EFAIL oder Probleme mit E-Mailverschlüsselung

Mitte des Monats kursierte die Meldung, betitelt mit EFAIL, dass es
schwerwiegende Sicherheitsprobleme bei der E-Mailverschlüsselung mit
PGP/GnuPG/GPG bzw. S/MIME gibt.

Manche Websites gingen sogar so weit zu behaupten, E-Mailverschlüsselung
sei geknackt und per se nicht mehr sicher. Wir möchten hier ein paar
Infos und ein paar Klarstellungen zu EFAIL geben. Wir hoffen, dass wir
der aus Sensationsheischerei und Missinterpretationen gespeisten
Verunsicherung vieler Nutzer_innen damit entgegenwirken können.

1) Entgegen mancher Behauptungen bzw. Interpretationen ist die
Verschlüsselung von GPG/GnuPG/PGP durch EFAIL nicht geknackt!

2) Das Problem betrifft vielmehr primär E-Mailprogramme [1], die
GPG/GnuPG/PGP-Mails ver- und entschlüsseln. Unter bestimmten Umständen
können Angreifer_innen (verschlüsselte) E-Mails modifizieren, die auf
bzw. von dem Computer entschlüsselt und anschließend an die
Angreifer_innen gesendet werden.

3) Der Angriff funktioniert nur, wenn HTML-Mails angezeigt werden.

4) HTML-Mails sind mehr kleine Webseiten als die ursprüngliche rein
textbasierte E-Mail. In diese kleinen Webseiten können beispielsweise
Bilder intergriert werden, Text groß, klein oder farbig dargestellt werden.

5) HTML-Mails waren aus einer Sicherheitsperspektive noch nie eine gute
Idee: Immer wieder können Sicherheitslücken via HTML-Mails in
E-Mail-Programmen ausgenutzt werden. Dazu kommen sogenannte
Tracking-Pixel: Kleine Bilder die einen individuellen Namen pro E-Mail
haben z.B. tracking35847584858.jpg – wird dieses Bild heruntergeladen,
weiß die Versender_in, dass sie von der Empfänger_in geöffnet wurde.

Was können Nutzer_innen jetzt tun?

Wir empfehlen grundsätzlich HTML-Mails zu deaktivieren – auch wenn ihr
kein GPG/GnuPG/PGP nutzt. Manche (Werbe)Mails zeigen dann statt dem
Klicki-Bunti-Inhalt einen Link zu einer Webseite (die ihr dann im
Browser öffnen könnt) oder – selten, aber kommt vor – schlicht gar
nichts an. Die meisten HTML-Mails werden sowohl als HTML-Mail, als auch
als reiner Text versendet. Durch das Deaktivieren von HTML-Mails, wird
nur noch reiner Text Text angezeigt.

Wie deaktiviere ich HTML-Mails?

Webmail
* Wir haben in unserem Webmail HTML-Mails Standardmäßig deaktiviert –
sofern er nicht individuell wieder eingeschalten wurde.
* Da wir im Webmail kein GPG/GnuPG/GPG anbieten, kann man dich damit so
oder so nicht via EFAIL angreifen.

Thunderbird
1) für das Lesen von Mails über „Ansicht“ > „Nachrichteninhalt“ >
„reiner Text“
2) für das Verfassen von Mails über die Einstellungen des jeweiligen
Mailkontos unter „Verfassen und Adressieren“ > den Haken bei
„Nachrichten im HTML Format versenden“ entfernen.
3) das Laden externer Inhalte in Nachrichten deaktivieren:
„Einstellungen von Thunderbird“ > „Datenschutz“ > entsprechendes Häkchen
entfernen.

→ Wir empfehlen in diesem Zusammenhang für Enigmail und Thunderbird (und
auch grundsätzlich immer) die aktuellen Updates zu installieren.

Outlook, Apple Mail, Mailprogramm XY
* Suche bitte im Internet nach den nötigen Einstellungen und ob sie auch
wirksam schützen.
* Wir raten dazu ausschließlich freie Software wie Thunderbird zu verwenden.

Weitere Infos zum Thema:
https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4050153.html
https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html

[1] Ein ähnliches Szenario ist auch bei PDF-Dokumenten denkbar.
PDF-Dokumente können auch kleine Programme enthalten, die man dazu
missbrauchen kann, um abgefangene E-Mails von die entschlüsseln zu
lassen und anschließend an die Angreifer_in zu senden. Es macht daher
Sinn PDF-Viewer zu verwenden, die keine eingebettete Programme anzeigen
können. Z.B. Evince.