Fulda – „E-Mail für alle“: mit diesem Slogan wirbt die Deutsche Telekom für ihr Freemail-Angebot. Viren- und Spamschutz sowie Hochsicherheitsrechenzentren in Deutschland werden versprochen. Die PSW GROUP (www.psw-group.de), Full-Service-Provider für Internetlösungen mit Schwerpunkt auf Internet Security, hat sich das Freemail-Angebot von T-Online mit Fokus auf die Sicherheit genauer angesehen.
In der Testreihe der Freemail-Anbieter stand tatsächlich das Mailen im Mittelpunkt und die Werbung unaufdringlich im Hintergrund. Trotz guter Ansätze, wie beispielsweise einem Registrierungsprozess, der kaum persönliche Daten des Nutzers abverlangt, der lobenswerten Auszeichnung exotischer Passwörter wie „ViT-O.sad1.T?“ mit grünem Licht sowie einer hervorragenden Usability, konnten die Tester der PSW GROUP T-Online jedoch nicht den Sicherheitsstempel aufdrücken. „Uns hat echtes Kopfzerbrechen bereitet, dass Teile der Website nicht verschlüsselt sind. Auch die Aussage in der Datenschutzerklärung, Daten in Einzelfällen oder im gesetzlich zulässigen Rahmen auch im Ausland weiterzuverarbeiten ist uns viel zu schwammig. Wie definieren sich diese Einzelfälle? Und schließlich ist das Prozedere der eigentlichen E-Mail-Verschlüsselung auch nicht ideal gewählt“, kritisiert Christian Heutger, Geschäftsführer der PSW GROUP.
Wenig überraschend, dennoch enttäuschend, war für das Team des IT-Sicherheitsexperten die Erkenntnis, dass es sich bei der Startseite um eine unverschlüsselt übertragende HTTP-Seite handelt. Schade: Während Kunden von WEB.DE und GMX immerhin mit einem vorangestellten HTTPS auf eine verschlüsselte Seite zugreifen können, beharrt T-Online auf dem Weg zum Login auf den unverschlüsselten Zugang. „Daran ändert sich auch nach dem Login nichts. Die Seiteninhalte werden unverschlüsselt übertragen. Erst durch Anklicken auf „E-Mail Center öffnen“ gelangt der Anwender auf eine HTTPS-Seite. Um sofort auf eine verschlüsselte Startseite geleitet zu werden, raten wir Nutzern dazu, diesen Weg anzusteuern: email.t-online.de und diesen Link unter ihren Favoriten zu speichern“, so Christian Heutger und macht auf die Konsequenz aufmerksam: „Wurden auch nur Teile einer Seite, die der Anwender sieht, nicht verschlüsselt, bevor sie über das Internet übertragen wurden, können die Daten bei der Übertragung abgehört werden. Das betrifft dann auch ein vermeintlich sicheres Passwort!“
Alle Daten, die bei T-Online eingegeben werden – seien es E-Mails, Adressbucheinträge oder Daten im Kalender – sind transportverschlüsselt. Das ist gut und entspricht dem heutigen Stand der Technik. Die Daten selbst liegen auf Servern in Deutschland. T-Online gehört zur Initiative „E-Mail made in Germany“. Folglich verschlüsselt der Freemail-Anbieter die Inhalte von E-Mails an Empfänger nur, wenn deren Provider ebenfalls Mitglied der Initiative ist. „Die HTTPS-Seite verwendet für den Schlüsselaustausch zwar ECDHE_RSA, ist also PFS (Perfect Forward Secrecy)-fähig. Allerdings ist sie nur mit einer 128 Bit-Verschlüsselung (AES_128_CBC) gesichert und nutzt obendrein das inzwischen veraltete SHA-1 für die Nachrichtenauthentifizierung. Die 256 Bit-Verschlüsselung verwendet T-Online ausschließlich für den Nachrichtenversand (TLSv1:DHE-RSA-AES256-SHA:256)“, ergänzt Christian Heutger.
Daumen hoch für die Speicherkapazität von 1 GB für E-Mails und 25 GB im Mediencenter, welche die Tester für einen kostenfreien Service als sehr großzügig einstufen. Positiv aufgefallen ist auch die Größe von E-Mail-Anhängen und die Selbstbestimmung der Nutzer hinsichtlich der möglichen Einstellungen. Unter „Spamschutz“ und „Virenschutz“ beispielsweise können Anwender selbst mitbestimmen, ob Spam-E-Mails direkt abgewiesen und gelöscht (= Default), in den Ordner „Spam“ verschoben oder im Posteingang angezeigt werden. Der Virenschutz kann ein- oder ausgeschaltet werden, infizierte E-Mails bereinigen oder wahlweise gelöscht werden.