Deutsche Mail-Provider lassen tracken
T-Online, GMX, Web.de, Freenet und 1und1 lassen es zu, dass ihre Kunden beim Lesen ihrer Mail beobachtet werden. Aber auch Nutzer von Macs und iPhones haben da ein Problem.
Die Mail-Provider T-Online, GMX, Web.de, Freenet und 1und1 lassen es zu, dass ihre Kunden beim Lesen ihrer Mail beobachtet werden. Konkret passiert das über sogenannte Tracking-Pixel, die etwa beim Öffnen der Nachricht im Webmail-Frontend automatisch geladen werden. Dies verrät dem Absender, dass, wann, womit und wo ungefähr diese Mail gelesen wurde. Auch Nutzer von iPhones oder Apple Mail haben dieses Problem, berichtet c't in der aktuellen Ausgabe.
Das Tracking funktioniert über das automatische Nachladen von Bildern aus dem Internet, das die meisten Webmailer standardmäßig einschalten. Schlimmer noch: Die Mitglieder der Aktion "E-Mail made in Germany" T-Online, GMX, Web.de und Freenet bieten nicht einmal eine Option, das abzuschalten, versenden aber teilweise selber E-Mails mit Tracking-Bildern. Durch das Nachladen dieser unsichtbaren Bilder erfolgt beim Öffnen der Mail ein Zugriff auf den Server des Absenders. Dieser verrät ihm nicht nur, dass die Mail einen Leser gefunden hat, sondern auch dessen IP-Adresse, die sich einem Provider und einem ungefähren Ort zuordnen lässt und das verwendete Programm – also etwa Firefox 19 auf Windows 7. Und diese Informationen sind bares Geld wert.
Ausgerechnet die angeblichen "amerikanischen Datenschutz-Schlampen" Yahoo und Google zeigen, dass es auch anders geht. Bei denen kann der Anwender selbst zwischen Komfort und Privatsphäre wählen; standardmäßig ist das automatische Nachladen aber abgeschaltet. Externe Elemente erscheinen dann erst, wenn der Anwender "Bilder nachladen" anklickt. Das ist auch die Voreinstellung spezieller Mail-Programme wie Thunderbird und auch Windows Mail. Lediglich Apple Mail tanzt aus der Reihe und lädt standardmäßig alle möglichen Inhalte nach. Dort – wie auch bei iOS-Geräten muss der Anwender das selbst in den Einstellungen abschalten. Viele Mail-Apps auf Android-Smartphones laden ebenfalls bestimmte Elemente nach. Die werden allerdings derzeit nicht zum routinemäßigen Tracking eingesetzt.
Trackt das Mailprogramm? Selbst testen mit c't-Emailcheck
Eine einfache Möglichkeit, selbst zu testen, ob das eigene Mail-Programm automatisch Bilder nachlädt, bietet der c't-Emailcheck. Dort können Sie eine HTML-Mail mit eingebetteten Bild anfordern. Zeigt ihr Mail-Programm beim Öffnen der Mail ohne weitere Nachfragen das Heise-Logo an, wurde es von unserem Server nachgeladen und Sie haben ein Problem. Natürlich nicht wegen unseres Bildes, sondern wegen der vielen unsichtbaren Tracking-Pixel, die sich genauso in Werbung und Spam wie etwa in offiziellen Telekom-Rechnungen finden. Beachten Sie, dass die automatisch verschickten Emailcheck-Mails unter Umständen im Spam-Ordner landen können und von dort erst in den Eingangs-Ordner befördert werden müssen, um realistische Testergebnisse zu liefern. Umfangreichere Tests führt der Email Privacy Tester durch, die allerdings von manchen Webmailern blockiert werden.
Den vollständigen Test von Webmailern, Mail-Programmen und Smartphone-Apps lesen Sie in der aktuellen Ausgabe 22 des c't Magazins ab Seite 130 in "E-Mail im Visier, Tracking im Alltag aufspüren und abstellen".
Update 20:00, 5.10.20.13: Genauer beschrieben, welche Provider keine Option zum Abschalten des Nachladens bieten; bei 1und1 ist dies optional möglich. (ju)