Nein, PGP ist nicht unsicher geworden

Die E-Mail-Verschlüsselung mit PGP oder S/MIME hat aktuell eine mögliche Schwachstelle. Grundsätzlich ist E-Mail-Verschlüsselung aber weiterhin sicher.

Geschätzte Lesezeit für diesen Artikel: 2 Minuten

Seit Mitte Mai 2018 kursieren Meldungen über eine Schwachstelle in E-Mails, die nach dem PGP- oder dem S/MIME-Standard verschlüsselt worden sind. Auch ein eingängiger Name für den Fehler war schnell gefunden: Efail.

Unter bestimmten Bedingungen könnten Angreifer, so die Warnung, über manipulierte E-Mails an den Klartext von verschlüsselten E-Mails gelangen (erfahre mehr). Es wurden sogar Empfehlungen laut, man solle aus diesem Grund ganz auf verschlüsselte E-Mails verzichten.

Diese Warnungen sind jedoch übertrieben (erfahre mehr). Da der potentielle Angriff über Hyperlinks in HTML-Nachrichten erfolgt, können Nutzer die Schwachstelle sogar sehr leicht selbst unschädlich machen. Dazu müssen sie einfach, erstens, die Darstellung von HTML-E-Mails unterbinden und, zweitens, das automatische Nachladen von externen Inhalten abstellen. Außerdem sollte man, drittens, auch selbst auf das Verschicken von HTML-Nachrichten verzichten.

Alle drei Empfehlungen sorgen ganz unabhängig von Efail grundsätzlich für mehr Sicherheit beim Umgang mit E-Mails – die nun bekannt gewordene Sicherheitslücke ist also lediglich ein guter Anlass, um sie nun umzusetzen.
Mit Thunderbird geht das so:

  1. Ansicht → Nachrichteninhalt → Reiner Text
  2. Einstellungen → Datenschutz → Häkchen entfernen bei “Externe Inhalte in Nachrichten erlauben”
  3. Konteneinstellungen → Verfassen und Adressieren → Häkchen entfernen bei “Nachrichten im HTML-Format verfassen”

Für andere Mailprogramme sind passende Anleitungen leicht im Internet zu finden.

Für Thunderbird und Enigmail gibt es inzwischen Updates, welche die Sicherheitslücke schließen. Wie alle Updates sollte man sie umgehend installieren.

Findest Du diesen Beitrag interessant?
→ Unterstütze diese Seite mit einer Spende (entweder via PayPal in € oder in einer Kryptowährung; Details siehe oben rechts auf dieser Seite)
→ Teile den Beitrag mit Deinen Freunden (klicke unten auf einen der Buttons)
→ Folge dem Autor auf Twitter (@JochenPlikat)
→ abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)

Nein, PGP ist nicht unsicher geworden by Jochen Plikat is licensed under a CC BY-NC-ND 4.0 license.
Bildnachweis: Sculpture Bronze The Listening by Couleur is licensed under the CC0 Creative Commons License.

0 Gedanken zu “Nein, PGP ist nicht unsicher geworden

Schreibe einen Kommentar zu Jochen Plikat Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert