:quality(80)/p7i.vogel.de/wcms/b7/46/b7466f5a8db82aa5c145e26c3066719e/0111748007.jpeg "Ministerin Ina Scharrenbach will kommunale Angebote auf einer eigenen Plattform bündeln (Bild: MHKBG NRW 2021/F. Berger)")
:quality(80)/p7i.vogel.de/wcms/cc/bf/ccbfd991cf7ff6a6e18a0bd16d8ad60e/0111724063.jpeg "Die neue Plattform Open Data Bayern stellt eine Vielzahl an Datensätzen aus Verwaltung und Behördenalltag kostenfrei zur Verfügung (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/c2/adc201f97f0060f4cd626f625e92b6cb/0111701152.jpeg "Manja Schüle, Brandenburgs Wissenschaftsministerin, über ChatGPT: „Manchmal behauptet es auch schlicht Unsinn“ (Bild: Karoline Wolf)")
:quality(80)/p7i.vogel.de/wcms/f5/98/f598a6d642a33b9684c389194f97bd7d/0111701130.jpeg "Digitalisierungsminister Pegel sieht in Taiwan ähnliche Herausforderungen bei der Digitalisierung wie in Mecklenburg-Vorpommern (Bild: Konstantin Hermann – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/6a/756a50810f475a5419d5910733b18661/0111768414.jpeg "Das Rokoko-Schloss Dornburg war Schauplatz der openDVA 2023 (© Lapping Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/47/da47963725e72f53f4588ff1ecddb426/0111745771.jpeg "Spezialisierte eGovernement-Beratungen können bei der Digitalisierung im Public Sector unterstützen (©Impact Photography – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/bf/babf6f753a6efbc5402a8daae1feb5da/0111701988.jpeg "OpenAI-Chef, Sam Altman: „Es gibt Situationen – und ich denke, dies ist eine davon – in denen wir proaktiv handeln sollten“ (Bild: SomYuZu – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/a8/7b/a87bfecc5f927cc79fe3596501350818/0111556710.jpeg "Die KOMMUNALE in Nürnberg bringt Entscheider der Öffentlichen Verwaltung mit Vertretern der freien Wirtschaft in Kontakt. (© KOMMUNALE)")
:quality(80)/p7i.vogel.de/wcms/b5/07/b507687cad6f633b5946875b43216670/0111470895.jpeg "Daniela Ortmann ist die neue Vorsitzende des ver.di Bundesbeamtenausschusses (© Kay Herschelmann)")
:quality(80)/p7i.vogel.de/wcms/c8/4a/c84a7ecf0df24ccc36cd60c6d7b5f654/0111671850.jpeg "(© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/a0/21/a0219e077801ea3a97a91fa4847b7527/0111190125.jpeg "(© Computacenter)")
:quality(80)/p7i.vogel.de/wcms/47/2f/472f90c283a6dc05875b31699f425268/0111183793.jpeg "(© Axians Infoma)")
:quality(80)/p7i.vogel.de/wcms/61/45/6145082fe2d5d082ec1290cf8b4bd8b1/0110567250.jpeg "(© National Cancer Institute)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/00/84/008499da62176484461a2e25407be021/0111256989.jpeg "Der Schirmherr des eGovernment Summit 2023, der Beauftragte der Bundesregierung für Informationstechnik, Dr. Markus Richter (Bild: Vogel IT-Akademir)")
:quality(80)/p7i.vogel.de/wcms/59/ea/59eaf92ed9991222146abe4a8cea85ab/0111200130.jpeg "Machen Sie mit und wählen Sie den CIO des Jahres 2023! (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/4c/0d/4c0de169fbce22d9a750037ed1d4d66b/0111495677.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/13/2b/132bb48c68be3db224a1608e8891bb4f/0111416944.jpeg "(© Maridav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ea/4aeaf61fff726dbdc495e4ae61432ec4/0111416905.jpeg "(© regisafe)")
:quality(80)/p7i.vogel.de/wcms/af/aa/afaabca5b950364133618dc00c3416e0/0111674953.jpeg "3rd Level Support: höchste Eskalationsstufe im Kundendienst (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/a9/26a90eda36e087cd9836ebdbbb173383/0111674095.jpeg "2nd Level Support: Bindeglied zwischen 1st Level Support und 3rd Level Support (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/45/2045b59fd6df7e7fa8a2492a7f361e78/0111673527.jpeg "Eine adaptive Sicherheitsrichtlinie erlaubt es Administratoren, sich schnell an die sich ständig ändernde Bedrohungslandschaft anzupassen (Bild: aga7ta – stock.adobe.com)")
Efail-Schwachstelle und die Zukunft der eMail-Verschlüsselung „Nicht das Verschlüsselungsverfahren, sondern die Implementierung ist das Problem“
Trotz aktuell entdeckter Sicherheitsprobleme: eMails zu verschlüsseln, gehört zu den wichtigsten Maßnahmen der IT-Sicherheit. Diese Meinung vertritt Security-Experte Kim Nguyen. Wir sprachen mit dem Geschäftsführer der D-Trust GmbH vor dem Hintergrund der Efail-Debatte über falsche Interpretationen, die richtigen Lehren und vertrauenswürdige Instanzen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134400/134462/65.png "procilon_group_logo_400px_q.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/61/8e/618e774811e12/logo-disy-mit-slogan.png "logo-disy-mit-slogan (Disy Informationssysteme GmbH)"){kind=logo}
Ein deutsches Forscherteam hat jüngst unter dem Stichwort Efail Sicherheitslücken bei verschlüsselter eMail-Kommunikation publik gemacht. Ist eMail-Verschlüsselung überhaupt noch ratsam?
Nguyen: Auf jeden Fall! Nur mit verschlüsselten Mails und verschlüsselten Dateianhängen kön-nen vertrauliche Informationen und wichtige Geschäftsdokumente vor unberechtigten Zugriffen geschützt werden. Aus den Efail-Schwachstellen den Schluss zu ziehen, aus der eMail-Verschlüsselung auszusteigen oder gar nicht erst damit anzufangen, ist die falsche Interpretation.
In einigen Medien wird aber genau dies gefordert. Schlagzeilen behaupten: „Sicherheitsforscher haben die Verschlüsselung von eMails ausgehebelt.“ Und in Kommentaren heißt es: „Unsere aktuelle eMail-Verschlüsselung ist kaputt und wohl nicht zu retten.“
Nguyen: Leider enthalten einige Berichte übertriebene und aus dem Kontext gerissene Formulierungen. Zudem gehen Kommentare, die das Ende der eVerschlüsselung ausrufen, eindeutig zu weit.
Richtig ist: Verschlüsselte eMails können so manipuliert werden, dass Angreifer den Inhalt einer verschlüsselten Nachricht lesen können – und zwar nachdem der Empfänger sie entschlüsselt hat.
Falsch ist: Dass die Verschlüsselungstechnik selbst kompromittiert ist.
Das Problem liegt also nicht an den Algorithmen oder generell an dem Verschlüsselungsverfahren, sondern an der Art und Weise, wie die eMail-Verschlüsselung im-plementiert ist.
Können Sie uns das etwas genauer erläutern?
Nguyen: Das Sicherheitsproblem entsteht, wenn im eMail-Programm des Empfängers das automatische Nachladen von HTML-Inhalten vorkonfiguriert ist. Die Angreifer fangen die verschlüsselte Mail des Absenders ab und manipulieren sie mit aktiven HTML-Inhalten, zum Beispiel mit Bildern oder Darstellungscodierungen, sogenannten Styles. Danach wird die so präparierte Mail an den Empfänger geschickt. Dessen eMail-Client entschlüsselt die eMail und lädt gleichzeitig alle externen HTML-Inhalte. Beim Laden bekommen die Angreifer – ohne dass der Empfänger es merkt – auch den jetzt lesbaren Text der Mail zugeschickt. Ein Angreifer entschlüsselt die Mail also nicht selbst. Vielmehr lässt er den Empfänger die Nachricht entschlüsseln und dann den Klartext durch manipulierte HTML-Inhalte an einen Server unter seiner Kontrolle schicken.
Welche Gegenmaßnahmen empfehlen Sie den Anwendern?
Nguyen: Die Sicherheitslücke lässt sich durch Sicherheitsupdates und durch ein angepasstes Nutzerverhalten schließen. Unternehmen und Endverbraucher erhalten auf den Webseiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) dafür detaillierte Informationen. Wenn wir über die kurzfristigen Maßnahmen hinausblicken, kann Efail sich langfristig positiv auf die eMail-Verschlüsselung auswirken.
Sie meinen: die Krise als Chance?
Nguyen: Genau. Seien wir doch mal ehrlich. Bisher hat sich eMail-Verschlüsselung in der Breite nicht durchgesetzt. Laut einer Studie der Bundesdruckerei schützen nur 45 Prozent der Unternehmen und Organisationen ihre Mails mit einem Verschlüsselungssystem. Das muss sich ändern. Denn Organisationen und Unternehmen versenden per Mail zunehmend auch vertrauliche und geschäftskritische Informationen, zum Beispiel Verträge, Patente, Protokolle oder Steuerunterlagen. Efail könnte hier ein Weckruf an alle Akteure der eMail-Verschlüsselung sein, die Probleme und Herausforderungen gemeinsam und aktiv an-zugehen.
(ID:45343685)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934647/original.jpg "Nach Angaben von IT-Sicherheitsfirmen werden mittlerweile bei manchen Ransomware-Angriffen zweistellige Millionensummen für die Entschlüsselung der blockierten Systeme gefordert (magele-picture – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935000/1935089/original.jpg "Bei der Bekämpfung von Ransomeware sollte der Fokus nicht nur auf der Abwehr der Angriffe liegen, der Schutz der Daten gegen die Verschlüsselung spielt ebenso eine entscheidende Rolle (zephyr_p – stock.adobe.com)")