E-Mail Provider Zwei Dienste bieten Diskretion

58

Die Testsieger heißen Mailbox.org und Posteo. Sie schützen Kunden und elektronische Nach­richten am besten vor neugierigen Blicken.

E-Mail Provider Testergebnisse für 15 E-Mail-Pro­vider 10/2016

Unglaubliche 215 Milliarden E-Mails verschi­cken Internetnutzer welt­weit täglich. In Sekunden­schnelle Nach­richten in die ganze Welt verteilen, wahl­weise mit Fotos oder Dokumenten ergänzt, das ist die Stärke des digitalen Briefes. E-Mailen ist einfach. Zumindest für alle, die nicht über Sicherheit und Privatsphäre nach­denken. Spätestens seit der Aufdeckung des NSA-Skandals durch Edward Snowden verschi­cken viele ihre Mails aber mit einem schlechten Bauchgefühl.

Liest nur der beste Freund den Brief? Oder vielleicht auch der eigene Mailanbieter oder sogar der amerikanische Geheim­dienst? Wem Privatsphäre wichtig ist, der sollte zu einem Dienst wechseln, der:

  • wenig Daten über seine Nutzer erhebt,
  • gute Sicher­heits- und Verschlüsselungs­techniken unterstützt,
  • dem Nutzer hilft, seine Mails von Ende zu Ende zu verschlüsseln (siehe Grafik).

Die gute Nach­richt: Einige der 15 geprüften E-Mail-Dienste erfüllen diese Anforderungen schon. Da hat sich in den vergangenen Jahren viel getan. Die beiden Testsieger Mailbox.org und Posteo sind sogar sehr gut. Sie kosten aber 1 Euro im Monat. Die Gratis-Dienste dagegen schneiden meist nur mittel­mäßig ab.

Eine E-Mail, vier Stationen

Eine E-Mail durch­läuft vom Absender zum Empfänger vier Stationen. Start­punkt ist der eigene Computer, das Smartphone oder Tablet, an dem der Absender die Nach­richt verfasst. Er schickt sie an den Server seines E-Mail-Dienstes. Der leitet die Nach­richt an den Server des Mailanbieters des Empfängers weiter. Der Adressat ruft die neue E-Mail von dort ab.

Ende zu Ende für sensible Daten

Sicher­heits­bewusste Anwender, die ihr Mail­konto über den Internet­browser nutzen, können auf den Verschlüsselungs­stan­dard PGP zurück­greifen. Mit diesem verschlüsseln sie E-Mails von Ende zu Ende. Sie müssen dafür die Browser­erweiterung Mailvelope installieren (Der Weg zur Ende-zu-Ende-Verschlüsselung im Browser)), die es derzeit nur für den Chrome- oder Firefox-Browser gibt. Mailvelope erzeugt ein digitales Schlüssel­paar oder nutzt das bereits vorhandene des Anwenders.

Die Macht der Schlüssel

Der private Schlüssel bleibt beim Nutzer. Den öffent­lichen über­mittelt er an Kommunikations­partner, mit denen er sicher mailen will. Auch die müssen eine Verschlüsselung einge­richtet haben. Nur so ist gewähr­leistet, dass keine Dritten die E-Mails einsehen können. Die Ende-zu-Ende-Verschlüsselung ist für Laien nach wie vor aufwendig. Sie lohnt sich für viele nur, wenn sie sensible Informationen austauschen wollen. Das kann die Steuererklärung vom Steuerberater sein, ein Dokument vom Notar oder ein Unter­suchungs­ergebnis vom Haus­arzt.

Die gute Nach­richt: Eine Ende-zu-Ende-Verschlüsselung kann in vielen Mail­programmen einge­richtet werden, sogar auf Smartphones und Tablets. Bei geschäftlicher Kommunikation kommt statt PGP oft ein anderes Verschlüsselungs­verfahren zum Einsatz. Es nennt sich „S/Mime“ und ist in viele Mail­programme wie Microsoft Outlook bereits einge­bunden.

Eine einfache Lösung

Mailbox.org bietet neben der Ende-zu-Ende-Verschlüsselung ein zweites Verfahren an. Der Nutzer speichert in diesem Fall seinen privaten Schlüssel nicht auf seinem eigenen Rechner, sondern pass­wort­geschützt auf dem Server des Mail­dienstes. Das hat Vor- und Nachteile. Vorteil: Der Anwender muss keine Browser­erweiterung installieren und kann etwa auf Reisen auch von anderen Rechnern verschlüsselt kommunizieren. Außerdem fällt bei einem Diebstahl des Notebooks oder PCs nicht auch noch der private Schlüssel in falsche Hände. Nachteil: Der private Schlüssel liegt auf dem Server des Anbieters. Dort ist er zwar professionell geschützt, theoretisch könnte Mailbox.org die verschlüsselten Mails aber einsehen. Zudem sind Mail­server für Cyber­angriffe ein attrakti­veres Ziel als ein einzelner, privater Rechner. Ob er den Mail­server oder den eigenen Rechner für sicherer hält, muss jeder Nutzer für sich entscheiden.

Trans­portweg meist geschützt

Mit entsprechendem Aufwand können auch Laien Ende zu Ende verschlüsseln, machen das aber nur selten. Ganz ungesichert reisen Mails dennoch nicht durchs Netz. Einen Grund­schutz bietet die Trans­portweg-Verschlüsselung (TLS, Trans­port Layer Security). Mit ihr werden die Daten auf dem Weg zum Server des Mailanbieters auto­matisch verschlüsselt.

Alle Mail­server im Test beherrschten die Trans­portweg-Verschlüsselung mit TLS. Auf dem Weg zwischen den Mailanbietern fanden wir allerdings Unterschiede. Im Test nutzten Free­netmail, GMX, Telekom und Web.de zum Beispiel den deutschen Sonderweg „E-Mail made in Germany“. Damit garan­tieren sie, dass sie unter­einander die E-Mails ihrer Kunden verschlüsselt über­tragen. Ein interna­tionaler Stan­dard, der ebenfalls die Sicherheit von TLS erhöht, heißt Dane. Er wird von GMX, Mailbox.org, Mail.de, Posteo und Web.de unterstützt. Mailbox.org, Mail.de und Posteo zeigen dem Nutzer sogar schon vor dem Versand an, ob der Austausch seiner Mails mit Dane gesichert ist.

Dienste mit mehr Privatsphäre

Üblicher­weise lagern die Nach­richten auf den Servern der E-Mail-Dienste unver­schlüsselt und können etwa für Werbeein­blendungen ausgewertet werden. Mailbox.org, Mail.de und Posteo bieten mehr Privatsphäre als üblich. Sie verschlüsseln auf Wunsch auch den Inhalt aller E-Mails auto­matisch, die nicht Ende-zu-Ende-verschlüsselt ankommen.

Posteo geht mit der Funk­tion Krypto-Mailspeicher noch einen Schritt weiter und verschlüsselt zum Beispiel auch alle bereits gespeicherten Mails sowie deren Meta­daten wie Datum und Uhrzeit des Mail­verkehrs und die Adresse des Kommunikations­part­ners. Posteo verschlüsselt darüber hinaus auch das Adress­buch und den Kalender, sofern Kunden diese Funk­tion akti­viert haben.

Selbst Privat­anwender können sich inzwischen vor neugierigen Mitlesern schützen. Trotz aller Fort­schritte bleibt das Verfahren aber immer noch komplex.

58

Mehr zum Thema

58 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

roman-baer am 08.11.2022 um 12:45 Uhr
Bitte unbedingt neuen Test

Meine dienstlichen Mails landen bei web und gmx-Empfängern regelmäßig im Spam, und heute bekomme ich bei sämtlichen Empfängern von 1und1 Fehlermeldungen. Es wird Zeit für einen neuen Test, damit ich meine Leute endlich von web und gmx weg bekomme. Es gibt sogar immer noch welche bei AOL :-(

Benutzerin2023 am 04.09.2021 um 15:45 Uhr
Bitte neuen Test von eMailanbietern durchführen

Bitte neuen Test von eMailanbietern durchführen: der letzte liegt schon 5 Jahre zurück! Schön wäre auch, wenn Sie dabei darauf eingehen würden, welche eMailadressen man verwenden kann, um mit seiner Psychotherapeutin sicher zu kommunizieren (eMails rund um eine Psychotherapie sind wohl die sensibelsten Gesundheitsdaten!). Eine ausführliche Anleitung zur Verschlüsselung von eMails mit deutschen Begriffen für Anna-und-Otto-NormalverbraucherInnen, die weder Informatik studiert haben noch als 'digital natives' aufgewachsen sind und nicht Englisch als Leistungskurs belegt haben, wäre sehr hilfreich. Auch PsychotherapeutInnen und ÄrztInnen (bzw. deren Sprechstundenpersonal) sind keine IT-Spezialisten. Viele Haus- und Fachärzte mailen ihren PatientInnen alles mögliche einschließlich ausführlicher Befundberichte völlig ungeschützt, sogar mit web.de- oder gmail-Postfächern!

Profilbild Stiftung_Warentest am 03.06.2021 um 17:01 Uhr
Warum wurde iCloud nicht getestet?

@Kowy: Unsere Testplätze sind leider begrenzt. Wir haben iCloud nur als Cloud-Dienst getestet.
www.test.de/Cloud-Dienste-im-Test-5463650-0/
(DB)

Kowy am 03.06.2021 um 15:07 Uhr
Warum wurde iCloud nicht getestet ?

Hallo,
Viele Apple nutzen den hauseigenen Email-Service. Da Apple in letzter Zeit auf Privatsphäre mehr Wert legt, würde mich interessieren, was test davon hält?
Mit freundlichen Grüßen,
Kowy

marcla am 29.05.2021 um 20:58 Uhr
Identifikation über Zahlung!

Der größte Unterschied zwischen Posteo und mailbox ist, das bei Posteo auch nicht anonyme Zahlungen (PayPal etc.) nicht mit dem Postfach verknüpft werden. D.h. konkret das man nicht von der Zahlung auf das dazugehörige Postfach schließen kann👍 Bei mailbox scheint das sehr wohl möglich zu sein👎Jedenfalls hat mir der Support zu dieser Fragestellung keine eindeutige bzw. nur ausweichende Antwort geben wollen. Daher würde ich Posteo den Vorzug geben. Evtl. kann kann test mailbox mal mit dieser Fragestellung konfrontieren und bekommt ggf. ja eine eindeutige Antwort. Aufgrund der sonstigen Vergleichbarkeit ist dies eindeutig der eintscheidende Punkt für POSTEO!👍