BSI prüft E-Mail-Programme: Sicherheitslücken bei lokaler Speicherung
Das Bundesamt für Sicherheit in der Informationstechnik hat zwölf E-Mail-Programme auf ihre Sicherheit untersucht. Die Mehrheit erfüllt laut BSI gängige Standards – doch bei der Speicherung von Nachrichten gibt es Schwachstellen.
E-Mail-Programme verwalten oft hochsensible Informationen: private Nachrichten, Rechnungen, Verträge und Termine. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun untersucht, wie gut zwölf gängige E-Mail-Anwendungen diese Daten schützen. Im Fokus standen dabei Transport- und Inhaltsverschlüsselung, Spam- und Phishing-Schutz, Tracking-Schutz sowie die Umsetzung von Prinzipien der sogenannten Usable Security – also Sicherheit, die für Nutzer einfach anwendbar ist.
Laut BSI erfüllt eine Mehrheit der getesteten Programme die gängigen Sicherheitsanforderungen. Alle untersuchten Anwendungen verfügen demnach über einfach zu bedienende Updatefunktionen. Die meisten bieten zudem Spam- und Phishing-Filter an. Allerdings stellte die Behörde Unterschiede fest: Die Programme gehen verschieden mit verdächtigen E-Mails und Anhängen um, auch bei der Nutzung von Ende-zu-Ende-Verschlüsselung gibt es Abweichungen.
Unverschlüsselte lokale Speicherung als Risiko
Ein kritischer Punkt der Untersuchung betrifft die lokale Speicherung von E-Mails. Die meisten getesteten Programme speichern Nachrichten direkt auf dem Gerät der Nutzer. Dabei liegen die E-Mails in manchen Fällen verschlüsselt, in anderen jedoch unverschlüsselt vor. Angreifer könnten diese Informationen daher vergleichsweise einfach erbeuten, warnt die Behörde.
Caroline Krohn, Fachbereichsleiterin Digitaler Verbraucherschutz beim BSI, mahnt die Anbieter, ihrer Verantwortung gerecht zu werden: „E-Mail-Programme enthalten unsere gesamte Korrespondenz – privateste Nachrichten, wichtige Rechnungen, aber auch Fotos, Verträge oder Termine. Die Anbieter von E-Mail-Clients müssen daher der Verantwortung gerecht werden, alles technisch Mögliche zu tun, um die Daten ihrer Kundinnen und Kunden adäquat zu schützen.“ Das BSI fordert die Anbieter dazu auf, technische Prozesse nach den Prinzipien von Usable Security und Security-by-Default zu gestalten.
Empfehlungen für Verbraucher
Die Untersuchung soll mehr Transparenz schaffen und Verbrauchern die Wahl eines geeigneten E-Mail-Programms erleichtern. Die Behörde empfiehlt Nutzern, starke Passwörter zu vergeben. Da Phishing weiterhin eine große Bedrohung für die E-Mail-Kommunikation darstelle, sollten Verbraucher jede E-Mail kritisch prüfen. Das BSI stellt dafür eine Checkliste sowie weitere Tipps für mehr E-Mail-Sicherheit bereit.