IT-Sicherheitsexperten testen Posteo – und finden den fast perfekten E-Mail Anbieter
Fulda – Der kostenpflichtige E-Mail-Anbieter Posteo hat sich nichts geringeres vorgenommen, als „grün, sicher, einfach und werbefrei“ zu sein. Dieses Versprechen hat die IT-Sicherheitsexperten der PSW GROUP auf den Plan gerufen, das Angebot unter die Lupe zu nehmen.
„Posteo ist der fast perfekte Sicherheitsanbieter. Wenn die mangelhafte Passwortprüfung nicht wäre, könnten wir den Anbieter uneingeschränkt empfehlen. Bei der Passwortsicherheit sollte Posteo nämlich unbedingt nacharbeiten. Ansonsten überzeugt der E-Mail-Anbieter mit umfangreichen Sicherheitsfeatures, vorbildlichen, weil leicht auffindbaren, verständlichen und inhaltlich stimmigen Rechtstexten, und auch die Usability gefällt uns“, resümiert Christian Heutger, Geschäftsführer der PSW GROUP.
Posteo – deutscher Anbieter mit Sitz in Berlin – offeriert ein werbefreies E-Mail-Postfach für 1 Euro pro Monat. Dafür inkludiert Posteo neben Standard- auch viele Zusatzfunktionen, wobei Standardfunktionen mit eher geringen Werten, beispielsweise 2GB Speicherplatz, mit kostenpflichtigen Erweiterungsoptionen, wie Kalender und Adressbuch mit Verschlüsselungsoption, gemixt werden. „Heraus kommt ein recht brauchbares Paket, das leistungstechnisch zwar hinter werbefinanzierten Angeboten zurückbleibt. Allerdings ist gerade die Werbefreiheit großartig. Es ist nicht nur für die Augen erholsam, auf Werbung zu verzichten, sondern insbesondere für die Sicherheit. Denn nur so kann Mixed Content ausgeschlossen und Datenschutz gelebt werden“, betont Christian Heutger. Auch auf Pflichtnewsletter verzichtet der Berliner: Aus allen drei möglichen Newslettern kann sich der Kunde austragen.
Posteo ist die gelebte Datensparsamkeit. Schon bei der Registrierung sind Kundendaten aufgrund guter Verschlüsselungsparameter (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256-Bit-Schlüssel, TLS 1.2) bestens geschützt. Weder werden Aktivitäten verfolgt noch werden Berechtigungen fällig. Aufgrund der Werbefreiheit stört sich Posteo auch nicht an VPN und Werbeblockern. Und: Wie die Wettbewerber aikQ und mailbox.org möchte auch Posteo lediglich die Wunsch-E-Mail-Adresse sowie ein Passwort seiner Nutzer wissen. Die Passwortsicherheitsprüfung jedoch ist unterirdisch: Zu geringe Vorgaben, fehlende Sicherheitsampel oder sonstige Visualisierung. Obendrein werden einfachste Passwörter wie Passwort123 anstandslos durchgelassen, ganz zu schweigen von Passwörtern, die Bestandteil der E-Mail-Adresse sind. „Würden wir hier einen Freemail-Anbieter haben, wäre es weniger verwunderlich, denn der Sicherheit kann bei solchen Angeboten wenig Spielraum gegeben werden. Hier allerdings sprechen wir von einem Sicherheitsanbieter, der damit wirbt, sicher zu sein. Eine anständige Passwortprüfung wäre da das Mindeste“, rügt Heutger.
Ansonsten stimmt die Sicherheit bei Posteo: E-Mails werden mit einer starken Transportverschlüsselung (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) versendet; optional bietet Posteo auch die Ende-zu-Ende Verschlüsselung durch S/MIME oder PGP an. Mit dem Open Source-Addon Mailvelope nutzen User diese Ende-zu-Ende-Verschlüsselung im Posteo-Webmailer. Es existiert eine Schlüsselverwaltung sowie ein Schlüsselverzeichnis. Den öffentlichen S/MIME- oder PGP-Schlüssel können Posteo-Kunden auch zur Verschlüsselung der Inhalte neuer E-Mails nutzen. Das ist insbesondere bei Kontakten sinnvoll, die nicht Ende-zu-Ende-verschlüsseln.
Umfangreiche weitere Features bringen die Sicherheit der User auf ein sehr hohes Niveau. So sind beispielsweise ein automatischer Viren- und Spamfilter bei Posteo selbstverständlich, Anwender greifen geräteunabhängig stets verschlüsselt auf das Posteo-Angebot zu und Session-Cookies werden von Posteo ausschließlich für das Authentifizieren im Kundenmenü bzw. Webmailer eingesetzt. Nutzerprofile lassen sich durch Session-Cookies nicht erstellen – nach Ende der Sitzung werden diese Cookies wieder gelöscht. Aber Posteo hat noch weitere Krypto-Tools auf Lager. Den Posteo-Krypto-Mailspeicher nutzen User, um sämtliche E-Mail-Daten, die bei Posteo gespeichert sind, zu verschlüsseln. „Sämtliche“ bedeutet: alle Inhalte, alle Anhänge, alle Metadaten. Auch die Adressbuch- und Kalenderverschlüsselung können nach Zahlungseingang aktiviert werden. „Die Sicherheitsfeatures sind bei Posteo ausschließlich nach Zahlungseingang verfügbar. Das ist jedoch auch sinnvoll, um sich vor etwaigen Missbräuchen und Zahlungsausfällen zu schützen“, weist Christian Heutger hin und ergänzt: „Sind die Jahreskosten gedeckt, bietet Posteo eine sinnvolle Palette an Security-Features.“
Quelle: PSW GROUP GmbH & Co. KG