Email-Verschlüsselung
Mai 19, 2018 5:09 pm
Sicherheitslücke bei Verschlüsselungs-Programmen
Kurz vor dem Inkrafttreten der neuen DSGVO am 25.05.2018 wird eine schwerwiegende Sicherheitslücke in den Email-Verschlüsselungs-Programmen PGP, GPG und S/MIME festgestellt.
Manche Sicherheitsexperten raten sogar dazu, die Verwendung dieser Programme einzustellen, bis die Lücke behoben wurde.
In diesem Artikel erklären wir, auf welche Weisen die Sicherheitslücke ausgenutzt werden kann und was Sie ab dem 25.05.18 zur Email-Verschlüsselung beachten müssen.
Wen könnte ein Angriff treffen?
Um Opfer eines möglichen Angriffs sein zu können, müssen Sie eines der betroffenen Programme nutzen. Überdies müssen die potentiellen Angreifer im Besitz Ihrer verschlüsselten Emails sein. Sollte dies der Fall sein, bedeutet das, dass der Angreifer bereits Ihren PC oder Ihren Email-Server gehackt haben muss oder Ihr Netzwerk überwacht. Andernfalls hätte er gar nicht an Ihre Emails gelangen können.
Wenn Sie also sicher sind, dass Ihr Netzwerk umfassend geschützt ist und kein Hackerangriff auf Ihren Email-Server oder Ihr Netzwerk vorausgegangen ist, ist es sehr unwahrscheinlich, dass Ihre Emails abgefangen wurden.
Cyberangriffe können aus den verschiedensten Richtungen und auf den vielfältigsten Wegen erfolgen. Um so wichtiger ist es, dass Sie sich von allen Seiten vor diesen Angriffen schützen. Bauen Sie eine lückenlose Mauer um all Ihre IT-Komponenten herum und beseitigen Sie Schwachstellen immer sofort nach Ihrer Entdeckung. Nur so können Sie sich gegen die Vielfalt der möglichen Angriffe wappnen.
Wie kann die Lücke ausgenutzt werden?
Möglichkeit 1
Bei der ersten Möglichkeit, mit welcher Ihre Emails von Hackern entschlüsselt werden können, sorgen diese dafür, dass Sie eine bereits erhaltene verschlüsselte Email noch einmal zugeschickt bekommen.
Diese erneute Mail wird jedoch vorab mit einem HTML-Link präpariert.
Sollten Sie das Enigmail-Plugin (Thunderbird), GPGTool (Apple Mail) oder Gpg4win (Outlook) nutzen, entschlüsseln diese Anwendungen dann den Nachrichteninhalt und verbinden diesen mit dem HTML-Link. An diesen Link wird die unverschlüsselte Nachricht dann versendet und der Hacker erhält Einblick in Ihre Daten.
Möglichkeit 2
Bei der zweiten Möglichkeit wird eine abgefangene Email vom Hacker bearbeitet, bevor sie dem Empfänger erneut zugeschickt wird. In die Email selbst wird ein neuer Befehl eingefügt, welcher es ermöglicht, dass die Email automatisch vom Empfänger entschlüsselt und ebenso automatisch wieder an den Angreifer zurück geschickt wird.
Mit der richtigen Konfiguration der Programme PGP, GPG und S/MIME könnte dieses Szenario verhindert werden, da die Anwendungen einen Prüfmechanismus beinhalten, welcher die Entschlüsselung abbricht, sobald Unregelmäßigkeiten auftreten. Sind die Programme jedoch nicht richtig eingestellt, erhält der Benutzer diesbezüglich keine Warnung. Durch eine richtig konfigurierte Anwendung ließe sich also möglicherweise auch ein solcher Angriff vermeiden.
Email-Verschlüsselung ist Pflicht!
Bereits laut aktuellem Datenschutzgesetz ist die Verschlüsselung von Emails mit personenbezogenen Daten im Inhalt Pflicht. Diese Gesetze werden durch die am 25.05.18 in Kraft tretende Datenschutzgrundverordnung (DSGVO) jedoch noch weiter verschärft. Sollte man ab kommendem Freitag die Email-Verschlüsselung unterlassen, drohen hohe Geldstrafen.
Unternehmen müssen überdies die neue Meldepflicht beachten. Dieser zur Folge muss eine Datenpanne innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Sollte zudem ein hohes Risiko für die personenbezogenen Daten bestehen, müssen auch die betroffenen Personen informiert werden.
Welches Verschlüsselungs-Programm passt zu meinem Unternehmen?
Werden Ihre Emails bereits verschlüsselt? Eine Frage, welche Geschäftsführer meist nicht genau beantworten können. Jedoch werden Sie zur Verantwortung gezogen, wenn es zu einer Datenpanne kommen sollte.
Sichern Sie sich deshalb rechtzeitig ab und geben Sie die Email-Verschlüsselung und den Schutz Ihrer Daten in die Hände von Spezialisten.
Wir von Kastl & Rieter sind Experten in Sachen Datenschutz und helfen Ihnen gerne, ein Verschlüsselungs-Programm zu finden, welches auf die Bedürfnisse Ihres Unternehmens angepasst ist. Auch die (für Laien meist komplizierte) Konfiguration des Programms übernehmen wir für Sie und sorgen so dafür, dass Sie jederzeit und rundum vor Angriffen von außen geschützt sind.
Haben Sie Fragen oder wünschen Sie eine Beratung? Dann rufen Sie einfach an 0221 / 630 6151 60 oder nutzen Sie unser Kontaktformular und vereinbaren Sie einen Termin.
Wir freuen uns auf Ihre Anfrage!
Quellen: