• IT-Karriere:
  • Services:

Security: Kritik am E-Mail-Dienst Protonmail

Protonmail verspricht dank Verschlüsselung weitgehend sichere E-Mail-Kommunikation. Der Dienst bietet einen webbasierten Zugang zu den Postfächern. Dort wurde bereits ein XSS-Fehler entdeckt.

Artikel veröffentlicht am ,
Die Sicherheit des E-Mail-Dienstes wird kritisiert.
Die Sicherheit des E-Mail-Dienstes wird kritisiert. (Bild: Protonmail/Screenshot: Golem.de)

Als "Anfängerfehler" hat der Sicherheitsexperte Thomas Roth den Cross-Site-Scripting-Fehler bezeichnet, den er im Webfrontend des schweizerischen E-Mail-Dienstes Protonmail entdeckt hat. Zunächst hatte er den Fehler direkt bei den Entwicklern gemeldet, die reagierten jedoch nicht. Erst nach der zweiten E-Mail schlossen die Protonmail-Entwickler die Lücke, ohne Roth Bescheid zu geben. Ein Dienst, der mit Sicherheit werbe, müsse aber transparent kommunizieren, sagte Roth der Neuen Zürcher Zeitung (NZZ).

Stellenmarkt
  1. Loy & Hutz Solutions GmbH, Freiburg im Breisgau
  2. Landratsamt Lörrach, Lörrach

Inzwischen sei der Fehler behoben worden, sagte Protonmail-Entwickler Andy Yen. Es habe deshalb keinen Grund gegeben, damit an die Öffentlichkeit zu gehen. Auch Roths Vorwurf bezüglich mangelnder Transparenz wies Yen gegenüber der NZZ zurück. Die Protonmail-Entwickler arbeiteten schließlich daran, Mängel in dem bislang als Beta eingestuften Dienst schneller zu beseitigen und die Öffentlichkeit besser zu informieren.

Indes kritisierte der Schweizer Sicherheitsexperte Nicolas Mayencourt den neuen E-Mail-Dienst ebenfalls. Protonmail wirbt damit, dass es selbst keinen Zugang zu den E-Mails seiner Kunden habe. Kunden müssen sich zunächst mit einem Passwort beim E-Mail-Dienst anmelden. Dann wird eine verschlüsselte Verbindung aufgebaut, über die ein zweites Passwort verschickt wird. Erst damit würden die E-Mails entschlüsselt, so Protonmail.

Protonmail könne das zweite Passwort aber sehr wohl abgreifen, etwa wenn es dazu gezwungen werde, sagte Mayencourt. Grundsätzlich funktioniere Protonmail nicht anders als Lavabit. Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und Protonmail sei der, dass Protonmail in der neutralen Schweiz basiert sei.

Aber auch dort sei die von Protonmail beworbene hundertprozentige Anonymität nicht gewährleistet, sagte Mayencourt. Denn nach der schweizerischen Gesetzesvorlage betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) müssten auch E-Mail-Dienste im Zweifel die Zugangsdaten ihrer Kunden herausrücken. Protonmail legt die Gesetzesvorlage hingegen so aus, dass der Passus nur für Provider gilt. Yen spricht von einer rechtlichen Grauzone im umstrittenen Büpf, das im Frühjahr vom Ständerat verabschiedet wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Elite Dangerous für 5,99€, Struggling für 7,25€, Planet Zoo für 21,99€, Planet...
  2. Ghost Recon Breakpoint vom 21. bis zum 25. Januar kostenlos, mit allen Inhalten der Ultimate...
  3. 31,99€

eikira 09. Jul 2014

"Der einzige Unterschied zwischen dem inzwischen geschlossenen Dienst Lavabit und...

ploedman 09. Jul 2014

Da will nur jemand schnell Geld machen, wegen der ganzen NSA Sache. Ist nichts anderes...

<script></script> 09. Jul 2014

naja, wenn tags noch nicht mal herausgefiltert werden... http://vimeo.com/99599725


Folgen Sie uns
       


Drive Pilot der S-Klasse ausprobiert

Die neue S-Klasse von Mercedes-Benz soll erstmals dem Fahrer die Verantwortung im Stau abnehmen.

Drive Pilot der S-Klasse ausprobiert Video aufrufen
Antivirus: Das Jahr der unsicheren Sicherheitssoftware
Antivirus
Das Jahr der unsicheren Sicherheitssoftware

Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
Von Moritz Tremmel

  1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira

Whatsapp: Überfällige Datenschutzabstimmung mit den Füßen
Whatsapp
Überfällige Datenschutzabstimmung mit den Füßen

Es gibt zwar keinen wirklichen Anlass, um plötzlich von Whatsapp zu Signal oder Threema zu wechseln. Doch der Denkzettel für Facebook ist wichtig.
Ein IMHO von Friedhelm Greis

  1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
  2. Facebook Whatsapp stellt Nutzern ein Ultimatum
  3. Watchchat Whatsapp mit der Apple Watch bedienen

Elektromobilität 2020/21: Nur Tesla legte in der Krise zu
Elektromobilität 2020/21
Nur Tesla legte in der Krise zu

Für die Autoindustrie war 2020 ein hartes Jahr. Wer im Homeoffice arbeitet und auch sonst zu Hause bleibt, braucht kein neues Auto. Doch in einem schwierigen Umfeld entwickelten sich die E-Auto-Verkäufe sehr gut.
Eine Analyse von Dirk Kunde

  1. Elektromobilität Akkupreise fallen auf Rekord von 66 Euro/kWh
  2. Transporter Mercedes eSprinter bekommt neue Elektroplattform
  3. Aptera Günstige Elektrofahrzeuge vorbestellbar

    •  /