In Microsoft 365 wurde von Sicherheitsforschern eine ernstzunehmende Schwachstelle entdeckt, mit der Angreifer die Nachrichtenverschlüsselung umgehen können. Eine Fehlerbehebung über einen Patch sei dafür nicht möglich. Was die Schwachstelle genau ist, was Microsoft diesbezüglich unternehmen will und wie Sie selbst Ihre Nachrichtenverschlüsselung sicherer gestalten können, erfahren Sie hier.
Was ist die Schwachstelle?
Die Schwachstelle liegt in der Microsoft Office 365 Message Encryption (OME), denn das dabei zum Einsatz kommende Entschlüsselungsverfahren verwendet die Blockchiffre Electronic Codebook (ECB). Das Problem: ECB gibt strukturelle Informationen über Nachrichten preis. Wenn ein Angreifer Zugriff auf ausreichend viele Nachrichten erlangt, kann er diese abgleichen, um über die Position und Häufigkeit von Mustern auf die Nachrichteninhalte zu schließen.
Für Unternehmen bedeutet das, dass ihre in Outlook verschlüsselten E-Mails anfällig für Hackerangriffe sind. Der Angreifer muss dafür jedoch zunächst Zugriff auf eine große Anzahl an E-Mails erlangen, beispielsweise durch E-Mail-Archive oder Backups. Ein großer Aufwand, der sich nur für hochsensible Daten, die sich beispielsweise für die Wirtschaftsspionage, die Offenlegung von Informationsquellen oder ähnliches einsetzen lassen, lohnt. Einzelne E-Mails reichen nicht aus, um auf die Inhalte zu schließen und sind somit weiterhin sicher.
Was unternimmt Microsoft dagegen?
Microsoft sieht in der Verwendung des unsicheren ECB-Modus kein Problem. Die Schwachstelle erfülle nicht die Anforderungen für eine Sicherheitswartung und wird nicht als Verstoß betrachtet. Microsoft hat deshalb keine Pläne, um die Schwachstelle zu beheben. Somit ist Microsoft Office 365 für die Nachrichtenverschlüsselung hochsensibler Daten nicht zu empfehlen.
Ihr Unternehmen braucht Unterstützung bei der verschlüsselten Kommunikation?
Dann Schreiben Sie uns!
Das können Sie tun, um Ihre Nachrichtenverschlüsselung sicherer zu gestalten
Die Nachrichtenverschlüsselung selbst in die Hand zu nehmen, erscheint auf den ersten Blick vielleicht komplex. Heutzutage gibt es verschiedene Verfahren, mit denen Sie Ihre E-Mails sicher verschlüsseln können, ohne sich technisches Know-how aneignen zu müssen. Eines dieser Verfahren ist beispielsweise PGP, bei denen die Parteien bestimmte Schlüssel benötigen, um auf die Inhalte einer Nachricht Zugriff zu erlangen. In der Vergangenheit war die Einrichtung tatsächlich etwas kompliziert, doch heutzutage gibt es Plug-ins wie Mailvelope oder OutlookPrivacyPlugin, die Ihnen dabei helfen. Diese können Sie ganz einfach in Outlook oder Ihren Browser hinzufügen.
Fazit
Die von Sicherheitsforschern entdeckte Schwachstelle gefährdet hochsensible Daten von allen, die eine große Anzahl an E-Mails an einem Ort gesichert haben, beispielsweise in E-Mail-Archiven oder Backups. Insbesondere Unternehmen und Journalisten sind in Gefahr und sollten ihre Nachrichtenverschlüsselung selbst in die Hand nehmen, da Microsoft die Schwachstelle nicht beheben wird.
Ihr Unternehmen braucht Unterstützung bei der verschlüsselten Kommunikation?
Dann Schreiben Sie uns!
Bilder: freepik / creativeart ; pexels / cottonbro studio