Wenn Sie für E-Mail-Kommunikation auf dem Smartphone nicht den mobilen Browser oder die App Ihres E-Mail-Anbieters nutzen, sondern eine externe Mail-App, ermöglichen Sie der jeweiligen Anwendung den Zugriff auf Ihr Postfach. Die App erlangt Zugriff auf die Inhalte aller Ihrer E-Mails und auf die Metadaten, das heißt, mit wem Sie wann kommunizieren.
Eigentlich sollten solche Apps Ihre E-Mails ausschließlich auf Ihrem Gerät belassen und sie nicht an externe Datenbanken weiterleiten. Viele Apps machen das laut Recherchen der US-Zeitung Wall Street Journal (WSJ) dennoch. Darüber hinaus geben sie die Daten auch an Drittanbieter weiter, die sie für kommerzielle Zwecke auswerten.
Analyseunternehmen scannt 100 Millionen E-Mails
Im Fokus des WSJ-Artikels steht das Analyseunternehmen Return Path. Das erhält laut Recherchen des WSJ Daten von 163 Partner-E-Mail-Apps und wertet diese aus. Beispielsweise erstellt das Unternehmen Auswertungen, inwiefern kommerzielle E-Mails von den Empfängern geöffnet werden. Return Path scannt laut WSJ pro Tag automatisiert etwa 100 Millionen E-Mails.
"Gängige Praxis": Mitarbeiter lesen fremde E-Mails
Für skandalös hält die Zeitung, dass Return-Path-Mitarbeiter E-Mails in der Vergangenheit auch manuell gelesen haben. Um die eigenen Analyseverfahren zu verbessern, hätten Mitarbeiter im Jahr 2016 etwa 8.000 E-Mails analysiert. Bei Edison Software, einem ebenfalls auf E-Mails spezialisierten Analyseunternehmen, hätten Mitarbeiter E-Mails von Hunderten von Nutzern angeschaut, um eine neue Funktion entwickeln zu können.
Betroffen sind auch Nutzer von Gmail, dem E-Mail-Dienst mit den weltweit meisten Nutzern. Gmail hatte jahrelang zu Werbezwecken automatisiert E-Mails von Nutzern gescannt, die Praxis jedoch im Sommer 2017 eingestellt. Es könne, so der WSJ-Artikel, aber dennoch zum Scannen von E-Mails kommen – wenn Gmail-Nutzer ihre E-Mails über externe E-Mail-Apps anrufen, also über andere Anwendungen als die Gmail-App selbst.
E-Mails sollten auf dem Gerät bleiben
Das Problem besteht potenziell immer, wenn Sie mit einer E-Mail-App auf dem Smartphone auf Ihr Mail-Konto zugreifen, egal ob Sie eine Adresse bei Gmail oder bei einem deutschen Anbieter wie T-online oder GMX haben.
Es gibt keinen zwingenden Grund, wieso Mail-Apps Ihre E-Mails an eigene Datenbanken oder die anderer Unternehmen weiterleiten müssten. Anbieter der häufig kostenlosen Mail-Apps verdienen aber oft ihr Geld damit, dass sie E-Mails massenhaft auswerten oder sie Dritten überlassen.
Als wir bei Mobilsicher im Frühjahr dieses Jahres verschiedene E-Mail-Apps analysiert haben, haben wir sogar Apps gefunden, die Passwörter von Nutzern abgreifen.
Augen auf bei der Auswahl
Bei E-Mails handelt es sich um sehr persönliche Informationen. Deswegen empfehlen wir: Augen auf bei der Auswahl einer E-Mail-App. Viele Anbieter von E-Mail-Adressen bieten selbst Mail-Apps an. Wenn Sie die nutzen, ermöglichen Sie zumindest keinem externen App-Anbieter Zugriff auf Ihre E-Mails.
Für eine besonders besonders datenschutzfreundliche Android-Anwendung halten wir die App K-9 Mail. Sie legt ihren Quelltext, die Bauanleitung des Programms, offen und leitet keine Daten von Ihrem Smartphone an Firmendatenbanken.
Sinnvoll: E-Mail-Verschlüsselung
Für sinnvoll halten wir außerdem das Ende-zu-Ende-Verschlüssen von E-Mails, für das es auch auf Smartphones schon Lösungen gibt. Bei dieser Methode erzeugt ein Algorithmus aus Ihrer E-Mail einen unverständlichen Zeichensalat, den erst der Empfänger auf seinem Gerät wieder entschlüsseln kann.