Web.de, Gmx, Gmail, Outlook und T-online - mit großer Wahrscheinlichkeit läuft Ihre E-Mail-Adresse bei einem dieser Provider. Denn über 80 Prozent der Deutschen arbeiten mit einem dieser fünf Freemailer (Quelle: Statista, 2022). Ein kostenpflichtiger Anbieter wie etwa Posteo aus Berlin taucht in der Statistik erst weit hinten unter "sonstige Anbieter" auf.
 
Aber was unterscheidet überhaupt die Freemail-Anbieter von kostenpflichtigen E-Mail-Providern - abgesehen von dem Euro, den etwa ein Posteo-Postfach im Monat kostet?
 
Auf den ersten Blick: nicht viel: Alle fünf großen Anbieter auf dem deutschen Markt werben mit dem sicheren Versand und Empfang unserer E-Mails, dazu viel Speicherplatz, einer einfachen Bedienoberfläche, teilweise gepaart mit der Möglichkeit, den Account mit anderen Diensten desselben Anbieters zu verbinden.

Nachteile erst auf den zweiten Blick

Das hört sich im Grunde alles wunderbar an, und man kommt auch gar nicht wirklich auf die Idee, nach einem Haken zu suchen. Natürlich, in der Regel verlangen die Anbieter etwas Geld im Monat, wenn man den Speicherplatz seines Mail-Accounts erhöhen will. Und ja, die Spam-Mails werden auch nicht immer hundertprozentig rausgefiltert. Ja, stimmt, Werbung wird innerhalb des Postfachs auch gemacht. Aber wen stört das alles heutzutage schon?
 
Stören muss das niemanden, man sollte es aber wissen. Und vor allem wissen, dass es Alternativen gibt. Dann kann man sich ganz entspannt überlegen, welches E-Mail-Postfach es denn nun sein soll.

Knackpunkt Datenschutz?

Der für viele von uns wichtigste Aspekt: Wie werden die eigenen Daten beim gewählten E-Mail-Dienstanbieter verarbeitet? Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erklärt es wie folgt: Der Anbieter eines E-Mail-Dienstes ist ein Anbieter von Telekommunikationsdiensten im Sinne des Telekommunikationsgesetzes (TKG) und damit zur Einhaltung der Datenschutzgrundsätze des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) und des TKG verpflichtet. Der Anbieter müsse also die notwendigen technischen und organisatorischen Maßnahmen einhalten, um gesetzeskonform zu handeln.
 
Für uns Nutzer:innen heißt das laut BfDI, dass wir letztlich bei jeder E-Mail eine Risikoabwägung durchführen müssen: Ist E-Mail in Bezug auf die konkret betroffenen Daten überhaupt das geeignete Medium? Welche Verschlüsselung soll ich wählen? Und welcher E-Mail-Anbieter kommt für den Versand in Betracht? "Natürliche Personen unterliegen bei persönlichen oder familiären Tätigkeiten zwar grundsätzlich nicht dem Datenschutzrecht. Aber auch hier kann nur empfohlen werden, besonders sensible Daten nicht ungeschützt per E-Mail zu versenden."

Werden meine Mails etwa mitgelesen?

Spoiler-Alarm: Nein. Aber um das Spam-Aufkommen einzudämmen, Phishingmails zu blocken und Viren bzw. Trojaner von unseren Computern fernzuhalten, setzen die E-Mail-Provider sogenannte Spam-Filter und Virenscanner ein.
 
Die Virenscanner überprüfen laut BfDI die Inhalte ein- und ausgehender E-Mails auf verdächtigen Schadcode, dies geschehe automatisiert. "Die Verwendung der Verkehrsdaten und das automatisierte Prüfen der E-Mail-Inhalte auf Schadcode sind in den engen Grenzen von §3 Abs.3 und §12 TTDSG zulässig; der Provider kann sich zum Schutz der technischen Systeme im dafür erforderlichen Maß Kenntnis vom Inhalt und den Umständen der Telekommunikation verschaffen." Das bedeutet also nicht, dass unsere Mails mitgelesen werden. Sie werden automatisch "durchgescannt".
 
Auf Anfrage bezüglich dieses Scan-Vorgangs bei den fünf Providern Web.de, Gmx, Gmail, T-Online und Outlook bekommt SUPER.MARKT Antworten von allen Anbietern. Wir wollten wissen, wie man sich das bei den einzelnen Anbietern konkret vorstellen kann - was bekommen die mit von meinem Witzen, Lebensgeschichten und anderen persönlichen Daten, die ich per Mail versende?
 
Die Antworten von Web.de, Gmx, Gmail und Outlook sind ähnlich: "E-Mails unserer Nutzerinnen und Nutzer werden von uns nicht mitgelesen", so ein Sprecher der 1&1 Mail & Media GmbH, die Web.de und Gmx verantwortet. "Wir führen auf der Grundlage des Stands der Technik automatisierte Prüfungen durch. Dies geschieht beispielsweise automatisch bei der Prüfung von E-Mails durch unsere Sicherheitssysteme." Auch Google setzt nach eigenen Angaben KI-gestützte Spamfilter ein, um Posteingänge vor Spam, Malware und Phishing zu schützen. Damit blockiere das Unternehmen "jede Minute beinahe zehn Millionen Spam-E-Mails". Mails würden aber niemals durchsucht oder gelesen, um Werbung anzuzeigen, so eine Sprecherin für das Unternehmen.
 
Einzig T-online geht genauer auf unsere Fragen ein. Christian Fischer, Sprecher des Unternehmens, räumt ein, dass gerade die Vorteile eines Freemail-Accounts - etwa, dass man sich nicht umfangreich authentifizieren müsse - dazu führten, dass sie Teil des Spam-Problems und des Cybersicherheits-Problems seien. Um dieses einzudämmen, braucht es das Scannen.
 
Er erklärt, wieso die Mails gescannt werden - und wie: Sogenannte Anomalie-Erkennungssysteme sollen Spam- und Phishing-Mails von echten Mails unterscheiden und erstere herausfiltern. Dafür scannen diese Systeme bzw. Bots eingehende und ausgehende Mails. "Sie bilden aus bestimmten Passagen und Bestandteilen dieser Nachrichten sogenannte Hashwerte. Diese lassen sich vergleichen und somit beispielsweise massenhaft versendete Dokumente finden, die nach einem bestimmten Schema erstellt worden sind. Es geht also nicht um den konkreten Inhalt, sondern mehr um den rechnerischen Wert von Buchstaben, Zeichen und Grafiken." Dies sei nur ein Beispiel für eine Methode, um unerwünschte Mails aufzuspüren, so Fischer.

Welchen Mail-Anbieter also wählen?

Ob man einen Freemail-Dienst oder einen kostenpflichtigen nimmt, hängt am Ende mit dem eigenen Schutzbedürfnis und Sicherheitsempfinden zusammen.
 
Wer etwas gegen Werbung im Postfach hat, muss zu einem kostenpflichtigen Dienst greifen. Auch mehr Speicherplatz kostet in der Regel. Eine sichere Verschlüsselung der Daten bieten dagegen mittlerweile oft auch Freemailer an. Manko: Der Speicherplatz dieser Angebote läge oft im Nicht-EU-Ausland, so Telekom-Sprecher Fischer, "und wenn etwa eine US-Bundesbehörde auf die Nationale Sicherheit verweist, darf sie beispielsweise gemäß des US Patriot Acts mitlesen, ohne dass dies der Dienstleister seinen Kundinnen und Kunden mitteilt.
 
Und welchen E-Mail-Dienste-Anbieter nehmen wir nun? Folgende Punkte können zur Entscheidungsfindung beitragen:
 
• Arbeitet der Anbieter mit Verschlüsselungsfunktionen? Eine SSL-Verschlüsselung beim Log-in sollte Voraussetzung sein. Erkennbar ist diese Verschlüsselung am https am Anfang der URL - anstelle von http. Auch die Ende-zu-Ende-Verschlüsselung ist ein Faktor einer sicheren E-Mail-Kommunikation.
 
• Nutzt der Anbieter die sichere Zwei-Faktor-Authen­tifi­zierung, um User:innen überhaupt "reinzulassen"?
 
• Wie oben kurz erläutert kann auch die Frage wichtig sein: Wo stehen die Server des Anbieters?
 
• Wie anonym bleiben die Nutzer:innen? Welche Daten müssen wir also von uns abgeben, um überhaupt ein Postfach einrichten zu können?
 
• Wie gut sind der Spam- und Virenschutz? Und wie fein lässt er sich für die eigenen Bedürfnisse konfigurieren?
 
• Wie einfach ist die Bedienbarkeit, wie intutiv die Benutzeroberfläche? Hier gibt es Unterschiede - und als User muss ich überlegen, wie wichtig mir die sogenannte Usability ist. Denn teils sind gerade die benutzerfreundlichsten Anbieter Freemailer.
 
• Auch die Frage, wie nachhaltig der Anbieter agiert - ob etwa ausschließlich Ökostrom für den Betrieb des E-Mail-Dienstes verwendet wird, ist gerechtfertigt.
 
• Letztlich kann auch entscheidend sein, wie der Name der E-Mail-Adresse lautet. Bei den Freemailern ist der Markenname, also etwa Gmx oder Gmail, immer Bestandteil der E-Mail-Adresse. Benutzt man kostenpflichtige Dienste, kann man teilweise die eigene Marke benutzen und zum Beispiel eine E-Mail-Adresse namens test@supermarkt.de einrichten - wenn die nicht schon vergeben ist!

Tipps für eine sichere E-Mail-Kommunikation

Wer wirklich sicher per E-Mail kommunizieren will, für den bietet es sich an, mehrere E-Mail-Postfächer zu nutzen, eines etwa beim Freemailer und ein kostenpflichtiges. Und dann müsse man "nur wissen und sich daran halten, wann man welches Konto einsetzt", so Fischers Rat.
 
Alle sensible Kommunikation würde der Telekom-Experte nur über den Schutz eines persönlichen Bezahl-Kontos erledigen. "Dieses Konto aber darüber hinaus nicht für Zugangsdaten verwenden." Stattdessen könnte man zum Beispiel eine alternative Mailadresse nutzen, die man in der Regel bei kostenpflichtigen Diensten einrichten kann. Diese zweite Mailadresse solle dann nur dafür verwendet werden, um Name(Mailadresse)/Passwort-Kombinationen in sensiblen Applikationen zu bilden.
 
Zuletzt rät Fischer, für Zugangsdaten in Foren, bei Online-Händlern und in Apps einen speziellen Freemail-Account anzulegen. "Bei dem ist es nicht so schlimm, wenn er kompromittiert wird – er lässt sich einfacher entsorgen und ersetzen. Da ich bei diesem immer annehmen sollte, dass das Schutzniveau nicht allzu hoch sein wird im Vergleich zu einem Bezahl-Konto, ist es ratsam nur wirklich "unwichtige" Dinge damit online zu machen. Damit fährt man ganz gut."
 
Auch die Verbraucherzentrale Berlin (VZB) rät zu einer großen Portion Vorsicht im Umgang mit E-Mails und der eigenen E-Mail-Adresse: Links in E-Mails oder Downloads sollten etwa nur angeklickt werden, wenn man sich über die Echtheit der E-Mail und die Seriosität des Absendendes wirklich sicher ist. "Aus gleichem Grund empfiehlt sich eine gesunde Portion Misstrauen gegenüber E-Mail-Anhängen von unbekannten Absender:innen", so die VZB.
 
Im Zweifel gelte die Grundregel, dass man, wenn man die Absenderin oder den Absender nicht mit ausreichender Sicherheit identifizieren könne, lieber davon ausgehen solle, dass es sich um eine Schad-E-Mail handele - diese sei zu ignorieren oder zu löschen. Selbst, wenn die E-Mail vorgeblich von einem seriösen Absendenden stamme, man sich aber nicht sicher sei, etwa, weil der Mailanhang oder der Link, der geklickt werden soll, sich nicht schlüssig aus dem Kontext der Mail ergeben, so könne man bei der Person nachfragen, ob diese die fragliche E-Mail versandt habe.
 
Zusammengefasst:
 
• Die eigene E-Mail-Adresse wird nur herausgegeben, wenn dies notwendig ist.
 
• Für alle anderen Fälle, wo es um reine Bequemlichkeit geht - etwa das schnelle Buchen eines Konzerttickets oder die Anmeldung bei einem Web-Tool - wird die Zweitadresse benutzt.
 
• Mit der eigenen E-Mail-Adresse nicht zu freizügg umgehen und etwa nicht in öffentlich zugänglichen Onlineforen posten.
 
• Bei ankommenden E-Mails immer darauf achten, nicht bei fremden Absendern auf Links oder Anhänge zu klicken.

Ein Beitrag von SUPER.MARKT, 18.01.2024.