Deine E-Mail-Geheimnisse sind bei Enigmail nicht sicher: Klartext statt Verschlüsselung im Junior-Modus

Du möchtest ein verschlüsseltes E-Mail verschicken und nutzt dafür guten Glaubens Enigmail. Die Thunderbird-Erweiterung verspricht nämlich genau diese Anonymisierung deiner Mails. c’t hat jetzt allerdings aufgedeckt, dass deine Mail-Geheimnisse bei Enigmail so gar nicht sicher sind. Im Gegenteil: Enigmail hat einen Fehler, mit dem die Daten im Klartext, also unverschlüsselt, übermittelt werden. Geschäftsgeheimnisse & Co könnten also von unbefugten Dritten eingesehen werden …

c’t ist durch einen Zufall bei Recherchearbeiten auf die Sicherheitslücke gestoßen. Aber nicht nur, dass Enigmail die Mails unverschlüsselt schickt. Die Erweiterung behauptet doch steif und fest, dass die Verschlüsselung aktiv ist – zu sehen mit dem Verweis „Sicher & Vertraut” oder „Privatsphärenstatus: Sicher” unten im Editor. Das heißt, der Nutzer kommt gar nicht auf die Idee, dass sein Informationen gefährdet sein könnten.

Verschlüsselung funktionierte bei keinem einzigen Test auf Windows

Problemherd dieser Sicherheitslücke ist der „Junior-Modus“ von Enigmail, der seit April diesen Jahres automatisch aktiviert ist. Dieser Modus hat eigentlich Gutes im Sinn. Mit dem Verschlüsselungssystem Pretty Easy Privacy übernimmt er für den User ohne großartigen Aufwand die Verschlüsselung. Bzw. hätte er das tun sollen. Denn bei den von c’t durchgeführten Enigmail 2.0.8-Tests mit Thunderbird 60 auf Windows funktionierte die Verschlüsselung nicht nur ab und zu nicht. Sie klappte nie!

„Junior-Modus“ unbedingt deaktivieren

Wenn du macOS- oder Linux-User bist, scheint das Problem nicht vorhanden zu sein. Wenn du aber Windows-Nutzer bist heißt es spätestens jetzt: Nutze den Standardmodus und deaktiviere den Junior-Modus, wenn dieser auch einfacher handelbar ist. Das Problem liegt übrigens nicht in Enigmail selbst, sondern in der Pretty Easy Privacy-Verschlüsselung. Wenn du auf den Junior-Standard bestehst, ist dies nun auch wieder möglich. Die Pretty Easy Privacy-Entwickler haben zwischenzeitlich als Notlösung eine alte Version wiederbelebt, welche allerdings Bugs enthält. Diese kannst du dir in dein Enigmail laden. Oder aber du wartest auf die bereinigte Version. Die Entwickler wissen nach eigener Aussage bereits, worin das Problem liegt und arbeiten an einer Behebung desselben.

Quelle: heise.de

Zusammenfassung
Beitragstitel
Deine E-Mail-Geheimnisse sind bei Enigmail nicht sicher: Klartext statt Verschlüsselung im Junior-Modus
Beschreibung
c’t hat jetzt aufgedeckt, dass deine Mail-Geheimnisse bei Enigmail so gar nicht sicher sind. Im Gegenteil: Enigmail hat einen Fehler, mit dem die Daten im Klartext, also unverschlüsselt, übermittelt werden. Geschäftsgeheimnisse & Co könnten also von unbefugten Dritten eingesehen werden …
Author
Verfasser
vavt.de
Verfasser Logo

Weitere interessante Artikel

VyprVPN Exklusivangebot

VyprVPN neue Preise & Tarife + Zusätzlich 25% Rabatt nur für unsere Leser!

VyprVPN hat eine Tarifbereinigung durchgeführt und den Einsteigertarif wegfallen lassen. Zusätzlich wurden dafür die bestehenden Tarife verbilligt. Unsere Leser profitieren weiterhin ...
Anleitung: Surfshark VPN auf dem ASUS Router verwenden

Anleitung: Surfshark VPN auf dem ASUS Router verwenden

Den neuen VPN Service "Surfshark VPN" kann man mittels OpenVPN auch auf ASUS Routern verwenden. In dieser Anleitung zeige ich ...
Video: Richard David Precht interviewt über Zukunftsfragen und Datenschutz

Video: Richard David Precht interviewt über Zukunftsfragen und Datenschutz

Der bekannte Philosoph und Buchauthor, Richard David Precht wurde von Tilo Jung zum wiederholten Male interviewt. Jung&Naiv trifft zum zweiten ...

Schreibe einen Kommentar