Trügerische Sicherheit: Warum PDF-Verschlüsselung alles andere als ratsam ist

Sie möchten auch dann DSGVO-konform per E-Mail mit Kunden kommunizieren können, wenn diese keine Zertifikate beziehungsweise kein eigenes Schlüsselmaterial besitzen? Ist doch ganz einfach: Ein verschlüsselter PDF-Anhang macht’s möglich. Oder auch nicht!

Als Schutz vor Cyberkriminellen sollten vertrauliche Informationen, die per E-Mail verschickt werden, immer ausreichend abgesichert sein. Aus diesem Grund setzen zahlreiche Firmen auf verschlüsselte PDF-Dateien. Sie gehen davon aus, die Verschlüsselung von PDFs biete genügend Sicherheit für personenbezogene Daten, und vertrauen der bewährten Methode blind. Auf den ersten Blick mag eine solche Vorgehensweise vielleicht sogar nachvollziehbar sein, denn die PDF-Verschlüsselung erscheint sicher und einfach zu handhaben. Ein weiterer Vorteil ist, dass die E-Mail komplett ausgeliefert wird. Beim genaueren Hinsehen fällt jedoch auf, dass die Art der Verschlüsselung einige Nachteile aufweist und die elektronische Nachricht nicht hinreichend geschützt ist. Mit simplen Online-Tools zur PDF-Entschlüsselung gelangen Hacker schnell und problemlos an das Passwort und sind in der Lage, E-Mails mitzulesen oder inhaltlich zu verändern. Geht das Passwort erst einmal verloren, ist außerdem auf herkömmlichem Wege kein Zugriff mehr möglich. Eine fortlaufende verschlüsselte Kommunikation bleibt somit nicht länger bestehen.

Angriffsszenario PDFex

Erst vor Kurzem haben deutsche Sicherheitsforscher herausgefunden, wie anfällig verschlüsselte PDF-Dokumente für Exfiltration-Attacken sind.[1] Auch ohne das Passwort zu kennen, können Angreifer dabei auf eigentlich verschlüsselte Informationen zugreifen und Elemente im Klartext einsehen. Das Problem liegt im PDF-Standard: Verschlüsselte PDF-Dokumente weisen immer Dateibereiche auf, die unverschlüsselt sind. An diesen Stellen lässt sich die Datei durch einen Schadcode manipulieren. Gibt der Empfänger anschließend wie üblich den Schlüssel ein, wird der veränderte Inhalt über den hinzugefügten Code an den Angreifer weitergeleitet.

Mit SEPPmail Sicherheitsrisiken minimieren

Damit Angriffsszenarien wie PDFex ausgeschlossen werden können, erfordert auch die PDF-Verschlüsselung zusätzliche Maßnahmen, die das Vorgehen meist wieder verkomplizieren. Daher sind professionelle Verschlüsselungslösungen ratsam, die entgegen der Erwartung vieler Unternehmen inzwischen nicht mehr zwangsläufig großen Aufwand verursachen.

Mit der Verschlüsselungslösung von SEPPmail erhalten Unternehmen ein benutzerfreundliches und intuitiv bedienbares Tool, das eine sichere und DSGVO-konforme Kommunikation erlaubt. Die Lösung unterstützt alle gängigen Verschlüsselungsverfahren und prüft vor jedem E-Mail-Versand, ob der Empfänger über eigenes Schlüsselmaterial verfügt. Sollte der Empfänger selbst keine Verschlüsselungslösung nutzen, setzt die GINA-Technologie ein. Im Gegensatz zur PDF-Verschlüsselung, für die ein vollwertiger, kostenpflichtiger PDF-Reader benötigt wird, bedarf das Verfahren weder beim Absender noch beim Empfänger einer zusätzlichen Software-Installation. Alle E-Mails lassen sich im gewohnten E-Mail-Programm empfangen und genauso einfach wie verschlüsselte PDF-Dateien mit einer kurzen Passworteingabe entschlüsseln. Nicht anders als bei PDFs werden die E-Mails inklusive aller Dateianhänge und Formatierungen komplett ausgeliefert und liegen vollständig auf dem Empfängersystem vor. Die SEPPmail-Lösung hingegen gestattet, dass das Passwort jederzeit anpassbar ist und der Zugang standardmäßig nach fünf Falscheingaben gesperrt wird. Hinzu kommt, dass der Nutzer dank einer Antwortfunktion in der Lage ist, über einen sicheren Rückkanal verschlüsselt zu antworten. Durch die Ergänzung einer digitalen Signatur ist zudem sichergestellt, dass die E-Mail auf dem Versandweg nicht verändert wurde.

Wozu also noch länger auf die riskante PDF-Verschlüsselung vertrauen, wenn es Lösungen wie das SEPPmail Secure E-Mail Gateway gibt, die einen sicheren, vertraulichen und obendrein unkomplizierten Informationsaustausch gewährleisten?

https://web-in-security.blogspot.com/2019/09/pdfex-major-security-flaws-in-pdf.html