Fulda – Mit Gmail hat Internetriese Google einen kostenlosen E-Mail Dienst zum bereits bestehenden Service am Markt. Wer das Angebot nutzt, richtet sich nicht explizit einen Account zum Versenden und Empfangen von E-Mails, sondern einen Google-Account ein, mit dem sämtliche Google-Dienste genutzt werden können.

Die IT-Sicherheitsexperten der PSW GROUP haben sich Gmail im Test näher angesehen und werten das Angebot hinsichtlich Datenschutz und Sicherheit ab: „Google ist in erster Linie eine Suchmaschine, die Anzeigen verkauft. Für den Anzeigenverkauf braucht es Nutzerdaten. Und mit jedem Gmail-Account tragen User dazu bei, ihre Nutzerdaten für Google zugänglich zu machen. Das sollte sich jeder bewusst machen, der einen Google-Account eröffnet”, sagt Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de).

Googles Geschäft sind Daten. Das wird schon bei der Registrierung deutlich: Bereits hier möchte Google viel von seinen Usern wissen, neben dem obligatorischen Vor- und Nachnamen unter anderem auch das Geschlecht, die Mobilfunknummer und das Geburtsdatum. Dabei sind längst nicht alle Registrierungsangaben Pflichtdaten – darüber klärt Google allerdings nicht auf. „Die Tatsache, dass kein Hinweis darauf zu bekommen ist, dass beispielsweise die Mobilfunknummer optional eingegeben werden kann, enttäuscht. Das sollten Nutzer aber wissen, damit sie sich selbst überlegen können, ob Google die eigene Mobilfunknummer haben soll oder nicht”, ergänzt Heutger. Immerhin: Google verzichtet auf Berechtigungen und auf Aktivitätenverfolgung, obendrein sichert eine starke Verschlüsselung (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2) die Eingabe der Login-Daten ab.

„Die Passwortvergabe dafür ist erschreckend. Denn die Passwortprüfung lässt auch sehr unsichere Passwörter durch, die Usern dann als “stark” verkauft werden. So zum Beispiel sieht Google es als sicher an, wenn das Passwort Bestandteil der E-Mail Adresse ist”, kritisiert Christian Heutger. Im Bereich Usability macht Gmail dann eine sehr gute Figur: Das Angebot ist sehr umfangreich, dezent platzierte Werbung lässt sich wahlweise personalisieren, leider jedoch nicht ganz abschalten. Sowohl die Anmeldung als auch der E-Mail-Versand/ -Empfang funktionieren denkbar einfach. Dass Google auf Pflichtnewsletter verzichtet, ist ein weiterer Pluspunkt.

Deutlich weniger Gefallen fanden Googles Rechtstexte. Zwar sind Auffindbarkeit und Verständlichkeit bestens, löblich ist der Verweis auf Schlüsselbegriffe, um die Verständlichkeit der Rechtstexte für weniger versierte User zu gewährleisten. Durch die fortlaufende Verwendung des Konjunktivs, beispielsweise in Formulierungen wie „Ihre Daten könnten genutzt werden” und des Wortes „möglicherweise” leiden Klarheit und Transparenz.

Inhaltlich weisen dann die Rechtstexte, insbesondere die 10 Seiten umfassende Datenschutzerklärung, grobe Mängel auf: Sämtliche Inhalte, auch die aller E-Mails, werden automatisch analysiert. Dabei sammelt Google Daten auf zwei Wegen: Zum einen Informationen, die der User selbst an Google mitteilt, beispielsweise bei Registrierung. Darüber hinaus sammelt Google auch Daten, die während der Nutzung der Dienste entstehen. „Leider sind auch Gmail-Nachrichten unter den Informationen, die erfasst werden. Google selbst nennt dazu beispielhaft personenbezogene Daten wie Name, E-Mail-Adresse und Kreditkarten- und Telefonnummer, an denen der Dienst interessiert ist”, verweist Heutger auf die Datenschutzerklärung. Nicht zur Beruhigung des IT-Sicherheitsexperten trägt zudem bei, dass Google diese Daten dann auch recht freizügig weitergibt – an Partner, die nicht näher benannt werden. Zwar stellt Google einige Features bereit, mit deren Hilfe Anwender den Datenschutz schärfer einstellen können. Datenschutzfreundlich können User Google jedoch nicht konfigurieren.

Während die Login-Seite sowie auch das Mail-Interface mit starker Verschlüsselung gut nach außen abgesichert sind, wird es bei der E-Mail-Verschlüsselung noch einmal interessant. Google schützt, wann immer möglich, Daten von Gmail anhand von Transport Layer Security (TLS). „Zum Verschlüsseln ist es notwendig, dass Absender und Empfänger TLS-Verschlüsselung unterstützen. Ist der E-Mail-Absender bzw. -Empfänger bei einem Anbieter, der keine TLS-Verschlüsselung unterstützt, erkennen User dies an einem Symbol für fehlende Verschlüsselung”, erklärt Heutger, warnt jedoch: „E-Mails werden nicht Ende-zu-Ende-verschlüsselt – Gmail scannt laut Datenschutzerklärung sämtliche E-Mail-Inhalte!”

Quelle: PSW GROUP GmbH & Co. KG

Veröffentlicht von:

Despina Tagkalidou
Despina Tagkalidou
Despina Tagkalidou ist Mitglied in der MiNa-Redaktion und schreibt über Wirtschaftsverbände, Macher im Mittelstand, Produkte + Dienstleistungen, Digitale Wirtschaft und Familienunternehmer.
Mail: redaktion@mittelstand-nachrichten.de
Veröffentlicht am: