E-Mail-Programme sind das digitale Zuhause für die private und berufliche Kommunikation – entsprechend hoch sind die Anforderungen an deren IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Marktbeobachtung zwölf gängige E-Mail-Programme untersucht. Ziel war es, herauszufinden, inwiefern Funktionen wie Verschlüsselung, Phishing-Schutz oder sichere Speicherung von Daten in der Praxis umgesetzt werden.
Unterschiedliche Standards bei Verschlüsselung und Phishing-Schutz
Die gute Nachricht vorweg: Alle getesteten Programme unterstützten laut BSI Transportverschlüsselung, also die sichere Übertragung von Nachrichten zwischen E-Mail-Client und Server. Bei der Ende-zu-Ende-Verschlüsselung (E2EE) allerdings gibt es große Unterschiede. Während neun von zwölf Programmen E2EE prinzipiell ermöglichen – meist über Standards wie OpenPGP oder S/MIME –, fehlt diese Funktion bei anderen gänzlich oder ist nur über Plugins nutzbar.
Auch beim Schutz vor Phishing-Angriffen und schädlichen Anhängen zeigen sich Unterschiede. Zwar verfügen fast alle Programme über Spam- und Phishing-Filter, doch nur drei Clients prüfen auch gezielt Anhänge auf potenzielle Gefahren und warnen aktiv vor deren Öffnung. Phishing-Mails werden teils erkannt, teils nicht. Der Schutz hängt stark vom Programm ab.
Gewinnen in der Plattform-Ökonomie
Lokale Speicherung bleibt Schwachstelle
Ein weiterer zentraler Punkt betrifft die Speicherung von E-Mails und Zugangsdaten. Die meisten Programme speichern Inhalte lokal – entweder verschlüsselt oder unverschlüsselt. Besonders kritisch: Nicht alle Clients sichern Passwörter ausreichend. Wer hier kein Masterpasswort verwendet, riskiert im Ernstfall den vollständigen Zugriff auf seine Korrespondenz durch Dritte.
Positiv bewertet das BSI die Update-Strategien: Alle getesteten Programme bieten einfache Möglichkeiten zur Aktualisierung – entweder automatisch, per Hinweis oder über den jeweiligen App-Store.
Nutzerfreundliche Sicherheit bleibt Schlüssel
Ein wichtiger Aspekt ist laut BSI die sogenannte Usable Security: Sicherheitsfunktionen müssen nicht nur vorhanden, sondern auch einfach nutzbar sein. Nur wenn Nutzer Verschlüsselung, Schlüsselverwaltung oder Warnmeldungen problemlos bedienen können, entfalten diese Maßnahmen ihre volle Wirkung. Das Prinzip „Security by Default“ – also sichere Voreinstellungen ab Werk – ist dabei zentral.
Mit dem „E-Mail-Sicherheitsjahr 2025“ möchte das BSI Anbieter und Verbraucher sensibilisieren. Caroline Krohn vom BSI fordert: „Die Anbieter von E-Mail-Clients müssen alles technisch Mögliche tun, um die Daten ihrer Kundinnen und Kunden adäquat zu schützen.“ Der Appell ist klar: IT-Sicherheit darf keine Option, sondern muss Standard sein.
