PSW GROUP bescheinigt dem Freemail-Anbieter „durchwachsenes“ Sicherheitskonzept
Fulda – Nachdem die IT-Sicherheitsexperten der PSW GROUP mit GMX bereits eine Konzerntochter der United Internet AG genauer unter die Lupe genommen haben, widmeten sie sich im Rahmen ihrer Testreihe nun den Sicherheitsversprechen des Freemail-Anbieters WEB.DE.
Das Fazit ist durchwachsen: Dass der Spam- und Virenschutz bei WEB.DE, anders als bei GMX, nicht nur für ein- sondern auch ausgehende E-Mails greift, beurteilen die Tester der PSW GROUP als gut. Auch die starke und PFS-unterstützende Verschlüsselung des Backends begeistert. „Bedauerlicherweise leider nur bis zu dem Moment, in dem eine E-Mail versendet werden soll und der Anwender auf eine nur teilweise verschlüsselte Seite gelangt. Dass die Transportverschlüsselung für E-Mails in ihrer Stärke eingestellt werden kann, sehen wir als Spielerei. Es macht doch wenig Sinn, E-Mail A schwächer zu verschlüsseln als E-Mail B oder die Verschlüsselung komplett auszuhebeln“, deckt Christian Heutger, Geschäftsführer der PSW GROUP, die Schwächen des Sicherheitskonzepts auf. Als Mitglied der Initiative “E-Mail made in Germany“ verschlüsselt der Freemail-Anbieter zudem nur E-Mails an Empfänger, deren Provider ebenfalls Mitglied der Initiative sind.
WEB.DE verzichtet auf eine verschlüsselte Startseite. Um dennoch sicher zu gehen, dass bereits beim Login die persönlichen Daten verschlüsselt übertragen werden, empfehlen die Experten die HTTPS-Version der Startseite als Favorit zu speichern und sie nur über diesen Link anzusteuern. Diese setzt dann auf einer hochgradigen Verschlüsselung mit Perfect Forward Secrecy (PFS) auf. „Unsere versendete Test-E-Mail nutzte TLS in der Version 1.0 und 256-bit-AES-Verschlüsselung. Es bedeutet, dass WEB.DE mit SHA-1 als Hash-Algorithmus eine eher antiquierte Technologie nutzt, die künftig keine Chance mehr im Browser Google Chrome haben wird. Längst steht mit SHA-2 ein sicherer Nachfolger bereit“, kritisiert Christian Heutger.
Eine starke Verschlüsselung wünscht sich Heutger auch auf den Servern der Muttergesellschaft: Sämtliche Nutzerdaten, wie E-Mails und Adressbucheinträge, sind ausschließlich auf dem Transportweg verschlüsselt! Alle persönlichen Daten werden bei der Muttergesellschaft an zentraler Stelle verwaltet und dürfen bei “berechtigtem Interesse” innerhalb der Konzernfamilie weitergeleitet werden. „Der Konzern kann also mitlesen!“, mahnt Heutger, dem auch die Speicherkapazität für E-Mails als außergewöhnlich gering aufgefallen ist. Lediglich 12 MB stellt der Provider zur Verfügung. Wer dann doch einmal drei, vier Urlaubsfotos versenden möchte, stößt schnell an die Kapazitätsgrenze. Hinzu kommen die Werbenewsletter von WEB.DE, die nicht abbestellt werden können. „Dass für den Telefon-Support knappe 4 Euro je Anruf berechnet werden, empfinden wir als dreist. Dasselbe gilt für die vielen vermeintliche Gratis-Angebote, die den Verbraucher schnell in die Abo-Falle locken können“, kritisiert der Geschäftsführer. Wen die Masse an Eigenwerbung nicht stört, der erhält immerhin ein kostenloses Postfach, das sich durch einfaches Handling sowie die leichte Navigation und Menüführung auszeichnet.
Der gesamte Testbericht kann eingesehen werden unter: www.psw-group.de/blog