Efail: Welche E-Mail-Clients sind wie sicher?
Nach Veröffentlichung der Efail-Lücken in PGP und S/MIME herrscht unter Anwendern, die ihre E-Mails verschlüsseln, viel Verunsicherung. Wir haben uns im Detail angeschaut, welche E-Mail-Programme bisher wie abgesichert wurden.
- Fabian A. Scherschel
Nach Bekanntwerden einer Reihe von Sicherheitslücken in den Protokollen S/MIME und PGP für verschlüsselten E-Mai-Verkehr haben die Entwickler des Mail-Clients Thunderbird und des PGP-Plug-Ins Enigmail mit Updates reagiert. Trotzdem sind die von ihren Entdeckern als Efail getauften Lücken in beiden Programmen immer noch nicht gänzlich gestopft. Andere Mailprogramme waren von Anfang an nicht angreifbar oder sind nach wie vor ungepatcht. Zudem werden die zugrundeliegenden Unzulänglichkeiten in den Protokollen die S/MIME- und PGP-Entwickler wohl noch über Jahre beschäftigen. Wir fassen zusammen, wie es um verschiedene Mail-Programme bestellt ist.
Thunderbird mit Enigmail
Es hat sich inzwischen herausgestellt, dass sich PGP in Thunderbird nur im Zusammenspiel der Entwickler des Mail-Clients und derer des PGP-Plug-Ins Enigmail absichern lässt. Enigmail hat entsprechende Updates an die Nutzer verteilt, ist momentan allerdings immer noch anfällig. Das liegt vor allem an Thunderbird. Dessen Entwickler konnten auch mit der neuesten Version 52.8 die Efail-Lücken nicht komplett schließen. S/MIME ist nach Einschätzung vieler Sicherheitsforscher sogar so angeschlagen, dass momentan noch gar nicht klar ist, wie dort die Efail-Lücke überhaupt geschlossen werden soll.
Outlook und Windows Mail
Am schlimmsten trifft die S/MIME-Problematik wohl Nutzer von Microsoft Outlook und der eingebauten Mail-App in Windows 10. Sie verschlüsseln ihre Mails in der Regel mit diesem Protokoll. Beide Programme sind angreifbar und es ist keine Besserung in Sicht. Microsoft hat sich bisher auch nicht zu der Efail-Sicherheitslücke geäußert. Diesen Nutzern bleibt momentan wohl nur die Wahl zum Umstieg auf PGP, was mit Thunderbird und Enigmail wenigstens etwas sicherer ist, oder auf eine gänzlich andere Plattform wie einen Ende-zu-Ende verschlüsselnden Messenger wie Signal, WhatsApp oder Threema.
Apple Mail, GPG Tools
Genau wie Microsoft hat sich auch Apple bisher nicht zu den Sicherheitslücken geäußert. Ein Update für Apple Mail auf macOS oder iOS blieb bisher aus. Beide Versionen der Software sind nach unseren Erkenntnissen angreifbar. Die Entwickler der GPG Tools für macOS arbeiten an einem Update ihrer Software, das die Lücken wenigstens teilweise schließen soll. Auch sie sind auf Fixes von Apple angewiesen, um Lücken im eigentlichen Mail-Client zu schließen.
Webmail und Mailvelope
Die meisten öffentlichen Webmail-Clients scheinen gegen die Lücke gefeit zu sein, besonders wenn sie das Browser-Plug-In Mailvelope für PGP-Verschlüsselung nutzen. Web.de und GMX teilten uns mit, dass ihre PGP-Infrastruktur sowohl im Browser als auch in ihren Android- und iOS-Apps sicher ist. Browser-seitig wird das durch die Mailvelope-Entwickler bestätigt. PGP bei Posteo soll ebenso sicher sein. Die selbst-administrierten Web-Clients Horde und Roundcube sind teilweise anfällig, wenigstens die PGP-Lücken sollen irgendwann mit Updates geschlossen werden. Gmail mit S/MIME-Verschlüsselung ist ebenfalls angreifbar – ob hier ein Update kommt, ist bisher ungewiss.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
PGP auf Android, pEp
Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen; das teilten deren Entwickler mit. Ganz sicher, dass nicht doch Wege gefunden werden können, Efail-ähnliche Angriffe gegen ihre Programme auszuführen, sind sie sich allerdings nicht. Sie wollen die Situation weiter beobachten. Die Entwickler des pEp-Projektes sind ebenfalls einigermaßen zuversichtlich, dass ihre Apps nicht angreifbar sind, da sie das Nachladen externer Bilder blockieren. Allerdings sind sich Sicherheitsforscher nicht mehr sicher, ob das auf Dauer ausreicht, alle Efail-ähnlichen Angriffe abzuwehren. In Zukunft könnten neue Angriffsmethoden auftauchen, die andere Tricks abseits von Bildern nutzen, um den PGP-Klartext aus den Programmen herauszufiltern.
Vorbeugende MaĂźnahmen
Im Zuge der Enthüllungen wurde den Nutzern empfohlen, das Anzeigen von HTML-Mails in ihren Clients auszuschalten, um nicht Opfer der Efail-Lücke zu werden. Da das für viele Nutzer nicht praktikabel ist, empfahlen Sicherheitsexperten alternativ das Nachladen externer Bilder zu deaktivieren. Das sollte den Nutzer erst einmal vor der gröbsten Gefahr durch die Sicherheitslücken bewahren und hilft auch, wenn der Mailclient oder die Entschlüsselungssoftware nicht gepatcht sind.
Nutzer von Thunderbird können sich ihre Mails außerdem als "Vereinfachtes HTML" anzeigen lassen – das schützt nicht nur vor den bekannten Efail-Angriffen, sondern auch vor vielen unerwünschten Tracking-Versuchen. Etwa von übergriffigen Mails, die dem Absender melden, wann und wo sie gelesen wurde. Allerdings sollte man sich nicht darauf verlassen, dass sich durch solche vorbeugende Maßnahmen alle Angriffe verhindern lassen. Sicherheitsforscher warnen davor, dass die Efail-Lücken auch ganz ohne HTML böse Folgen haben könnten.
Wie kaputt ist die VerschlĂĽsselung?
Seit der Veröffentlichung der Sicherheitslücken wird munter darüber diskutiert, ob PGP und S/MIME als Verschlüsselungsstandards nun unwiderruflich kaputt sind oder nicht. Dabei dreht sich die Debatte sowohl um die Art, wie die Lücken publik gemacht wurden, als auch um die Tatsache, dass es sich bei beiden Standards um antike Krypto handelt, die in den vergangenen zwei Jahrzehnten so gut wie nicht modernisiert wurde.
Fest steht, dass die Entwickler von Mail-Clients und dazugehörigen Verschlüsselungs-Programmen zwar mit etwas Arbeit die Ausleitung von Klartext mit Hilfe von manipuliertem HTML in empfangenen Mails verhindern können, aber wenig Handhabe dagegen haben, dass weder S/MIME noch PGP vernünftig sicherstellen, dass die Nachricht nicht im Transit durchs Web manipuliert wurde. S/MIME ist davon am stärksten betroffen, weil es dort bisher keine praktische Möglichkeit gibt, dem Empfänger zu versichern, dass die Nachrichtenintegrität intakt ist.
Bei PGP existiert eine solche Möglichkeit mit dem sogenannten Modification Detection Code (MDC). Zwar verwendet diese Methode die als unsicher geltende Hash-Funktion SHA-1, praktische Angriffe auf den MDC sind aber nicht bekannt. Das Problem ist hier eher die Implementierung: die ist bei vielen Programmen unsicher und obendrein ist der MDC momentan rein optional. Das ist ein lösbares Problem, wird aber Zeit in Anspruch nehmen, da viele einzelne Implementationen angepasst werden müssen. (fab)