Stiftung Warentest - Unstimmigkeiten im Test
Freitag, den 30. Januar 2015 - 15:23 Uhr Verfasst von Fabian Bock
UPDATE: Die Stiftung Warentest hat sich auf Grund der Rückmeldungen mehrerer E-Mail Anbieter entschlossen, den Testbericht auf test.de vorerst von der Website zu nehmen und hat bereits Rücksprache mit dem verantwortlichen Prüfinstitut gehalten. Es wird davon ausgegangen, dass die Veröffentlichung an mehreren Stellen geändert und in der kommenden Woche eine überarbeitete Version veröffentlichen wird. In der nächsten Printausgabe der Zeitschrift wird darüber hinaus der Sachverhalt nochmals aufgegriffen.
Mit der Ausgabe 02/2015 des Fachmagazin "Test" veröffentlichte die Stiftung Warentest einen Test von 14 E-Mail Providern in dem unser FreeMail-Paket mit der Gesamtbewertung "befriedigend" (Note 2,9) beurteilt wurde. Ein Ergebnis, welches wir bei mail.de mit großer Verwunderung zur Kenntnis genommen haben, da wir erst gestern im Einzeltest von "getestet.de" mit dem Gesamtergebnis "sehr gut" (Note 1,4) bewertet wurden.
http://www.getestet.de/mail-de-einzeltest/
Der regelmäßige Leser unseres Blogs wird sich sicher daran erinnern, dass wir uns auch im Laufe des letzten Jahres in diversen anderen Vergleichstests auf den vordersten Rängen wiedergefunden haben und mehrfach Testsieger wurden.
Für uns Grund genug, das Testergebnis der Stiftung Warentest genauer anzusehen:
Vergleich von FreeMail- mit Premiumpostfächern/Anzahl von Werbeeinblendungen
Im Vergleichstest werden kostenfreie FreeMail-Angebote in direktem Vergleich zu Premium-Angeboten gestellt.
Ein kostenloses, bzw. werbefinanziertes mit einem kostenpflichtigen Produkt zu vergleichen hat natürlich seine Tücken, und so lässt die Stiftung Warentest Werbeeinblendungen der Freemailanbieter negativ in das Testergebnis einfließen, welches bei Premiumangeboten aufgrund der Werbefreiheit zu keiner Abwertung des Angebotes führt.
Zusätzlich werden werbefinanzierte Angebote unter dem Stichpunkt "Umgang mit Kundendaten/Datenschutz" Im Vergleichstest abgestraft, da kostenpflichtige Dienste halt nicht über Werbung refinanziert werden und deutlich weniger Daten des Kunden (z.B. das Werbeeinverständnis) einfordern.
Eben aus diesem Grund bieten wir schon seit Jahren sowohl ein werbefinanziertes als auch kostenpflichtige E-Mail-Pakete an, wodurch der Kunde die freie Wahl hat, welche Lösung er bevorzugt. Ein Umstand dem zumindest bei der Bewertung unseres Dienstes keinerlei Beachtung geschenkt wird. Leider wurde ausschließlich unser FreeMail-Paket berücksichtigt und ein Test eines unserer Premium-Pakete nicht vorgenommen.
Interessanterweise wurde allerdings für zwei Anbieter eine Ausnahme gemacht und sowohl das FreeMail als auch das günstigste Premiumangebot bewertet. Aufgrund des vorgenannten Bewertungssystems der Stiftung Warentest sind die Premium-Pakete deutlich besser bewertet, als die FreeMailpakete der Anbieter, welches nicht weiter verwunderlich ist.
Für einen direkten Vergleich der unterschiedlichen E-Mail Pakete in einer Vergleichstabelle hätte zumindest von allen Anbietern die FreeMail- sowie Premiumversion getestet werden oder eine Unterteilung der unterschiedlichen Vergleichtabellen zwischen Free- und Premium vorgenommen werden sollen.
"Nur einer liest nicht mit"
lautet die Überschrift des Artikels, und weiter wird behauptet: Mit einer Ausnahme speichert jeder der geprüften E-Mail Dienste Nachrichten seiner Kunden im Klartext". Es wird also suggeriert, dass nur einer der 14 getesteten Anbieter wirklich sicher ist, da dieser E-Mails verschlüsselt abspeichert und so nicht mitlesen kann.
Tatsächlich aber kann jeder E-Mail Anbieter die ein- und ausgehenden E-Mails seiner Kunden mitlesen. Es ist sogar, auch von der Stiftung Warentest, erwünscht, da eine Überprüfung auf Viren und Spam vorausgesetzt wird. Das funktionert aber nur, wenn die E-Mail-Inhalte auch "gelesen" werden. Natürlich wird diese Aufgabe in jedem Fall von einem Programm erledigt, ändert aber nichts daran, dass auch der Testsieger erst einmal "mitliest".
Noch dazu wurde hier die optionale Verschlüsselung der Inhalte eingehender E-Mails mit dem öffentlichen PGP-Schlüssel des jeweiligen Kunden mit einer "vollständigen Verschlüsselung" des Postfaches verwechselt.
Zur Erklärung: Nur die E-Mail-Inhalte von Nutzern die einen PGP/GPG-Schlüssel bei dem Anbieter hinterlegen, werden beim Empfang verschlüsselt und so abgelegt. Daher bleiben E-Mails die sich bereits im Postfach befinden zunächst einmal unverschlüsselt. Auch die sogenannten Metadaten, also Sender und Empfänger, aber auch der Betreff der verschlüsselten E-Mails bleiben im Klartext vorhanden und sind so durch den Anbieter aber auch durch Hacker und Strafverfolgungsbehörden weiterhin einsehbar. Diese Vorgehensweise hat übrigens auch einen entscheidenden Nachteil: Eine Suche über die verschlüsselten E-Mail-Inhalte ist nicht mehr möglich.
Verschlüsselung
Die Stiftung Warentest erwähnt zu unserem Dienst: "Kritisch: Der Maildienst lässt unverschlüsseltes Senden von Nachrichten zu." Weiterhin wird behauptet, dass jeder zweite Anbieter bei unsicherer Verbindung nicht senden würde. Spätestens hier wird langsam klar, dass bei der Stiftung Warentest leider ein mangelndes Grundverständnis zum Thema IT-Sicherheit und Verschlüsselung herrscht.
Einige Anbieter bieten seit etwa Mitte letzten Jahres keine unverschlüsselte Datenverbindungen für E-Mail-Clients wie Outlook oder Thunderbird über IMAP/POP3 und SMTP mehr an. Wenn also "jeder zweite Anbieter" bei einer unsicheren Verbindung den E-Mail Versand blockiert, sendet nicht der Anbieter nicht, sondern das E-Mail-Programm kann nicht senden, da die Verbindung nicht unverschlüsselt aufgebaut werden kann.
Ob man es als kritisch bezeichnen sollte, dass wir es unseren Kunden optional erlauben unverschlüsselte SMTP-Verbindungen zu unseren Servern auf zu bauen, um auch mit älteren Applikationen, die keine Verschlüsselung unterstützen, über uns zB. Statusmeldungen versenden zu können, halten wir für fraglich. Denn schließlich bevorzugen aktuelle E-Mail-Programme standardmäßig verschlüsselte Verbindungen und auch unser WebMail-Interface ist seit Start unseres Dienstes, wie alle unsere Webseiten, ausschließlich verschlüsselt zu erreichen. Man muss also schon wissentlich ein unverschlüsseltes Protokoll wählen, damit es "kritisch" wird.
Was wir allerdings als kritisch bezeichnen würden ist die Tatsache, dass in dem Testbericht munter Transportverschlüsselung und verschlüsselte Speicherung durcheinander geworfen werden.
Eine E-Mail wird bei ihrem Versand eigentlich immer über mehrere Computer geschickt. Also zum Beispiel von dem Computer des Versenders über einen Server dessen Anbieters auf einen unserer Server und von da schließlich auf den Computer einer unserer Kunden. Unsere Server bieten zwar vollständig Transportverschlüsselung, übrigens als einer der ersten Anbieter Deutschlands mit DANE und DNSSEC, aber wenn die Server des Versenders eben keine Verschlüsselung unterstützen und wir daraufhin die Übertragung ablehnen, kommt die E-Mail schlicht und ergreifend nicht an. Also kein wirklich wünschenswertes Szenario.
Ob man nun beim Empfang E-Mail-Inhalte vor dem Abspeichern verschlüsselt oder nicht hat keinerlei Einfluss auf die Sicherheit der Übertragung. Der Inhalt der E-Mail selbst ist für jede an der Kommunikation beteiligten Partei im Klartext lesbar, es sei denn dieser wird zuvor mit Hilfe von PGP/GPG oder S-MIME verschlüsselt. Auch im Testbericht heisst es: "Für wirklich sichere Übertragung müssten Kunden ihre Mails aber immer noch selbst verschlüsseln - so, dass nur der Empfänger sie lesen kann. Im Fachjargon heißt das Ende-zu-Ende-Verschlüsselung."
Das liegt in der Natur der Sache und wird sich auch nie ändern. Um sicher zu sein, müssen Sie selbst aktiv verschlüsseln und niemandem ausser dem Empfänger Ihrer E-Mails vertrauen.
Wie Sie diese Art der Verschlüsselung selbst nutzen können erklären wir Ihnen auf diesen hilfreichen Einrichtungsseiten:
https://mail.de/de/help/nachrichten/pgp-verschluesselung/pgp-verschluesselung
https://mail.de/de/help/nachrichten/pgp-verschluesselung/pgp_in_apple_mail
https://mail.de/de/help/nachrichten/pgp-verschluesselung/pgp_in_thunderbird
https://mail.de/de/help/nachrichten/pgp-verschluesselung/pgp_in_outlook
https://mail.de/de/help/nachrichten/s-mime-verschluesselung/allgemein
https://mail.de/de/help/nachrichten/s-mime-verschluesselung/s-mime_in_thunderbird
https://mail.de/de/help/nachrichten/s-mime-verschluesselung/s-mime_in_apple_mail
Warum diese, unsere Anleitungen keinerlei Berücksichtigung im Test erhielten, während Mitbewerber diesbezüglich gelobt wurden derartige Anleitungen , erschließt sich uns nicht so ganz.
Fragwürdige Bewertungen weitergehender Funktionalitäten
Das mangelnde Verständnis von IT-Sicherheit zeichnet sich auch in der Aussage, dass die "Einzige Lösung, um anonym zu bleiben: eine im Ausland gekaufte, nicht personalisierte Guthabenkarte fürs Handy" sei ab. Das ist grundlegend falsch, denn bei der Benutzung unsere Smartphone-App "mail.de Authenticator" wird keine Verbindung mit unseren Servern aufgebaut. Sie bietet lediglich für das Login einen zusätzlichen Sicherheitscode, der dynamisch in der App als auch auf unseren Servern berechnet wird.
Weiterhin bieten wir die Möglichkeit, einen individuellen Benutzernamen anstelle der E-Mail Adresse zum Login zu verwenden. Insgesamt stehen also zusammen mit dem Passwort drei Sicherheitskriterien zur Verfügung und man könnte dieses als 3-Faktor Authentifizierung positiv bewerten.
Ein weiteres interessantes Phänomen in diesem Test ist, dass Funktionalitäten, die nicht vorhanden sind, keinen Einfluss auf die Bewertung hatten, eine vorhandene Funktion aber durchaus zu negativen Bewertungen führen konnte.
So geschehen bei unserem Online-Speicher, wo unsere angeblich "lahme Cloud" sowohl im Ergebnis als auch im Test als negativ ausgelegt wurde. Erstens denken wir nicht, dass es besser wäre, keinen Online-Speicher anzubieten und zweitens halten wir es für sehr fraglich ob 70 - 90 MBit/s als "lahm" bezeichnet werden sollte.
Unser Umzugsdienst mit POP3-Sammeldienst und IMAP-Import, der übrigens standardmäßig zuerst versucht, übere eine verschlüsselte Verbindung E-Mails einzusammeln, sowie die Möglichkeit Kalender und Adressbücher zu importieren, findet keinerlei Erwähnung, während andere Anbieter explizit im Testbericht aufgeführt werden. Ob unser Dienst in die Gesamtbewertung eingeflossen ist, erschließt sich auch nicht aus den vorhandenen Informationen.
Die Aussage zu einem Anbieter, Zitat "Ein Adressbuch ist vorhanden, doch es nimmt keine Termine via E-Mail an", deuten wir als Schreibfehler. Sicher ist hier der Kalender und nicht das Adressbuch gemeint.
Im Testbericht werden mehrfach die Teilnehmer der Marketing-Kampagne "E-Mail made in Germany" hervorgehoben. Eine Erwähnung, dass andere Anbieter alternative Techniken einsetzen, die einen vergleichbaren Schutz bieten, werden nicht vorgenommen. Das permanente Wiederholen der Initiative "E-Mail made in Germany“ sowie das Weglassen des Einsatzes der alternativen Technik kann beim Leser den Eindruck erwirken, andere Anbieter wären beim Thema Sicherheit nicht vergleichbar aufgestellt.
Statt uns bei einer auf wenige deutsche Anbieter beschränkte Lösung zu beteiligen, haben wir uns für das frei verfügbare Verfahren DANE entschieden. Der klare Vorteil von DANE: DANE ist nicht auf deutsche Provider beschränkt. Durch den Einsatz von DANE ist gewährleistet, dass über Landesgrenzen hinaus eine verschlüsselter und verifizierter Transport stattfinden kann, sofern der ausländische Anbieter die Technik ebenfalls nutzt.
mail.de verfolgt stets die aktuelle Entwicklung im E-Mail Markt und folgt neuen, innovativen Trends, wie die bereits erwähnte Unterstützung von DANE/DNSSEC gezeigt hat. Wir unterstützen aktuell Mailvelope zur Verschlüsselung mit PGP/GPG und werden die Postfach-Verschlüsselung dieses Jahr weiter in Richtung Ende-zu-Ende-Verschlüsselung ausbauen. Projekte wie DarkMail verfolgen wir aufmerksam und untersuchen, wie wir aktiv daran mitwirken können.
Diese Bemühungen haben sich auch in der Vergangenheit bereits bezahlt gemacht, denn so hatte das Fachmagazin c't heise im Februar 2014 uns als besten FreeMail-Provider gekürt wobei im Test der Schwerpunkt auf das Thema "Sicherheit" lag:
https://mail.de/de/blog/2014-01-mailde-bester-freemail-anbieter-im-c't-sicherheitstest!
Auch "Computer - Das Magazin für die Praxis" hat unser FreeMail-Paket in der Ausgabe 07/2014 zum Testsieger ernannt und im Umweltcheck des Magazins "Zeo2" konnte unser FreeMail-Paket ebenfalls den 1. Platz belegen:
Wir haben die Stiftung Warentest um Korrektur des aktuellen Testvergleichs gebeten. Die Veröffentlichung auf Basis des aktuellen Tests kann weitreichende, negative Folgen für einige Anbieter nach sich ziehen.