BSI nimmt E-Mail-Programme unter die Lupe
von caschy | 9 Kommentare
E-Mails sind und bleiben das digitale Zuhause für die meisten Nutzer – obwohl das schon irgendwie x-mal totgesagt wurde. Ob Bestellbestätigung oder Konzertticket, ohne geht es kaum. Das macht das Postfach aber auch zum Einfallstor Nummer eins für Cyberkriminelle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich deshalb im Rahmen des „E-Mail-Sicherheitsjahres 2025“ den aktuellen Markt der E-Mail-Programme genauer angesehen.
Untersucht wurden zwölf kostenlose Anwendungen, die hierzulande relevant sind, darunter Größen wie Thunderbird, Apple Mail und das neue Outlook, aber auch Alternativen wie Betterbird, eM Client, KMail, Mailbird, Blue Mail, Spark Mail sowie die Web-fokussierten Anbieter Gmail, Proton Mail und Tuta Mail.
Die gute Nachricht vorweg: Wer seinen Client aktuell hält, ist technisch überwiegend auf der sicheren Seite. Alle getesteten Kandidaten beherrschen die wichtige Transportverschlüsselung zum Server und bieten einfache Update-Mechanismen, oft sogar vollautomatisch. Das schließt Sicherheitslücken, bevor sie ausgenutzt werden können.
Interessanter wird es bei der Ende-zu-Ende-Verschlüsselung (E2EE), also dem Schutz der Inhalte, sodass selbst der Mail-Provider nicht mitlesen kann. Neun der zwölf Programme bieten hierfür Funktionen an. Wer auf Standards wie S/MIME oder OpenPGP setzt, wird bei Betterbird, eM Client, KMail, Thunderbird, Proton (siehe) und Apple Mail fündig. Tuta geht hier eigene Wege mit integrierten, aber proprietären Lösungen. Nutzer von Blue Mail, Mailbird und Spark Mail schauen laut der BSI-Untersuchung bei nativer E2EE in der Standardkonfiguration hingegen in die Röhre.
Ein weiterer Unterschied zeigt sich laut BSI bei der Abwehr von Angriffen. Während fast alle Programme Spam-Filter für den Posteingang besitzen, lediglich Mailbird patzte hier in der Gratis-Version, sieht es bei der Erkennung von Phishing und gefährlichen Anhängen durchwachsen aus. Warnhinweise bei verdächtigen Links oder Phishing-Versuchen zeigten im Test nur Betterbird, eM Client, Gmail, KMail, Outlook, Thunderbird und Tuta Mail. Wer Apple Mail, Blue Mail, Mailbird, Proton oder Spark Mail nutzt, erhielt diese spezifischen Warnungen bei den präparierten Test-Mails des BSI wohl nicht.
Positiv ist der Umgang mit dem Datenschutz: Um Tracking durch unsichtbare Zählpixel zu verhindern, blockieren die meisten Programme das Nachladen externer Bilder standardmäßig oder fragen zumindest nach. Manche leiten die Anfrage über Proxy-Server, um die eigene IP-Adresse zu verschleiern. Das BSI rät Anwendern generell dazu, Verschlüsselung zu nutzen und bei der Wahl des Programms darauf zu achten, wo die Daten liegen, lokal auf der Festplatte oder synchronisiert in der Cloud des Anbieters. Letzteres ist komfortabel, gibt die Datenhoheit aber ein Stück weit aus der Hand.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
„Proton und Tuta gehen hier eigene Wege mit integrierten, aber proprietären Lösungen.“
Stimmt doch nicht, auch Proton ermöglicht PGP-Verschlüsselung für das Senden von Mails.
Der Unterschied ist, das Proton on-top alle Mails im Konto verschlüsselt speichert, auch solche die ohne PGP empfangen wurden. D.h. man geht hier einen Schritt weiter als andere Anbieter.
Stimmt, ist angepasst.
Soweit zur Qualität von BSI !
In der BSI Tabelle ist es, wie man sofort im Artikel sieht, korrekt. Hauptsache mal wieder ein Stammtischgemaule.
Was ein wenig witzlos ist, den Proton hat die Mail vorher gelesen bevor diese verschlüsselt abgelegt worden ist.
Und der SMTP-Server von Google und co. wo die Mail abgesendet wurde natürlich auch. Ganz ohne Vertrauen in die Zero-Access/Log/etc. Versprechen geht’s dann halt nicht. Prinzipiell könnte man auch bei jedem WebUI Zugriff das Client-seitige Encryption Password mit böswilligen JS-Code abfangen, wer prüft das schon jedes Mal.
Am Ende fühle ich mich dann aber doch besser, meine Mails bei Proton zu haben anstatt bei Google, wo das Auswerten Teil des Geschäftsmodells ist 😉
da ich oft auf verschiedenen Platformen und Endgeräten unterwegs bin nutze ich eigentlich nur noch Webclient’s (aktuell infomaniak.com schweizer Top Anbieter #Werbung aus 😉
Da werden Äpfel mit Birnen verglichen. Nehmen wir mal die drei Big Tech Riesen aus den USA: Apple, Google und Microsoft. Das BSI testet das Erkennen von Phishing-Mails, und zwar bei Google auf Basis von Gmail, d. h. des E-Mail-Dienstes, und bei Apple und Microsoft auf Basis des Clients. Das sind zwei völlig unterschiedliche Produkte. Will man es vergleihen, muss man Outlook (ehem. Hotmail), iCloud Mail und Gmail miteinander vergleichen.
Und wenn es bei solch banalen Dingen schon beim BSI scheitert, dann stelle ich im Grunde auch alle anderen getätigten Aussage in Zweifel.
Die Auswahl der Apps und Provider erscheint willkürlich. Es feht z.B. und , die im gut bewertet werden.
Stiftung Warentest macht das besser.