Abo
  • Services:
Anzeige
Die Sicherheit des E-Mail-Dienstes wird kritisiert.
Die Sicherheit des E-Mail-Dienstes wird kritisiert. (Bild: Protonmail/Screenshot: Golem.de)

Security: Kritik am E-Mail-Dienst Protonmail

Protonmail verspricht dank Verschlüsselung weitgehend sichere E-Mail-Kommunikation. Der Dienst bietet einen webbasierten Zugang zu den Postfächern. Dort wurde bereits ein XSS-Fehler entdeckt.

Anzeige

Als "Anfängerfehler" hat der Sicherheitsexperte Thomas Roth den Cross-Site-Scripting-Fehler bezeichnet, den er im Webfrontend des schweizerischen E-Mail-Dienstes Protonmail entdeckt hat. Zunächst hatte er den Fehler direkt bei den Entwicklern gemeldet, die reagierten jedoch nicht. Erst nach der zweiten E-Mail schlossen die Protonmail-Entwickler die Lücke, ohne Roth Bescheid zu geben. Ein Dienst, der mit Sicherheit werbe, müsse aber transparent kommunizieren, sagte Roth der Neuen Zürcher Zeitung (NZZ).

Inzwischen sei der Fehler behoben worden, sagte Protonmail-Entwickler Andy Yen. Es habe deshalb keinen Grund gegeben, damit an die Öffentlichkeit zu gehen. Auch Roths Vorwurf bezüglich mangelnder Transparenz wies Yen gegenüber der NZZ zurück. Die Protonmail-Entwickler arbeiteten schließlich daran, Mängel in dem bislang als Beta eingestuften Dienst schneller zu beseitigen und die Öffentlichkeit besser zu informieren.

Indes kritisierte der Schweizer Sicherheitsexperte Nicolas Mayencourt den neuen E-Mail-Dienst ebenfalls. Protonmail wirbt damit, dass es selbst keinen Zugang zu den E-Mails seiner Kunden habe. Kunden müssen sich zunächst mit einem Passwort beim E-Mail-Dienst anmelden. Dann wird eine verschlüsselte Verbindung aufgebaut, über die ein zweites Passwort verschickt wird. Erst damit würden die E-Mails entschlüsselt, so Protonmail.

Protonmail könne das zweite Passwort aber sehr wohl abgreifen, etwa wenn es dazu gezwungen werde, sagte Mayencourt. Grundsätzlich funktioniere Protonmail nicht anders als Lavabit. Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und Protonmail sei der, dass Protonmail in der neutralen Schweiz basiert sei.

Aber auch dort sei die von Protonmail beworbene hundertprozentige Anonymität nicht gewährleistet, sagte Mayencourt. Denn nach der schweizerischen Gesetzesvorlage betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) müssten auch E-Mail-Dienste im Zweifel die Zugangsdaten ihrer Kunden herausrücken. Protonmail legt die Gesetzesvorlage hingegen so aus, dass der Passus nur für Provider gilt. Yen spricht von einer rechtlichen Grauzone im umstrittenen Büpf, das im Frühjahr vom Ständerat verabschiedet wurde.


eye home zur Startseite
eikira 09. Jul 2014

"Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und...

ploedman 09. Jul 2014

Da will nur jemand schnell Geld machen, wegen der ganzen NSA Sache. Ist nichts anderes...

<script></script> 09. Jul 2014

naja, wenn tags noch nicht mal herausgefiltert werden... http://vimeo.com/99599725



Anzeige

Stellenmarkt
  1. Bosch Software Innovations GmbH, Waiblingen
  2. über Ratbacher GmbH, Bodenseeregion
  3. COMPO Expert GmbH, Münster
  4. über Ratbacher GmbH, Köln


Anzeige
Top-Angebote
  1. Gratis-Zugaben, Game-Gutscheine oder Cashbacks beim Kauf ausgewählter ASUS-Produkte
  2. (heute u. a. LG OLED-TVs u. PC-Zubehör reduziert)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Huawei

    Vectoring mit 300 MBit/s wird in Deutschland angewandt

  2. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff

  3. Bugs in Encase

    Mit dem Forensik-Tool die Polizei hacken

  4. Autonomes Fahren

    Verbraucherschützer fordern "Algorithmen-TÜV"

  5. The Last Guardian im Test

    Gassi gehen mit einem computergesteuerten Riesenbiest

  6. E-Sport

    Cheats und Bots in Südkorea offenbar gesetzlich verboten

  7. Videocodecs

    Netflix nutzt VP9-Codec für Offlinemodus

  8. Kosmobits im Test

    Tausch den Spielecontroller gegen einen Mikrocontroller!

  9. Open Data

    Daten für den Schweizer Verkehr werden frei veröffentlicht

  10. Telekom

    1,1 Millionen Haushalte erhalten VDSL oder Vectoring



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

Breath of the Wild: Spekulationen über spielbare Zelda
Breath of the Wild
Spekulationen über spielbare Zelda
  1. Konsole Nintendo gibt Produktionsende der Wii U bekannt
  2. Hybridkonsole Nintendo will im ersten Monat 2 Millionen Switch verkaufen
  3. Switch Nintendo erwartet breite Unterstützung durch Entwickler

  1. Re: Helikopter-App

    Sascha Klandestin | 15:00

  2. Re: Und dann ist es vorbei ...

    Peter Brülls | 15:00

  3. Re: Einsatzmöglichkeiten?

    sogos | 15:00

  4. Re: TÜV sollte erst mal üben

    F1ndus | 14:58

  5. AirPods

    AssKickA | 14:57


  1. 15:05

  2. 14:54

  3. 14:50

  4. 14:14

  5. 14:00

  6. 13:56

  7. 13:30

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel