Meldung

Kritische Lücke in E-Mail-Verschlüsselung gefunden

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird.
Das Nachladen externer Inhalte erlaubt Angreifern den Zugriff auf verschlüsselte E-Mails.
Zur Ausnutzung der Schwachstellen muss ein Angreifer laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) [1] Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von HTML-Code und insbesondere das Nachladen externer Inhalte. Dies sei derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt.

Die Hersteller von E-Mail-Clients hätten diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schütze auch eine sichere Konfiguration. So sollten aktive Inhalte im Mailprogramm deaktiviert sein, wozu auch das Nachladen von HTML-Code und anderer externer Inhalte gehöre. Das BSI ist nach eigener Aussage seit November 2017 durch das genannte Forscherteam in den "Coordinated Vulnerability Disclosure"-Prozess eingebunden worden.
14.05.2018/dr

Tipps & Tools

Vorschau Oktober 2018: Endpoint Security [19.09.2018]

Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch einer schadhaften Webseite genügen Hackern, um den Fuß ins Firmennetzwerk zu bekommen. In der Oktober-Ausgabe beleuchtet IT-Administrator, mit welchen Mitteln Sie für mehr Sicherheit auf Endpoints wie auch in der Cloud sorgen. Ein Großteil davon sind als Werkzeuge bereits in Windows enthalten, so etwa Applocker oder System Guard. Aber auch Drittanbieter-Lösungen schauen wir uns an, darunter Stormshield Endpoint Security, das einen umfassenden Schutz vor Exploits verspricht. [mehr]

Sicherheitsfragen für Kennwörter [14.09.2018]

Kennwörter können schnell vergessen werden, das gilt im Onlinebereich ebenso, wie auf dem lokalen Rechner. Viele Webdienste bieten daher Fragen an, die User beantworten müssen, um ihr vergessenes Passwort zurücksetzen zu können. Auch unter Windows 10 lassen sich bestimmte Sicherheitsfragen für den Fall festlegen, dass Anwender eventuell das Windows-Kennwort zum Login verbummelt haben. [mehr]

Fachartikel

Die DSGVO und Access Governance [19.09.2018]

Welcher Mitarbeiter hat Zugriff auf welche Benutzerkonten? Darf er diese Berechtigung überhaupt haben? In der komplexen IT-Landschaft eines Unternehmens den Überblick über sämtliche Zugriffsrechte zu behalten, ist für viele Verantwortliche eine zeitaufwendige Herausforderung. Zudem besteht durch die Datenschutz-Grundverordnung eine erhöhte Dokumentations- und Nachweispflicht. Wie unser Fachartikel zeigt, schafft eine DSGVO-konforme Access-Governance-Lösung hier Abhilfe und bringt Transparenz in die firmeninternen Rechtestrukturen. [mehr]

Buchbesprechung

VoIP Praxisleitfaden

von Jörg Fischer und Christian Sailer

Anzeigen