Die Testsieger heißen Mailbox.org und Posteo. Sie schützen Kunden und elektronische Nachrichten am besten vor neugierigen Blicken.
Testergebnisse für 15 E-Mail-Provider 10/2016
Unglaubliche 215 Milliarden E-Mails verschicken Internetnutzer weltweit täglich. In Sekundenschnelle Nachrichten in die ganze Welt verteilen, wahlweise mit Fotos oder Dokumenten ergänzt, das ist die Stärke des digitalen Briefes. E-Mailen ist einfach. Zumindest für alle, die nicht über Sicherheit und Privatsphäre nachdenken. Spätestens seit der Aufdeckung des NSA-Skandals durch Edward Snowden verschicken viele ihre Mails aber mit einem schlechten Bauchgefühl.
Liest nur der beste Freund den Brief? Oder vielleicht auch der eigene Mailanbieter oder sogar der amerikanische Geheimdienst? Wem Privatsphäre wichtig ist, der sollte zu einem Dienst wechseln, der:
- wenig Daten über seine Nutzer erhebt,
- gute Sicherheits- und Verschlüsselungstechniken unterstützt,
- dem Nutzer hilft, seine Mails von Ende zu Ende zu verschlüsseln (siehe Grafik).
Die gute Nachricht: Einige der 15 geprüften E-Mail-Dienste erfüllen diese Anforderungen schon. Da hat sich in den vergangenen Jahren viel getan. Die beiden Testsieger Mailbox.org und Posteo sind sogar sehr gut. Sie kosten aber 1 Euro im Monat. Die Gratis-Dienste dagegen schneiden meist nur mittelmäßig ab.
Eine E-Mail, vier Stationen
Eine E-Mail durchläuft vom Absender zum Empfänger vier Stationen. Startpunkt ist der eigene Computer, das Smartphone oder Tablet, an dem der Absender die Nachricht verfasst. Er schickt sie an den Server seines E-Mail-Dienstes. Der leitet die Nachricht an den Server des Mailanbieters des Empfängers weiter. Der Adressat ruft die neue E-Mail von dort ab.
Ende zu Ende für sensible Daten
Sicherheitsbewusste Anwender, die ihr Mailkonto über den Internetbrowser nutzen, können auf den Verschlüsselungsstandard PGP zurückgreifen. Mit diesem verschlüsseln sie E-Mails von Ende zu Ende. Sie müssen dafür die Browsererweiterung Mailvelope installieren (Der Weg zur Ende-zu-Ende-Verschlüsselung im Browser)), die es derzeit nur für den Chrome- oder Firefox-Browser gibt. Mailvelope erzeugt ein digitales Schlüsselpaar oder nutzt das bereits vorhandene des Anwenders.
Die Macht der Schlüssel
Der private Schlüssel bleibt beim Nutzer. Den öffentlichen übermittelt er an Kommunikationspartner, mit denen er sicher mailen will. Auch die müssen eine Verschlüsselung eingerichtet haben. Nur so ist gewährleistet, dass keine Dritten die E-Mails einsehen können. Die Ende-zu-Ende-Verschlüsselung ist für Laien nach wie vor aufwendig. Sie lohnt sich für viele nur, wenn sie sensible Informationen austauschen wollen. Das kann die Steuererklärung vom Steuerberater sein, ein Dokument vom Notar oder ein Untersuchungsergebnis vom Hausarzt.
Die gute Nachricht: Eine Ende-zu-Ende-Verschlüsselung kann in vielen Mailprogrammen eingerichtet werden, sogar auf Smartphones und Tablets. Bei geschäftlicher Kommunikation kommt statt PGP oft ein anderes Verschlüsselungsverfahren zum Einsatz. Es nennt sich „S/Mime“ und ist in viele Mailprogramme wie Microsoft Outlook bereits eingebunden.
Eine einfache Lösung
Mailbox.org bietet neben der Ende-zu-Ende-Verschlüsselung ein zweites Verfahren an. Der Nutzer speichert in diesem Fall seinen privaten Schlüssel nicht auf seinem eigenen Rechner, sondern passwortgeschützt auf dem Server des Maildienstes. Das hat Vor- und Nachteile. Vorteil: Der Anwender muss keine Browsererweiterung installieren und kann etwa auf Reisen auch von anderen Rechnern verschlüsselt kommunizieren. Außerdem fällt bei einem Diebstahl des Notebooks oder PCs nicht auch noch der private Schlüssel in falsche Hände. Nachteil: Der private Schlüssel liegt auf dem Server des Anbieters. Dort ist er zwar professionell geschützt, theoretisch könnte Mailbox.org die verschlüsselten Mails aber einsehen. Zudem sind Mailserver für Cyberangriffe ein attraktiveres Ziel als ein einzelner, privater Rechner. Ob er den Mailserver oder den eigenen Rechner für sicherer hält, muss jeder Nutzer für sich entscheiden.
Transportweg meist geschützt
Mit entsprechendem Aufwand können auch Laien Ende zu Ende verschlüsseln, machen das aber nur selten. Ganz ungesichert reisen Mails dennoch nicht durchs Netz. Einen Grundschutz bietet die Transportweg-Verschlüsselung (TLS, Transport Layer Security). Mit ihr werden die Daten auf dem Weg zum Server des Mailanbieters automatisch verschlüsselt.
Alle Mailserver im Test beherrschten die Transportweg-Verschlüsselung mit TLS. Auf dem Weg zwischen den Mailanbietern fanden wir allerdings Unterschiede. Im Test nutzten Freenetmail, GMX, Telekom und Web.de zum Beispiel den deutschen Sonderweg „E-Mail made in Germany“. Damit garantieren sie, dass sie untereinander die E-Mails ihrer Kunden verschlüsselt übertragen. Ein internationaler Standard, der ebenfalls die Sicherheit von TLS erhöht, heißt Dane. Er wird von GMX, Mailbox.org, Mail.de, Posteo und Web.de unterstützt. Mailbox.org, Mail.de und Posteo zeigen dem Nutzer sogar schon vor dem Versand an, ob der Austausch seiner Mails mit Dane gesichert ist.
Dienste mit mehr Privatsphäre
Üblicherweise lagern die Nachrichten auf den Servern der E-Mail-Dienste unverschlüsselt und können etwa für Werbeeinblendungen ausgewertet werden. Mailbox.org, Mail.de und Posteo bieten mehr Privatsphäre als üblich. Sie verschlüsseln auf Wunsch auch den Inhalt aller E-Mails automatisch, die nicht Ende-zu-Ende-verschlüsselt ankommen.
Posteo geht mit der Funktion Krypto-Mailspeicher noch einen Schritt weiter und verschlüsselt zum Beispiel auch alle bereits gespeicherten Mails sowie deren Metadaten wie Datum und Uhrzeit des Mailverkehrs und die Adresse des Kommunikationspartners. Posteo verschlüsselt darüber hinaus auch das Adressbuch und den Kalender, sofern Kunden diese Funktion aktiviert haben.
Selbst Privatanwender können sich inzwischen vor neugierigen Mitlesern schützen. Trotz aller Fortschritte bleibt das Verfahren aber immer noch komplex.
-
So funktioniert Zwei-Faktor-Authentifizierung
- Passwörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...
-
Neues Zeichen für mehr Sicherheit
- Für internetfähige Produkte wie Router oder E-Mail-Dienste vergibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ab diesem Jahr ein...
-
Eine schlägt Google
- Internetnutzer in Deutschland richten rund 95 Prozent ihrer Suchanfragen an Google. Doch der US-Konzern durchsucht nicht nur das Netz, sondern auch seine Nutzer. Es...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Meine dienstlichen Mails landen bei web und gmx-Empfängern regelmäßig im Spam, und heute bekomme ich bei sämtlichen Empfängern von 1und1 Fehlermeldungen. Es wird Zeit für einen neuen Test, damit ich meine Leute endlich von web und gmx weg bekomme. Es gibt sogar immer noch welche bei AOL :-(
Bitte neuen Test von eMailanbietern durchführen: der letzte liegt schon 5 Jahre zurück! Schön wäre auch, wenn Sie dabei darauf eingehen würden, welche eMailadressen man verwenden kann, um mit seiner Psychotherapeutin sicher zu kommunizieren (eMails rund um eine Psychotherapie sind wohl die sensibelsten Gesundheitsdaten!). Eine ausführliche Anleitung zur Verschlüsselung von eMails mit deutschen Begriffen für Anna-und-Otto-NormalverbraucherInnen, die weder Informatik studiert haben noch als 'digital natives' aufgewachsen sind und nicht Englisch als Leistungskurs belegt haben, wäre sehr hilfreich. Auch PsychotherapeutInnen und ÄrztInnen (bzw. deren Sprechstundenpersonal) sind keine IT-Spezialisten. Viele Haus- und Fachärzte mailen ihren PatientInnen alles mögliche einschließlich ausführlicher Befundberichte völlig ungeschützt, sogar mit web.de- oder gmail-Postfächern!
@Kowy: Unsere Testplätze sind leider begrenzt. Wir haben iCloud nur als Cloud-Dienst getestet.
www.test.de/Cloud-Dienste-im-Test-5463650-0/
(DB)
Hallo,
Viele Apple nutzen den hauseigenen Email-Service. Da Apple in letzter Zeit auf Privatsphäre mehr Wert legt, würde mich interessieren, was test davon hält?
Mit freundlichen Grüßen,
Kowy
Der größte Unterschied zwischen Posteo und mailbox ist, das bei Posteo auch nicht anonyme Zahlungen (PayPal etc.) nicht mit dem Postfach verknüpft werden. D.h. konkret das man nicht von der Zahlung auf das dazugehörige Postfach schließen kann👍 Bei mailbox scheint das sehr wohl möglich zu sein👎Jedenfalls hat mir der Support zu dieser Fragestellung keine eindeutige bzw. nur ausweichende Antwort geben wollen. Daher würde ich Posteo den Vorzug geben. Evtl. kann kann test mailbox mal mit dieser Fragestellung konfrontieren und bekommt ggf. ja eine eindeutige Antwort. Aufgrund der sonstigen Vergleichbarkeit ist dies eindeutig der eintscheidende Punkt für POSTEO!👍