Outlook versendet Klartext in verschlüsselten Mails

Bereits im Mai dieses Jahres haben Mitarbeiter von SEC Consult und ERNW einen Bug entdeckt, der es unter Umständen möglich machte, dass S/MIME-verschlüsselte E-Mails unbemerkt unverschlüsselte Kopien der Mails mitversendet haben. 

S/MIME ist ein Verschlüsselungsprotokoll wie etwa PGP. Wegen der entdeckten Lücke konnten die Nachrichten mit relativ wenig Aufwand und geringen technischen Kenntnissen mitgelesen werden, etwa beim Zugriff via Phishing. Der Fehler trat dann auf, wenn es sich um eine reine Text-Nachricht handelte. Bei Mails im HTML-Format (also z.B. Newsletter-Mails) trat das Problem nicht auf, auch E-Mail-Anhänge waren vom Problem nicht betroffen.

SEC-Consultant Markus Robin klassierte das Problem als «vollumfängliches Versagen der Qualitätssicherung bei Microsoft», wie Golem.de zitiert. Nach der Mitteilung an Microsoft habe es einige Zeit gedauert, aber gestern habe Microsoft das Problem nun behoben. Auf einen Workaround verzichtet Redmond allerdings bei alten E-Mails, da man die Gefahr, dass die Sicherheitslücke dort ausgenutzt wird, als unwahrscheinlich deklariert.