Enigmail verschickt E-Mails versehentlich im Klartext

Die E-Mail Verschlüsselung kommt zur Zeit nicht aus den Negativschlagzeilen. Erst die mögliche optische Täuschung der Signaturen (siehe: OpenPGP Signaturen lassen sich fälschen) und nun meldet Heise eine gravierende Sicherheitslücke in der Populären Thunderbird-Erweiterung Enigmail.  Durch einen fatalen Fehler erfolgt eine unverschlüsselte Übertragung, obwohl das Program dem Anwender gegenteiliges suggeriert.

Das Problem liegt in der Erweiterung „Pretty Easy Privacy (pEp)“, die standardmäßig aktiv ist. Das Problem trifft zwar nur Windows und nicht Linux und macOS, dürfte damit aber die Masse der Anwender tangieren. Eine vorübergehende Lösung besteht in der Deaktivierung des Junior-Modus (pEp).

Thunderbird steht damit leider schon wieder im Fokus. Die verbreitete Lösung hat in der Vergangenheit durch die veraltete Basis und das Addon-System bereits viel Kritik auf sich gezogen.

Leider zeigt sich wieder einmal, dass die E-Mail Verschlüsselung durch ihren evolutionären Entstehungsprozess immer wieder Probleme hat. Die E-Mail an sich ist komplett unsicher, allerdings inzwischen wenigstens bei den meisten Anbietern auf dem Transportweg geschützt. Um den Inhalt zu schützen braucht man entsprechende Erweiterungen für die E-Mail Clients. Weil diese relativ kompliziert sind hat man zusätzliche Erweiterungen wie pEp geschaffen. Eine derart komplexe Struktur provoziert geradezu Fehler – sei es bei den Entwicklern oder bei der Bedienung durch den Anwender.

Selbst wenn man alle Fehlerquellen umgeht und die Programme einwandfrei konfiguriert und bedient, bleiben die Metadaten trotzdem ungeschützt. Hier steht eine weitere technische Lösung noch aus.

Wer wirklich sicher kommunizieren will, sollte sich komplett von der E-Mail trennen. Alle existierenden Lösungen sind nur Notbehelfe, wenn man auf keine Alternative ausweichen kann.

Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons