Anzeige
Die Sicherheit des E-Mail-Dienstes wird kritisiert.
Die Sicherheit des E-Mail-Dienstes wird kritisiert. (Bild: Protonmail/Screenshot: Golem.de)

Security: Kritik am E-Mail-Dienst Protonmail

Protonmail verspricht dank Verschlüsselung weitgehend sichere E-Mail-Kommunikation. Der Dienst bietet einen webbasierten Zugang zu den Postfächern. Dort wurde bereits ein XSS-Fehler entdeckt.

Anzeige

Als "Anfängerfehler" hat der Sicherheitsexperte Thomas Roth den Cross-Site-Scripting-Fehler bezeichnet, den er im Webfrontend des schweizerischen E-Mail-Dienstes Protonmail entdeckt hat. Zunächst hatte er den Fehler direkt bei den Entwicklern gemeldet, die reagierten jedoch nicht. Erst nach der zweiten E-Mail schlossen die Protonmail-Entwickler die Lücke, ohne Roth Bescheid zu geben. Ein Dienst, der mit Sicherheit werbe, müsse aber transparent kommunizieren, sagte Roth der Neuen Zürcher Zeitung (NZZ).

Inzwischen sei der Fehler behoben worden, sagte Protonmail-Entwickler Andy Yen. Es habe deshalb keinen Grund gegeben, damit an die Öffentlichkeit zu gehen. Auch Roths Vorwurf bezüglich mangelnder Transparenz wies Yen gegenüber der NZZ zurück. Die Protonmail-Entwickler arbeiteten schließlich daran, Mängel in dem bislang als Beta eingestuften Dienst schneller zu beseitigen und die Öffentlichkeit besser zu informieren.

Indes kritisierte der Schweizer Sicherheitsexperte Nicolas Mayencourt den neuen E-Mail-Dienst ebenfalls. Protonmail wirbt damit, dass es selbst keinen Zugang zu den E-Mails seiner Kunden habe. Kunden müssen sich zunächst mit einem Passwort beim E-Mail-Dienst anmelden. Dann wird eine verschlüsselte Verbindung aufgebaut, über die ein zweites Passwort verschickt wird. Erst damit würden die E-Mails entschlüsselt, so Protonmail.

Protonmail könne das zweite Passwort aber sehr wohl abgreifen, etwa wenn es dazu gezwungen werde, sagte Mayencourt. Grundsätzlich funktioniere Protonmail nicht anders als Lavabit. Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und Protonmail sei der, dass Protonmail in der neutralen Schweiz basiert sei.

Aber auch dort sei die von Protonmail beworbene hundertprozentige Anonymität nicht gewährleistet, sagte Mayencourt. Denn nach der schweizerischen Gesetzesvorlage betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) müssten auch E-Mail-Dienste im Zweifel die Zugangsdaten ihrer Kunden herausrücken. Protonmail legt die Gesetzesvorlage hingegen so aus, dass der Passus nur für Provider gilt. Yen spricht von einer rechtlichen Grauzone im umstrittenen Büpf, das im Frühjahr vom Ständerat verabschiedet wurde.


eye home zur Startseite
eikira 09. Jul 2014

"Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und...

ploedman 09. Jul 2014

Da will nur jemand schnell Geld machen, wegen der ganzen NSA Sache. Ist nichts anderes...

<script></script> 09. Jul 2014

naja, wenn tags noch nicht mal herausgefiltert werden... http://vimeo.com/99599725

Kommentieren



Anzeige

  1. Software Development Engineer C++ (m/w) Low Frequency Solver Technology
    CST - Computer Simulation Technology AG, Darmstadt
  2. Komponentenverantwortliche/r für Windowsserver
    Landeshauptstadt München, München
  3. Product and Media Data Expert (m/w)
    Robert Bosch GmbH, Leinfelden-Echterdingen
  4. Leitung IT-Prozesse / Anwendungen (m/w)
    ERDINGER Weißbräu, Erding

Detailsuche



Anzeige
Spiele-Angebote
  1. VORBESTELLBAR: World of Warcraft: Legion (Add-On) - Collector's Edition
    79,99€
  2. NEU: Star Wars Battlefront (PS4/XBO)
    je 24,99€
  3. VORBESTELLBAR: Gran Turismo Sport [PlayStation 4]
    69,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Kupferkabel

    M-net setzt im Kupfernetz schnelles G.fast ein

  2. Facebook

    EuGH könnte Datentransfer in die USA endgültig stoppen

  3. Prozessoren

    Intel soll in Deutschland Abbau von 350 Stellen planen

  4. CCIX

    Ein Interconnect für alle

  5. Service

    Telekom-Chef kündigt Techniker-Termine am Samstag an

  6. Ausstieg

    Massenentlassungen in Microsofts Smartphone-Sparte

  7. Verbot von Geoblocking

    Brüssel will europäischen Online-Handel ankurbeln

  8. Konkurrenz zu DJI

    Xiaomi mit Kampfpreis für Mi-Drohne

  9. Security-Studie

    Mit Schokolade zum Passwort

  10. Lenovo

    Moto G4 kann doch mit mehr Speicher bestellt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  2. APT28 Hackergruppe soll CDU angegriffen haben
  3. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"

Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

  1. und dann noch HD+ Extra bezahlen!

    Accolade | 18:52

  2. Re: hat der gekifft ?

    it-fuzzy | 18:51

  3. Re: Kosten die 850 evos inzwischen nicht genauso...

    Hotohori | 18:51

  4. Re: Vermutlich gibt es keinen Markt für sowas

    George99 | 18:48

  5. Re: Frage nach dem Nutzernamen?

    Niantic | 18:47


  1. 18:48

  2. 17:49

  3. 17:32

  4. 16:54

  5. 16:41

  6. 15:47

  7. 15:45

  8. 15:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel