E-Mail-Provider Test

Sie durch­leuchten Mails – zum Schutz vor Schadsoftware, aber auch für Werbung. Die Testsieger Mailbox.org und Posteo schützen die Privatsphäre besser als die Konkurrenz. *)

Email-Provider 02/2015

  • 1&1 Mail Hauptbild 1&1 Mail
  • AOL Mail Hauptbild AOL Mail
  • Freenet Mailbasic Hauptbild Freenet Mailbasic
  • GMX Freemail Hauptbild GMX Freemail
  • GMX Promail Hauptbild GMX Promail
  • Google Gmail Hauptbild Google Gmail
  • Mail.de Freemail Hauptbild Mail.de Freemail
  • Mailbox.org Hauptbild Mailbox.org
  • Microsoft Outlook.com Hauptbild Microsoft Outlook.com
  • Posteo Hauptbild Posteo
  • Telekom Freemail Hauptbild Telekom Freemail
  • Web.de Club Hauptbild Web.de Club
  • Web.de Freemail Hauptbild Web.de Freemail
  • Yahoo Mail Hauptbild Yahoo Mail
Alle Produkte anzeigenWeniger anzeigen

Uni Karls­ruhe, 3. August 1984: Erst­mals erreicht eine E-Mail Deutsch­land. Für den Weg aus den USA braucht sie 16 Stunden. Fünf Jahre später, 1989, dürfen auch private Nutzer ins Internet. Heute sendet jeder Deutsche im Schnitt fast 20 E-Mails täglich. Die meisten Nach­richten erreichen den Empfänger binnen Sekunden. Sie sind unver­zicht­bar auch fürs Einkaufen im Internet, für den Zugang zu sozialen Netz­werken und für die Installation von Apps. Was für ein Sieges­zug.

Zugpferd: Kostenloser Mail­dienst

Die elektronische Post kam mit kostenlosen Diensten in Mode. Für sie zahlen Kunden nicht in harter Währung, sondern akzeptieren Werbung und meist auch die Verwertung der aus ihren Daten gespeisten Kunden­profile. Beim Buhlen um Kund­schaft legen die Anbieter immer mehr drauf: Sie erlauben große Datei­anhänge – gut für den Versand von Fotos. Sie bieten inzwischen sogar unbe­grenzt große Post­fächer – zum Speichern vieler E-Mails. Und sie richten zusätzliche Deck­namen­adressen (Alias) ein – etwa für das anonyme Abo von Newslettern.

Seit dem Skandal um NSA-Abhörpraktiken zählt neben schierer Funk­tionsfülle immer öfter auch die Sicherheit. Der Vorstand von United Internet, Jan Oetjen, etwa berichtet: „Anwender legen größeren Wert auf Internet-Lösungen, die dem strengen deutschen Daten­schutz unterliegen.“ Zu dem Unternehmen gehören unter anderem die Marken 1&1, GMX und Web.de.

Auf der Suche nach dem besten Dienst prüften wir 14 E-Mail-Konten darauf, wie sie funk­tionieren, welche Kunden­daten sie erheben und worin sich kostenlose und Bezahl­dienste unterscheiden. Von den größten deutschen Anbietern Web.de und GMX prüften wir beide Varianten. Ihre Bezahlversionen sind funk­tionaler. Sie bieten beispiels­weise mehr Speicher­platz als die kostenlosen Mail­konten, aber nicht mehr Daten­schutz und Sicherheit.

In unserer Schluss­wertung liegen die besonders auf Schutz der Kunden bedachten Konten Mailbox.org sowie Posteo deutlich vor bekann­teren Diensten wie GMX und Google. Schluss­licht ist Freenet. Der Anbieter behält sich zum Beispiel vor, den Vertrag ohne Vorwarnung zu kündigen.

Sicherheit: Trendwende einge­leitet

Die jungen Anbieter Mailbox.org und Posteo, also nur 2 der 14 Dienste, schützen gut: Sie erheben nur wenige oder gar keine Kunden­daten. Was sie nicht speichern, kann niemandem in die Hände fallen. Ihre Bezahl­dienste florieren.

Verglichen mit dem vergangenen Test von E-Mail-Diensten (test 7/2009) hat sich der Daten­schutz deutlich verbessert.

  • Gegen Identitäts­diebstahl, die Über­nahme des E-Mail-Kontos, hilft eine Zwei-Faktor-Authentifizierung. Eine Variante: Nach dem Einloggen fragt das Mail­programm nach dem Sicher­heits­kode, den der Mail­dienst per SMS aufs Handy des Nutzers schickt. Das ist neben dem Pass­wort der zweite Sicher­heits­faktor. Dieses oder andere Zwei-Faktor-Verfahren können Nutzer bei Google Gmail, Mail.de Free­mail, Mailbox.org, Microsoft Outlook.com, Posteo und Yahoo Mail einrichten.
  • Kunden der in der Initiative „E-Mail made in Germany“ verbundenen Firmen wie 1&1, Freenet, GMX, Telekom und Web.de sehen, ob E-Mails inner­halb des Verbunds verschlüsselt gesendet und nach deutschem Daten­schutz gespeichert werden. Beim Eintippen der Adresse des Empfängers signalisiert ein grüner Haken, ob beides zutrifft.

Angriff unterwegs: Mann in der Mitte

Auf dem Weg zum Empfänger passiert eine Nach­richt viele Stationen (Server). Kriminelle können sich in den Daten­strom einklinken. Deshalb heißt die Angriffsform eng­lisch „man-in-the-middle-attack“. Ein Gegen­mittel sollten Nutzer deutscher Mail­dienste im Früh­jahr 2014 einschalten: Die Aufforderung lautete „Akti­vieren Sie SSL“. Der sper­rige Begriff Trans­portwegverschlüsselung beschreibt, was Secure Sockets Layer (SSL), bewirkt. Sie verschlüsselt Nach­richten auf den Wegen zwischen Servern im Internet. Der Mann in der Mitte bekommt den Daten­strom zwar zu fassen, nur lesen kann er ihn nicht mehr so leicht.

Das Problem bei SSL: Trotz des Sicherheit verheißenden Begriffs „Verschlüsselung“ liegen Nach­richten auf den Servern der Über­tragungs­kette immer noch im Klar­text vor, auch beim Mail­dienst. Nach­richten sind nicht hundert­prozentig geschützt, aber immerhin deutlich sicherer als ohne SSL-Verschlüsselung. Jeder zweite Mail­dienst im Test baut darauf: Freenet, Gmail, Mailbox.org, Outlook.com, Posteo, Telekom und Yahoo senden bei unsicherer Verbindung zu ihren Servern einfach nicht. Das ist ein Anfang.

Daten­schutz: Besser deutsches Recht

Einen hohen Daten­schutz­stan­dard versprechen die deutschen Anbieter unter anderem durch das Speichern der Nutzer­daten und E-Mails auf Servern im Inland. Wir haben es geprüft. Die Test­ergeb­nisse wider­sprechen dem nicht.

Für AOL, Gmail, Outlook.com und Yahoo hingegen gilt amerikanisches Recht: Der „Patriot Act“ verpflichtet US-Unternehmen zur Heraus­gabe aller Daten an Behörden – unabhängig vom Serverstand­ort.

Auch ohne staatliche Aufforderung durch­suchen einige E-Mail-Dienste auto­matisiert jede E-Mail für Werbe­zwecke. Google spricht darüber offen. Das Unternehmen verweist auf die Absicht, anhand der aus E-Mails heraus­gefilterten Vorlieben der Nutzer Werbung zielgenau zu schalten.

Auf der Suche nach Schadsoftware scannen aber auch alle anderen Mail­dienste die elektronische Post. Yahoo hält Schadsoftware jedoch nur zurück, wenn Kunden ihre Mails über den Internet­browser abrufen. Nutzen sie ein Mail­programm wie Thunderbird, schützt Yahoo sie nicht. Letzte Sicherung ist dann ein hoffentlich aktueller Viren­schutz auf dem PC des Nutzers.

Post­fach: Neugier Dritter

Jeder E-Mail-Dienst speichert die Nach­richten seiner Kunden im Klar­text. Das störte jahre­lang kaum jemanden. Heute stoßen sich auf Sicherheit bedachte Nutzer daran. Unzäh­lige Berichte über Sicher­heits­lecks und Computer­einbrüche lassen den Schluss zu: Kein Server ist hundert­prozentig sicher vor neugierigen Dritten.

Als erster Dienst bietet Mailbox.org an, Nach­richten verschlüsselt zu speichern. Einge­hende Nach­richten werden verschlüsselt abge­legt, sobald ein Kunde seinen öffent­lichen PGP-Schlüssel beim Mail­dienst hinterlegt. Mit der Anleitung im Internet gelingt das auch Laien. Erheblich komplizierter ist es, auch ausgehende und ältere Mails verschlüsseln zu lassen. Für Hacker sehen verschlüsselte Nach­richten aus wie Zahlensalat.

Wie oft Ermitt­lungs­behörden Zugriff auf Mail­konten verlangen, zeigen die Trans­parenzbe­richte der geprüften Anbieter. Beispiel Posteo: 2013 erhielt die Firma sieben Auskunfts­ersuchen. Sechs wies sie ab, viermal stellte Posteo unter anderem wegen Nötigung, Ermunterung zu rechts­widriger Koope­ration und Miss­achtung geltenden Rechts Straf­anzeigen oder Dienst­aufsichts­beschwerden gegen die Auskunftersuchenden.

Bei Posteo richtet der Kunde das Konto anonym ein und kann anonym bezahlen. Selbst die Sicher­heits­funk­tion Zwei-Faktor-Authentifizierung (2FA) realisiert Posteo anonym, beispiels­weise mit einer App oder einem speziellen USB-Stick. Mehr dazu im Schnell­test Yubikey – kleiner Schlüssel für großen Schutz. Anonyme Zwei-Faktor-Verfahren bieten auch Google Gmail, Mail.de, Mailbox.org und Microsoft Outlook.com.

Voller Schutz: Immer noch Hand­arbeit

E-Mail-Provider Test

Mitleser aussperren. Wer E-Mails zum Beispiel mit PGP verschlüsselt ist auf der sicheren Seite. Auf mobilen Endgeräten ist PGP aber immer noch kompliziert einzurichten und zu nutzen.

Die Trendwende zu mehr Sicherheit ist da. Für wirk­lich sichere Über­tragung müssten Kunden ihre Mails aber immer noch selbst verschlüsseln – so, dass nur der Empfänger sie lesen kann. Im Fachjargon heißt das Ende-zu-Ende-Verschlüsselung (Test Verschlüsselung: Wie Sie Ihre E-Mails vor Schnüfflern schützen, test 3/2014). Momentan ist sie von Laien nicht einfach einzurichten. Das wird sich hoffentlich bald ändern.

*) Korrigierte Fassung

Einige Passagen im Text, insbesondere jene zur Verschlüsselung von E-Mails auf den Servern der Anbieter und zur Zwei-Faktor-Authentifizierung des Dienstes Posteo, wurden am 3. Februar 2015 geändert. Urteile in der Tabelle sind von der Korrektur nicht betroffen.

Details zur Korrektur [12.02.2015]

Dieser Artikel ist hilfreich. 225 Nutzer finden das hilfreich.