Signaturen in E-Mails gefälscht

Forscher der FH Münster und der Ruhr-Universität Bochum finden Sicherheitslücken


Münster/Steinfurt (7. Mai 2019). Wer auf sichere E-Mail-Kommunikation setzt, schickt seine Nachricht nicht einfach so durchs World Wide Web. Denn das wäre ungefähr so vertraulich, wie eine Postkarte zu versenden. Damit aus ihr wirklich ein Brief in einem verschlossenen Umschlag wird, gibt es zwei Maßnahmen: die Verschlüsselung, die sich wie eine Extraschicht über die Nachricht legt und dafür sorgt, dass Angreifer Mails selbst dann nicht lesen können, wenn sie Zugriff auf das E-Mail-Konto ihres Opfers haben; und die Signatur, eine digitale Unterschrift, mit der garantiert werden kann, dass die Mail unverändert ist und auch wirklich von der Person stammt, die sie geschickt hat. In solchen Signaturen haben Wissenschaftler der FH Münster, der Ruhr-Universität Bochum (RUB) und ein freiberuflicher Sicherheitsforscher Sicherheitslücken gefunden – genau ein Jahr, nachdem sie bereits verschlüsselte E-Mails geknackt haben.

„Wir konnten in nahezu allen Programmen Mails in falschem Namen verschicken“, sagt Prof. Dr. Sebastian Schinzel, IT-Sicherheitsexperte an der FH Münster. Außerdem konnte das Team Mailprogramme austricksen und Signaturen manipulieren oder fälschen, nicht signierte Nachrichten wurden beispielsweise plötzlich als signiert bei Empfängern angezeigt.

Konzentriert hatte sich das siebenköpfige Team auf die Sicherheitsstandards OpenPGP, das vor allem von Privatpersonen sowie Journalisten und Aktivisten verwendet wird, und S/MIME, das traditionell Unternehmen und Einrichtungen bedient. Der Großteil gängiger E-Mail-Clients greift auf diese beiden Standards zurück. Die Ergebnisse wird das Team beim nächsten USENIX Security Symposium, einer der weltweit renommiertesten IT-Sicherheitskonferenzen, Mitte September in Santa Clara, USA, detailliert vorstellen.

Was bedeuten die Entdeckungen für Privatleute und Unternehmen? „Die Software immer auf dem aktuellsten Stand halten“, erklärt Damian Poddebniak, der in diesem Themenbereich an der FH Münster und der RUB promoviert. Aber er sagt auch, dass viele Leute privat eh keine Signaturen verwenden. Unternehmen hingegen schon, häufig zum Beispiel in der Automobilindustrie und unter Zulieferern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Entwickler gängiger E-Mail-Programme über die Schwachstellen informiert, noch bevor diese veröffentlicht wurden. So konnten die Entwickler den Großteil der Sicherheitslücken bereits schließen. Das reduziert die Zeitspanne, in der Angreifer neue Schwachstellen ausnutzen könnten. „Am sichersten ist es aber nach wie vor, seine Mails digital zu signieren und zusätzlich zu verschlüsseln“, erklärt Schinzel.

Diese Möglichkeiten haben auch alle, die an der FH Münster arbeiten und studieren. Kanzler Jens Andreas Meinen setzt sich vehement dafür ein, dass alle Mitarbeiterinnen und Mitarbeiter die entsprechenden Zertifikate für die beiden Sicherheitsmethoden auf ihren Computern gespeichert haben und sie somit einbinden können. „Wir empfehlen allen, die Signatur im E-Mail-Programm standardmäßig einzuschalten“, erklärt Markus Gleis, Datenschutzbeauftragter für technische Aspekte an der FH Münster. „Außerdem sollten E-Mails mit sensiblen und personenbezogenen Daten nur verschlüsselt versendet werden.“

 


Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Weitere Informationen und die Möglichkeit zum Widerruf finden Sie in unserer Datenschutzerklärung.
Seite drucken