Security: Kritik am E-Mail-Dienst Protonmail

Protonmail verspricht dank Verschlüsselung weitgehend sichere E-Mail-Kommunikation. Der Dienst bietet einen webbasierten Zugang zu den Postfächern. Dort wurde bereits ein XSS-Fehler entdeckt.

Artikel veröffentlicht am ,
Die Sicherheit des E-Mail-Dienstes wird kritisiert.
Die Sicherheit des E-Mail-Dienstes wird kritisiert. (Bild: Protonmail/Screenshot: Golem.de)

Als "Anfängerfehler" hat der Sicherheitsexperte Thomas Roth den Cross-Site-Scripting-Fehler bezeichnet, den er im Webfrontend des schweizerischen E-Mail-Dienstes Protonmail entdeckt hat. Zunächst hatte er den Fehler direkt bei den Entwicklern gemeldet, die reagierten jedoch nicht. Erst nach der zweiten E-Mail schlossen die Protonmail-Entwickler die Lücke, ohne Roth Bescheid zu geben. Ein Dienst, der mit Sicherheit werbe, müsse aber transparent kommunizieren, sagte Roth der Neuen Zürcher Zeitung (NZZ).

Inzwischen sei der Fehler behoben worden, sagte Protonmail-Entwickler Andy Yen. Es habe deshalb keinen Grund gegeben, damit an die Öffentlichkeit zu gehen. Auch Roths Vorwurf bezüglich mangelnder Transparenz wies Yen gegenüber der NZZ zurück. Die Protonmail-Entwickler arbeiteten schließlich daran, Mängel in dem bislang als Beta eingestuften Dienst schneller zu beseitigen und die Öffentlichkeit besser zu informieren.

Indes kritisierte der Schweizer Sicherheitsexperte Nicolas Mayencourt den neuen E-Mail-Dienst ebenfalls. Protonmail wirbt damit, dass es selbst keinen Zugang zu den E-Mails seiner Kunden habe. Kunden müssen sich zunächst mit einem Passwort beim E-Mail-Dienst anmelden. Dann wird eine verschlüsselte Verbindung aufgebaut, über die ein zweites Passwort verschickt wird. Erst damit würden die E-Mails entschlüsselt, so Protonmail.

Protonmail könne das zweite Passwort aber sehr wohl abgreifen, etwa wenn es dazu gezwungen werde, sagte Mayencourt. Grundsätzlich funktioniere Protonmail nicht anders als Lavabit. Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und Protonmail sei der, dass Protonmail in der neutralen Schweiz basiert sei.

Aber auch dort sei die von Protonmail beworbene hundertprozentige Anonymität nicht gewährleistet, sagte Mayencourt. Denn nach der schweizerischen Gesetzesvorlage betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) müssten auch E-Mail-Dienste im Zweifel die Zugangsdaten ihrer Kunden herausrücken. Protonmail legt die Gesetzesvorlage hingegen so aus, dass der Passus nur für Provider gilt. Yen spricht von einer rechtlichen Grauzone im umstrittenen Büpf, das im Frühjahr vom Ständerat verabschiedet wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Bridge
Protonmail startet lokalen IMAP-Server für Verschlüsselung
artikel-bild
Government Hack
Hack on German Government via E-Learning Software Ilias
artikel-bild
Privatsphäre
Verschlüsselter E-Mail-Dienst Lavabit kommt wieder
Meistgelesen
artikel-bild
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung
artikel-bild
Ticwatch Pro 5 im Test
Smartwatch mit zwei Displays hält lange durch
artikel-bild
Generative Fill
Wie Adobes KI-Funktionen das Internet spalten
Kommentarübersicht
lustiger finde ich das;
eikira 09. Jul 2014

"Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und...

Luftnummer
ploedman 09. Jul 2014

Da will nur jemand schnell Geld machen, wegen der ganzen NSA Sache. Ist nichts anderes...

Re: 100% Sicherheit
<script></script> 09. Jul 2014

naja, wenn tags noch nicht mal herausgefiltert werden... http://vimeo.com/99599725

Aktuell auf der Startseite von Golem.de
Forschung oder Ölbohrung?
China gräbt ein zehn Kilometer tiefes Loch

Die Bohrung im Westen Chinas soll dazu dienen, mehr über das Innere des Planeten herauszufinden - oder doch dazu, um nach Öl zu suchen?

Forschung oder Ölbohrung?: China gräbt ein zehn Kilometer tiefes Loch
Artikel
  1. Forschung: Erstes Röntgenbild von einem einzelnen Atom
    Forschung
    Erstes Röntgenbild von einem einzelnen Atom

    Bisher war die Röntgenemission eines einzelnen Atoms zu schwach, um es auf einer Röntgenaufnahme abzulichten. Mit einer neuen Technik geht das jetzt.

  2. Gigafactory: Berlin besorgt um Wasser wegen Tesla-Fabrik
    Gigafactory
    Berlin besorgt um Wasser wegen Tesla-Fabrik

    Die Prüfungen der Tesla-Gigafactory betrachteten den Klimawandel nicht und angrenzende Gebiete zu wenig, sagen die Berliner Wasserbetriebe.

  3. Blizzard: Preise im Itemshop von Diablo 4 entfachen Empörung
    Blizzard
    Preise im Itemshop von Diablo 4 entfachen Empörung

    Die Community reagiert sauer auf Leaks über die Preise im Itemshop von Diablo 4. Ein Rüstungsset kostet fast so viel wie früher ein Add-on.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Tiefstpreise: AMD Ryzen 9 7900X3D 534€, KFA2 RTX 3060 Ti 329,99€, Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Days of Play: PS5-Spiele & Zubehör bis -70% • Roccat PC-Zubehör bis -50% • AVM Modems & Repeater bis -36% • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /