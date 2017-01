Fulda – Nach Angaben von Convios Consulting sind für den privaten E-Mail-Verkehr GMX und Web.de mit zusammen über 50 % Marktanteil bei den privaten Primär-Konten am populärsten. Die PSW GROUP (www.psw-group.de) hat sich die beiden kostenlosen Freemail-Dienste der 1&1 Mail & Media GmbH genauer angesehen – und kann die hohe Beliebtheit nicht völlig nachvollziehen.

„Schon von Beginn an zeigen sich Web.de und GMX aufgrund des ständigen Weiterklickens von Werbung, ehe man nach der Registrierung zum Postfach kommt, anstrengend. Auch das Durchlassen unsicherer Passwörter, die Verwendung unsicherer SHA-1-Zertifikate und ein recht großer Umfang an Registrierungsdaten stört“, so Christian Heutger, Geschäftsführer der PSW GROUP, und sagt weiter: „Pflichtnewsletter, die nicht abbestellt werden können, sind leider genauso lästig wie die Tatsache, dass bei beiden Diensten eine umfassende Seitenverschlüsselung Glückssache ist.“

Immerhin: Die Leistungen von GMX und Web.de gehen über den Standard hinaus. Das kostenfreie Angebot ist umfangreich, und während die Start- und Registrierungsseiten in Sachen Werbeeinblendungen Böses befürchten lässt, hält sich die Werbung im Postfach in Grenzen. Allerdings „tarnen“ sich einige Werbeeinblendungen als E-Mail und das kann zu Verwirrung führen. Insgesamt unproblematisch ist das Senden und Empfangen von E-Mails. „Der Empfang bei Web.de allerdings kann unübersichtlich werden, denn Nachrichten von unbekannten Absendern landen grundsätzlich erst einmal im Spam. Ein unachtsames Auge kann da leicht was übersehen“, kritisiert Heutger. GMX löst dies etwas besser und schickt jede eingehende E-Mail in den Posteingang.

Kritik ernten auch die Rechtstexte, denn sie weisen inhaltlich diverse Mängel auf: „Nutzerdaten werden konzernintern weitergegeben und obwohl der anonymisierten Sammlung und Nutzung widersprochen werden kann, ist eine Einwilligung für die Verwendung personenbezogener Daten für E-Mail- sowie postalische Werbung nicht vorgesehen“, erklärt Christian Heutger. Sämtliche Userdaten werden ausschließlich auf Servern in Deutschland gespeichert, über die Serververschlüsselung schweigt sich 1&1 jedoch aus. „Für meinen Geschmack werden zu viele Daten gespeichert, darunter die ohnehin recht umfangreichen Registrierungsdaten, E-Mails und Dateien – und das mindestens solange der Account besteht, maximal aber solange es gesetzliche, vertragliche sowie satzungsmäßige Fristen vorsehen“, ergänzt Heutger.

An Sicherheitselementen sparen GMX und Web.de fleißig: Zwar ist das Mail-Interface sicher verschlüsselt, diese Sicherheit kann jedoch nicht immer gewährleistet werden. „Häufig kommt es aufgrund von Bannerwerbung oder aufgrund anderer Grafiken dazu, dass nicht alle Inhalte zuverlässig verschlüsselt werden. User sollten deshalb auf die Darstellung im Browser achten, denn viele aktuelle Browserversionen warnen vor unsicher verschlüsselten Sites“, so Heutger, der auch die Sicherheit auf den Login-Seiten beider Dienste kritisiert: Zwar stark verschlüsselt, verwenden beide Dienste eine anfällige Cipher mit dem veralteten SHA-1-Hashalgorithmus. Damit sind Eingaben der Login-Daten nicht absolut sicher.

Die E-Mail-Verschlüsselung richten User zwar kinderleicht selbst ein – bei der Vergabe des Schlüsselpassworts für die Sicherung von E-Mails mittels Verschlüsselung schüttelt der IT-Sicherheitsexperte jedoch den Kopf: „Auch hier lässt die Passwort-Prüfung extrem zu wünschen übrig. Beispielsweise ging im Test P4sswort problemlos durch. Das ist aber noch längst nicht unser einziger Kritikpunkt. Denn nur anderen Teilnehmern der Initiative „E-Mail made in Germany“ werden verschlüsselte E-Mails zugestellt. Das Gros unserer Testmails, das auch Nicht-Teilnehmer der Initiative erreicht, bleibt offen wie ein Scheunentor. Im Verbund wird also Ende-zu-Ende-verschlüsselt, außerhalb existiert nur eine Transportverschlüsselung. Das ist schade für jene, deren Kontakte andere Anbieter gewählt haben, denn abhörsicheres Mailen ist dann nicht möglich“, so Christian Heutger.

