Ratgeber

Apps gecheckt: Vorsicht, diese 7 Mail-Apps lesen Ihre E-Mails mit (Android)

Ein Artikel von , veröffentlicht am 13.03.2021, bearbeitet am17.03.2021
Nur eine sichere Mailbox ist eine gute Sache. Bild: Zachary DeBottis auf Pexels

Mail-Apps sollen die E-Mail-Verwaltung auf dem Smartphone erleichtern. Von 20 getesteten Android-Apps können wir jedoch nur drei empfehlen. Sieben lasen den Inhalt von E-Mails aus und übertrugen ihn an ein Unternehmensgeflecht, dessen Spuren nach Russland führen.

Wer E-Mails direkt auf dem Smartphone oder Tablet empfangen möchte, benötigt eine E-Mail-App. Auf fast allen Geräten ist eine solche App vorinstalliert, zum Beispiel Gmail von Google oder eine App des Herstellers, die einfach nur „Mail“ heißt.

Viele Nutzer*innen suchen sich allerdings eine andere E-Mail-App aus – die Auswahl im Google Play-Store ist groß. Diese Apps bieten zum Beispiel besondere Funktionen oder haben ein schöneres Design.

Unser Test zeigt: Die meisten E-Mail-Apps sind bei Sicherheit und Privatsphäre nicht verlässlich. Einige schneiden geradezu katastrophal ab.

Von 20 getesteten Apps können wir nur drei empfehlen. Sieben Apps, die millionenfach aus dem Google Play-Store heruntergeladen wurden, verschafften sich im Test vollen Zugriff auf E-Mail-Inhalte und auf die Adressen von Sendern und Empfängern. Auch lasen manche das Passwort des E-Mail-Postfachs aus. Aus Privatsphäresicht kann man das nur als Desaster bezeichnen.

Darüber hinaus sammelten viele Mail-Apps Daten von Nutzer*innen zu Werbe- und Analysezwecken.

E-Mail-Dienste vs. E-Mail-Apps

Eine E-Mail-App ist nicht zu verwechseln mit dem Dienst, bei dem Sie Ihre E-Mail-Adresse angelegt haben. Wenn Sie beispielsweise GMX oder mailbox.org nutzen, bedeutet das, dass die Firma dahinter (bei GMX zum Beispiel die 1&1 Mail & Media GmbH) Ihre Daten verwaltet. Auf den Servern von GMX liegen Ihre E-Mails und Ihr Passwort, das Sie in der Regel mit Hilfe des Dienstes zurücksetzen können, wenn Sie es vergessen haben.

Um seinen Job machen zu können, muss der E-Mail-Dienst die Adressen von Sender und Empfänger kennen. Er kann die E-Mails theoretisch auch selbst lesen (es sei denn, Sie verschlüsseln die Mails mit einem zusätzlichen Verfahren Ende-zu-Ende, zum Beispiel mit PGP).

Vergleicht man den E-Mail-Verkehr mit der analogen Post, wäre der E-Mail-Dienst also das Postunternehmen, das die Adressdaten kennt und theoretisch auch die Umschläge öffnen und die Inhalte lesen könnte. Ein E-Mail-Dienst sollte also vertrauenswürdig sein. Es gibt verschiedene Anbieter auf dem Markt, manche davon legen einen besonderen Fokus auf die Privatsphäre.

Eine E-Mail-App sollte derweil nur eins tun: Ihre Mails vom Dienst, beispielsweise GMX, abholen und sie auf Ihrem Smartphone darstellen. Wer möchte, kann in eine Mail-App auch mehrere Adressen einbinden, zum Beispiel eine private Mail-Adresse und eine geschäftliche.

Die Firma, die die E-Mail-App fürs Smartphone entwickelt und betreibt, benötigt zur Erledigung ihrer Arbeit grundsätzlich keinen Zugriff auf den Mail-Verkehr, der über eingebundene Adressen abgewickelt wird.

Im analogen Beispiel entspricht die E-Mail-App gewissermaßen dem Briefkasten an Ihrer Haustür. Die Firma, die Ihren Briefkasten hergestellt hat, erfährt selbstverständlich nicht, wann und von wem Sie Post bekommen. Sie benötigt auch nicht Ihre Hausadresse.

Wie Mail-Apps technisch vorgehen, erklären wir in diesem Text: Was Sie über Mail-Apps wissen sollten.

Testsieger: K-9, FairEmail und pEp

Drei Apps verhielten sich in unserem Test rundum vorbildlich. Wie ein analoger Briefkasten stellen sie nur Ihre Post zu (und erlauben natürlich auch das Senden von E-Mails). Ihre Anbieter erhielten im Test keine Informationen über die versendeten Mails, keine Adressen und keine Passwörter.

K-9 Mail und FairEmail werden ehrenamtlich entwickelt und durch Spenden unterstützt. Sie sind schlicht und funktional gehalten und verzichten auf ein besonderes Design. pEp Mail wird von einer Stiftung betrieben und bringt eine Funktion zur Ende-zu-Ende-Verschlüsselung mit. Hier gehts zu den Testberichten der drei Apps:

 

Alle drei Apps gehören bereits seit Jahren zu den Empfehlungen unserer Redaktion für datensparsame Apps.

Verlierer: Sieben Apps lesen mit

Anders als ein analoger Briefkasten können E-Mail-Apps leicht gegen Privatsphäre-Regeln verstoßen. Sie können so programmiert sein, dass sie Kommunikationsdaten auslesen.

Von den 20 getesteten E-Mail-Apps übertrugen sieben folgende Daten an die Anbieter-Firma oder einen Drittanbieter: den Inhalt der E-Mails, die Adressen von Sender*in und Empfänger*in, sowie das Passwort zum E-Mail-Postfach. Die jeweilige Empfängerfirma hat damit vollen Zugang zu dem Postfach, das wir in der App eingebunden hatten.

Hinweis: In unserem Test benutzten wir E-Mail-Konten, die nicht das sogenannte "OAuth"-Verfahren nutzen. Wenn das OAuth-Verfahren genutzt wird, werden keine Login-Daten weitergegeben.

Hinter den übergriffigen digitalen Briefkästen stecken auf den ersten Blick drei verschiedene Firmen:

 

Unsere Recherche zeigt jedoch, dass die Firmen miteinander verflochten sind. Die Mail-App Mail.ru gehört der russischen Mail.ru-Group, einem IT-Konzern, der unter anderem das russische Facebook-Pendant „VKontakte“ betreibt. Die App myMail gehört der niederländischen my.com B.V., einer hundertprozentigen Tochter der Mail.ru-Group.

Fünf weitere Mail-Apps gehören der Firma Craigpark Ltd. mit Geschäftssitz auf den Britischen Jungferninseln. Bei diesem Anbieter fanden wir keine offiziellen Informationen über eine Verbindung zur Mail.ru-Group, jedoch konnten wir in unserem Test beobachten, dass die Apps auf die Server-Infrastruktur der My.com B.V. zurückgreifen.

In letzter Konsequenz kann die Mail.ru-Group theoretisch auf die gesamte E-Mail-Kommunikation zugreifen, die Nutzer*innen mit Hilfe der sieben Apps abwickeln. Der Sitz des Unternehmens macht das noch brisanter: In Russland können die Behörden seit 2016 weitgehend ohne richterlichen Beschluss Nutzerinformationen von Kommunikationsunternehmen anfordern.

Keine der sieben Apps informiert beim Anmeldeprozess darüber, dass Kommunikationsdaten ausgelesen und weitergegeben werden. Eine Datenschutzerklärung sucht man bei den fünf Apps der Craigpark Ltd. vergebens. Die App der mail.ru-Gruppe stellt zwar eine bereit, allerdings nur auf Russisch. Dabei richtet sie sich mit einer deutschsprachigen Seite im Google Play-Store eindeutig auch an deutsche Nutzer*innen.

Die my.com B.V. stellt eine Datenschutzerklärung bereit und erwähnt darin auch die Übertragung der E-Mails an den Anbieter. Als Gründe werden „berechtigtes Interesse und Diensterfüllung“ genannt. Der Praxis widersprechen können Nutzer*innen nicht. Es ist zu bezweifeln, dass dies mit der europäischen Datenschutz-Grundverordnung vereinbar ist.

Abgesehen von dieser Gruppe bekam nur noch eine App die schlechteste Bewertung. Die App Email – Lightning Fast & Secure Mail (Edison Software, USA) hatte im Test die eindeutige Router-Adresse des verbundenen WLAN-Netzwerkes ausgelesen und an einen Drittanbieter gesendet. Mit dieser sogenannten BSSID lässt sich der Standort des Gerätes ermitteln, ohne die Berechtigung "Standort" abzufragen.

 

Mittelfeld: Telekom, Samsung

Neun Apps lasen im Test zwar keine E-Mail-Inhalte aus, banden aber Werbung und Tracking ein und übertrugen dazu Nutzerdaten an den Anbieter und an Dritte.

Einige Apps sendeten auch die eigene E-Mail-Adresse an den Anbieter. Dies ist für die Funktion nicht nötig und auch nicht ganz harmlos – Sie können über die Mail-Adresse zumindest kontaktiert und oft auch identifiziert werden.

 

Nase voll von Googles Empfehlungen? Unser AppChecker hilft, privatsphärefreundliche Apps zu finden.

Fazit: Keine Kompromisse bei E-Mail-Apps

E-Mails sind im Alltag eine wichtige und zugleich sensible Kommunikationsform. Sie werden nicht nur für die Korrespondenz mit Behörden, Versicherungen und Geschäftspartner*innen genutzt, sondern dienen auch als Zweitschlüssel für viele Online-Konten. Wenn Sie zum Beispiel Ihr Passwort bei Amazon vergessen haben, wird ein Wiederherstellungslink an Ihre E-Mail-Adresse gesendet. Damit können Sie sich wieder einloggen und Einkäufe tätigen.

Warum die Mail.ru-Group sich Zugang zu E-Mail-Inhalten verschafft, bleibt Spekulation. Auf E-Mail-Inhalte abgestimmte Werbung zu schalten, ist dabei die harmloseste Hypothese.

Wie auch bei anderen Analysen unserer „Apps gecheckt“-Reihe bleibt außerdem die Frage offen, warum die Testverlierer so weit oben in den Ergebnissen des Google Play-Stores zu finden und teilweise sogar als Empfehlung gelistet sind.

Auswahl und Testbedingungen

In der Untersuchung wurden nur Apps analysiert, in die sich E-Mail-Konten von selbstgewählten Diensten einbinden ließen. Die Apps von GMX oder web.de funktionieren beispielsweise nur mit einem E-Mail-Konto des hauseigenen Dienstes.

In unserem Test haben wir für jede App zwei verschiedene Test-Accounts genutzt, einen von GMX und einen von unserem eigenen Mail-Server. Bei den meisten Apps konnten wir beide Konten erfolgreich einrichten. Manche Apps erlaubten in der kostenlosen Version nur einen Account oder akzeptieren nur bekanntere Anbieter wie GMX, in dem Fall wurde nur mit einem Account getestet.

Um E-Mails beim Dienst abzuholen, nutzen Apps spezielle Internetprotokolle, zum Beispiel IMAP oder SMTP. In unserem Testsystem ist die Kommunikation über diese Protokolle nicht sichtbar. Wenn eine App also ausschließlich ihren Dienst tut, bleibt unser eigenes Analyseprotokoll leer.

Sichtbar wird dort dagegen Datenverkehr, der über das http/https-Protokoll läuft. Damit werden zum Beispiel Inhalte von Webseiten übertragen. Eigentlich müsste eine E-Mail-App über dieses Protokoll überhaupt nicht kommunizieren. Fast alle Apps, die wir getestet haben, taten es aber trotzdem.

Dafür kann es legitime Gründe geben. Zum Beispiel senden einige Apps die eingegebene E-Mail-Adresse an den E-Mail-Dienst, um dort nach passenden Konfigurationsdaten zu fragen. Viele Apps binden aber auch Tracking- und Werbefirmen ein, die Informationen über das Protokoll an Ihre Heimatserver versenden. Die meisten Apps im Mittelfeld und die Testverlierer gingen so vor.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Messenger 

Messenger-App Kontalk kurz vorgestellt (Android)

Der kostenlose Messenger Kontalk wird weltweit von Freiwilligen organisiert. Das Interesse an Nutzerdatenauswertung entfällt dadurch. Kontalk gibt es für Android und für den Desktop. Außerdem ist er mit dem Messenger Conversations kompatibel.

Mehr
YouTube-Video 

Fitotrack: Diesen Fitness-Tracker empfehlen wir

Der Fitness-Tracker FitoTrack misst Ihre Leistung beim Gehen, Joggen, Radfahren und Skaten - und speichert die Daten lokal auf dem Gerät. Die Android-App ist außerdem frei von Tracking und Werbung. Wir haben sie ausprobiert.

Ansehen
Ratgeber 

Soll ich annehmen? Android-App gegen Spam-Anrufe

Sie bekommen lästige Anrufe von Werbefirmen Spammern und Robocallern? Die App mit dem Namen "Soll ich annehmen?" setzt auf den Schwarm: Jeder Nutzer kann Spam-Nummern melden und so die gemeinsame Datenbank ausbauen. Die eigene Nummer oder Adressbücher tastet die App nicht an.

Mehr
Ratgeber 

Schritt für Schritt: Bluetooth-Geräte entkoppeln

Einmal über Bluetooth gekoppelte Geräte können sich ohne weitere Authentifizierung miteinander verbinden. Auch dann, wenn eines der Geräte zum Beispiel seinen Besitzer gewechselt hat. Daher sollten nicht mehr benötigte Bluetooth-Verbindungen entfernt werden.

Mehr