E-Mail Verschlüsselung geknackt: Das solltest du jetzt wissen!

Du hast die schlechten Nachrichten der vergangenen Tage sicherlich verfolgt. Forscher an der FH Münster haben zwei äußerst wichtige Standards der E-Mail Verschlüsselung geknackt. Datenschützer, Interessierte und nicht zuletzt auch Firmen äußern sich besorgt. Insbesondere weil die sogenannten „Experten“ sogar empfehlen, komplett auf den Einsatz der besagten Verschlüsselungsverfahren zu verzichten. E-Mail Nachrichten seien nicht sicher und sie seien es auch noch nie gewesen. Wer da verunsichert ist, muss sich garantiert nicht schämen. Allerdings haben wir einen genaueren Blick für dich auf das Phänomen EFail geworfen.

Das steckt hinter der Meldung der geknackten E-Mail Verschlüsselung!

Forscher verschiedener Bildungseinrichtungen, darunter die FH Münster, haben nach übereinstimmenden Meldungen einen Weg gefunden, um die Verschlüsselung von E-Mails mit den Verfahren S/MIME und OpenPGP auszuhebeln. Einer der Beteiligten, Sebastian Schnitzel, gab dazu unter anderem an, dass zumindest ein Teil des Klartextes bei den getesteten Angriffen lesbar gemacht werden konnte. Im Klartext: zumindest Teile der E-Mail-Inhalte waren für jeden lesbar. So weit, so beunruhigend. Allerdings auch irreführend.

An dieser Stelle müssen wir zwei Punkte klarstellen:

  • Die Verschlüsselungsstandards S/MIME und OpenPGP WURDEN NICHT GEKNACKT! Die Forscher konnten mit mit einer E-Mail Verschlüsselung unlesbar gemachte Nachricht entschlüsseln.
  • Sie haben dabei auch NICHT die E-Mail-Verschlüsselung als solche angegriffen, Sie haben vielmehr anfällige Schnittstellen in E-Mail Clients ausgenutzt und das Verfahren des Transports einer verschlüsselten E-Mail.

Das klingt schon etwas anders, nicht wahr? Du solltest darüber hinaus wissen, wie genau das Aufbrechen der E-Mail Verschlüsselung funktioniert.

So haben die Forscher die eigentlich sichere E-Mail Verschlüsselung geknackt!

Zum einen wurde bei den Versuchen, verschlüsselte Nachrichten lesbar zu machen, die jeweils verschickte E-Mail auf dem Transportweg abgefangen. Wer die Schwachstelle ausnutzen will, muss die Nachricht also entweder auf dem E-Mail-Server oder bereits im Postfach, von dem sie gesendet wird, abfangen. Zum anderen haben sie die Nachricht dann so manipuliert, dass ihr Lesen zum Nachladen schädlichen Codes über HTML-Inhalte führte.

Die Voraussetzungen, um eine E-Mail Verschlüsselung zu knacken, sind also:

  • der Zugriff auf die gesendete E-Mail, bevor sie den Empfänger erreicht und
  • das Manipulieren ihres Inhalts, so dass er das unbemerkte Laden von Inhalten ermöglicht, die den Zugriff auf die unverschlüsselten Inhalt gewähren.

Die Anforderungen, um eine E-Mail Verschlüsselung knacken zu können, sind somit hoch. Andererseits ist die Gefahr, dass private Informationen in die falschen Hände geraden, aber dennoch real. Insbesondere für Unternehmen bzw. die Industrie. Denn eine Vielzahl von unternehmen setzt das S/MIME-Verfahren für die Verschlüsselung ihrer Nachrichten ein. Und gerade dieser Standard ist besonders gefährdet und angeblich nicht reparabel. Trotzdem ist die Aussage der Experten, dass man deswegen am besten vollständig auf die E-Mail Verschlüsselung verzichtet und auf einen Nachrichtendienst wie Signal umsteigt, zumindest fraglich.

E-Mail Verschlüsselung geknackt: kann man sich schützen?

Damit die E-Mail Verschlüsselung deiner Nachrichten gefährdet ist, müssen mehrere Faktoren zusammenkommen. Das sind die Voraussetzungen:

  • Deine Internetverbindung ist ungesichert oder allgemein ihr Transportweg, also der E-Mail-Server, der sie weiterleitet.
  • Dein E-Mail-Programm lässt das automatische Laden von Inhalten im Hintergrund zu.
  • Du verschickst E-Mail im HTML-Format.

Dabei kann der E-Mail-Server im Regelfall als Angriffsszenario ausgeschlossen werden. Professionelle E-Mail-Anbieter sichern ihre Server weitestgehend ab. Dass ihre Server gehackt werden, kommt nach aktuellen Kenntnissen äußerst selten vor. Verbleiben also noch die Übrigen Punkte. Aber auch hier gibt es Möglichkeiten, wie du dich schützen oder zumindest die Gefahr deutlich eingrenzen kannst.

So kannst du dich vor dem Aushebeln deiner E-Mail Verschlüsselung schützen!

Auf der einen Seite gilt, wie immer, einer der ältesten Ratschläge zum Thema IT Sicherheit: halte deine Programme und insbesondere ihre Plugins aktuell. Installiere regelmäßig die aktuellen Updates. Und nutze nur wenige ausgewählte Plugins. Vor allem deinstalliere Plugins, die du gar nicht nutzt. Umso weniger Schwachstellen kann ein Angreifer bei dir ausnutzen.

Auf der anderen Seite kannst du einen wichtigen Punkt mit wenigen Klicks abhaken. Deaktiviere in den Einstellungen deines E-Mail Clients das HTML-Format. Versende einfach grundsätzlich Nachrichten im Textformat. Und deaktiviere die automatische Anzeige entfernter Inhalte. Bei Absendern, denen du problemlos vertrauen kannst, lässt du ansonsten mit einem Klick auf den jeweiligen Button das Laden im Einzelfall zu. Allein dadurch wird es für Angreifer ungemein schwerer, deine E-Mail Verschlüsselung zu knacken.

Umsteigen auf OpenPGP für die E-Mail Verschlüsselung!

Sofern du den S/MIME-Standard einsetzt, solltest du allerdings schnell reagieren. Stelle dann am besten direkt auf OpenPGP um. Dafür gibt es zahlreiche kostenlose Softwarelösungen. Für macOS jedoch unter der Bezeichnung „GPG“. Der Hintergrund ist schnell erklärt: der S/MIME-Standard ist nicht reparabel. Ein Update, um ihn sicherer zu machen, ist ausgeschlossen. Das gilt für OpenPGP nicht.

Zwar ist auch der OpenPGP-Standard für die E-Mail Verschlüsselung schon relativ alt. Zumindest ist er aber soweit erweiterbar, dass seine Nutzung in Kürze wieder sicher ist. Denn an den Updates arbeitet die Community bereits. Eine endgültige Lösung stellt OpenPGP wiederum nicht dar. Aber bis ein sicherer Standard verfügbar ist, gibt es eine Übergangslösung.

Ansonsten bietet sich natürlich ein anonymes VPN an, um dich vor dem Hack der E-Mail Verschlüsselung zu schützen. EFail setzt eben voraus, dass der Angreifer deine Nachricht abfängt. Die Server als Vermittlungsstelle sind sehr sicher. Deine Internetverbindung allerdings häufig nicht. Gerade in öffentlichen Netzwerken über Hotspots. Ein VPN verschlüsselt deine Internetverbindung auf soweit sichere Art und Weise. Über empfehlenswerte VPN Anbieter informieren wir dich in unserem VPN Test 2018.


IPV 728×90 (set 5)

E-Mail Verschlüsselung geknackt – unser Fazit!

Wir ziehen den Hut vor den Forschern, dass sie einen Weg gefunden haben, mit der man eine E-Mail Verschlüsselung knacken kann. Die Leistung ist mehr als respektabel. Ein, zwei Punkte dieser Arbeit kritisieren wir jedoch. Zunächst wurde der Erfolg der Beteiligten nicht unbedingt falsch, aber missverständlich publik gemacht. Wenig versierte Anwender und alle, die sich nicht weitergehend informieren, gehen zunächst davon aus, dass die ausgehebelten Standards selbst das Problem sind. Das ist für S/MIME sicherlich der Fall. Für OpenPGP allerdings nicht. Und ohnehin: die Verschlüsselung wurde nicht geknackt, sondern umgangen.

Viel schlimmer ist jedoch die Empfehlung der Experten, die zum Verzicht auf eine E-Mail Verschlüsselung raten. Denn diese Meinung ist weder nachvollziehbar noch hinlänglich begründet. Die Szenarien für eine erfolgreiche Umsetzung bergen hohe Hürden. Die betreffenden Schwachstellen lassen sich zum Teil ausschließen oder deutlich eindämmen. Und allgemein ist der erforderliche Sachverstand nicht so weit verbreitet, dass die Gefahr nun an jeder Ecke lauert.

Das soll nicht heißen, dass wir die nunmehr eingetretene Einschränkung der Sicherheit bestreiten Trotzdem ist der tatsächliche Sicherheitsverlust geringer als er in den Medien und den Pressemitteilungen dargestellt wird. Nicht nur, dass der OpenPGP-Standard zeitnah die erforderlichen Updates erhalten wird – die macOS GPGTools sollen noch diese Woche die Schwachstelle beheben. Ad hoc kann niemand die E-Mail Verschlüsselung knacken. Schon gar nicht, wenn die Nachricht als reiner Text verschickt wird.

Kostenloses VPN und anonyme Email mit PGP-Verschlüsselung gratis!

Ein kostenloses VPN, das gleichzeitig sicher und anonym ist? Eine 100 % anonyme Email Adresse ohne Kosten? Und mit PGP-Verschlüsselung? Bislang konntest du dir das sicher nicht vorstellen. Uns ging es jedenfalls so. Doch ab sofort gibt es einen Anbieter bei dem das möglich ist. Was dahinter steckt und ob es einen Haken bei dem Angebot gibt, erfährst du nachfolgend.

Bewährter Anbieter für anonyme Email Adressen führt kostenloses VPN ein!

Wer bislang ein kostenloses VPN wollte, konnte sich eigentlich nur für hide.me entscheiden. Wie wir bereits in früheren Beiträgen dargelegt haben, hat dieser VPN Anbieter bislang da beste Gratis-Angebot gehabt. Zwar war die Bandbreite auf 2 GB begrenzt. Und es standen nur wenige Server zur Auswahl. Aber der kostenlose Zugang ließ sich beliebig oft verlängern.

Seit kurzem hat sich das schlagartig geändert. Denn ein Unternehmen aus der Schweiz hat den Konkurrenzkampf aufgenommen. Bislang war dieser neue VPN Anbieter vor allem für eine echte kostenlose anonyme Email Adresse bekannt. Insbesondere aber deswegen, weil der Betreiber freiwillig jede Möglichkeit aufgegeben hat, im Ernstfall noch Zugriff auf die Kundendaten zu haben.

Gemeint ist die Proton Technologies AG. Der zu ihr gehörende bekannteste Dienst ist nach wie vor protonmail.ch. Denn dort gibt es inzwischen ohne Warteliste eine 100 % anonyme Email Adresse gratis. Außerdem lässt sich auf Wunsch ein eigener PGP-Schlüssel in das Mailsystem einbinden, um sämtliche Nachrichten automatisch zu verschlüsseln. Wer keinen hat, kann aber auch vom Anbieter einen zugewiesen bekommen.

ProtonVPN.com bietet jetzt ein kostenloses VPN an!

Super sicheres und kostenloses VPN bei ProtonVPN sichern!Soweit so gut, eine anonymere E-Mail-Adresse kann man weiterhin kaum bekommen. Protonmail ist in Sachen Privatsphäre im Internet nahezu einzigartig. Aber nun ist auch „ProtonVPN“ verfügbar. Ob sich die Erfolgsgeschichte also mit dem neuen Projekt fortsetzt? Die Zeichen stehen auf jeden Fall gut. Denn direkt zu Beginn holt dieser VPN Anbieter einen Kracher hervor: auch hier gibt es jetzt ein kostenloses VPN.

hide.me hat also seine Vorherrschaft in diesem Bereich verloren. Allerdings verbleibt es damit bei der Frage, ob ProtonVPN überhaupt mit hide.me konkurrieren kann. Und wer bereits Protonmail genutzt hat, wird nun nur wenig überrascht sein. Das kostenlose VPN von Proton ist durchweg top! Es bietet ein paar interessante Vorteile:

  • Seit Geschäftseinstieg, hat sich die Proton Technologies AG stets durch eine kundenfreundliche Meinung zum Thema Datenschutz ausgezeichnet. Wer das E-Mail-Postfach einmal konfiguriert, muss jedenfalls so schnell mit keiner bösen Überraschung rechnen.
  • Ein ebenso guter Datenschutz wird natürlich auch für ein kostenloses VPN gewünscht. Das sieht man den Features dieses Angebots sofort an.
  • No logging, garantiert kein Monitoring und keinerlei Aufzeichnungen verstehen sich bei der Proton Technologies AG ohnehin von selbst. Für ein Plus an Sicherheit wurden allerdings auch zahlreiche weitere Funktionen entwickelt.

Kostenloses VPN, top Sicherheit und eine einfache Bedienung: ProtonVPN!

ProtonVPN bietet nämlich nicht nur ein kostenloses VPN. Schnelle 10-GBit-Server in vielen verschiedenen Ländern, kein Limit bei der Bandbreite und die volle Kompatibilität zu P2P-Netzwerken sind ebenfalls gegeben. Noch interessanter wird es jedoch beim ersten Blick auf die Sicherheitsmerkmale.Stets sichere Server inklusive!

Einerseits sticht die Verschlüsselung hervor. Selbst wer den Dienst als kostenloses VPN nutzt, genießt ausschließlich eine hochgradige RSA-Verschlüsselung mit 2048-bit. Außerdem setzt dieser VPN Anbieter ausschließlich auf das OpenVPN Protokoll. Inzwischen unsichere Protokolle werden im Gegensatz zu anderen Anbietern gar nicht erst unterstützt.

Andererseits wird für jede Verbindung stets ein neuer Schlüssel generiert. Und bevor die eigenen Daten aus dem Netzwerk in das offene Internet gelangen, passiert der Datenstrom stets besonders gesicherte Knotenpunkte in der Schweiz oder Island. Allerdings ist selbst das noch nicht alles.

Daneben hat der VPN Client natürlich einen Kill-Switsch integriert. Auch gegen DNS Leaks gibt es einen proaktiven Schutz. Selbst für Kunden, die den Dienst als kostenloses VPN nutzen. Und die Anmeldung erfolgt – klar – komplett anonym mit der Protonmail-Adresse, bei der keine persönlichen Daten hinterlegt werden müssen.

TOR Netzwerk integriert: kostenloses VPN mit top Features von ProtonVPN!

Einen dicken Pluspunkt gibt es schließlich für die Integration des TOR-Netzwerkes in die VPN-Verbindung. Wenn gewünscht, kann man extra TOR-Server der Proton Technologies AG für den Zugang zu Onion-Websites nutzen. Theoretisch ist so noch nicht einmal der TORBrowser erforderlich. Für ein kostenloses VPN sind die weiteren Leistungen also herausragend! Insgesamt kann man den VPN Zugang von ProtonVPN also bedenkenlos empfehlen.

Dennoch gibt es ein, zwei Haken, auf die wir hier hinweisen müssen. Denn wie bei hide.me kann man auch bei ProtonVPN ein kostenloses VPN nur mit einem einzigen Gerät nutzen. Genauso ist die Serverauswahl stark eingeschränkt. Besonders ärgerlich ist hingegen die Exklusivität des Dienstes. Wer ein kostenloses VPN von ProtonVPN will, muss sich in eine Warteliste eintragen. Wann der VPN Zugang dann zur Verfügung steht, ist ungewiss.

Wer also sofort ein kostenloses VPN benötigt, sollte sich zunächst bei hide.me registrieren. Die Warteliste von ProtonVPN lohnt sich allerdings in jedem Fall. Denn wenn man den Zugang erhält, kann man hervorragend anonym surfen!