mail.de bester FreeMail-Anbieter im c't Sicherheitstest!

Montag, den 27. Januar 2014 - 21:28 Uhr Verfasst von Michael Kliewe

Am heutigen 27. Januar 2014 ist die Ausgabe 4/2014 des c't-Magazins erschienen, in dem 16 E-Mail-Anbieter einem Sicherheitstest unterworfen wurden. Auf insgesamt 14 Seiten (Seite 82 bis 95), inklusive einer umfangreichen Tabelle mit 63 Kriterien, wurden die Anbieter detailliert untersucht. 7 der 16 Anbieter gingen mit einem kostenlosen FreeMail Paket ins Rennen, darunter auch mail.de.

Das Hauptaugenmerk des Tests wurde auf die Verschlüsselung der einzelnen Dienste gelegt.

Das Testergebnis zeigt, dass mail.de beim Thema "Sicherheit" zu den sicheren E-Mail Providern gehört. Deutsche Anbieter, wie GMX, Web.de, T-Online aber auch internationale E-Mail Provider, wie GoogleMail, Yahoo und outlook.com lässt mail.de in puncto Sicherheit weit hinter sich.

Zusammenfassend kann man festhalten, dass kein E-Mail Provider perfekt ist und die höchste Bewertung bekommen hat. Auch bei mail.de gibt es wenige Punkte, an denen wir aktuell arbeiten, um Ihnen die bestmögliche Sicherheit zu bieten. Wir sind stolz darauf, als bester FreeMail-Anbieter den Test abgeschlossen zu haben.

Leider wurden im Test sowohl kostenlose FreeMail-Angebote als auch kostenpflichtige E-Mail Angebote miteinander verglichen, so dass kein 100% fairer Vergleich anhand der Test-Tabelle möglich ist. Jedoch nicht jeder Anbieter hat ein kostenloses Angebot, und nicht jeder hat kostenpflichtige Pakete im Repertoire, so dass explizit auf die Details zu schauen ist.

Gern möchten wir darauf hinweisen, dass bei einem derart umfangreichen Test sich schnell der Fehlerteufel einschleichen kann. Beispielsweise wird in der Testtabelle ausgewiesen, dass wir nicht die Adressbuch-Synchronisation bieten. Diese Funktion unterstützen wir selbstverständlich. Über das CardDAV Protokoll bieten wir die Möglichkeit, das Adressbuch auf allen Geräten synchron zu halten. Anleitungen dazu befinden sich in unserer Hilfe.

Weiterhin ist auch die Angabe einer Vertragslaufzeit sowie Kündigungsfrist fehlerhaft und kann zu Verwirrungen beim Kunden führen. In unserem kostenlosen FreeMail-Angebot gibt es entgegen der Test-Tabelle KEINE Vertragslaufzeit sowie KEINE Kündigungsfrist; das Nutzerkonto kann jederzeit deaktiviert und gelöscht werden.

Im Fließtext des Artikels werden alle Anbieter aufgezählt, die HSTS unterstützen. Fälschlicherweise wird mail.de nicht mit aufgezählt, obwohl wir HSTS, wie auch in der Tabellenübersicht korrekt seitens c´t aufgeführt wird, unterstützen. mail.de befindet sich darüber hinaus sogar auf der HSTS-Preloaded-Liste der Browser. Wir sind neben Google der einzige Anbieter, der HSTS maximal ausnutzt und größtmöglichen Schutz bietet.

Uns ist klar, dass ein solcher Tests nicht alle Sicherheitsfeatures testen und auflisten kann, dennoch hätten wir uns gefreut, wenn im Test auf die Möglichkeit hingewiesen worden wäre, dass bei uns der Loginname geändert werden kann.
Normalerweise authentifiziert sich ein Nutzer mit der E-Mail-Adresse und dem Passwort. Die E-Mail-Adresse ist jedoch nach außen hin bekannt, so daß ein potenzieller Angreifer nur noch das korrekte Passwort herausbekommen muss. Bei mail.de ist es möglich, den Loginnamen zu ändern, sodass ein Angreifer neben dem Passwort den korrekten Loginnamen herausfinden muss. Als weitere Sicherheitsmaßnahme haben wir zu den beiden Authentifizierungsfaktoren noch einen dritten Faktor hinzugefügt:

Den mail.de Authentikator. Hierbei handelt es sich um eine Handy-App, die alle 30 Sekunden einen neuen 6-stelligen Code generiert, der zusätzlich zum Loginnamen und Passwort bei jeder Webmailer-Anmeldung eingegeben werden muss. Unseres Wissens nach bietet kein anderer Anbieter eine solch hohe Sicherheit durch die 3-Faktor-Authentifizierung. Gerade kürzlich wurde bekannt, dass 16 Millionen E-Mail Konten/Passwörter geknackt wurden. Ein Fremdzugriff auf den Webmaildienst kann durch unsere 3-Faktor-Authentifizierung komplett vermieden werden.

Gern möchten wir Ihnen unsere Sichtweise zu den Verschlüsselungsmöglichkeiten "PGP- bzw. S/MIME" mitteilen. Einige Anbieter unterstützen diese Funktionen. Wir haben uns bewusst dagegen entschieden und begründen Ihnen unsere Entscheidung gern wie folgt:

Wir denken, dass eine sichere Ende-zu-Ende-Verschlüsselung nicht vom E-Mail-Anbieter selbst durchgeführt werden sollte. Der Anbieter würde in diesem Fall den Zugriff auf den privaten Sicherheits-Schlüssel erhalten und könnte demzufolge diesen Schlüssel z.B.: an Behörden übergeben. mail.de hat sich aus diesem Grund aktiv dagegen entschieden, eine Ende-zu-Ende Verschlüsselung direkt über den Webmaildienst anzubieten, denn wir möchten nicht Zugriff auf die privaten Schlüssel bzw. den Klartext einer E-Mail haben, und gleichzeitig unseren Kunden Sicherheit durch die Nutzung unseres Dienstes versprechen. Wer PGP und S/MIME einsetzen möchte, sollte zwingend auf dem eigenen Computer bzw. dem eigenen Handy diese Verschlüsselungsmöglichkeiten installieren und der einzige Besitzer des Schlüssels sein.

Abschließend möchten wir gerne mitteilen, dass wir sehr stolz sind, den c´t Test als sicherster FreeMail-Anbieter bestanden zu haben. Dieser Test spiegelt unser Bestrebung wider, unseren Kunden einen sicheren und seriösen E-Mail Dienst anbieten zu können.