Anzeige
Tech

Stiftung Warentest: Das sind die besten E-Mail-Provider

Die Verbraucherorganisation hat 15 aktuelle E-Mail-Anbieter auf Herz und Nieren geprüft und sich dabei vor allem auf Sicherheits- und Verschlüsselungstechniken konzentriert.

von Johannes Hausen
29 September 2016, 1:40pm

Im zweiten Anlauf hat es nun geklappt: Stiftung Warentest hat 15 aktuelle E-Mail-Anbieter auf ihre Sicherheit gecheckt und die entsprechende Auswertung gestern veröffentlicht. Nachdem die Verbraucherorganisation bereits Anfang letzten Jahres erstmals einen solchen Testbericht publiziert hatte, diesen aber nach heftigen Protesten mehrerer Provider aufgrund „peinlicher Fehler" seitens der Tester wieder zurückziehen musste, wurde für die neue Analyse jetzt ein Expertenbeirat zu Rate gezogen.

Dieser erarbeitete die drei Kategorien Technische Spezifikationen (40%), Schutz der Privatsphäre (40%) und Handhabung (20%), anhand derer die Warentester schließlich ihr Qualitätsurteil formulierten: Die mit Abstand beste Gesamtnote ging an die Dienste Mailbox.org und Posteo.

Doch schon bevor man einen ausführlichen Blick in den Testbericht wirft, wird klar: Umfassende Sicherheit im E-Mail-Verkehr gibt es nicht für lau, und Gmail ist nicht das Maß aller Dinge. Oder um es mit den Worten von Stiftung Warentest zu sagen: „E-Mailen ist einfach. Zumindest für alle, die nicht über Sicherheit und Privatsphäre nachdenken."

Ende-zu-Ende-Verschlüsselung

Dass die Themen Datenschutz und digitale Privatsphäre im Jahr drei nach den Snowden-Leaks aber nicht nur jedem E-Mailnutzer am Herzen liegen sollten, sondern tatsächlich auch im Mainstream der Kommunikationstechnologie angekommen sind, zeigt die jüngste Entwicklung im Mobile-Bereich: Mit WhatsApp und seit Kurzem sogar Facebook Messenger bieten mittlerweile wirklich alle großen Messenger-Apps eine Ende-zu-Ende-Verschlüsselung an, die nach technologischen Verfahren funktioniert, die auch für Geheimdienste praktisch unknackbar ist.

Folge Motherboard auf Facebook, Instagram und Snapchat

Diese sicherste aller Verschlüsselungsmethoden sucht man derweil bei vielen großen E-Mail-Anbietern, allen voran den kostenlosen, vergeblich, wie Stiftung Warentest zeigt.

Als WhatsApp im April die Ende-zu-Ende-Verschlüsselung automatisch für alle Nutzer aktivierte, konnte man tatsächlich von einem großen Schritt Richtung Schutz der Privatsphäre sprechen. Die Nutzer mussten nicht einmal selbst aktiv werden (von einem Update der App abgesehen), um ihre persönliche versendeten Daten vor dem Zugriff Dritter zu schützen. Die automatische Aktivierung der Verschlüsselung ist besonders deshalb ein großer Schritt, da kryptographische Kommunikation nur funktioniert, wenn beide Gesprächspartner dasselbe Protokoll benutzen—ein Problem, das der schnellen Verbreitung von Verschlüsselung noch immer im Weg steht.

Über die Gründe, warum E-Mail-Provider nicht denselben Schritt machen wie die Messenger, lässt sich viel spekulieren. Bei Gmail liegt es möglicherweise unter anderem daran, dass Google die E-Mails seiner Nutzer nach Keywords scannt, um personalisierte Werbung zu optimieren, wofür das Unternehmen von Datenschützern in der Vergangenheit bereits mehrmals abgemahnt wurde. Eine derartige Inhaltsanalyse wäre bei E-Mails, die mit der Ende-zu-ende-Verschlüsselung verschickt werden, selbstverständlich nicht mehr möglich.

Fakt ist: Wäre für die Verschlüsselung der Messenger-Kommunikation genauso viel Eigeninitiative gefragt, wie es beim E-Mail-Verkehr noch immer der Fall ist, würden die meisten von uns wohl auch über ihre Messenger-Apps nach wie vor weitgehend ungeschützt kommunizieren.

Was kann man selber tun?

Stiftung Warentest weiß das und hat deswegen neben seiner Auswertung auch noch einmal in einfachen Worten erklärt, wie die Verschlüsselung von E-Mails überhaupt funktioniert und wie man den eigenen E-Mailverkehr unabhängig vom Provider mit Minimalaufwand verschlüsseln kann. So lässt sich beispielsweise über das Browserplugin Mailvelope in jeden Dienst, den man im Browser (bisher allerdings nur Firefox und Chrome) nutzen kann, eine Ende-zu-Ende-Verschlüsselung einbauen, die auf den offenen PGP-Standard zurückgreift.

Neben Posteo und Mailbox ließe sich Mailvelope vor allem bei GMX und Web.de einfach integrieren, heißt es im Testbericht. Letztere beiden waren von allen kostenlosen Providern als die sichersten eingestuft worden (Platz 6 und 7 im Gesamtranking), liegen aber vor allem aufgrund ihres Umgangs mit Nutzerdaten hinter den Testsiegern, welche für monatlich 1 Euro „mit ihrer Datensparsamkeit punkten und es dem Nutzer einfach machen, Daten zu verschlüsseln".

Sehr gut
1,4 — Mailbox.org
1,4 — Posteo
Gut
2,2 — Mail.de Plusmail
2,3 — GMX Topmail
2,3 — Web.de Club
2,5 — Web.de Freemail
2,6 — GMX Freemail
2,6 — Telekom Freemail
2,7 — Freenetmail Basic
2,7 — Telekom Mail & Cloud M
Befriedigend
3,0 — AOL Mail
3,1 — 1 & 1 Mail Basic
3,2 — Yahoo Mail
3,3 — Microsoft Outlook.com
3,4 — Google Mail

GMX und Web.de sind außerdem die einzigen beiden kostenlosen Dienste, die automatisch den internationalen Sicherheitsstandard Dane unterstützen. Er wird auch von Posteo und Mailbox angewandt und sorgt für die sogenannte „Transportwegverschlüsselung", eine grundlegende Sicherheitsfunktion, um E-Mails auf dem Weg zum Server des Providers zu verschlüsseln, wo sie dann aber wiederum einsehbar sind. Nutzer der vier genannten Dienste müssen ihn nicht extra installieren, sind also aber auch nicht so effektiv gegen Zugriffe Dritter geschützt wie bei der Ende-zu-Ende-Verschlüsselung.

In der Handhabung am allerbesten schnitt—wenig überraschend— Gmail ab. Trotzdem landete Googles kostenloser und werbefinanzierter Dienst bei Stiftung Warentest auf dem letzten Platz: Hier bemängelten die Verbraucherschützer vor allem den Inhalt der allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen sowie die Tatsache, dass der Dienst das Protokoll Dane nicht unterstützt.

Sicherheit gibt's nicht umsonst

Bleibt als Fazit: Die effektive Ende-zu-Ende-Verschlüsselung ist für alle Nutzer der 15 getesteten Dienste anwendbar und kostenlos, wenn man bereit ist, etwas Installationsaufwand zu betreiben und seine Kommunikationspartner davon überzeugen kann, ebenfalls auf Ende-zu-Ende-Verschlüsselung zu setzen. Wer darüber hinaus gehende Sicherheitsfeatures benötigt, wie die TLS-Versand-Garantie von Posteo, die davor schützt, Emails an unsichere Empfangsserver zu übermitteln, muss wohl oder übel einen Euro im Monat und einige Minuten Lektüre investieren.

Ob das Ranking von Stiftung Warentest, welches sich bei seiner Bewertung stark auf Sicherheits- und Verschlüsselungstechniken fokussiert, tatsächlich auch den individuellen Prioritäten von Kunden Rechnung trägt, muss jeder für sich selbst entscheiden und abwägen, inwieweit er Einschränkungen bei der Nutzerfreundlichkeit zugunsten höherer Sicherheitsstandards in Kauf nimmt.

Posteo hatte derweil nach den negativen Erfahrungen beim zurückgezogenen Test 2015 die diesjährige Testphase „kritisch begleitet" und sich bereits vor der Veröffentlichung des Tests in einem Blogpost beschwert, dass „mehrere Funktionen bei der Benotung offenbar nicht berücksichtigt wurden", darunter auch die TSL-Versandgarantie. Tatsächlich befindet sich diese aber in der Publikation von Stiftung Warentest, nicht berücksichtigt wurden dagegen andere Sicherheitsfeatures, über die Posteo seine Kunden hier informiert.