Thunderbird vs. Betterbird: Ein Weckruf für echte Sicherheit

Ich möchte ein Thema ansprechen, das viele Nutzer beschäftigt und die Diskussion um Sicherheit und Privatsphäre in den Mittelpunkt rückt. Es geht um Schwachstellen bei der Verarbeitung von E-Mails in Thunderbird, aber auch um Fortschritte, die durch Alternativen wie Betterbird erreicht wurden.

Viele Nutzer sind zunehmend verärgert über die Entscheidungen seitens der Thunderbird-Entwickler, besonders in Bezug auf die pauschale Blockierung externer Inhalte in PGP-verschlüsselten E-Mails. Statt sich den eigentlichen Schwachstellen wie der unsicheren Kombination von MIME-Teilen oder CSS-Leaking zu widmen, wird diese Entscheidung als oberflächliche Lösung wahrgenommen, die keine echte Sicherheit bietet, sondern Nutzer mit Einschränkungen frustriert.

Es ist dabei klar, dass die Verarbeitung von MIME-Teilen und das CSS-Leaking ein fundamentales Problem des Clients selbst ist. Doch obwohl es sich hierbei anscheinend um eine größere technische Herausforderung handelt, wird diese Problematik nicht wirklich angegangen. Stattdessen beschränken sich die Maßnahmen auf oberflächliche Blockierungen, die die grundlegenden Schwächen unangetastet lassen. Dies verstärkt bei vielen Nutzern das Gefühl, dass die wahren Probleme ignoriert werden.

EFAIL und die Probleme in Thunderbird

Vielleicht habt ihr schon von EFAIL gehört, einem Angriff, der Schwächen in der E-Mail-Verarbeitung ausnutzt. Insbesondere die unsichere Kombination von MIME-Teilen und das sogenannte CSS-Leaking stellen große Risiken dar. Bei unzureichender Trennung von verschlüsselten und unverschlüsselten Inhalten können Angreifer diese Schwachstellen nutzen, um Manipulationen durchzuführen oder Daten zu leaken.

Wie reagiert Thunderbird? Seit Version 128.4.3 wird externer Inhalt in E-Mails konsequent blockiert. Diese Maßnahme scheint auf den ersten Blick sinnvoll, trifft jedoch vor allem Nutzer von PGP-Verschlüsselung hart. Statt die grundlegenden Probleme wie MIME-Isolation und CSS-Leaking anzugehen, setzt Thunderbird auf eine pauschale Blockade. Diese Lösung wirkt provisorisch und lässt tieferliegende Sicherheitsprobleme unangetastet.

Das unsichere Master-Passwort

Ein weiteres Beispiel für ein bekanntes Problem, das seit Jahren ungelöst bleibt, ist das unsichere Master-Passwort von Mozilla-Produkten. Obwohl dieses Passwort eure gespeicherten Anmeldedaten schützen soll, ist es seit 2009 (!) bekannt, dass es in wenigen Minuten mit einfachster Hardware geknackt werden kann. Trotz Beschwerden und negativer Berichterstattung fehlen konkrete Maßnahmen, um diese Sicherheitslücke zu schließen.

Mangel an Transparenz und Nutzerfokus

Ein zentrales Problem ist die mangelnde Kommunikation. Nutzer, die Fragen stellen oder Kritik äußern, erhalten häufig nur Verweise auf technische Details oder tief versteckte Bug-Einträge. Statt klar und verständlich über Fortschritte oder geplante Maßnahmen informiert zu werden, bleibt vieles unklar. Diese fehlende Transparenz untergräbt das Vertrauen der Community und lässt die Priorisierung sicherheitsrelevanter Themen in Frage stellen.

Betterbird: Ein Lichtblick

Im Gegensatz dazu zeigt Betterbird, wie schnell und gezielt auf Probleme reagiert werden kann. Im Austausch mit dem Entwickler von Betterbird konnte ich die Problematik detailliert schildern, und wir haben gemeinsam über Lösungsansätze nachgedacht. Besonders beeindruckend war die rasche Umsetzung: Innerhalb kurzer Zeit wurde eine benutzerfreundliche Lösung implementiert.

Mit der neuen Version von Betterbird (128.5.0esr-bb18, Build 7) wird bei blockierten externen Inhalten nun eine klare Warnung angezeigt:

„Zum Schutz Ihrer Privatsphäre hat Betterbird externe Inhalte dieser Nachricht blockiert.“

Praktisch ist das integrierte Dropdown-Menü, mit dem Nutzer individuell entscheiden können, ob externe Inhalte angezeigt werden sollen. Damit wird die Privatsphäre der Benutzer respektiert, während gleichzeitig die Möglichkeit gegeben ist, externe Inhalte auf Wunsch freizuschalten – ein durchdachter Ansatz, der Nutzerautonomie fördert.

Betterbird hebt sich damit als starke Alternative zu Thunderbird hervor und zeigt, wie durch Fachwissen und Engagement pragmatische Lösungen umgesetzt werden können. Ein großes Lob an das Team!

Fazit: Sicherheit braucht klare Taten

Mein Ziel ist es, die Diskussion über IT-Sicherheit und Datenschutz weiter voranzutreiben. Transparenz und echte Lösungen müssen die Grundlage jeder Software sein. Während Thunderbird oft auf provisorische Maßnahmen setzt, beweist Betterbird, wie durch direkte Zusammenarbeit mit der Community und schnelles Handeln Fortschritte erzielt werden können.

Wenn ihr die neue Version von Betterbird ausprobieren möchtet, findet ihr sie hier:

Betterbird: Downloads

Ich hoffe, dies motiviert euch, Alternativen wie Betterbird zu unterstützen und sich aktiv mit Themen wie IT-Sicherheit auseinanderzusetzen. Gemeinsam können wir für mehr Transparenz und bessere Sicherheitsstandards sorgen.

Peace

Ah interessant, danke, da hatte ich noch nicht von gehört.

Interessant ist vermutlich die Feature Table

Wie „nachhaltig“ ist die Entwicklung von BB denn? Ist das ein Einzelner oder ein Team? Wie steht es um die Zukunft des Projekts?

Sehr gerne @Alfred_J_Quark

Betterbird wird von einem kleinen, engagierten Team entwickelt, das aus erfahrenen Entwicklern besteht – darunter ehemalige Thunderbird-Entwickler. Die Entwicklung gilt als nachhaltig, da sie auf dem Thunderbird-Code basiert und regelmäßig Updates erhält. Besonders hervorzuheben ist, dass sich die Entwickler bei Anliegen schnell zurückmelden, ein offenes Ohr für die Nutzer haben und sehr transparent in ihrer Kommunikation sind. Das Projekt ist zukunftssicher, solange die Community und Nutzer es aktiv unterstützen. Die Feature Table zeigt zudem klar die Vorteile und Zusatzfunktionen im Vergleich zu Thunderbird. Definitiv einen Blick wert!

tl!dr: Ich würde den meisten Menschen Betterbird nicht empfehlen.

Hauptproblem ist der teilweise sehr große Abstand zwischen den Thunderbird- und den Betterbird Releases.
Das macht einen Parallelbetrieb für mehrere Monate (zusammen genomen) im Jahr unmöglich.
(z.B.: Tb 128 Juli - Bb 128 November)

Dann ist Betterbird nicht offiziell über den System-Package Manager zu beziehen, sondern muss manuell gepflegt werden.

Außerdem hatte ich mit Betterbird regelmäßig Stabilitätsprobleme.

Auprobieren tut nicht weh, aber als DailyDriver eher nicht geeignet.

@Cornelius Die Punkte, die du ansprichst, sind absolut nachvollziehbar und haben ihre Berechtigung. Der Abstand zwischen den Thunderbird- und Betterbird-Releases mag aus Nutzersicht manchmal lang erscheinen, hat aber auch seine Gründe. Betterbird ist ein kleineres Projekt mit begrenzten Ressourcen, das bewusst darauf setzt, Neuerungen stabil und durchdacht umzusetzen, anstatt Updates übereilt zu veröffentlichen.

Aus eigener Erfahrung kann ich sagen: Wenn man Einblicke in Thunderbird gewinnt, vergeht einem manchmal die Lust, es weiter zu nutzen. Thunderbird gleicht einer Dauerbaustelle, und genau diese Baustelle nimmt sich Betterbird gezielt vor – insbesondere bei sicherheitsrelevanten Problemen, die bei Thunderbird teilweise jahrelang unangetastet bleiben.

Schade, dass du Stabilitätsprobleme hattest – das ist natürlich ärgerlich. Bei mir persönlich läuft Betterbird hingegen absolut stabil und ohne größere Schwierigkeiten, selbst im Alltagseinsatz.

Was die manuelle Installation betrifft: Ja, das ist definitiv eine Herausforderung, die nicht jedermanns Sache ist. Ich sehe es jedoch als fairen Kompromiss für die zusätzlichen Funktionen und den klaren Fokus auf Sicherheit. Dass es für dich als Daily Driver aktuell nicht geeignet ist, ist bedauerlich, aber vielleicht sorgen künftige Verbesserungen dafür, dass du dem Projekt noch eine Chance gibst. Betterbird auszuprobieren, lohnt sich meiner Meinung nach auf jeden Fall!

Ich habe Betterbird eine Zeit lang ausprobiert und war jetzt nicht komplett engeistert, aber so richtig begeistert eben auch nicht. Mag ein oberflächlicher Aspekt sein, aber allein das Icon finde ich wirklich unschön. Die Instabilitätsprobleme habe ich ebenfalls gehabt und nachdem Betterbird mehrfach ohne nachvollziehbaren Grund abgestürzt ist, habe ich aufgegeben und bin mangels sinnvoller Alternativen wieder bei Thunderbird gelandet. Nur meine Erfahrung damit.

Dem muss ich leider ebenfalls zustimmen:
Ich hatte 3 Monate lang Betterbird in Nutzung und hatte häufiger Abstürze. Meist ein- bis zweimal pro Tag.
Was mich besonders verärgerte war die Tatsache, dass es manchmal beim E-Mail-Schreiben abstürzte und zusätzlich keinen Entwurf des Geschriebenen abspeicherte, sodass ich quasi wieder von vorne anfangen durfte.

An sich finde ich die Idee hinter Betterbird gut, aber für mich persönlich hat es einfach nicht funktioniert… leider.

Nutze Betterbird seit fast zwei Jahren auf Linux und Windows und es läuft bei mir stabil. Updates kommen natürlich später, aber regelmäßig und zuverlässig.

@qgj @ChrisXY @jefla Auch ich nutze Betterbird schon eine Weile sowohl auf Windows als auch auf Linux und hatte bisher keinerlei Probleme – weder Abstürze noch andere Instabilitäten. Bei mir läuft es absolut stabil und zuverlässig, auch was die regelmäßigen Updates betrifft. Vielleicht hängt es von der individuellen Konfiguration oder dem System ab. Ich kann hier natürlich nur von meiner eigenen Erfahrung sprechen, aber bei mir läuft Betterbird bislang völlig problemlos.

Ich weiß gar nicht seit wann ich Thunderbird nutze, gefühlt schon immer. Gibt ja auch nicht so viel Alternativen wenn man GPG nutzen möchte, mir wäre nur Evolution bekannt.
Betterbird hatte ich auch mal getestet, Abstürze hatte ich jetzt nicht, aber fühlte sich nicht so flüssig an in einigen Bereichen. Und das die Version oft recht alt ist hat mich auch nicht ganz so glücklich gemacht.

Ja, das glaube ich dir auch. Es war nicht meine Absicht, etwas schlechtzureden oder ähnliches, falls das so rüberkam.

Du hast natürlich Recht, dass es an der Konfiguration vom System hängen könnte. Ich habe es auf Manjaro Linux und Fedora ausprobiert, aber bei beiden Systemen dieselben Probleme gehabt.
Da ich bei Thunderbird gar keine Probleme hatte und eigentlich auch immer zufrieden war, bin ich dann wieder zurück gewechselt.

Schlussendlich ist es ja sowieso Geschmackssache, was eher zu einem passt. Und je mehr Auswahl es gibt, desto besser!

Es ist wirklich schade, was aus Thunderbird geworden ist bzw. wie sehr das Programm seit Jahren stagniert.

Ich habe grundsätzlich kein Problem damit, wenn ein Programm etwas altbackener ist, aber bei Thunderbird ist es leider sehr auffällig, wie sehr das Programm modernen Prinzipien und Sicherheitsstandards hinterherhinkt.

Mich stört ebenfalls die fehlende Kommunikation bei diesem Thema. Im Supportbeitrag wird selbst jetzt immer noch nicht darauf hingewiesen, dass das Laden externer Inhalte bei PGP-Mails eben nicht mehr möglich ist: https://support.mozilla.org/en-US/kb/remote-content-in-messages

Da ich von einer falschen Einstellung meinerseits ausging, habe ich deshalb 1-2 Stunden lang vergeblich alle Menüs durchgesucht, Addons deaktiviert, neue Profile getestet usw. bis ich endlich über einen Bugreport auf die Änderung aufmerksam gemacht wurde: https://bugzilla.mozilla.org/show_bug.cgi?id=1931550

Das ist einfach chaotisch und inakzeptabel.

Die Diskussion im Bugreport deutet für mich auch darauf hin, dass Thunderbird im Kern sehr alten Code nutzt und grundlegende Sicherheitsprobleme hat. Anscheinend sind die einzelnen Programmteile nicht sinnvoll voneinander isoliert weshalb sie nun zu dieser Notlösung gezwungen sind. Wirklich abschreckend, wenn man das so liest und auf eine kurzfristige Änderung darf man wohl auch nicht hoffen. Angesichts dieser Informationen halte ich auch Betterbird für keine gute Alternative, weil man dort durch das Laden der externen Inhalte eben wieder diese Sicherheitslücke öffnet.

Habt ihr eigentlich eine Möglichkeit gefunden, wie Thunderbird anstelle der externen Bilder wenigstens den ALT-Text standardmäßig anzeigt? Auch dazu finde ich leider keine Einstellungsmöglichkeit. Die Bilder werden von Thunderbird nun einfach ohne Ersatz geblockt - dadurch sind z. B. viele Newsletter in Thunderbird kaum noch sinnvoll lesbar. Wirklich sehr schlecht umgesetzt…

Halb OT: Wenn ich das große Thunderbird auf meinem PC mit dem kleinen FairEmail auf meinem Smartphone vergleiche, dann wird der Qualitätsunterschied immer größer - und zwar zu Gunsten von FairEmail. Eine vernünftige und übersichtliche Darstellung in der vereinfachten HTML-Ansicht, ALT-Texte bei nicht geladenen Bilder, die Möglichkeit Tracking-Daten beim Öffnen von Links zu entfernen, Unterscheidung zwischen echten Bildern und Tracking-Pixeln - all das bietet FairEmail schon lange und sollte bei jedem E-Mail-Programm zum Standard gehören. Währenddessen wird Thunderbird sogar immer schlechter und kann nun in der Praxis nicht mal mehr Bilder anzeigen. Das Programm entwickelt langsam aber sicher zurück ins Jahr 1995.

Ich bin ernsthaft am überlegen, ob ich FairEmail nicht irgendwie auf meinem PC zum Laufen bekomme…

Fairmail auf dem Rechner wäre von den Features aktuell auch mein Traum. Lediglich beim Entwicklungteam bin ich mir nicht sicher, ich glaube bei Fairmail ist das nur eine Person.

Es gibt dutzende Mailprogramme die nicht von Mozilla betreut werden. Da hat man die Wahl…

Bist du so nett und zählst ein paar auf?
Mir fallen neben TB/BB noch Outlook und mit etwas Nachdenken vielleicht ein, zwei Programme ein. Das war es dann aber auch schon.
Okay vielleicht reden wir bzgl. Betriebssystem von unterschiedlichen Voraussetzungen. Ich denke primär an das OS aus Redmond

Sorry, daran habe ich nicht gedacht.

Da geht’s mir ähnlich wie @gosch: Ich habe MX Linux 23.4 auf meinem Rechner; und was die Paketquellen so anbieten ist eher übersichtich: Claws-Mail, Evolution, K-Mail von der KDE-Community - und eben TB.

Dutzende? Welches OS?

Bei zB Debian sind es mehr, dann Flathub, git, webapps… wer suchet der fíndet.

Deine These: es gibt >24 andere Mailprogramme (unter Linux!?)
Schaff doch mal Fakten, bestätige deine und widerlege unsere Thesen

Alle Android-Mailer bekommt man über das Android Subsystem for Android irgendwie auch auf Windows lauffähig. Microsoft hat aber angekündigt, das Subsystem (was eine der (wenigen) großen Neuerungen von Windows 11 war!) im März 2025 abzuschalten …

Tatsächlich wurde K-9 Mail seit es sich auf den Weg Richtung Thunderbird (ein halbes Jahr vorher hat cketti schonmal angefangen den Code von K-9 Mail zu aktualisieren, um es Thunderbirdwürdig zu machen, was schon nicht einer gewissen Ironie entbehrt wo doch Thunderbird Desktop (bevor Mozilla K-9 Mail geschluckt hat, gab es noch kein Thunderbird Android) teilweise auf einem Stand von 2009 (oder noch früher) ist) gemacht hat, immer mehr verschlechtert (Abstürze, Funktionsentfernungen etc.). Mittlerweile wird es wieder etwas besser was die Abstürze angeht, aber Funktionen wurden seit dem Start von Thunderbird (die werden jetzt ja einfach nur mit unterschiedlicher Farbgebung und Icons parallel entwickelt) weiter entfernt (seit zwei Monaten hat man was das Entfernen angeht aber Ruhe). Stattdessen werden jetzt neue, unnötige Design„verbesserungen“ vorgenommen, die vor allem auf Grundlage der neuen Thunderbirduserbase erstellt werden und neue, vollkommen unhilfreiche Features hinzugefügt.