Ihr Browser ist veraltet und wird nicht mehr unterstützt.
Your browser is not supported any more.

+++ Pressemitteilung +++

Wie ein führender Hersteller für E-Mail-Verschlüsselung die Sicherheitslücke EFAIL für Unternehmen bewertet

Berlin, 23. Mai 2018

eFail SymbolbildDie Kernkompetenz des Berliner Verschlüsselungsspezialisten Zertificon Solutions besteht in der Entwicklung von Lösungen zur sicheren Unternehmenskommunikation mit Geschäftspartnern und Endkunden. Die Ende-zu-Ende-Verschlüsselung von E-Mails spielt dabei eine zentrale Rolle. Viele Kunden waren seit dem Bekanntwerden der EFAIL-Attacke am Montag letzter Woche besorgt, dass die E-Mail-Verschlüsselung geknackt sei. Beim Support häufte sich die Frage, ob die zentrale E-Mail-Verschlüsselungslösung mit
Zertificons Z1 SecureMail Gateway abgeschaltet werden solle.

„Natürlich nicht!“, lautete die Antwort der Support-Mitarbeiter. Die technische Expertise erlaubte es den Mitarbeitern von Zertificon, recht schnell zu bewerten, dass das eigentliche Problem die Manipulation des Verhaltens der E-Mail-Clients (Programme wie Outlook, Thunderbird) ist, auf denen vorhandener Code
ausgeführt wird. Erst wenn die E-Mail im E-Mail-Client geöffnet wird und nur wenn dort die automatische Ausführung von HTML-Code – beispielsweise zur Bildanzeige – aktiviert ist, kann die EFAIL-Lücke zum Tragen kommen.

Diese Gefahr durch nachlässig konfigurierte E-Mail-Clients, die Schadcode automatisch ausführen, ist nicht neu. In professionellen IT-Infrastrukturen werden entsprechend zum Schutz gegen ausführbaren Code wie Viren, Trojaner und Ransomware sowie versteckte HTML- und JavaScript-Anweisungen Contentfilter eingesetzt, die verhindern, dass Schadcode bis zum E-Mail-Client vordringt.

Grundsätzlich sind Unternehmen bei IT-Sicherheitsangriffen auf E-Mails im Vorteil. Während der Einzelnutzer die E-Mail-Verarbeitung lokal bei sich auf dem Rechner im E-Mail-Client ausführt, gilt in Unternehmen üblicherweise das Prinzip der Arbeitsteilung: Bestimmte Programme sind für spezifische Aufgaben zuständig. Damit diese Aufgaben effizient gelöst werden, müssen bestimmte Standards eingehalten werden. Unregelmäßigkeiten fallen auf. Manipulierte E-Mails werden abgeblockt.

Konkret bedeutet dies für eingehende E-Mails, die von EFAIL betroffen sind: Z1 SecureMail Gateway empfängt und entschlüsselt E-Mails zentral für alle E-Mail-Adressen des Unternehmens. Da der eigentliche Inhalt der entschlüsselten E-Mails im Gateway nicht ausgewertet wird, wird eingeschleuster Code bei der Entschlüsselung nicht ausgeführt. Das Gateway leitet die E-Mail innerhalb des gesicherten eigenen Unternehmensnetzes weiter an den Contentfilter. Dieser prüft die E-Mail auf schädliche Inhalte. Bei von EFAIL betroffenen E-Mails ist ausführbarer Code enthalten, welcher den Klartext einer entschlüsselten E-Mail als Parameter an externe URLs senden möchte. Professionelle Contentfilter müssten den Schadcode erkennen und entfernen. Die geprüfte und unschädlich gemachte E-Mail wird über den E-Mail-Server an das Postfach ausgeliefert. Der Benutzer kann die E-Mail nun gefahrlos öffnen.

Bei Zertificon ist man trotz der Gewissheit, dass der nächste Sicherheitsangriff kommen wird, weiterhin zuversichtlich, was die Sicherheit der E-Mail-Kommunikation betrifft. Für einen zusätzlichen Schutz gegen EFAIL und zur Ergänzung der Contentfilter werden in diesen Tagen Optimierungen entwickelt, um betroffene E-Mails früh in der Bearbeitungskette zu erkennen. Mit großer Expertise und langjähriger Erfahrung in der Kryptografie bezweifelt man bei Zertificon allerdings, dass die eigentliche E-Mail-Verschlüsselung allzu bald tatsächlich geknackt wird. Wenn E-Mail-Verschlüsselungslösungen professionell nach neuesten Standards implementiert und gewartet werden, ist die Kommunikation bestmöglich gesichert, wie auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.

Lesen Sie hier für weitere Informationen zu Z1 SecureMail Gateway.


Pressemitteilung im PDF-Format herunterladen
Grafik im PNG-Format herunterladen (700x700px – 31 KB)


Top

Zertificon-Newsletter

×

Aktuelles zu unseren Z1 Produkten und allgemeine Informationen zum Thema E-Mail- und Datensicherheit –
ca. 12 x jährlich, jederzeit abbestellbar

Jetzt abonnieren!