Wer E-Mails direkt auf dem Smartphone oder Tablet empfangen möchte, benötigt eine E-Mail-App. Auf fast allen Geräten ist eine solche App vorinstalliert, zum Beispiel Gmail von Google oder eine App des Herstellers, die einfach nur „Mail“ heißt.
Viele Nutzer*innen suchen sich allerdings eine andere E-Mail-App aus – die Auswahl im Google Play-Store ist groß. Diese Apps bieten zum Beispiel besondere Funktionen oder haben ein schöneres Design.
Unser Test zeigt: Die meisten E-Mail-Apps sind bei Sicherheit und Privatsphäre nicht verlässlich. Einige schneiden geradezu katastrophal ab.
Von 20 getesteten Apps können wir nur drei empfehlen. Sieben Apps, die millionenfach aus dem Google Play-Store heruntergeladen wurden, verschafften sich im Test vollen Zugriff auf E-Mail-Inhalte und auf die Adressen von Sendern und Empfängern. Auch lasen manche das Passwort des E-Mail-Postfachs aus. Aus Privatsphäresicht kann man das nur als Desaster bezeichnen.
Darüber hinaus sammelten viele Mail-Apps Daten von Nutzer*innen zu Werbe- und Analysezwecken.
E-Mail-Dienste vs. E-Mail-Apps
Eine E-Mail-App ist nicht zu verwechseln mit dem Dienst, bei dem Sie Ihre E-Mail-Adresse angelegt haben. Wenn Sie beispielsweise GMX oder mailbox.org nutzen, bedeutet das, dass die Firma dahinter (bei GMX zum Beispiel die 1&1 Mail & Media GmbH) Ihre Daten verwaltet. Auf den Servern von GMX liegen Ihre E-Mails und Ihr Passwort, das Sie in der Regel mit Hilfe des Dienstes zurücksetzen können, wenn Sie es vergessen haben.
Um seinen Job machen zu können, muss der E-Mail-Dienst die Adressen von Sender und Empfänger kennen. Er kann die E-Mails theoretisch auch selbst lesen (es sei denn, Sie verschlüsseln die Mails mit einem zusätzlichen Verfahren Ende-zu-Ende, zum Beispiel mit PGP).
Vergleicht man den E-Mail-Verkehr mit der analogen Post, wäre der E-Mail-Dienst also das Postunternehmen, das die Adressdaten kennt und theoretisch auch die Umschläge öffnen und die Inhalte lesen könnte. Ein E-Mail-Dienst sollte also vertrauenswürdig sein. Es gibt verschiedene Anbieter auf dem Markt, manche davon legen einen besonderen Fokus auf die Privatsphäre.
Eine E-Mail-App sollte derweil nur eins tun: Ihre Mails vom Dienst, beispielsweise GMX, abholen und sie auf Ihrem Smartphone darstellen. Wer möchte, kann in eine Mail-App auch mehrere Adressen einbinden, zum Beispiel eine private Mail-Adresse und eine geschäftliche.
Die Firma, die die E-Mail-App fürs Smartphone entwickelt und betreibt, benötigt zur Erledigung ihrer Arbeit grundsätzlich keinen Zugriff auf den Mail-Verkehr, der über eingebundene Adressen abgewickelt wird.
Im analogen Beispiel entspricht die E-Mail-App gewissermaßen dem Briefkasten an Ihrer Haustür. Die Firma, die Ihren Briefkasten hergestellt hat, erfährt selbstverständlich nicht, wann und von wem Sie Post bekommen. Sie benötigt auch nicht Ihre Hausadresse.
Testsieger: K-9, FairEmail und pEp
Drei Apps verhielten sich in unserem Test rundum vorbildlich. Wie ein analoger Briefkasten stellen sie nur Ihre Post zu (und erlauben natürlich auch das Senden von E-Mails). Ihre Anbieter erhielten im Test keine Informationen über die versendeten Mails, keine Adressen und keine Passwörter.
K-9 Mail und FairEmail werden ehrenamtlich entwickelt und durch Spenden unterstützt. Sie sind schlicht und funktional gehalten und verzichten auf ein besonderes Design. pEp Mail wird von einer Stiftung betrieben und bringt eine Funktion zur Ende-zu-Ende-Verschlüsselung mit. Hier gehts zu den Testberichten der drei Apps:
Alle drei Apps gehören bereits seit Jahren zu den Empfehlungen unserer Redaktion für datensparsame Apps.
Verlierer: Sieben Apps lesen mit
Anders als ein analoger Briefkasten können E-Mail-Apps leicht gegen Privatsphäre-Regeln verstoßen. Sie können so programmiert sein, dass sie Kommunikationsdaten auslesen.
Von den 20 getesteten E-Mail-Apps übertrugen sieben folgende Daten an die Anbieter-Firma oder einen Drittanbieter: den Inhalt der E-Mails, die Adressen von Sender*in und Empfänger*in, sowie das Passwort zum E-Mail-Postfach. Die jeweilige Empfängerfirma hat damit vollen Zugang zu dem Postfach, das wir in der App eingebunden hatten.
Hinter den übergriffigen digitalen Briefkästen stecken auf den ersten Blick drei verschiedene Firmen:
- Mail.ru - E-Mail-App (Mail.ru Group, Russland, App im Playstore)
- myMail (My.com B.V., Niederlande, App im Playstore, App im Playstore)
- E-Mail für Outlook & andere (Craigpark Ltd., Britische Jungferninseln, App im Playstore)
- Email für Hotmail & andere (Craigpark Ltd., Britische Jungferninseln, App im Playstore)
- E-Mail-App für Yahoo & andere (Craigpark Ltd., Britische Jungferninseln, App im Playstore)
- Outlook Pro Email (Craigpark Ltd., Britische Jungferninseln)
- Lite Mail (Craigpark Ltd., Britische Jungferninseln)
Unsere Recherche zeigt jedoch, dass die Firmen miteinander verflochten sind. Die Mail-App Mail.ru gehört der russischen Mail.ru-Group, einem IT-Konzern, der unter anderem das russische Facebook-Pendant „VKontakte“ betreibt. Die App myMail gehört der niederländischen my.com B.V., einer hundertprozentigen Tochter der Mail.ru-Group.
Fünf weitere Mail-Apps gehören der Firma Craigpark Ltd. mit Geschäftssitz auf den Britischen Jungferninseln. Bei diesem Anbieter fanden wir keine offiziellen Informationen über eine Verbindung zur Mail.ru-Group, jedoch konnten wir in unserem Test beobachten, dass die Apps auf die Server-Infrastruktur der My.com B.V. zurückgreifen.
In letzter Konsequenz kann die Mail.ru-Group theoretisch auf die gesamte E-Mail-Kommunikation zugreifen, die Nutzer*innen mit Hilfe der sieben Apps abwickeln. Der Sitz des Unternehmens macht das noch brisanter: In Russland können die Behörden seit 2016 weitgehend ohne richterlichen Beschluss Nutzerinformationen von Kommunikationsunternehmen anfordern.
Keine der sieben Apps informiert beim Anmeldeprozess darüber, dass Kommunikationsdaten ausgelesen und weitergegeben werden. Eine Datenschutzerklärung sucht man bei den fünf Apps der Craigpark Ltd. vergebens. Die App der mail.ru-Gruppe stellt zwar eine bereit, allerdings nur auf Russisch. Dabei richtet sie sich mit einer deutschsprachigen Seite im Google Play-Store eindeutig auch an deutsche Nutzer*innen.
Die my.com B.V. stellt eine Datenschutzerklärung bereit und erwähnt darin auch die Übertragung der E-Mails an den Anbieter. Als Gründe werden „berechtigtes Interesse und Diensterfüllung“ genannt. Der Praxis widersprechen können Nutzer*innen nicht. Es ist zu bezweifeln, dass dies mit der europäischen Datenschutz-Grundverordnung vereinbar ist.
Abgesehen von dieser Gruppe bekam nur noch eine App die schlechteste Bewertung. Die App Email – Lightning Fast & Secure Mail (Edison Software, USA) hatte im Test die eindeutige Router-Adresse des verbundenen WLAN-Netzwerkes ausgelesen und an einen Drittanbieter gesendet. Mit dieser sogenannten BSSID lässt sich der Standort des Gerätes ermitteln, ohne die Berechtigung "Standort" abzufragen.
Mittelfeld: Telekom, Samsung
Neun Apps lasen im Test zwar keine E-Mail-Inhalte aus, banden aber Werbung und Tracking ein und übertrugen dazu Nutzerdaten an den Anbieter und an Dritte.
Einige Apps sendeten auch die eigene E-Mail-Adresse an den Anbieter. Dies ist für die Funktion nicht nötig und auch nicht ganz harmlos – Sie können über die Mail-Adresse zumindest kontaktiert und oft auch identifiziert werden.
- Telekom Mail (Telekom Deutschland GmbH, App im Playstore)
- Spark Email (Readdle Inc., USA, App im Playstore)
- Blue Mail (Blix Inc., USA, App im Playstore)
- Aqua Mail (MobiSystems Inc., USA, App im Playstore)
- Samsung Email (Samsung Electronics Co. Ltd., USA, App im Playstore)
- Email TypeApp – Mail & Calendar (TypeApp LLC, USA, App im Playstore)
- E-Mail – Postfach (TOH Talent Team, App im Playstore)
- E-Mail – Schnelle Anmeldung für Hotmail & Outlook (AVNSoftware Inc., USA, App im Playstore)
- Email – Fast & Smart email for any Mail (Amobear Studio, Vietnam, App im Playstore)
Fazit: Keine Kompromisse bei E-Mail-Apps
E-Mails sind im Alltag eine wichtige und zugleich sensible Kommunikationsform. Sie werden nicht nur für die Korrespondenz mit Behörden, Versicherungen und Geschäftspartner*innen genutzt, sondern dienen auch als Zweitschlüssel für viele Online-Konten. Wenn Sie zum Beispiel Ihr Passwort bei Amazon vergessen haben, wird ein Wiederherstellungslink an Ihre E-Mail-Adresse gesendet. Damit können Sie sich wieder einloggen und Einkäufe tätigen.
Warum die Mail.ru-Group sich Zugang zu E-Mail-Inhalten verschafft, bleibt Spekulation. Auf E-Mail-Inhalte abgestimmte Werbung zu schalten, ist dabei die harmloseste Hypothese.
Wie auch bei anderen Analysen unserer „Apps gecheckt“-Reihe bleibt außerdem die Frage offen, warum die Testverlierer so weit oben in den Ergebnissen des Google Play-Stores zu finden und teilweise sogar als Empfehlung gelistet sind.
Auswahl und Testbedingungen
In der Untersuchung wurden nur Apps analysiert, in die sich E-Mail-Konten von selbstgewählten Diensten einbinden ließen. Die Apps von GMX oder web.de funktionieren beispielsweise nur mit einem E-Mail-Konto des hauseigenen Dienstes.
In unserem Test haben wir für jede App zwei verschiedene Test-Accounts genutzt, einen von GMX und einen von unserem eigenen Mail-Server. Bei den meisten Apps konnten wir beide Konten erfolgreich einrichten. Manche Apps erlaubten in der kostenlosen Version nur einen Account oder akzeptieren nur bekanntere Anbieter wie GMX, in dem Fall wurde nur mit einem Account getestet.
Um E-Mails beim Dienst abzuholen, nutzen Apps spezielle Internetprotokolle, zum Beispiel IMAP oder SMTP. In unserem Testsystem ist die Kommunikation über diese Protokolle nicht sichtbar. Wenn eine App also ausschließlich ihren Dienst tut, bleibt unser eigenes Analyseprotokoll leer.
Sichtbar wird dort dagegen Datenverkehr, der über das http/https-Protokoll läuft. Damit werden zum Beispiel Inhalte von Webseiten übertragen. Eigentlich müsste eine E-Mail-App über dieses Protokoll überhaupt nicht kommunizieren. Fast alle Apps, die wir getestet haben, taten es aber trotzdem.
Dafür kann es legitime Gründe geben. Zum Beispiel senden einige Apps die eingegebene E-Mail-Adresse an den E-Mail-Dienst, um dort nach passenden Konfigurationsdaten zu fragen. Viele Apps binden aber auch Tracking- und Werbefirmen ein, die Informationen über das Protokoll an Ihre Heimatserver versenden. Die meisten Apps im Mittelfeld und die Testverlierer gingen so vor.
• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten. • Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie. • Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.
Danke für deinen Besuch. Bevor du uns verlässt…
Folg und doch auf Mastodon oder auf Instagram! Jede Woche Updates zu Smartphones und Umwelt aus der mobilsicher-Redaktion.Kennst du schon unseren Newsletter? Einmal im Monat schicken wir dir aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.