![\"Mail\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" "\\"Gmail\\"")
Kleiner Nachtrag von gestern: Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich mit E-Mail-Clients befasst und diese im Hinblick auf ihre Sicherheit \u00fcberpr\u00fcft. Das BSI kommt zum Urteil, dass es keine wirklich gro\u00dfen Patzer gibt – hat in meinen Augen aber bestimmte Fragen gar nicht gestellt.<\/p>\n
<\/p>\n
Mit E-Mail-Programmen (E-Mail-Clients) lesen, schreiben und verwalten die Anwender ihre E-Mails (und oft auch Termine). Nicht selten enthalten die Anwendungen daher auch sensibelste Informationen. Entsprechend gut m\u00fcssen sie vor Risiken wie etwa Mitlesen und Manipulation durch Dritte gesch\u00fctzt werden.<\/p>\n
K\u00fcrzlich hatte sich das BSI \u00fcber die Sicherheit von Web-Mailern ausgelassen (siehe BSI-Whitepaper zu E-Mail-Sicherheit bei Webmailern<\/a>). Nun hat das\u00a0Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) untersucht, inwiefern E-Mail-Programme relevante Eigenschaften wie Transport- und Inhaltsverschl\u00fcsselung, SPAM-, Phishing- und Tracking-Schutz sowie Prinzipien der Usable Security umsetzen. Au\u00dferdem betrachtet die Untersuchung, wie die Programme E-Mails und Zugangsdaten speichern und wie Anbieter mit m\u00f6glichen Sicherheitsl\u00fccken umgehen. In einer Mitteilung vom 15. Dezember 2025 informiert das BSI unter dem Titel \"E-Mail-Sicherheit: BSI untersucht E-Mail-Programme\" \u00fcber die Ergebnisse seiner Untersuchung.<\/p>\n Die Untersuchung mit dem Titel IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme<\/a> ergab Unterschiede in der Art und Weise, wie die Programme mit verd\u00e4chtigen E-Mails und Anh\u00e4ngen umgehen oder ob sie Ende-zu-Ende-Verschl\u00fcsselung verwenden. Die meisten der getesteten Programme speichern E-Mails lokal auf dem Ger\u00e4t. In manchen F\u00e4llen lagen die E-Mails dabei verschl\u00fcsselt, in anderen unverschl\u00fcsselt vor. Angreifende k\u00f6nnten diese Informationen daher vergleichsweise einfach erbeuten.<\/p>\n Es wurden die in obigem Bild aufgef\u00fchrten E-Mail-Clients untersucht. Hier die Kurzfassung der Ergebnisse:<\/p>\n Insgesamt erf\u00fcllte aber eine Mehrheit der zw\u00f6lf untersuchten Programme die g\u00e4ngigen Sicherheitsanforderungen. So verf\u00fcgen alle untersuchten Programme \u00fcber einfach zu bedienende Updatefunktionen. Die meisten E-Mail-Programme bieten zudem Spam- und Phishing-Filter an.\u00a0Caroline Krohn, Fachbereichsleiterin Digitaler Verbraucherschutz sagt dazu: <\/em><\/p>\n E-Mail-Programme enthalten unsere gesamte Korrespondenz \u2013 privateste Nachrichten, wichtige Rechnungen, aber auch Fotos, Vertr\u00e4ge oder Termine. Die Anbieter von E-Mail-Clients m\u00fcssen daher der Verantwortung gerecht werden, alles technisch M\u00f6gliche zu tun, um die Daten ihrer Kundinnen und Kunden ad\u00e4quat zu sch\u00fctzen. Das BSI fordert sie dazu auf, die technischen Prozesse im Hintergrund nach den Prinzipien von Usable Security und Security-by-Default zu gestalten.<\/p><\/blockquote>\n Die Untersuchung IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme<\/a> leistet laut BSI-Verst\u00e4ndnis einen wesentlichen Beitrag dazu, mehr Transparenz zu schaffen und Anbieter von der Verwendung sicherer Branchenstandards zu \u00fcberzeugen.<\/p>\n Was mir aber absolut fehlt (sofern ich es beim schnellen Querlesen nicht \u00fcbersehen habe): Zum Problem, dass Microsofts Outlook new Zugangsdaten (auch von Drittkonten) an Microsoft \u00fcbertr\u00e4gt, und Mails \u00fcber die Microsoft-Server schleust, findet sich nichts. Mir ist auch nichts an Hinweisen aufgefallen, dass Anbieter wie Microsoft (Outlook new), Google (Gmail) die Mails per KI scannen und auswerten. Und es findet sich auch nichts an Hinweisen, dass die Anbieter (z.B. Microsoft mit Outlook new) sich in den AGB das Recht herausnehmen, die Daten an \u00fcber 600 Anbieter weiter zu geben (siehe Datenkrake neue Outlook-App: \"\u00dcberwachungsinstrument f\u00fcr gezielte Werbung\"<\/a>).<\/p>\n Wenn ich mir die Liste der \u00fcberpr\u00fcften E-Mail-Clients so anschaue, liegen doch in Bezug auf Privatsph\u00e4re und Datenschutz Welten zwischen z.B. Tuta Mail, Proton Mail und Thunderbird auf der einen Seite und Gmail oder Outlook new auf der anderen Seite.<\/p>\n Daher ist die BSI-Aussage \"Neben den Forderungen an die Dienstanbieter kann die Untersuchung auch Verbraucherinnen und Verbrauchern die Wahl eines geeigneten E-Mail-Programms erleichtern.\"\u00a0 in meinen Augen etwas zu kurz gegriffen. Oberfl\u00e4chlich trifft der Satz zwar zu, aber die Probleme liegen im Detail bzw. wurden g\u00e4nzlich ausgeklammert. Was ich auch nicht ganz fassen kann, ist die Aussage zu Ende-zu-Ende-Verschl\u00fcsselung der E-Mails. Meine Erfahrung mit dem Thunderbird als E-Mail-Client ist, dass es mitunter schwierig bis unm\u00f6glich ist, eine verschl\u00fcsselte Kommunikation mit einem Anbieter (z.B. Beh\u00f6rde) einzurichten. Kann aber an meinen unzureichenden Kenntnissen liegen. Daher wei\u00df ich im Moment nicht wirklich, wie praxisnah die obige BSI-Untersuchung ist.<\/p>\n Abschlie\u00dfend r\u00e4t das BSI: Um ihre E-Mail-Kommunikation zu sch\u00fctzen, sollten Verbraucherinnen und Verbrauchern au\u00dferdem starke Passw\u00f6rter vergeben. Da Phishing weiter eine gro\u00dfe Bedrohung f\u00fcr die E-Mail-Kommunikation bleibt, sollten Verbraucherinnen und Verbraucher jede E-Mail mit Hilfe der Checkliste des BSI<\/a> kritisch pr\u00fcfen. Dar\u00fcber hinaus gibt das BSI Tipps f\u00fcr mehr E-Mail-Sicherheit<\/a>.<\/p>\n \u00c4hnliche Artikel:<\/strong> Kleiner Nachtrag von gestern: Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich mit E-Mail-Clients befasst und diese im Hinblick auf ihre Sicherheit \u00fcberpr\u00fcft. Das BSI kommt zum Urteil, dass es keine wirklich gro\u00dfen Patzer gibt – hat in … Weiterlesen ![\"Vom](\"https:\/\/i.postimg.cc\/D0GwHgwL\/image.png\")
\nVom BSI untersuchte E-Mail-Clients; Quelle: BSI<\/p>\nErgebnisse in Kurzfassung<\/h3>\n
\n
Was mir fehlt<\/h3>\n
\nBSI pr\u00fcft Password-Manager: Empfohlen, aber Luft nach oben<\/a>
\nBSI-Whitepaper zu E-Mail-Sicherheit bei Webmailern<\/a>
\nBSI-Brosch\u00fcren zum Business Continuity Management (BCM) f\u00fcr KMU<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"