Office 365: Microsofts E-Mail-Verschlüsselung ist unsicher
Mit der Office 365 Message Encryption (OME) von Microsoft sollen "verschlüsselte E-Mail-Nachrichten zwischen Personen innerhalb und außerhalb Ihres Unternehmens zu senden und zu empfangen" sein. Doch laut der Sicherheitsfirma Withsecure ist die eingesetzte Technik für diesen Zweck ungeeignet. Zuerst hatte das Onlinemagazin The Register berichtet(öffnet im neuen Fenster) .
So werde bei der Verschlüsselung mit AES auf den unsicheren ECB-Modus (Electronic Code Book Mode) gesetzt. Ist der Klartext zweier Blöcke in diesem Modus identisch, so sind dies auch die verschlüsselten Blöcke. Bei Bildern führen die selben Pixel-Blöcke entsprechend auch zu identischen verschlüsselten Blöcken. Dadurch kann ein Bild zumindest grob wieder sichtbar gemacht werden, wie es bereits vor vielen Jahren mit einem Bild des Linux-Maskottchens Tux demonstriert wurde(öffnet im neuen Fenster) . Die Strukturen des Bildes sind auch bei Verschlüsselung im ECB-Modus weiterhin gut zu erkennen.
Entsprechend gilt der ECB-Modus als unsicher und sollte nicht für die Verschlüsselung von Daten eingesetzt werden. Laut der US-Standardisierungsbehörde NIST(öffnet im neuen Fenster) "stellt die Verwendung von ECB zur Verschlüsselung vertraulicher Informationen eine ernsthafte Sicherheitslücke dar."
Angreifer könnten auf Inhalte in E-Mails schließen
"Angreifer, die in der Lage sind, mehrere Nachrichten in die Hände zu bekommen, können die durchgesickerten ECB-Informationen nutzen, um den verschlüsselten Inhalt herauszufinden," sagte Harry Sintonen, Sicherheitsforscher bei Withsecure, in einer Stellungnahme(öffnet im neuen Fenster) .
"Eine größere Anzahl von E-Mails macht diesen Prozess einfacher und präziser, so dass er von Angreifern durchgeführt werden kann, nachdem sie bei einem Datenschutzverstoß E-Mail-Archive gestohlen haben oder in das E-Mail-Konto oder den E-Mail-Server einer Person eingebrochen sind oder sich Zugang zu Backups verschafft haben." Withsecure vermutet, dass Microsoft aus Kompatibilitätsgründen weiterhin auf die Verschlüsselung im ECB-Modus setzt.
Microsoft sieht kein Sicherheitsproblem
Microsoft sieht hingegen kein Problem in der Verwendung des unsicheren ECB-Modus: "Der Bericht erfüllt weder die Anforderungen an die Sicherheitswartung, noch wird er als Verstoß betrachtet. Es wurde keine Code-Änderung vorgenommen und daher wurde kein CVE für diesen Bericht ausgegeben," heißt es von Microsoft.
"Da Microsoft keine Pläne hat, diese Schwachstelle zu beheben, besteht die einzige Möglichkeit darin, die Verwendung von Microsoft Office 365 Message Encryption zu vermeiden," schreibt Withsecure. Das gelte auch im Hinblick auf die Datenschutzgrundverordnung (DSGVO).