BSI checkt E-Mail-Programme

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige E-Mail-Programme genauer inspiziert. Die meisten davon ermöglichen einen sicheren Umgang mit E-Mails, Zugangsdaten und etwa bösartigen Phishing- oder Spam-Mails.

Wie das BSI in dem Bericht schreibt, haben die IT-Forscher zunächst 26 E-Mail-Programme ausgemacht, die sie in einer Marktanalyse als verfügbar ermittelt haben. Aus diesen destillierten sie das Testfeld anhand der Relevanz bezüglich des durchschnittlichen Suchinteresses in Deutschland: Apple Mail, Betterbird, Blue Mail, eM Client, Gmail, KMail, Mailbird, Outlook (new), Proton Mail, Spark Mail, Thunderbird und Tuta Mail. Es handelt sich zudem um Clients, die kostenlos verfügbar sind.

Die Programme überprüfte das BSI daraufhin, ob sie Transport- und Ende-zu-Ende-Verschlüsselung anbieten, also mit dem Server verschlüsselte Verbindungen aufbauen oder die E-Mails in Gänze etwa mit OpenPGP oder S/MIME ver- und entschlüsseln können. Oder ob sie über einen Tracking-Schutz verfügen, der etwa Tracking-Parameter in URLs tilgt oder Tracking-Pixel blockiert. Zudem ist Spam- und Phishing-Schutz wichtig, ebenso, ob E-Mails und Zugangsdaten verschlüsselt abgelegt werden. Auch die zeitnahe Reaktion auf Sicherheitslücken mit Software-Updates hat das BSI betrachtet. Die Behörde findet „Usable Security“, also einfach nutzbare Sicherheitsmaßnahmen, wichtig. Die Programme sollten dafür etwa Voreinstellungen mit hohem Sicherheitsniveau bieten.

Tests unter mehreren Betriebssystemen

Das BSI hat die Software unter macOS, Ubuntu 25.04 und Windows 11 24H2 installiert und die Standardeinstellungen geprüft. Nach der Installation haben die Analysten mit einem Offline-Medium die Rechner gestartet und einen Malwarescan durchgeführt, um sicherzustellen, dass keine Schadsoftware Einfluss auf die Ergebnisse nimmt. Anders die Mac-Systeme, die haben die IT-Forscher abweichend davon im Live-Betrieb untersucht.

Das BSI kommt nach der Prüfung zum Ergebnis: „Die gestellten Sicherheitsanforderungen an E-Mail-Programme werden größtenteils erfüllt.“ Bei den Ergebnissen in tabellarischer Form fällt insbesondere „Spark Mail“ auf, das keine sonderlichen zusätzlichen Sicherheitsmerkmale wie E-Mail-Verschlüsselung oder Spam- und Phishing-Schutz unterstützt. Eine kritische Würdigung von Outlook (new), das Zugangsdaten zu IMAP-Konten an Microsoft überträgt, damit deren Cloud-Server sämtliche Mails mittels Künstlicher Intelligenz durchpflügen kann, liefert das BSI jedoch unerwartet nicht.

Bei der Suche nach einem passenden E-Mail-Programm empfiehlt das BSI, auch auf die zusätzlichen Sicherheitsfunktionen zu schauen, die die meisten Programme bieten.

Vor drei Wochen hat das BSI in einem Whitepaper die Anbieter von Web-Mail-Diensten ins Gebet genommen. Der Schutz vor Phishing und Identitätsdiebstahl sei derzeit noch lückenhaft umgesetzt und eine einfache Ende-zu-Ende-Verschlüsselung nicht leicht genug für Anwender zu nutzen. Zudem hat Deutschlands oberste IT-Sicherheitsbehörde vergangene Woche einen Bericht zur Sicherheit von Passwort-Managern veröffentlicht und Verbesserungspotenzial gefunden.

(dmk)