Google: Sicherheitslücken in eigenen E-Mail-Signaturen

2. November 2012

Die Webausgabe des amerikanischen Technologie-Magazins Wired berichtet über eine ebenso bemerkenswerte wie denkwürdige Sicherheitslücke in der E-Mail-Nutzung des US-Unternehmens Google, die unter kurios anmutenden Umständen entdeckt wurde.

Auslösendes Momentum war nach dem Bericht eine E-Mail, welche sich unerwartet im Post-Eingang des US-amerikanischen Mathematikers Zachary Harris befand und diesem völlig unerwartet eine Stelle beim Online-Big-Player Google offerierte. Dieser, ob des überraschenden Angebots skeptisch, soll die Authentizität des Absenders anhand der Informationen im Header der E-Mail geprüft, jedoch keine Fehler festgestellt haben. Dabei sei ihm jedoch aufgefallen, dass Google offenbar einen schwachen Signatur-Schlüssel für die tatsächlich aus ihrem Haus ausgehenden E-Mails verwendet. Das dazu von Google verwendete Verfahren DomainKeys Identified Mail (DKIM) sei dabei gängiger Standard und diene der Sicherstellung der Authentizität von E-Mail-Absendern. Entgegen der allgemein als Mindestmaß für eine sichere Verschlüsselung geltenden 1024-Bit-Schlüssel nutzt Google jedoch laut Harris nur einen 512-Bit-Schlüssel, der nicht hinreichend sicher gilt und die Möglichkeit ermöglicht, E-Mails zu fälschen und sich als der vermeintliche Absender auszugeben. Der Wissenschaftler habe jedoch nicht an ein Versehen geglaubt und die offenbarte Sicherheitslücke als ersten Bewerbungstest verstanden. Harris habe daher den Code geknackt und anschließend eine Mail an Google-Chef Larry Page gesendet. Als Absender habe er jedoch nicht sich selber eingesetzt, sondern den Google-Mitbegründer Sergey Brin. Schlussendlich habe er Vorkehrungen getroffen, dass eine mögliche Antwort ebenfalls in seinem Postfach landen würde. Diese sei jedoch ausgeblieben.

Eine Sprecherin von Google soll die Sicherheitslücke inzwischen gegenüber dem Online-Portal Wired eingestanden haben. Diese sei jedoch sehr ernst genommen worden und inzwischen durch die Einsetzung verlängerter Schlüssel behoben.