Tipps vom BSI für Microsoft-Verschlüsselungsfehler
Das Bundesamt für Sicherheit in der Informationstechnik warnt jetzt auch vor Sicherheitsproblemen bei Verschlüsselungs-Plug-ins einer Outlook/Exchange-Umgebung.
Nachdem heise online über das Sicherheitsproblem bei Verschlüsselungs-Plug-ins einer Outlook/Exchange-Umgebung berichtete, veröffentlichte nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach einer internen Überprüfung eine Warnung. Gegenüber heise online sagte BSI-Sprecher Michael Diekopf, dass dem BSI das Problem bislang nicht bekannt gewesen sei. Nun will die Behörde auf Microsoft und die Sphinx-Plug-in-Hersteller einwirken, kurzfristig einen Patch oder ein Update zu erstellen, um das geschilderte Sicherheitsproblem zu beheben.
Betroffen sind laut dem BSI alle Outlook-Versionen in lokalen Netzen. Sie übertragen die E-Mails zusätzlich vorab unverschlüsselt zum Exchange-Server unter Einsatz des RPC-Protokolls. Dies entspricht der Standard-Installation. Das BSI bestätigte, dass die unerwünschte Datenübertragung dann stattfindet, wenn der entsprechende Entwurfs-Ordner auf dem Exchange-Server liegt. Wird Outlook in Verbindung mit einem POP3- oder IMAP-Mailserver eingesetzt, findet diese unverschlüsselte Übertragung zum Mailserver nicht statt. Bei der eigentlichen Übertragung der E-Mail an den originären Empfänger, die durch das Plug-in verschlüsselt wurde, ist die Vertraulichkeit der E-Mail gewährleistet.
Das BSI empfiehlt jetzt zu überprüfen, ob diese Übertragung ausgespäht werden kann. Dafür müssen sämtliche mögliche Übertragungswege zwischen E-Mail-Client und Exchange-Server betrachtet werden, vor allem Übertragungswege, die nicht im selbst kontrollierten Bereich liegen oder über unverschlüsselte Funkstrecken wie einem Wireless LAN geführt werden. Falls die Daten intern offen, jedoch nur extern vertraulich behandelt werden müssen, besteht kein direkter Handlungsbedarf. Falls sie auch intern als vertraulich gelten, sind ergänzende Sicherheitsmaßnahmen erforderlich: E-Mail-Entwürfe dürfen dann nicht in Outlook gespeichert werden. Outlook darf nur unter SMTP/POP3/IMAP als Austauschprotokoll verwendet werden. heise online empfiehlt zusätzlich, die Dateianhänge bereits vor dem Anhängen in die E-Mail zu verschlüsseln. (Christiane Schulzki-Haddouti) / (pab)
