Ratgeber

Hintergrund: Was Sie über Mail-Apps wissen sollten

Ein Artikel von , veröffentlicht am 23.03.2018
Bild: Pixabay, User ribkhan, Lizenz: CC0

Mit Mail-Apps kann man verschiedene E-Mail-Konten zusammenführen. Das ist praktisch, allerdings werden sensible Daten in einer einzigen Anwendung geballt. Branchenstandards sollen die Daten schützen. Leider halten sich nicht alle Anbieter an die Spielregeln.

Mail-Apps: direkt vom Anbieter oder Anbieter-offen

Wenn Sie E-Mails auf dem Smartphone abrufen und versenden wollen, haben Sie verschiedene Möglichkeiten:

  • Über eine Browser-App können Sie sich auf der Webseite des E-Mail-Anbieters einloggen,
  • Sie verwaltet Ihre E-Mails über die App des Anbieters der Mail-Adresse
  • oder Sie verknüpfen über ein anbieter-offenes Programm die Postfächer verschiedener E-Mail-Provider, die Sie nutzen.

Die Grenze zwischen den Modellen ist in der Praxis unscharf. Es gibt Apps wie K-9, myMail oder Blue Mail, hinter denen kein eigenständiger E-Mail-Dienst steht, sondern die ausschließlich Mail-Postfächer anderer Anbieter einbinden. Dann gibt es einige wenige Anbieter-Apps, die keine Integration fremder Postfächer erlauben. In den meisten Apps von E-Mail-Anbietern allerdings lassen sich auch Postfächer anderer Mail-Provider einbinden. Das ist beispielsweise bei den Apps von Gmail, Yahoo Mail, Telekom Mail, Web.de und GMX der Fall.

Bloatware: Vorinstallierte Mail-Apps

iOS-Geräte liefern stets die Standard-Mail-App von Apple mit, Android-Smartphone und -Tablets oft die Gmail-App. Manchmal heißt die auf Android vorinstallierte Anwendung schlicht „Mail“, und es ist nicht klar, welches Programm sich tatsächlich dahinter verbirgt. Die vorinstallierten Programme, auch „Bloatware“ genannt, müssen Sie allerdings nicht nutzen, sondern können sie durch andere Apps ersetzen.

Mehr über mitgelieferte Apps, über Gmail als Bloatware und die Alternativen bei Android erfahren Sie im entsprechenden Abschnitt in unserem Artikel Bloatware: Vorinstallierte Apps ersetzen.

Bei E-Mails fallen sensible Daten an

Die Inhalte von privaten und beruflichen Mails, die Adressen der Kommunikationspartner – Daten im Zusammenhang mit einem Mail-Konto sind hoch sensibel.

Zudem nimmt das jeweilige E-Mail-Postfach eine Schlüsselrolle in der digitalen Existenz vieler Personen ein. Man meldet sich bei sozialen Netzwerken, Webshops oder Newslettern mit einer Mail-Adresse an. Vergisst man das Passwort, geht in vielen Fällen der Link, über den sich ein neues Passwort anlegen lässt, an die jeweilige Mail-Adresse.

Daten TLS-verschlüsselt übertragen

Datenschutz und Datensicherheit spielen bei E-Mail-Anwendungen deswegen eine besonders große Rolle. Verschiedene Branchenstandards sollen ein hohes Schutzniveau sicherstellen.

Bei der Übertragung von Daten kommt üblicherweise eine Transportverschlüsselung zum Einsatz. Dank dieser können unbefugte Dritte den Datenverkehr auf dem Weg vom Smartphone zum Anbieter nicht ohne Weiteres ausspähen oder manipulieren.

Die wichtigsten Fragen zur Transportverschlüsselung klären wir im Text TLS/SSL: Fragen und Antworten.

OAuth-Verfahren: Keine Daten sind die sichersten Daten

Dann gibt es einen Standard, der sicherstellen soll, dass anbieter-offene Mail-Apps oder Apps mit eingebundenen Profilen anderer Mail-Dienste ­nicht die Login-Daten einsehen oder dauerhaft speichern können. Trotzdem müssen sie sich irgendwie gegenüber dem Mail-Provider ausweisen, um die E-Mails abzurufen.

Das dafür verwendete „OAuth“-Verfahren funktioniert vereinfacht gesagt so: Die App fordert beim Nutzer oder der Nutzerin des Smartphones automatisch im Hintergrund eine Genehmigung an, dass sie Daten des Mail-Accounts abrufen darf. Hat sie diese erhalten, legt sie das entsprechende Dokument dem Autorisierungsserver des Mail-Anbieters vor. Der prüft es und gibt ein Zugangs-Token, eine Art digitale Marke, für das entsprechende Postfach aus. Mit dem Token, das nur wenige Minuten gültig ist, erhält die App Zugriff auf das Postfach und kann für einen begrenzten Zeitraum E-Mails abrufen.

Seriöse Mail-Apps übertragen niemals Nutzernamen und Passwort eines eingebundenen E-Mail-Kontos an den Hersteller. Streng genommen sollten sie überhaupt keine Nutzerinformationen an den Anbieter der App übermitteln, denn das ist für die Diensterbringung nicht nötig.

Nicht alle halten sich an Spielregeln

Allerdings halten sich nicht alle Mail-Apps an die Spielregeln. Wie ein technischer Test von mobilsicher.de gezeigt hat, übermitteln viele Anwendungen reichlich Nutzerdaten an die Anbieter von Apps. Darunter auch sehr sensible Informationen wie etwa die Absender-Adressen von eingegangenen Mails und sogar Nutzernamen und Passwort des eingebundenen E-Mail-Kontos.

Im Test des Mobilsicher-Autors Mike Kuketz entdeckte er dieses Problem bei verschiedenen Anwendungen. Für seine Analyse hatte Kuketz testweise ein Konto eines deutschen Mail-Anbieters in die jeweiligen Apps eingebunden, durch einen technischen Trick konnte er analysieren, welche Daten an den Server der App fließen.

Mehr über unseren Test erfahren Sie im Beitrag Sicherheits-Desaster: Mail-Apps übertragen Passwörter.

Leider lässt sich nicht bei allen Apps in die Datenübertragung „hineinschauen“. Beispielsweise ist das bei der weit verbreiteten Mail-App Gmail nur mit sehr großem Aufwand möglich. Inwiefern Gmail beim Zugriff auf externe Konten  Informationen aus diesen Mail-Konten an Google überträgt, können wir nicht prüfen.

Eine App, bei der das auf jeden Fall nicht stattfindet, ist zum Beispiel K-9 Mail. Bei allen größeren Mail-Apps ist der Quellcode, eine Art Bauanleitung eines Programms, Betriebsgeheimnis. Bei K-9 Mail dagegen ist der Code offen zugänglich – also im Fachjargon Open Source. Somit können externe Expertinnen und Experten einsehen, was die App technisch im Detail macht.

Augen auf bei der Auswahl von Mail-Apps

In jedem Fall gilt: Bei der Auswahl von Mail-Diensten und Mail-Apps sollten Sie sorgfältig vorgehen und prüfen, was Sie nutzen. Man sollte weder den vorinstallierten Produkten noch irgendwelchen Mail-Apps aus dem Play-Store oder dem App Store von iOS blind vertrauen.

Geschrieben von

E-Mail

hinweis@mobilsicher.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Checkliste 

iPhone weg – was tun?

Gerade bei den teuren iPhones ist ein Verlust schmerzhaft - und für Diebe sind sie eine besonders begehrte Beute. Mit diesen Tipps können Sie im Verlustfall den schlimmsten Schaden abwenden - und das Gerät mit etwas Glück sogar wiederfinden.

Mehr
Ratgeber 

Tibor Kaputa: “I’m not interested in working for some company”

Tibor Kaputa from Slovakia develops Android apps that are designed to replace preinstalled programs such as contacts, calender, gallery and more. His “Simple Mobile Tools” are privacy friendly and open source. Today, working on the apps is his full-time job, Tibor told mobilsicher.

Mehr
App-Test 

Heimweg-App Vivatar kurz vorgestellt

Die Heimweg-App Vivatar der Firma Bosch bietet einen Begleitservice und eine Notfallfunktion - allerdings nur in der Premiumversion. Nutzer*innen starten mit einem kostenlosen Premium-Probemonat - bei unserem Test ließ sich jedoch keine Begleitung starten. Welche Daten der Dienst genau speichert und wie lange, wird nur lückenhaft erklärt.

Mehr
YouTube-Video 

Neue Technik soll Handydiebstahl sinnlos machen

Durch seine IMEI-Gerätenummer lässt sich ein Smartphone oder Tablet eindeutig identifizieren. Die Telekom möchte durch ein neues Sperrverfahren demnächst dafür sorgen, dass ein gestohlenes Smartphone komplett unbrauchbar wird. Im Video erklären wir, wie das gehen soll.

Ansehen