im verschlüsselten Teil der Nachricht versteckt. Auf Basis von wiederauftauchenden technischen Textbausteinen kann ein Angreifer diese Manipulation durchführen. Weil es sich um generelles Problem im S/MIME-Standard handelt, ist eine Anpassung des Standards notwendig. Bereits heute kann der Fehler durch den Einsatz einer E-Mail Signatur verhindert werden.
     

    Ihr HIN Mail Gateway signiert ausgehende Mails und prüft die Signatur bei eingehenden Nachrichten. Aktuell werden nicht- oder ungültig signierte Mails vom HIN Mail Gateway entsprechend als unsicher markiert, aber noch nicht abgewiesen. HIN prüft aktuell, ob hier Massnahmen sinnvoll sind.

Das genaue Angriffsszenario wird von den Forschern auf der Webseite www.efail.de beschrieben.Wichtig: Die Schwachstelle betrifft weder die Verschlüsselung selber noch die Mailserver von HIN, sondern die E-Mail Programme die allenfalls von Ihnen als Nutzer verwendet werden.Um die Sicherheit beim Empfang von E-Mails weiterhin zu gewährleisten, müssen Sie folgendes sicherstellen:HIN empfiehlt grundsätzlich für mehr Sicherheit bei der E-Mail-Kommunikation auf die Darstellung und Erzeugung von E-Mails im HTML-Format zu verzichten. Insbesondere sollte die Ausführung aktiver Inhalte, also das Anzeigen von E-Mails im HTML-Format sowie das Nachladen externer Inhalte ausgeschaltet werden. So können Nutzerinnen und Nutzer ein Ausspähen des E-Mail-Klartexts über die „EFAIL“-Schwachstellen verhindern.Wie Sie bei gängigen E-Mail-Programmen das Nachladen externer Inhalte unterbinden können, erklären wir Ihnen hier: Was muss ein Kunde mit einem HIN Mail Gateway (MGW) sicherstellen?Institutionen mit einem MGW müssen sicherstellen, dass verschlüsselte E-Mails auch auf dem Transportweg zusätzlich gesichert sind. Hierfür ist der Einsatz von TLS zwingend.Einschätzung von HIN:  HIN teilt die Einschätzung anderer Sicherheitsexperten, wie beispielsweise des deutschen Bundesamt für Informatik. S/MIME kann weiterhin sicher eingesetzt werden. In erster Linie stehen die Hersteller von E-Mail Clients in der Pflicht.