Die Standards OpenPGP und S/MIME, die zur Verschlüsselung von E-Mails verwendet werden, sind angreifbar und können die Sicherheit verschlüsselter E-Mails nicht ausreichend garantieren.

Entdeckt wurde diese Sicherheitslücke vom Team von Prof. Dr. Sebstian Schinzel (FH Münster) und Mitarbeitern des Lehrstuhls für Netz- und Datensicherherheit des Horst Görtz Instituts an der Ruhr-Universität Bochum. Auf der eigens hierfür eingerichteten Webseite EFAIL beschreiben die Forscher erfolgreiche Angriffe auf OpenPGP und S/MIME, die den Klartext verschlüsselter E-Mails leaken. Durch die Agriffe werden die jeweiligen Standards gebrochen. Betroffen sind mindestens 25 der 35 getesteten S/MIME-Clients, und mindestens 10 der 28 getesteten OpenPGP-Clients. Diese Zahl kann sich aber noch erhöhen. Der einzig zuverlässige Schutz besteht nach heutigem Kenntnisstand darin, die Entschlüsselungsfunktionalität im Email-Client komplett zu deaktivieren und verschlüsselte Texte manuell zu entschlüsseln.

Zur Webseite EFAIL