Thema der Woche

6. April 2001

Post-Plug-in kompromittiert Klartexte

Im Zusammenspiel mit Microsoft Exchange 2000 verschickt das Mail-Client-Plug-in "eTrust Mail für Microsoft Outlook" verschlüsselte Nachrichten zusätzlich auch im Klartext. Das Sicherheitsloch fiel Experten bei Interoperabilitätstests auf und wurde von der externer Link Deutschen Post eBusiness GmbH Geschäftsfeld Signtrust bestätigt. Betroffen sind sowohl die Version 1.01 als auch die neue Version 1.11. Innerhalb einer Exchange-2000-Umgebung, etwa im Intranet, kommt der Fehler normalerweise stetig zum Tragen, beim Versand an einen externen SMTP-Server nur dann, wenn der Absender oder sein Mail-Administrator als Übertragungsformat RTF (Ritch Text Format) gewählt hat. Mit einem Exchange Server 5.5 oder einer direkten Anbindung an einen SMTP/POP3-Server tritt der Fehler nach Angaben der Tester hingegen nicht auf.

Beim Versand der aktuellen Version weist die Deutsche Post Signtrust zwar bereits darauf hin, dass eTrust Mail in Kombination mit einem Microsoft Exchange Server 2000 "zurzeit nicht einsetzbar" sei, gibt aber keinen Hinweis auf ein Sicherheitsproblem. Beim Betrieb mit Exchange 2000 zeigen sich jedoch zunächst keine Auffälligkeiten und normalerweise bemerkt auch der Empfänger den Fehler nicht, da ein dort installiertes Plug-in nur die verschlüsselten Mail-Anteile auswertet und den Klartext im Standard-Mail-Body in der Regel nicht darstellt.

Ein Sprecher der Deutschen Post Signtrust erklärte gegenüber KES, dass in eng umgrenzten Anwendungsumgebungen "derartige Probleme gelegentlich zutage treten". Üblicherweise handele es sich dabei um Firmeninstallationen, die durch die Professional Services der Deutschen Post betreut werden, sodass die Fehler bereits bei der Einrichtung der Systeme auffielen, bevor sie im realen Einsatz zum Tragen kommen können. Bei der Markteinführung neuer Plattformen komme es immer wieder zu Kompatibilitätsproblemen. Nach Angaben der Deutschen Post Signtrust gab es "zum Zeitpunkt der Entwicklung und Evaluierung der betroffenen Version von eTrust Mail noch keine marktfähige Version von Microsoft Exchange Server 2000."

Die Zertifizierung der gemäß Signaturgesetz (SigG) evaluierten "Signtrust Anwenderkomponente" eTrust Mail bezieht sich übrigens nicht auf die Verschlüsselungsfunktion, sondern ausschließlich auf die digitale Signatur. Der jetzt gefundene Fehler dürfte also keine Auswirkung auf die Verbindlichkeit von digitalen Signaturen mit dem Tool der Deutschen Post Signtrust haben.