Ratgeber

Apps gecheckt: Vorsicht, diese 7 Mail-Apps lesen Ihre E-Mails mit (Android)

Ein Artikel von , veröffentlicht am 13.03.2021, bearbeitet am17.03.2021
Nur eine sichere Mailbox ist eine gute Sache. Bild: Zachary DeBottis auf Pexels

Mail-Apps sollen die E-Mail-Verwaltung auf dem Smartphone erleichtern. Von 20 getesteten Android-Apps können wir jedoch nur drei empfehlen. Sieben lasen den Inhalt von E-Mails aus und übertrugen ihn an ein Unternehmensgeflecht, dessen Spuren nach Russland führen.

Hinweis: Die Tests, über die dieser Test berichtet, sind von 2021. Einige der getesteten Apps existieren nicht mehr, andere können ihre Eigenschaften durch Updates verändert haben.
.

Wer E-Mails direkt auf dem Smartphone oder Tablet empfangen möchte, benötigt eine E-Mail-App. Auf fast allen Geräten ist eine solche App vorinstalliert, zum Beispiel Gmail von Google oder eine App des Herstellers, die einfach nur „Mail“ heißt.

Viele Nutzer*innen suchen sich allerdings eine andere E-Mail-App aus – die Auswahl im Google Play-Store ist groß. Diese Apps bieten zum Beispiel besondere Funktionen oder haben ein schöneres Design.

Unser Test zeigt: Die meisten E-Mail-Apps sind bei Sicherheit und Privatsphäre nicht verlässlich. Einige schneiden geradezu katastrophal ab.

Von 20 getesteten Apps können wir nur drei empfehlen. Sieben Apps, die millionenfach aus dem Google Play-Store heruntergeladen wurden, verschafften sich im Test vollen Zugriff auf E-Mail-Inhalte und auf die Adressen von Sendern und Empfängern. Auch lasen manche das Passwort des E-Mail-Postfachs aus. Aus Privatsphäresicht kann man das nur als Desaster bezeichnen.

Darüber hinaus sammelten viele Mail-Apps Daten von Nutzer*innen zu Werbe- und Analysezwecken.

E-Mail-Dienste vs. E-Mail-Apps

Eine E-Mail-App ist nicht zu verwechseln mit dem Dienst, bei dem Sie Ihre E-Mail-Adresse angelegt haben. Wenn Sie beispielsweise GMX oder mailbox.org nutzen, bedeutet das, dass die Firma dahinter (bei GMX zum Beispiel die 1&1 Mail & Media GmbH) Ihre Daten verwaltet. Auf den Servern von GMX liegen Ihre E-Mails und Ihr Passwort, das Sie in der Regel mit Hilfe des Dienstes zurücksetzen können, wenn Sie es vergessen haben.

Um seinen Job machen zu können, muss der E-Mail-Dienst die Adressen von Sender und Empfänger kennen. Er kann die E-Mails theoretisch auch selbst lesen (es sei denn, Sie verschlüsseln die Mails mit einem zusätzlichen Verfahren Ende-zu-Ende, zum Beispiel mit PGP).

Vergleicht man den E-Mail-Verkehr mit der analogen Post, wäre der E-Mail-Dienst also das Postunternehmen, das die Adressdaten kennt und theoretisch auch die Umschläge öffnen und die Inhalte lesen könnte. Ein E-Mail-Dienst sollte also vertrauenswürdig sein. Es gibt verschiedene Anbieter auf dem Markt, manche davon legen einen besonderen Fokus auf die Privatsphäre.

Eine E-Mail-App sollte derweil nur eins tun: Ihre Mails vom Dienst, beispielsweise GMX, abholen und sie auf Ihrem Smartphone darstellen. Wer möchte, kann in eine Mail-App auch mehrere Adressen einbinden, zum Beispiel eine private Mail-Adresse und eine geschäftliche.

Die Firma, die die E-Mail-App fürs Smartphone entwickelt und betreibt, benötigt zur Erledigung ihrer Arbeit grundsätzlich keinen Zugriff auf den Mail-Verkehr, der über eingebundene Adressen abgewickelt wird.

Im analogen Beispiel entspricht die E-Mail-App gewissermaßen dem Briefkasten an Ihrer Haustür. Die Firma, die Ihren Briefkasten hergestellt hat, erfährt selbstverständlich nicht, wann und von wem Sie Post bekommen. Sie benötigt auch nicht Ihre Hausadresse.

Wie Mail-Apps technisch vorgehen, erklären wir in diesem Text: Was Sie über Mail-Apps wissen sollten.

Testsieger: K-9, FairEmail und pEp

Drei Apps verhielten sich in unserem Test rundum vorbildlich. Wie ein analoger Briefkasten stellen sie nur Ihre Post zu (und erlauben natürlich auch das Senden von E-Mails). Ihre Anbieter erhielten im Test keine Informationen über die versendeten Mails, keine Adressen und keine Passwörter.

K-9 Mail und FairEmail werden ehrenamtlich entwickelt und durch Spenden unterstützt. Sie sind schlicht und funktional gehalten und verzichten auf ein besonderes Design. pEp Mail wird von einer Stiftung betrieben und bringt eine Funktion zur Ende-zu-Ende-Verschlüsselung mit. Hier gehts zu den Testberichten der drei Apps:

 

Alle drei Apps gehören bereits seit Jahren zu den Empfehlungen unserer Redaktion für datensparsame Apps.

Verlierer: Sieben Apps lesen mit

Anders als ein analoger Briefkasten können E-Mail-Apps leicht gegen Privatsphäre-Regeln verstoßen. Sie können so programmiert sein, dass sie Kommunikationsdaten auslesen.

Von den 20 getesteten E-Mail-Apps übertrugen sieben folgende Daten an die Anbieter-Firma oder einen Drittanbieter: den Inhalt der E-Mails, die Adressen von Sender*in und Empfänger*in, sowie das Passwort zum E-Mail-Postfach. Die jeweilige Empfängerfirma hat damit vollen Zugang zu dem Postfach, das wir in der App eingebunden hatten.

Hinweis: In unserem Test benutzten wir E-Mail-Konten, die nicht das sogenannte "OAuth"-Verfahren nutzen. Wenn das OAuth-Verfahren genutzt wird, werden keine Login-Daten weitergegeben.

Hinter den übergriffigen digitalen Briefkästen stecken auf den ersten Blick drei verschiedene Firmen:

  • Mail.ru - E-Mail-App (Mail.ru Group, Russland, App im Playstore)
  • myMail (My.com B.V., Niederlande, App im Playstore, App im Playstore)
  • E-Mail für Outlook & andere (Craigpark Ltd., Britische Jungferninseln, App im Playstore)
  • Email für Hotmail & andere (Craigpark Ltd., Britische Jungferninseln, App im Playstore)
  • E-Mail-App für Yahoo & andere (Craigpark Ltd., Britische Jungferninseln, App im Playstore)
  • Outlook Pro Email (Craigpark Ltd., Britische Jungferninseln)
  • Lite Mail (Craigpark Ltd., Britische Jungferninseln)

 

Unsere Recherche zeigt jedoch, dass die Firmen miteinander verflochten sind. Die Mail-App Mail.ru gehört der russischen Mail.ru-Group, einem IT-Konzern, der unter anderem das russische Facebook-Pendant „VKontakte“ betreibt. Die App myMail gehört der niederländischen my.com B.V., einer hundertprozentigen Tochter der Mail.ru-Group.

Fünf weitere Mail-Apps gehören der Firma Craigpark Ltd. mit Geschäftssitz auf den Britischen Jungferninseln. Bei diesem Anbieter fanden wir keine offiziellen Informationen über eine Verbindung zur Mail.ru-Group, jedoch konnten wir in unserem Test beobachten, dass die Apps auf die Server-Infrastruktur der My.com B.V. zurückgreifen.

In letzter Konsequenz kann die Mail.ru-Group theoretisch auf die gesamte E-Mail-Kommunikation zugreifen, die Nutzer*innen mit Hilfe der sieben Apps abwickeln. Der Sitz des Unternehmens macht das noch brisanter: In Russland können die Behörden seit 2016 weitgehend ohne richterlichen Beschluss Nutzerinformationen von Kommunikationsunternehmen anfordern.

Keine der sieben Apps informiert beim Anmeldeprozess darüber, dass Kommunikationsdaten ausgelesen und weitergegeben werden. Eine Datenschutzerklärung sucht man bei den fünf Apps der Craigpark Ltd. vergebens. Die App der mail.ru-Gruppe stellt zwar eine bereit, allerdings nur auf Russisch. Dabei richtet sie sich mit einer deutschsprachigen Seite im Google Play-Store eindeutig auch an deutsche Nutzer*innen.

Die my.com B.V. stellt eine Datenschutzerklärung bereit und erwähnt darin auch die Übertragung der E-Mails an den Anbieter. Als Gründe werden „berechtigtes Interesse und Diensterfüllung“ genannt. Der Praxis widersprechen können Nutzer*innen nicht. Es ist zu bezweifeln, dass dies mit der europäischen Datenschutz-Grundverordnung vereinbar ist.

Abgesehen von dieser Gruppe bekam nur noch eine App die schlechteste Bewertung. Die App Email – Lightning Fast & Secure Mail (Edison Software, USA) hatte im Test die eindeutige Router-Adresse des verbundenen WLAN-Netzwerkes ausgelesen und an einen Drittanbieter gesendet. Mit dieser sogenannten BSSID lässt sich der Standort des Gerätes ermitteln, ohne die Berechtigung "Standort" abzufragen.

 

Mittelfeld: Telekom, Samsung

Neun Apps lasen im Test zwar keine E-Mail-Inhalte aus, banden aber Werbung und Tracking ein und übertrugen dazu Nutzerdaten an den Anbieter und an Dritte.

Einige Apps sendeten auch die eigene E-Mail-Adresse an den Anbieter. Dies ist für die Funktion nicht nötig und auch nicht ganz harmlos – Sie können über die Mail-Adresse zumindest kontaktiert und oft auch identifiziert werden.

 

Nase voll von Googles Empfehlungen? Unser AppChecker hilft, privatsphärefreundliche Apps zu finden.

Fazit: Keine Kompromisse bei E-Mail-Apps

E-Mails sind im Alltag eine wichtige und zugleich sensible Kommunikationsform. Sie werden nicht nur für die Korrespondenz mit Behörden, Versicherungen und Geschäftspartner*innen genutzt, sondern dienen auch als Zweitschlüssel für viele Online-Konten. Wenn Sie zum Beispiel Ihr Passwort bei Amazon vergessen haben, wird ein Wiederherstellungslink an Ihre E-Mail-Adresse gesendet. Damit können Sie sich wieder einloggen und Einkäufe tätigen.

Warum die Mail.ru-Group sich Zugang zu E-Mail-Inhalten verschafft, bleibt Spekulation. Auf E-Mail-Inhalte abgestimmte Werbung zu schalten, ist dabei die harmloseste Hypothese.

Wie auch bei anderen Analysen unserer „Apps gecheckt“-Reihe bleibt außerdem die Frage offen, warum die Testverlierer so weit oben in den Ergebnissen des Google Play-Stores zu finden und teilweise sogar als Empfehlung gelistet sind.

Auswahl und Testbedingungen

In der Untersuchung wurden nur Apps analysiert, in die sich E-Mail-Konten von selbstgewählten Diensten einbinden ließen. Die Apps von GMX oder web.de funktionieren beispielsweise nur mit einem E-Mail-Konto des hauseigenen Dienstes.

In unserem Test haben wir für jede App zwei verschiedene Test-Accounts genutzt, einen von GMX und einen von unserem eigenen Mail-Server. Bei den meisten Apps konnten wir beide Konten erfolgreich einrichten. Manche Apps erlaubten in der kostenlosen Version nur einen Account oder akzeptieren nur bekanntere Anbieter wie GMX, in dem Fall wurde nur mit einem Account getestet.

Um E-Mails beim Dienst abzuholen, nutzen Apps spezielle Internetprotokolle, zum Beispiel IMAP oder SMTP. In unserem Testsystem ist die Kommunikation über diese Protokolle nicht sichtbar. Wenn eine App also ausschließlich ihren Dienst tut, bleibt unser eigenes Analyseprotokoll leer.

Sichtbar wird dort dagegen Datenverkehr, der über das http/https-Protokoll läuft. Damit werden zum Beispiel Inhalte von Webseiten übertragen. Eigentlich müsste eine E-Mail-App über dieses Protokoll überhaupt nicht kommunizieren. Fast alle Apps, die wir getestet haben, taten es aber trotzdem.

Dafür kann es legitime Gründe geben. Zum Beispiel senden einige Apps die eingegebene E-Mail-Adresse an den E-Mail-Dienst, um dort nach passenden Konfigurationsdaten zu fragen. Viele Apps binden aber auch Tracking- und Werbefirmen ein, die Informationen über das Protokoll an Ihre Heimatserver versenden. Die meisten Apps im Mittelfeld und die Testverlierer gingen so vor.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Danke für deinen Besuch. Bevor du uns verlässt…

Folg und doch auf Mastodon oder auf Instagram! Jede Woche Updates zu Smartphones und Umwelt aus der mobilsicher-Redaktion.

Kennst du schon unseren Newsletter? Einmal im Monat schicken wir dir aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Ratgeber 

Wir sind wieder da

Es ist soweit: Nach vielen Wochen Planung und Organisation nimmt die mobilsicher-Redaktion Ihren Betrieb wieder auf. Wir freuen uns auf neue Themen, Kooperationen und Projekte - und natürlich auf den Austausch mit Ihnen.

Mehr
Ratgeber 

MetaGer: Meta-Suchmaschine der ersten Stunde

MetaGer ist eine der dienstältesten Meta-Suchmaschinen überhaupt - sie läuft schon seit 23 Jahren. Die Erfindung aus Hannover setzt auf konsequenten Datenschutz und zeigt transparent, aus welcher Quelle die Suchergebnisse kommen. Die MetaGer-App wurde inzwischen verbessert.

Mehr
Ratgeber 

Hard Reset: Handy oder Tablet über Außentasten zurücksetzen (Android)

Ihr Smartphone oder Tablet hat sich komplett aufgehängt oder Sie haben die PIN für die Bildschirmsperre vergessen? Über die Außentasten lassen sich viele Geräte auf Werkseinstellungen zurücksetzen. Aber Vorsicht: Alle Daten werden dabei gelöscht.

Mehr
Ratgeber 

App-Test Menstruationskalender PRO: Einwandfrei (Android)

Wer keine App zum Verhüten oder für den Kinderwunsch sucht, sondern einfach nur seinen Zyklus aufzeichnen und Erinnerungen an Pille oder nächste Periode einrichten will, der empfehlen wir diese App. Sie ist werbefrei und speichert Daten lokal auf dem Smartphone.

Mehr