:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Verschlüsselte E-Mails angreifbar Efail-Angriff auf PGP und S/MIME verschlüsselte Mails
Die Implementierung der die beiden bekanntesten E-Mail-Verschlüsselungsverfahren OpenPGP und S/MIME ist bei vielen E-Mail-Programmen angreifbar. Das hat jetzt ein internationales Forscherteam herausgefunden. Der Angriff, den die Forscher Efail tauften, war für S/MIME bei 25 von 35 getesteten E-Mail-Programmen und für OpenPGP bei 10 von 28 getesteten Programmen erfolgreich.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Der Angriff auf S/MIME und OpenPGP mit der Bezeichnung Efail war bei 25 von 35 überprüften E-Mail-Programmen für S/MIME und bei 10 von 28 getesteten Programmen für OpenPGP erfolgreich, betonten die Forscher der Fachhochschule (FH) Münster, des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum (RUB) und der belgischen Katholieke Universiteit Leuven. Welche Programme von welcher Angriffsvariante auf S/MIME bzw. PGP betroffen sind sehen Sie in den Abbildungen in der Bildergalerie. Wichtig: Bei dem Angriff wurde nicht die Verschlüsselung an sich gehackt, sondern der Umgang mit den verschlüsselten und entschlüsselten Daten manipuliert. Der Fehler liegt nicht am Algorithmus selbst, sondern im Umgang der E-Mail-Programme mit den Algorithmen. Das Ergebnis ist aber das Gleiche: Verschlüsselte E-Mails lassen sich von Angreifern unter Umständen lesen.
Inzwischen haben die Softwarehersteller, die durch das Forscherteam zuvor informiert wurden, die verwendeten Sicherheitslücken geschlossen. Das ändert aber nichts daran, dass die kryptografischen Verfahren angreifbar und damit unsicher sind. Zukünftige Angriffe sind zu erwarten.
:quality(80)/images.vogel.de/vogelonline/bdb/1398800/1398821/original.jpg "Verwundbarkeit verschiedener E-Mail-Programme für die Datenexfiltration bei S/MIME und bei PGP-Verschlüsselung mit unterschiedlichen Schutzfunktionen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1398800/1398819/original.jpg "Angriffe auf S/MIME-Clients.")
:quality(80)/images.vogel.de/vogelonline/bdb/1398800/1398820/original.jpg "Angriffe auf PGP-Clients.")
:quality(80)/images.vogel.de/vogelonline/bdb/1398800/1398822/original.jpg "Direkte Datenexfiltration möglich.")
Realistische Angriffe und neue Angriffsmethoden
Damit die Angriffe erfolgreich ablaufen, muss im E-Mail-Programm die Darstellung von HTML-E-Mails und das Nachladen von Daten aus dem Web aktiviert sein. Das ist in den meisten Fällen aber üblich. Außerdem benötigen Angreifer Zugriff auf den Ciphertext, der nach der Verschlüsselung einer E-Mail durch das E-Mail-Programm erstellt wird.
„Dieses Szenario ist nach den Snowden-Enthüllungen und zahllosen gehackten Mailservern ausgesprochen realistisch“ und „E-Mail ist kein sicheres Kommunikationsmedium mehr“, betont Prof. Dr. Sebastian Schinzel vom Fachbereich Elektrotechnik und Informatik der FH Münster.
Die Forscher haben eigene Befehle mit Schadsoftware in verschlüsselter Form der E-Mail hinzugefügt. Sobald der Empfänger die verschlüsselte E-Mail erhält und zum Lesen entschlüsselt, wird der hinzugefügte Programmcode aktiv. Das Mail-Programm des Empfängers baut über das Internet eine Verbindung zum Angreifer auf. Kommunikationsvorgänge werden beim Lesen von E-Mails ohnehin ständig aufgebaut, da Bilder und andere Objekte nachgeladen werden müssen.
Bei dem Angriff lädt die Kommunikationsverbindung aber keine Objekte oder Bilder, sondern überträgt die verschlüsselte E-Mail zum Angreifer. Dieser kann die E-Mail dann ungestört und unbemerkt lesen. Die Forscher nennen diese Angriffe „Exfiltration with Malleability Gadgets“. Dabei ersteht der Eindruck, dass das E-Mail-Programm Daten aus der E-Mail nachlädt. Stattdessen werden von den Angreifern definierte Webseiten geladen, und der E-Mail-Text der entschlüsselten E-Mail übertragen.
Das steckt hinter den Angriffen
S/MIME (Secure/Multipurpose Internet Mail Extensions) und OpenPGP sind seit den 1990er-Jahren im Einsatz. Unternehmen nutzen häufig S/MIME, wobei OpenPGP vor allem von Privatpersonen, Journalisten und Aktivisten verwendet wird. S/MIME ist zum Beispiel in Office 365 und Microsoft Exchange Server integriert. Das Problem liegt darin, dass die verwendete Kryptografie seit den 1990er-Jahren nahezu unverändert ist. Geht es nach den Forschern ist S/MIME in der aktuellen Version vollkommen untauglich für eine sichere Kommunikation. OpenPGP kann generell sicher konfiguriert werden. Allerdings nutzen die meisten Anwender den Verschlüsselungsstandard nicht richtig.
Vorstellung auf Konferenzen
Der erfolgreiche Angriff wird Thema verschiedener Konferenzen sein: Am 17. und 18. Mai 2018 wird auf der Ruhrsec genauer auf die Angriffe eingegangen. Im Sommer zeigen die Forscher beim Usenix Security Symposium wie sie vorgegangen sind. Die Veranstaltung findet vom 15. bis zum 17. August 2018 in Baltimore, USA, statt.
Kommentare zu den Efail-Schwachstellen
Bundesamt für Sicherheit in der Informationstechnik (BSI): Die E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME können nach Einschätzung des BSI weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden. Diese Meinung steht zumindest bei S/MIME im Widerspruch zur Aussage von Prof. Schwenk, dass der aktuelle Standard untauglich für die sichere Kommunikation ist. Das BSI ist seit November 2017 durch das Forscherteam der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) in den Coordinated Vulnerability Disclosure-Prozess eingebunden worden.
BSI-Präsident Arne Schönbohm betont: „Sichere verschlüsselte E-Mail-Kommunikation bleibt ein wichtiges und geeignetes Mittel zur Erhöhung der Informationssicherheit. Die nun entdeckten Schwachstellen lassen sich zunächst durch Patches und insbesondere durch angepasstes Nutzerverhalten schließen. Dennoch wird langfristig eine Anpassung der OpenPGP- und S/MIME-Standards nötig sein. Das BSI als nationale Cyber-Sicherheitsbehörde hat dazu seine Unterstützung angeboten. Am Ziel, Deutschland zum Verschlüsselungsstandort Nummer 1 zu machen, halten wir ausdrücklich fest. Der Ausbau des BSI als nationale Cyber-Sicherheitsbehörde und zentrales Kompetenzzentrum für Informationssicherheit, wie ihn die Bundesregierung vorgesehen hat, ist Voraussetzung dafür, dass wir uns im Bereich der Verschlüsselung noch stärker einbringen können“.
eco – Verband der Internetwirtschaft e. V.: Die Experten vom Internetverband eco empfehlen Unternehmen trotz der jetzt aufgedeckten Sicherheitslücke weiterhin E-Mails verschlüsselt zu versenden. „Keine Verschlüsselung ist auch keine Lösung, sondern erhöht das Risiko“, sagt Norbert Pohlmann, Vorstand des eco – Verband der Internetwirtschaft e. V. und Professor am Institut für Internet-Sicherheit - if(is) an der Westfälischen Hochschule, Gelsenkirchen. „Man soll die Probleme nicht kleinreden, aber um beispielsweise Patentgeheimnisse oder personenbezogene Daten zu schützen, bleibt Verschlüsselung alternativlos.“
TeleTrusT - Bundesverband IT-Sicherheit e.V.: „Die Darstellung, PGP und S/MIME seien nicht mehr sicher, erweist der IT-Sicherheit einen Bärendienst“, sagt Oliver Dehning, Leiter der TeleTrusT-AG Cloud Security. „Sie läuft allen Bemühungen zuwider, die Sicherheit des Kommunikationsmittels E-Mail zu erhöhen.“
(ID:45300575)
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947163/original.jpg "E-Mail-Verschlüsselung birgt ein Problem für die IT-Sicherheit: Ist der Inhalt einer Mail korrekt verschlüsselt, ist er nicht nur für Dritte, sondern auch für Sicherheitslösungen nicht mehr lesbar. (sdecoret)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883403/original.jpg "Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern. (natali_mis - stock.adobe.com)")