Verschlüsselung in Firmennetzen ausgehebelt

Die Verschlüsselung von E-Mail in Firmennetzen läuft ins Leere, wenn sie in einer Umgebung mit Microsofts Exchange/Outlook 9x/200x stattfindet. In einer POP3/IMAP4- Umgebung ist dies nicht der Fall. Wie Microsoft gegenüber heise online bestätigte, werden mit Krypto-Plug-ins verschlüsselte Dateianhänge zwischen dem Client und dem Server unverschlüsselt übertragen, selbst wenn im Plug-in die Verschlüsselung aktiviert ist.

Das Problem besteht darin, dass ein Datei-Anhang über das RPC-Protokoll (Remote Procedure Call) sofort an den Server übertragen wird, sobald der Nutzer eine vertrauliche E-Mail erstellt und eine Datei angehängt hat -- unabhängig davon, ob das Plug-In für die Verschlüsselung aktiviert ist. Auch die Option innerhalb des E-Mail-Programms Outlook "Save Drafts" hat darauf keinen Einfluss. Stellt der Nutzer die E-Mail fertig und drückt den Sende-Knopf, aktiviert Outlook zwar wunschgemäß das Plug-in und die Mail samt Anhang wird verschlüsselt. Doch zuvor wurde der unverschlüsselte Anhang bereits übermittelt. Entdeckt werden kann das Problem mit Hilfe eines Netzwerk-Sniffers.

Die Aktivierung der RPC-Standardverschlüsselung wäre der einzige Schutz, doch diese beträgt bei manchen Versionen nur 40 Bit -- diese gelten jedoch als unsicher. Microsoft bestätigte, dass diese Daten nur RPC-kodiert und nicht verschlüsselt sind, wenn die Leitung zum Server an dieser Stelle nicht verschlüsselt ist.

Ein Microsoft-Mitarbeiter erklärte gegenüber heise online, dass rund die Hälfte der Hersteller von Kryto-Plug-ins betroffen seien; beispielsweise PGP und die meisten Sphinx-Produkte sind anfällig. Experten vermuten allerdings, dass nahezu alle marktgängigen Krypto-Plug-ins betroffen sind. Diskutiert wird das Problem seit Januar beim Forum of Incident Response and Security Teams (FIRST), jedoch bislang ohne Ergebnis.

Microsoft teilte heise online auf Rückfrage mit, dass der Vorgang "nach Analyse technischer Details nicht" als "Sicherheitslücke in der MS Exchange/Outlook 9x/200x Umgebung" zu bezeichnen sei. Die "automatische MAPI-RPC basierte potenziell unverschlüsselte Übertragung von E-Mail-Daten" nehme Outlook "aus Performance-Gründen im Bereich eines geschützen Netzwerkes standardmäßig vor". Eine Exchange/Outlook-Umgebung könne bei der Übertragung größerer Datenmengen Client-Applikationen blockieren. Deshalb nehme Outlook aus Performance-Gründen ein "proaktives Hintergrund-Speichern" der schon vorhandenen Daten im jeweiligen Nachrichtenspeicher vor. Diese "Optimierung" sei "auf vielfachen Outlook-Benutzerwunsch" eingeführt worden, um die Benutzung des Programmes im Exchange-Server Umfeld zu optimieren.

Microsoft wies darauf hin, dass das Outlook-Objektmodell, welches zur Programmierung von Plug-ins benutzt werden sollte, den Plug-in-Herstellern Möglichkeiten biete, die automatische Hintergrund-Übertragung zu unterbinden, sodass Daten verschlüsselt werden, bevor sie den lokalen PC verlassen. Ein betroffener Hersteller sei hierüber von der Microsoft-Service-Abteilung aufgeklärt worden und erörtere nun ein Redesign seines Produktes. Gegenüber heise online bestritt die betroffene Firma, die namentlich nicht genannt werden wollte, dies jedoch. Sie erwarte, dass Microsoft das Übertragungsverhalten ändere und nicht ein aufwendiges Redesign der Plug-ins verlange. (Christiane Schulzki-Haddouti) / (pab)