Kombination aus kostenlosem Postfach und Sicherheit funktioniert doch!

Fulda – Im Rahmen ihrer Testreihe über E-Mail-Postfächer haben die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) mit eclipso einen Anbieter getestet, der neben kostenpflichtigen auch Freemail-Pakete anbietet. „Das rief unser Interesse hervor, da wir in vorangegangenen Tests feststellen mussten, dass die kostenfreien Freemail-Dienste in Punkto Sicherheit nicht überzeugen konnten. Wir waren gespannt und tatsächlich zeigten sich die Sicherheitskomponenten des Freemail-Pakets bis auf die Passwortkontrolle stimmig. Die Website und das Backend sind sinnvoll verschlüsselt und auch die Transportverschlüsselung der E-Mails bietet effizienten Schutz”, fasst Christian Heutger, Geschäftsführer der PSW GROUP, zusammen. Sein Team hat neben den Sicherheitsaspekten auch Usability, AGB und Datenschutz genauer unter die Lupe genommen.

Mit dem Freemail-Paket offeriert eclipso ein kostenfreies Angebot, das sich durch Werbung finanziert. Alternativ stehen die werbefreien und kostenpflichtigen Postfächer Connect für 1,99 Euro pro Monat und Premium für 4,99 Euro pro Monat zur Verfügung. Im Test der PSW GROUP war ausschließlich das Freemail-Paket. Und dessen Postfachdetails konnten überzeugen: Genügend Speicherkapazitäten treffen auf etliche Funktionen im Backend. Mit eclipso Freemail versenden Anwender übrigens nicht nur E-Mails, sondern erhalten einen kompletten und funktionalen Organizer sowie unbegrenzten Cloud-Speicherplatz on top.

Registrierung & Passwortprüfung

Bei eclipso gilt Klarnamenpflicht. Neben vollständiger Adresse, Geburtstag und alternativer E-Mail-Adresse möchte der Anbieter verhältnismäßig viele persönliche Daten seiner Nutzer kennen. Die Sicherheitskontrolle des Passworts ist, wie bei vielen anderen Anbietern auch, schlecht. Schon „Passwort” liegt auf einer dreistufigen Sicherheitsampel im mittleren Bereich und „Passwort123″ hält eclipso für komplett sicher. Auch hier findet die Passwortprüfung also in unzureichendem Maße statt.

AGB und Datenschutz

AGB und Datenschutzvereinbarung sind schnell auffindbar. Einige Inhalte allerdings sind kritikwürdig, da sie unklar kommuniziert werden. Beispielsweise bezüglich der SMS-Dienstleistungen: Einerseits sei eclipso verpflichtet, SMS-Nachrichten auf die Beeinträchtigung der Rechte Dritter zu prüfen, andererseits besteht keine Überwachungspflicht der Inhalte. Hingegen können Inhalte auf Rechtswidrigkeit geprüft werden. „Alles kann, nichts muss. Der Nutzer muss in jedem Fall damit rechnen, dass eclipso die Inhalte seiner SMS kennen könnte”, beurteilt Christian Heutger. Er kritisiert weiter, dass der eclipso-Kunde mit Nutzungsentgelten und Schadensersatz haftet, falls sein Account kompromittiert wurde. „Konkret heißt es, der Kunde haftet auch dann, wenn er beweisen könne, an der Kompromittierung nicht schuldig zu sein. Im schlimmsten Fall sogar mit Schadensersatz”, so Heutger.

E-Mail, SMS und Cloud-Dienstleistungen

Die Möglichkeiten der Formatierung einer E-Mail zeigen sich umfangreich: Anwender können ihre Visitenkarte anhängen, die E-Mail als Einschreiben versenden, eine Lesebestätigung anfordern, digital signieren oder Ende-zu-Ende verschlüsseln. Zusätzlich gibt es die Möglichkeit SMS zu versenden und das optionale Zusatzfeature „Fax”. Sogar eine Art digitales Postamt, bei dem Briefe und Postkarten versendet werden können, steht zur Verfügung. „Uns ist der Nutzen dieser Funktion allerdings unklar. Für extrem vielbeschäftigte Menschen ohne eigenen Drucker mag das in Ordnung sein. Wer aber ein paar Minuten für den Weg zur Post oder zum Briefkasten erübrigen und zu Hause drucken kann, für den dürfte dieser Service aufgrund der hohen Kosten überflüssig sein”, äußert Christian Heutger.

Interessanter und gut gestaltet empfindet sein Team dann wieder den eclipso-Organizer, der mit einem eigenen Desktop aufwartet. Diese Übersicht kann der Nutzer individualisieren, indem er Widgets ein- oder ausblendet und verschiebt. Außerdem kann er hier den Kalender, die Aufgabenliste, das Adressbuch und Notizen verwalten. Hinter dem Menüpunkt „Drive” verbirgt sich dann auch die Cloud, in die der Anwender Dokumente und Fotos hochladen kann. „Alles in allem hat uns das Backend gefallen. Es ist individualisierbar, übersichtlich und hält anständige Funktionalität bereit – im Freemail-Paket jedoch nicht werbefrei. Die beiden Werbeflächen sind allerdings angenehm unauffällig gesetzt und stören nicht”, fasst Heutger zusammen.

Sicherheit

Die Webseite eclipso.de ist mit einem 128-Bit starken Extended Validation-Zertifikat von Comodo verschlüsselt, der Schlüsselaustausch findet via ECDHE_RSA statt. Die E-Mailserver unterstützen TLS in Version 1.2 und sind PFS-fähig. „Das bedeutet, dass die Kommunikation auch im Nachhinein nicht dechiffriert werden kann. Bereits die Login-Daten werden verschlüsselt und nicht im Klartext an die Server übertragen. Das Backend, in dem die E-Mails abgerufen und die Features des Postfachs verwaltet werden, ist genauso verschlüsselt”, erklärt Christian Heutger.

Da eclipso HSTS verwendet, wird der Browser des Anwenders dazu angehalten, ausschließlich auf die verschlüsselten Verbindungen zu setzen. Transportverschlüsselt werden E-Mails mit folgenden Parametern: TLSv1:DHE-RSA-AES256-SHA:256 – bedeutet: TLS in der Version 1.0, DHE als PFS-Feature gegen das nachträgliche Entschlüsseln und 256 bit-Schlüssellänge. „Das entspricht einem sicheren Standard. Um E-Mails Ende-zu-Ende verschlüsseln zu können, benötigt der Anwender ein eigenes Zertifikat, das er im Menüpunkt Schlüsselbund hinterlegen kann. Auf den in Deutschland stehenden Servern werden die Passwörter nicht im Klartext, sondern in gehashter Form gespeichert. Die Webserver-Zertifikate werden übrigens mit Hash-Algorithmus SHA-1 verwendet”, ergänzt der Sicherheitsexperte.