Die aktuellen Sicherheitsmängel bei verschlüsselten E-Mails zeigen nach Ansicht der Brabbler AG, dass E-Mail als Technologie nicht mehr zeitgemäß ist. Gefragt sind nun sichere Kommunikationslösungen mit voll integrierter Verschlüsselung. Nicht Verschlüsselung ist obsolet, sondern die E-Mail.
Unter dem Begriff „EFAIL“ wurde ein schwerer Sicherheitsmangel bekannt, den Wissenschaftler gerade erst in der S/MIME und PGP-Verschlüsselung von E-Mails entdeckt haben. Die Sicherheit verschlüsselter E-Mails haben sie damit grundsätzlich in Frage gestellt. Mehr noch: Verschlüsselung erscheint damit generell als unsicher und überflüssig. Besorgte Nutzer und Unternehmen fragen sich seither, wie sie Privatsphäre und Datenvertraulichkeit noch sichern können, wenn nicht einmal die Kryptografie hält, was sie verspricht.
In einem Punkt kann man hier Entwarnung geben: Auch wenn der S/MIME-Standard tatsächlich eine grundsätzliche Schwachstelle aufweist, ist EFAIL vornehmlich kein Problem der Kryptografie, sondern der Umsetzung von Verschlüsselung in E-Mail-Programmen, so die Brabbler AG. Die Verschlüsselung per PGP ist beispielsweise nach wie vor sicher, wenn sie denn richtig umgesetzt wird. Denn der OpenPGP-Standard enthält bereits einen Schutz vor der Manipulation, die den S/MIME-Standard kompromittiert. Dieser muss jedoch auch aktiviert werden.
Als die E-Mail 1971 entwickelt wurde, war sie nicht für aktuelle Gefährdungen ausgelegt, weil es die professionelle Cyberkriminalität noch gar nicht gab. E-Mails müssen deshalb durch Dritttechnologien wie PGP oder S/MIME gesichert werden; das übernehmen Mailprogramme und Add-ons – Security by Design sieht anders aus.
EFAIL belegt, dass alternative Methoden des Nachrichtenaustauschs dringend notwendig sind. So gibt es beispielsweise sicherere Messenger mit nativ integrierter Kryptografie, die die genannten Schwachstellen nicht aufweisen und somit nicht von EFAIL betroffen sind.
„Unternehmen wie Privatanwender haben sich in der E-Mail-Welt bequem eingerichtet“, erklärt Fabio Marti, Director Business Development der Brabbler AG in München. „Man geht recht sorglos mit Nachrichten um und verschlüsselt nur im Einzelfall seine Mails. Das ist ab sofort nicht mehr akzeptabel: Nicht zuletzt die DSGVO erfordert sichere Kommunikation und die können nur Alternativen zur E-Mail bieten. Nicht Verschlüsselung an sich ist obsolet, sondern die E-Mail selbst. Sowohl Nutzer als auch Unternehmen müssen endlich umdenken und auf sichere Alternativen setzen. Bleibt zu hoffen, dass EFAIL nun als heilsamer Schock wirken wird.“
