Home / Aktuelles & Termine / it.sec blog / EFAIL - und was nun?

EFAIL - und was nun?

Am 15.05.2018 hat ein Forscherteam ein Paper veröffentlicht, in dem verschiedene Angriffsszenarien auf verschlüsselte E-Mails beschrieben werden. [1]

Die grundsätzliche Idee ist, das Verhalten von E-Mailprogrammen bzw. das Verhalten beim Darstellen von E-Mails dahingehend zu beeinflussen, dass Daten, nach dem regulären Entschlüsseln einer E-Mail, über einen "Backchannel" (geheimer, verdeckter Rückkanal) an den Angreifer zurückgeleitet werden.

Möglicher Angriffsablauf:

  1. Ausgangssituation: Ein Angreifer (Mallory) ist im Besitz einer verschlüsselten Nachricht (A) von Alice (z.B. durch Kompromittierung des E-Mail Servers, oder durch Zugriff auf ihr E-Mail-Postfach).
  2. Mallory erzeugt eine neue manipulierte E-Mail (B), die die verschlüsselte Nachricht (A) enthält.
  3. Der Angreifer versendet die manipulierte E-Mail (B) an Alice. Dabei wird die E-Mail mit dem Public Key von Alice erneut verschlüsselt.
  4. Alice öffnet die E-Mail und kann, da sie im Besitz des privaten Schlüssels ist, die E-Mail entschlüsseln. Je nachdem wie ihr E-Mail Client konfiguriert ist, kann nun die ursprüngliche Nachricht (A) durch ausnutzen von Schwachstellen abgegriffen werden, wenn
    1. das E-Mailprogramm HTML auswertet,
    2. automatisch Ressourcen (Bilder, Stylesheets, ...) nachgeladen werden, oder
    3. der Client von Bob die Webseite des Angreifers erreichen kann.

Gegenmaßnahmen

Um solche Angriffe zu verhindern sollten folgende Gegenmaßnahmen umgesetzt werden:

  • Der E-Mail Client sollte so konfiguriert werden, dass externe Ressourcen (Bilder, Stylesheets, Schriftarten, ...) nicht automatisch geladen werden. Dies ist auch generell aus Datenschutzgesichtspunkten zu empfehlen.
  • Der Einsatz von HTML E-Mails beim Einsatz von Verschlüsselung sollte vermieden / blockiert werden.
  • Das automatische Entschlüsseln von Nachrichten sollte deaktiviert werden.
  • E-Mail Clients sollten aktuell gehalten werden.
  • E-Mail Plugins für den Einsatz von Verschlüsselung sollten aktuell gehalten werden.

Fazit:

Handelt es sich bei EFAIL um das Ende von S/MIME und PGP? Definitiv nicht, auch wenn bei S/MIME und PGP leider noch kein ausreichender Integritätsschutz implementiert ist.

Die von den Forschern dargestellten Angriffsszenarien sind größtenteils sehr aufwendig, oder leicht zu verhindern, so dass wenn die entsprechenden Gegenmaßnahmen umgesetzt sind, das Risiko auf ein akzeptables Niveau reduziert werden kann. Wer das Risiko noch weiter verringern möchte, kann das Entschlüsseln von E-Mails außerhalb des E-Mailprogramms durchführen.

[1] https://efail.de/efail-attack-paper.pdf

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics hacken Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Malware Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31