Die neue Gmail-Verschlüsselung: Ein Paradies für Cyberkriminelle?
Eine neue Funktion von Gmail, die für mehr Sicherheit sorgen soll, könnte auch das Gegenteil bewirken. (Foto: abdullah serbest/Shutterstock)
Google ist gerade dabei, die E-Mail-Kommunikation seiner Kund:innen vor allem im Hinblick auf die Sicherheit zu optimieren. In einem ersten Schritt können Unternehmen in einer Beta-Version bereits ein neues Feature testen, um ihre E-Mails zu verschlüsseln.
Später soll die neue Funktion für alle Nutzer:innen von Google Workspace zur Verfügung gestellt werden, die ihre sicher verschlüsselten E-Mails wiederum an alle Inhaber:innen eines Gmail-Kontos verschicken können. Für Ende 2025 ist dann eine weitere Nutzungsmöglichkeit geplant, die Sicherheitsexpert:innen allerdings kritisch sehen.
Die Nachrichten können auch an Empfänger:innen ohne Gmail-Konto gehen
Dann nämlich sollen Gmail-Nutzer:innen die Ende-zu-Ende verschlüsselten Nachrichten auch an Empfänger:innen schicken können, die ihr E-Mail-Konto nicht bei Google haben.
Empfänger:innen ohne Gmail-Konto bekommen dann von Gmail eine Einladung mit einem Link, über den sie zu einem sicheren Google-Workspace-Gastkonto weitergeleitet werden. Dort eingeloggt können sie die Nachricht lesen und auch beantworten.
Die Einladungs-Mails sind Einfallstore für Cyberkriminelle
Genau dieser Prozess ist es, der Ängste vor neuen Möglichkeiten für Phishing-Angriffe wachruft. Cyberkriminelle könnten die Einladungen fälschen und mit schädlichen Links versehen oder die Empfänger:innen auffordern, sensible Daten wie das Passwort für ihren E-Mail-Account.
Gegenüber dem Online-Magazin Wired sagte Jérôme Segura, Senior Director of Threat Intelligence beim US-Unternehmen Malwarebytes: „Nutzer:innen wissen möglicherweise noch nicht genau, wie eine legitime Einladung aussieht, was sie anfälliger dafür macht, auf eine gefälschte Einladung zu klicken.“
Ein Warnhinweis mit wenig Warneffekt
Um die Empfänger:innen auf die mögliche Gefahr hinzuweisen, enthalten die E-Mails mit den Einladungen einen Warnhinweis, wie Google ihn auch bei Drive-Benachrichtigungen beim Teilen von Dateien verschickt. Darin werden die Empfänger:innen darauf hingewiesen, dass es sich um eine verschlüsselte Nachricht eines externen Anbieters handelt.
Die Handlungsempfehlung lautet entsprechend, sicherzustellen, dass die oder der Absender:in vertrauenswürdig ist, bevor man seine Benutzernamen und das Passwort eingibt. Dass das viel helfen wird, glaubt der Sicherheitsexperte Segura nicht.
„Es ist fast so, als ob jemand bei Google gewusst hätte, dass das eine schlechte Idee ist und deswegen darum gebeten hätte, eine Warnung hinzuzufügen.“ Die Betrüger:innen würden die Google-Vorlage einfach in ihre Phishing-Mails aufnehmen und sogar die Warnung dazupacken, die ohnehin übersehen werde.
