Articon empfiehlt interne Verschlüsselung

Sicherheitsleck in Outlook

25.06.1999
MÜNCHEN (pi) - Microsofts "Outlook 98" macht es Hackern leicht, Unternehmensdaten unter falscher Adresse anzufordern. Verhindern kann dies der interne Einsatz von Mail-Verschlüsselung und digitalen Signaturen.

Durch einen einfachen Trick ist es Hackern möglich, in den E-Mail-Verkehr eines Unternehmens einzugreifen. Da MS-Outlook das Reply-Feld mit der genauen Mail-Adresse des Empfängers einer Antwort-Mail versteckt, erkennt deren Absender nicht, an wen die Antwort geht. Wenn ein Angreifer seine wahre Identität hinter einer "geliehenen" internen Adresse versteckt, kann er beispielsweise als vermeintlicher Finanzchef um die Überstellung der neusten Umsatzzahlen bitten. Der ahnungslose Mitarbeiter sendet die angeforderten Daten mittels "Reply", da ihm verborgen bleibt, daß die Mail an eine andere Adresse geht. Erkennbar ist die tatsächliche Adresse nur, wenn sich der Anwender mit einem Klick der rechten Maustaste die Eigenschaften der Empfängeradresse anzeigen läßt.

Wie der Bugtraq-Mailingliste zu entnehmen ist, kennt Microsoft das Problem, schreibt es jedoch dem Simple Mail Transfer Protocol (SMTP) zu. Mit einem Fix ist daher erst bei einem sicheren SMPT-Nachfolger zu rechnen.

Unternehmen, die Outlook als E-Mail-Client einsetzen, rät die Articon Information Systems AG, Ismaning, daher zur Installation einer automatischen Mail-Verschlüsselung in Kombination mit digitalen Signaturen. Die Firma bietet dafür die Lösung "Mailsecure". Das Produkt prüft die digitalen Signaturen eingehender Mails und erkennt laut Anbieter somit gefälschte Adressen.