So sicher sind E-Mail-Programme wirklich

Outlook, Gmail und Co.

So sicher sind E-Mail-Programme wirklich

E-Mails sind eines der größten Einfallstore für Cyber-Angriffe. Ein Test zeigt: Die meisten E-Mail-Programme schützen gut. Drei Anbieter jedoch schwächeln.

Alle getesteten E-Mail-Programme erfüllen „größtenteils“ die an sie gestellten Sicherheitsanforderungen. Das ist das Ergebnis einer Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das zwölf bekannte Anwendungen getestet hat. Drei Programme fallen aber negativ auf.

Zu den vom BSI getesteten E-Mail-Anwendungen gehören etwa Apple Mail, Outlook (neu), Thunderbird, Gmail und Proton Mail. Aber auch weniger bekannte Anbieter wie Betterbird, Mailbird und Spark Mail wurden von den Sicherheitsexperten des BSI geprüft.

Zu den untersuchten Sicherheitsaspekten gehörten nach Angaben der Behörde die Merkmale Vertraulichkeit, Integrität und Verfügbarkeit. Konkret bedeutet das, dass die Programme etwa sicherstellen, dass nur berechtigte Personen Zugriff auf Nachrichten und Anmeldedaten erhalten.

Aber auch, dass E-Mails während der Übertragung und Speicherung nicht von anderen gelesen und verändert werden können, ist ein wesentlicher Aspekt, den die Forscher untersuchten. Zudem sollten die Anwendungen gewährleisten, dass ein Zugriff auf Nachrichten und die Funktionen des Programms jederzeit möglich bleiben.

Die gute Nachricht: Bei neun der zwölf getesteten Programme kann eine Ende-zu-Ende-Verschlüsselung aktiviert werden. Der Inhalt der E-Mails ist also vor dem Zugriff Dritter geschützt.

Alle Programme setzen zudem Transportverschlüsselung ein, um Nachrichten während der Übertragung abzusichern. Unterschiede gibt es jedoch bei der Umsetzung. Nicht jedes Programm bietet die Verschlüsselung standardmäßig an. Und nicht alle unterstützen die sicheren Standards OpenPGP oder S/MIME.

Nur drei der Anwendungen (Gmail, KMail und Proton Mail) prüfen Anhänge auf mögliche Gefahren und zeigen laut BSI vor dem Öffnen einen Warnhinweis oder verschieben die Nachricht in einen Quarantäne-Ordner.

Die Anwendungen Spark Mail, Blue Mail und Mailbird fallen bei der BSI-Untersuchung negativ auf. Zwar werden die Programme von der Behörde in ihrer Zusammenfassung der Ergebnisse nicht explizit hervorgehoben. Die Daten zeigen aber, dass die Anbieter keine Ende-zu-Ende-Verschlüsselung bieten. Bei Spark Mail fehlt zudem ein Spam- und Phishing-Filter für die Nachrichten.

Auch Anhänge werden bei Spark Mail nicht auf Schadsoftware geprüft. Somit ist Spark Mail das Programm, das seine Nutzer am wenigsten vor Bedrohungen aus dem Internet schützt.

Was das BSI bei allen Programmen positiv hervorhebt: Deren Hersteller entwickeln ihre Anwendungen kontinuierlich weiter, schreibt die Behörde. Regelmäßig stehen Aktualisierungen bereit, über die Anwender entweder informiert oder die automatisch installiert werden, so das BSI.