Enigmail verschickt E-Mails versehentlich im Klartext

Bild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

Die E-Mail Verschlüsselung kommt zur Zeit nicht aus den Negativschlagzeilen. Erst die mögliche optische Täuschung der Signaturen (siehe: OpenPGP Signaturen lassen sich fälschen) und nun meldet Heise eine gravierende Sicherheitslücke in der Populären Thunderbird-Erweiterung Enigmail.  Durch einen fatalen Fehler erfolgt eine unverschlüsselte Übertragung, obwohl das Program dem Anwender gegenteiliges suggeriert.

Das Problem liegt in der Erweiterung „Pretty Easy Privacy (pEp)“, die standardmäßig aktiv ist. Das Problem trifft zwar nur Windows und nicht Linux und macOS, dürfte damit aber die Masse der Anwender tangieren. Eine vorübergehende Lösung besteht in der Deaktivierung des Junior-Modus (pEp).

Thunderbird steht damit leider schon wieder im Fokus. Die verbreitete Lösung hat in der Vergangenheit durch die veraltete Basis und das Addon-System bereits viel Kritik auf sich gezogen.

Leider zeigt sich wieder einmal, dass die E-Mail Verschlüsselung durch ihren evolutionären Entstehungsprozess immer wieder Probleme hat. Die E-Mail an sich ist komplett unsicher, allerdings inzwischen wenigstens bei den meisten Anbietern auf dem Transportweg geschützt. Um den Inhalt zu schützen braucht man entsprechende Erweiterungen für die E-Mail Clients. Weil diese relativ kompliziert sind hat man zusätzliche Erweiterungen wie pEp geschaffen. Eine derart komplexe Struktur provoziert geradezu Fehler – sei es bei den Entwicklern oder bei der Bedienung durch den Anwender.

Selbst wenn man alle Fehlerquellen umgeht und die Programme einwandfrei konfiguriert und bedient, bleiben die Metadaten trotzdem ungeschützt. Hier steht eine weitere technische Lösung noch aus.

Wer wirklich sicher kommunizieren will, sollte sich komplett von der E-Mail trennen. Alle existierenden Lösungen sind nur Notbehelfe, wenn man auf keine Alternative ausweichen kann.


Bilder:
Einleitungs- und Beitragsbild von ribkhan via pixaybay / Lizenz: CC0 Creative Commons

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Realitäten sind grau

Wenn es um proprietäre und freie Software (im öffentlichen Dienst) geht, wird gerne ein Schwarz-Weiß-Bild gezeichnet. Dort der böse proprietäre Monopolist, der immer die...

Zwischenruf: Der Bund zahlt für Microsoft und die Open-Source-Peergroup lässt tief blicken

Ungefähr einmal im Jahr sind die Lizenzkosten von Microsoft in gewissen Kreisen ein Thema. Über 200 Millionen zahlt der Bund mittlerweile für seine IT....

Schwerpunktseite zu Synology überarbeitet

2019 habe ich mir eine Synology DS218 zugelegt und damit die Zeit der Do-it-yourself-Lösungen mit FreeNAS & Co. beendet. Das war wohl eine meiner...

Neues von Mullvad

VPNs werden oft mit Anonymität assoziiert. Das ist Unsinn. Trotzdem haben VPNs ihre Berechtigung. Mullvad speichert nach neuesten Erkenntnissen wirklich keine Daten und bringt...